跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统
如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色
如何创建 "System Administrator"(系统管理员)角色
如何在 Trusted Extensions 中创建可以承担角色的用户
如何检验 Trusted Extensions 角色是否有效
在 Trusted Extensions 中创建集中起始目录
如何在 Trusted Extensions 中创建起始目录服务器
如何让用户登录每个 NFS 服务器来访问每个标签下的远程起始目录
如何通过在每个服务器上配置自动挂载程序来使用户能够访问其远程起始目录
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
要定制 Trusted Extensions 配置,请执行以下任务列表中的过程。要安装缺省配置,请转至创建有标签区域。
|
您的编码文件必须与正在通信的任何 Trusted Extensions 主机兼容。
注 - Trusted Extensions 会安装缺省 label_encodings 文件。此缺省文件可用于演示。但是,此文件可能并不适合您使用。如果打算使用该缺省文件,可以跳过此过程。
如果您熟悉编码文件,可以使用以下过程。
如果您不熟悉编码文件,请参考《Trusted Extensions Label Administration》以了解相关的要求、过程和示例。
注意 - 在继续之前,必须成功安装标签,否则配置将失败。 |
开始之前
您是安全管理员。security administrator(安全管理员)负责编辑、检查和维护 label_encodings 文件。如果打算编辑 label_encodings 文件,请确保该文件本身可写入。有关更多信息,请参见 label_encodings(4) 手册页。
要编辑 label_encodings 文件,您必须承担 root 角色。
要从便携介质复制,请参见如何在 Trusted Extensions 中从便携介质复制文件。
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
如果命令报告了错误,必须先解决错误才能继续。有关帮助,请参见《Trusted Extensions Label Administration》中的第 3 章 "Creating a Label Encodings File (Tasks)"
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings
注意 - 您的 label_encodings 文件必须通过 "Check Encodings"(检查编码)测试,然后才能继续。 |
示例 4-1 检查命令行上的 label_encodings 语法
在此示例中,管理员使用命令行来测试多个 label_encodings 文件。
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2
如果管理层决定使用 label_encodings2 文件,管理员将对该文件运行语义分析。
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ...
管理员打印其记录的语义分析副本,然后将文件移到 /etc/security/tsol 目录。
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.10 label_encodings
最后,管理员检验 label_encodings 文件是否为公司文件。
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010
接下来的步骤
必须重新引导系统,才可创建有标签区域。
对于 IPv6,Trusted Extensions 将通用体系结构标签 IPv6 安全选项 (Common Architecture Label IPv6 Security Option, CALIPSO) 用作安全标签协议。不需要进行配置。如果必须与运行过时 Trusted Extensions IPv6 CIPSO 协议的系统进行通信,请执行此过程。要与其他 CALIPSO 系统通信,请勿执行此过程。
注意 - 将 CALIPSO 用作 IPv6 协议的系统无法与使用过时 TX IPv6 CIPSO 协议的任何系统进行通信,因为这些协议不兼容。 |
过时的 Trusted Extensions IPv6 CIPSO 选项没有 Internet 号码分配机构 (Internet Assigned Numbers Authority, IANA) 编号可供在包的 "IPv6 Option Type"(IPv6 选项类型)字段中使用。您在此过程中设置的项会提供一个可在本地网络中使用的编号。
开始之前
如果必须与使用专用但过时的 Trusted Extensions IPv6 CIPSO 安全标签选项的系统进行通信,请执行此过程。
您是全局区域中的 root 角色。
set ip:ip6opt_ls = 0x0a
故障排除
如果在引导过程中出现错误消息,指出 IPv6 CIPSO 配置不正确,请更正该项。例如,拼写错误的项会生成以下消息:sorry, variable 'ip6opt_1d' is not defined in the 'ip' module. Verify that the entry is spelled correctly。
更正项。
检验将正确的项添加到 /etc/system 文件后是否重新引导了系统。
接下来的步骤
必须重新引导系统,才可创建有标签区域。
如果您的站点未使用值为 1 的系统解释域 (Domain of Interpretation, DOI),必须修改每个 security template(安全模板)中的 doi 值。有关更多信息,请参见安全模板中的系统解释域。
开始之前
您是全局区域中的 root 角色。
# tncfg -t cipso set doi=n # tncfg -t admin_low set doi=n
注 - 每个安全模板都必须指定 DOI 值。
另请参见
接下来的步骤
如果打算使用 LDAP,请转至第 5 章。必须配置 LDAP,才可创建有标签区域。
否则,继续执行创建有标签区域中的相关操作。