跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
随 Trusted Extensions 系统安装了一组缺省安全模板,这些模板用于定义远程主机的标签属性。在 Trusted Extensions 中,均通过安全模板方式为网络上的无标签主机和有标签主机指定安全属性。未指定有模板的主机无法与配置有 Trusted Extensions 的主机进行通信。这些模板在本地存储。
主机可以通过 IP 地址或作为 IP 地址范围的一部分添加到安全模板。有关详细说明,请参见可信网络回退机制。
每种主机类型都有其自己的一套额外的必需和可选安全属性。以下安全属性均在安全模板中进行指定:
缺省标签—定义无标签主机的信任级别。无标签主机发送的包由接收 Trusted Extensions 系统或网关在此标签进行读取。
缺省标签属性特定于主机类型 unlabeled(无标签)。有关详细信息,请参见安全模板中的缺省标签。
DOI—标识系统解释域的非零正整数。DOI 用于说明哪组标签编码适用于网络通信或网络实体。具有不同 DOI 的标签是不相交的,即使在其他方面是相同的。对于 unlabeled(无标签)主机,DOI 适用于缺省标签。在 Trusted Extensions 中,缺省值为 1。
辅助标签集合-可选。为安全模板指定一组独立的安全标签。除了其认可范围由最大和最小标签确定之外,添加到具有辅助标签集合的模板的主机还可以发送和接收与该标签集合中任一标签匹配的包。可以指定的最大辅助标签数为四。
Trusted Extensions 支持可信网络数据库中的四种主机类型并提供四个缺省模板:
cipso 主机类型-针对运行有标签可信操作系统的主机。该主机类型支持 CALIPSO 和 CIPSO 标签。
对于 IPv6,CALIPSO 协议用于指定在 IP 选项字段中传递的安全标签。对于 IPv4,使用 CIPSO 协议。CALIPSO 和 CIPSO 头中的标签从数据的标签自动派生。然后,该派生标签用于在 IP 级别进行安全检查,并标记网络包。
unlabeled 主机类型-针对使用标准网络协议但不支持有标签选项的主机。Trusted Extensions 为该主机类型提供名为 admin_low 的模板。
该主机类型将指定给运行 Oracle Solaris OS 或其他无标签操作系统的主机。该主机类型提供缺省标签,以应用于与无标签主机的通信。此外,可以指定一个标签范围或一组独立标签,以允许将包发送到无标签网关进行转发。
adaptive 主机类型-针对未设置标签但将包发送给有标签系统上特定网络接口的主机的子网。有标签系统将其网络接口缺省标签应用于传入包。
该主机类型将指定给运行 Oracle Solaris OS 或其他无标签操作系统但期望将数据发送到有标签系统的主机。该主机类型不提供缺省标签。通信标签从接收系统的有标签网络接口派生。该主机类型指定给最终节点系统,而非网关。
adaptive 主机类型可以灵活地规划和缩放可信网络。管理员在提前不知道新系统的缺省标签的情况下,可以使用无标签系统扩展网络。当 adaptive 主机配置为将包发送给 netif 主机上的有标签网络接口时,该 netif 主机上的此接口的缺省标签会将相应的标签指定给传入包。
netif 主机类型-针对在 adaptive 主机的特定网络接口上接收包的接口的主机名。该主机类型指定给 Trusted Extensions 系统上的接口。netif 接口的缺省标签应用于到达包。
注意 - admin_low 模板提供了使用特定于站点的标签构建无标签模板的示例。虽然安装 Trusted Extensions 需要 admin_low 模板,但是对于常规系统操作来说,安全属性的限制可能不够严厉。出于系统维护和支持原因,请保持提供的模板不进行任何修改。 |
unlabeled 和 netif 主机类型的模板指定缺省标签。该标签用于控制与其操作系统无法识别标签(如 Oracle Solaris 系统)的主机进行的通信。指定的缺省标签反映适用于该主机及其用户的信任级别。
因为与无标签主机之间的通信本质上仅限于缺省标签,所有这些主机也称为单标签主机。将这些主机称为“单标签”的技术原因是,这些主机没有 admin_high 和 admin_low 标签。
使用同一系统解释域 (Domain of Interpretation, DOI) 的组织在以相同方式解释标签信息和其他安全属性方面达成共识。Trusted Extensions 执行标签比较时,会进行检查以确定 DOI 是否等同。
Trusted Extensions 系统在一个 DOI 值上强制执行标签策略。Trusted Extensions 系统上的所有区域必须在同一 DOI 处运行。对于从使用不同 DOI 的系统接收的包,Trusted Extensions 系统不对其提供异常处理。
如果您的站点使用不同于缺省值的 DOI 值,则必须在每个安全模板中使用该值,如如何配置其他系统解释域中所述。
最小标签和最大标签属性用于为有标签主机和无标签主机建立标签范围。这些属性用于执行以下操作:
设置可在主机与远程有标签主机进行通信时使用的标签范围
为了将包发送至目标主机,包的标签必须位于在该目标主机安全模板中指定的标签范围内。
为通过有标签网关或无标签网关转发的包设置标签范围
标签范围可在无标签主机类型的模板中进行指定。利用标签范围,主机可以转发不一定处于该主机的标签级别、但是位于指定标签范围内的包。
辅助标签集合最多可定义四个独立标签,远程主机可以在这些标签级别接受、转发或发送包。该属性为可选。缺省情况下,不定义辅助标签集合。