| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
Uso compartido y montaje de archivos en Trusted Extensions
Montajes de NFS en Trusted Extensions
Uso compartido de archivos desde una zona con etiquetas
Acceso a los directorios montados de NFS en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir directorios desde una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
De manera predeterminada, los sistemas de archivos montados en NFS son visibles en la etiqueta de sistema de archivos exportado. Si el sistema de archivos se exporta con permisos de lectura y escritura, los usuarios que cuenten con dicha etiqueta pueden escribir en los archivos. El usuario puede ver los montajes de NFS que están en una etiqueta inferior a su sesión actual, pero no puede escribir en ellos. Incluso si un sistema de archivos se comparte con permisos de lectura y escritura, el sistema de montaje puede escribirlos solamente en la etiqueta del montaje.
Para hacer que los usuarios de una zona de nivel superior puedan ver los directorios de nivel inferior montados en NFS, el administrador de la zona global del servidor NFS debe exportar el directorio principal. El directorio principal se exporta en su etiqueta. En el lado del cliente, cada zona debe tener el privilegio net_mac_aware. De manera predeterminada, las zonas con etiquetas incluyen el privilegio net_mac_aware en su conjunto limitpriv.
Configuración del servidor: en el servidor NFS, debe exportar el directorio principal en un archivo dfstab. Si el directorio principal está en una zona con etiquetas, el archivo dfstab debe modificarse en la zona con etiquetas del directorio principal. El archivo dfstab para una zona con etiquetas se puede ver solamente desde la zona global. Para conocer el procedimiento, consulte Cómo compartir directorios desde una zona con etiquetas.
Configuración del cliente: el privilegio net_mac_aware debe especificarse en el archivo de configuración de la zona que se utiliza durante la etapa inicial de configuración de la zona. Por lo tanto, el usuario que tenga permiso para ver todos los directorios principales de nivel inferior también debe tener el privilegio net_mac_aware en cada zona, excepto en la zona más inferior. Para ver un ejemplo, consulte Cómo montar archivos en NFS en una zona con etiquetas.
Ejemplo 11-1 Cómo proporcionar acceso a los directorios principales de nivel inferior
En el servidor del directorio principal, el administrador crea y modifica el archivo /zone/labeled-zone/etc/dfs/dfstab en cada zona con etiquetas. El archivo dfstab exporta el directorio /export/home con permisos de lectura y escritura. De este modo, cuando el directorio se monta en la misma etiqueta, se puede escribir en el directorio principal. Para exportar el directorio /export/home de PUBLIC, el administrador crea un espacio de trabajo en la etiqueta PUBLIC en el servidor del directorio principal y, desde la zona global, modifica el archivo /zone/public/etc/dfs/dfstab.
En el cliente, el administrador de la zona global comprueba que cada zona con etiquetas, excepto la etiqueta menor, tenga el privilegio net_mac_aware. Este privilegio permite realizar el montaje. Este privilegio se puede especificar mediante el comando zonecfg durante la configuración de la zona. El directorio principal de nivel inferior sólo puede verse. Mediante MAC, se impide la modificación de los archivos del directorio.
Los directorios principales son un caso especial en Trusted Extensions. Debe asegurarse de que se creen los directorios principales en cada zona que los usuarios pueden utilizar. Además, deben crearse los puntos de montaje del directorio principal en las zonas del sistema del usuario. Para que los directorios principales montados en NFS funcionen correctamente, se debe usar la ubicación convencional de los directorios, /export/home. En Trusted Extensions, se cambió el montador automático para manejar los directorios principales en cada zona, es decir, en cada etiqueta. Para obtener detalles, consulte Cambios en el montador automático en Trusted Extensions.
Los directorios principales se generan cuando se crean los usuarios. En Trusted Extensions, Solaris Management Console se utiliza para crear usuarios, por lo que la consola crea los directorios principales. Sin embargo, la consola crea los directorios principales en la zona global del servidor del directorio principal. En ese servidor, los directorios están montados con LOFS. Los directorios principales se crean automáticamente con el montador automático si se encuentran especificados como montajes LOFS.
Nota - Cuando se suprime un usuario con la consola, se suprime solamente el directorio principal del usuario en la zona global. Los directorios principales del usuario en las zonas con etiquetas no se suprimen. Usted debe encargarse de archivar y suprimir los directorios principales en las zonas con etiquetas. Para conocer el procedimiento, consulte Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions.
Sin embargo, el montador automático no puede crear directorios principales en servidores NFS remotos de manera automática. Primero el usuario debe iniciar sesión en el servidor NFS, o se requiere intervención administrativa. Para crear los directorios principales de los usuarios, consulte Enable Users to Access Their Home Directories in Trusted Extensions de Trusted Extensions Configuration Guide.
En Trusted Extensions, cada una de las etiquetas requiere un montaje de directorio principal separado. Se modificó el comando automount a fin de gestionar los montajes automáticos con etiquetas. Para cada zona, el montador automático autofs monta un archivo auto_home_ nombre-de-zona. Por ejemplo, a continuación se muestra la entrada para la zona global en el archivo auto_home_global:
+auto_home_global * -fstype=lofs :/export/home/&
Cuando se inicia una zona que permite montar zonas de nivel inferior, sucede lo siguiente. Los directorios principales de las zonas de nivel inferior se montan en modo sólo lectura en /zone/<nombre-de-zona>/export/home . El mapa auto_home_<nombre-de-zona> especifica la ruta de /zone como directorio de origen para volver a realizar un montaje de lofs en /zone/< nombre-de-zona>/home/<nombre-de-usuario>.
Por ejemplo, a continuación se muestra una entrada auto_home_public en un mapa auto_home_zona-en-etiqueta-superior que se genera a partir de una zona de nivel superior:
+auto_home_public * -fstype=lofs :/zone/public/export/home/&
A continuación se muestra la entrada correspondiente en la zona public:
auto_home_public * -fstype=lofs :/export/home/&
Cuando se hace referencia a un directorio principal, y el nombre no coincide con ninguna de las entradas del mapa auto_home_<nombre-de-zona>, el mapa intenta encontrar la coincidencia con esta especificación de montaje en bucle de retorno. El software crea el directorio principal cuando se cumplen las dos condiciones siguientes:
El mapa encuentra la coincidencia con la especificación de montaje en bucle de retorno.
El nombre del directorio principal coincide con un usuario válido cuyo directorio principal todavía no existe en nombre_zona.
Para obtener detalles sobre los cambios en el montador automático, consulte la página del comando man automount(1M).
|