JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Procedimientos de administradores de Trusted Extensions     Oracle Solaris 10 1/13 Information Library (Español)
Red de tecnología de Oracle
Biblioteca
PDF
Vista de impresión
Comentarios
search filter icon
search icon

Información del documento

Prefacio

1.  Conceptos de la administración de Trusted Extensions

2.  Herramientas de administración de Trusted Extensions

3.  Introducción para administradores de Trusted Extensions (tareas)

4.  Requisitos de seguridad del sistema Trusted Extensions (descripción general)

5.  Administración de los requisitos de seguridad en Trusted Extensions (tareas)

6.  Usuarios, derechos y roles en Trusted Extensions (descripción general)

7.  Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)

8.  Administración remota en Trusted Extensions (tareas)

9.  Trusted Extensions y LDAP (descripción general)

10.  Gestión de zonas en Trusted Extensions (tareas)

11.  Gestión y montaje de archivos en Trusted Extensions (tareas)

12.  Redes de confianza (descripción general)

13.  Gestión de redes en Trusted Extensions (tareas)

Gestión de la red de confianza (mapa de tareas)

Configuración de bases de datos de red de confianza (mapa de tareas)

Cómo determinar si necesita plantillas de seguridad específicas del sitio

Cómo abrir las herramientas de redes de confianza

Cómo crear una plantilla de host remoto

Cómo agregar hosts a la red conocida del sistema

Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts

Cómo limitar los hosts que se pueden contactar en la red de confianza

Configuración de rutas y comprobación de la información de red en Trusted Extensions (mapa de tareas)

Cómo configurar las rutas con los atributos de seguridad

Cómo comprobar la sintaxis de las bases de datos de red de confianza

Cómo comparar la información de la base de datos de red de confianza con la caché del núcleo

Cómo sincronizar la caché del núcleo con las bases de datos de red de confianza

Resolución de problemas de la red de confianza (mapa de tareas)

Cómo verificar que las interfaces del host estén activas

Cómo depurar la red de Trusted Extensions

Cómo depurar una conexión de cliente con el servidor LDAP

14.  Correo de varios niveles en Trusted Extensions (descripción general)

15.  Gestión de impresión con etiquetas (tareas)

16.  Dispositivos en Trusted Extensions (descripción general)

17.  Gestión de dispositivos para Trusted Extensions (tareas)

18.  Auditoría de Trusted Extensions (descripción general)

19.  Gestión de software en Trusted Extensions (tareas)

A.  Referencia rápida a la administración de Trusted Extensions

B.  Lista de las páginas del comando man de Trusted Extensions

Índice

Configuración de bases de datos de red de confianza (mapa de tareas)

El software de Trusted Extensions incluye las bases de datos tnrhtp y tnrhdb. Estas bases de datos proporcionan etiquetas para los hosts remotos que se contactan con el sistema. Solaris Management Console proporciona la interfaz gráfica de usuario que se utiliza para administrar estas bases de datos.

El siguiente mapa de tareas describe las tareas para crear plantillas de seguridad y aplicarlas a los hosts.

Tarea
Descripción
Para obtener instrucciones
Determinar si el sitio requiere plantillas de seguridad personalizadas.
Evaluar la plantillas existentes según los requisitos de seguridad del sitio.
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Acceder a la herramienta Security Templates en Solaris Management Console.
Acceder a la herramienta para modificar las bases de datos de red de confianza.
Cómo abrir las herramientas de redes de confianza
Modificar las plantillas de seguridad.
Cambiar las definiciones de los atributos de seguridad en la red de confianza mediante la modificación de las bases de datos de red de confianza.
Cómo crear una plantilla de host remoto
Cambiar el dominio de interpretación a un valor distinto de 1.
Ejemplo 13-1
Crear una plantilla de seguridad para hosts con etiquetas que restrinja la comunicación entre otros hosts con una sola etiqueta.
Ejemplo 13-2
Crear una plantilla de seguridad para hosts sin etiquetas que funcionen como puertas de enlace de una sola etiqueta.
Ejemplo 13-3
Crear una plantilla de seguridad para hosts con un rango de etiquetas restringido.
Ejemplo 13-4
Crear una plantilla de seguridad para un host que especifique un conjunto de etiquetas discretas en su rango de etiquetas.
Ejemplo 13-5
Crear una plantilla de seguridad para redes y sistemas sin etiquetas.
Ejemplo 13-6
Crear una plantilla de seguridad para dos sistemas de desarrolladores.
Ejemplo 13-7
Agregar hosts a la red conocida.
Agregar sistemas y redes a la red de confianza.
Cómo agregar hosts a la red conocida del sistema
Proporcionar acceso a hosts remotos mediante entradas de comodín.
Permitir que los hosts que se encuentren dentro de un rango dado de direcciones IP se comuniquen con un sistema mediante la asignación indirecta de cada host a la misma plantilla de seguridad.
Ejemplo 13-8

Ejemplo 13-9

Ejemplo 13-10
Cambiar la entrada de comodín admin_low en el archivo tnrhdb.
Aumentar la seguridad por medio del reemplazo de la entrada de comodín con direcciones específicas con las que los host se contactan en el momento del inicio.
Cómo limitar los hosts que se pueden contactar en la red de confianza
Aumentar la seguridad por medio del reemplazo de la entrada de comodín con una red de hosts con etiquetas como valor predeterminado.
Ejemplo 13-11
Crear una entrada para la dirección de host 0.0.0.0
Configurar un servidor Sun Ray para aceptar el contacto inicial desde un cliente remoto
Ejemplo 13-13
Asignar plantillas de seguridad.
Asociar una plantilla con una dirección IP o lista de direcciones IP contiguas.
Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts

Cómo determinar si necesita plantillas de seguridad específicas del sitio

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

  1. Familiarícese con las plantillas Trusted Extensions.

    Lea el archivo tnrhtp en un host local. Los comentarios del archivo sirven de ayuda. También puede ver los valores de atributo de seguridad de la herramienta Security Templates de Solaris Management Console.

    • Las plantillas predeterminadas coinciden con cualquier instalación. El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH.

    • La plantilla cipso define un tipo de host CIPSO cuyo dominio de interpretación es 1. El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH.

    • La plantilla de admin_low define un host sin etiquetas cuyo dominio de interpretación es 1. La etiqueta predeterminada de la plantilla es ADMIN_LOW. El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH. En la configuración predeterminada, se asigna la dirección 0.0.0.0 a esta plantilla. Por lo tanto, todos los hosts no CIPSO se tratan como hosts que operan en la etiqueta de seguridad ADMIN_LOW.

  2. Mantener las plantillas predeterminadas.

    Por razones de soporte, no suprima ni modifique las plantillas predeterminadas. Puede cambiar el host que se asigna a estas plantillas predeterminadas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.

  3. Cree plantillas nuevas si desea realizar alguna de las siguientes acciones:

    • Limite el rango de etiquetas de un host o un grupo de hosts.

    • Crear un host de una sola etiqueta.

    • Crear un host que reconozca algunas etiquetas discretas.

    • Utilizar un dominio de interpretación diferente de 1.

    • Requiera una etiqueta predeterminada para hosts sin etiquetas que no sea ADMIN_LOW.

    Para obtener detalles, consulte Cómo crear una plantilla de host remoto.

Cómo abrir las herramientas de redes de confianza

Antes de empezar

Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tengan asignados los perfiles de derechos de seguridad de la información o de las redes pueden modificar las configuraciones de seguridad. El rol de administrador de la seguridad incluye estos perfiles.

Para utilizar la caja de herramientas LDAP, debe haber completado Configuring the Solaris Management Console for LDAP (Task Map) de Trusted Extensions Configuration Guide.

  1. Inicie Solaris Management Console.

    Para obtener detalles, consulte Initialize the Solaris Management Console Server in Trusted Extensions de Trusted Extensions Configuration Guide.

  2. Utilice la herramienta adecuada.

    • Para modificar una plantilla, utilice la herramienta Security Templates.

      Todas las plantillas que están definidas actualmente se muestran en el panel derecho. Al seleccionar o crear una plantilla, la ayuda en pantalla está disponible en el panel izquierdo.

    • Para asignar un host a una plantilla, utilice la herramienta Security Templates.

    • Para crear un host que se pueda asignar a una plantilla, utilice la herramienta Computers and Networks.

    • Para asignar una etiqueta a una zona, utilice la herramienta Trusted Network Zones. Para obtener más información sobre las zonas en Trusted Extensions, consulte el Capítulo 10, Gestión de zonas en Trusted Extensions (tareas).

Cómo crear una plantilla de host remoto

Antes de empezar

Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tengan asignados los perfiles de derechos de seguridad de la información o de las redes pueden modificar las configuraciones de seguridad. El rol de administrador de la seguridad incluye estos perfiles.

  1. En Solaris Management Console, vaya a la herramienta Security Templates.

    Consulte Cómo abrir las herramientas de redes de confianza para conocer los pasos.

  2. En Computers and Networks, haga doble clic en Security Templates.

    Las plantillas existentes se muestran en el panel View. Estas plantillas describen los atributos de seguridad para los hosts que este sistema puede contactar. Estos hosts incluyen hosts CIPSO que se ejecutan en Trusted Extensions y hosts sin etiquetas.

  3. Examine la plantilla de cipso.

    Vea qué hosts y qué redes ya están asignadas a esta plantilla.

  4. Examine la plantilla admin_low.

    Vea qué hosts y qué redes ya están asignadas a esta plantilla.

  5. Cree una plantilla.

    Si las plantillas proporcionadas no incluyen una descripción suficiente de los hosts que pueden estar comunicados con este sistema, seleccione Add Template en el menú Action.

    Utilice la ayuda en pantalla para obtener asistencia. Antes de asignar hosts a las plantillas, cree todas las plantillas que su sitio requiere.

  6. (Opcional) Modifique una plantilla existente que no sea una plantilla predeterminada.

    Haga doble clic en la plantilla y utilice la ayuda en pantalla para obtener asistencia. Puede cambiar los hosts asignados o las redes asignadas.

Ejemplo 13-1 Creación de una plantilla de seguridad con un valor de dominio de interpretación diferente

En este ejemplo, la red del administrador de la seguridad tiene un dominio de interpretación cuyo valor es diferente de 1. El equipo que configuró el sistema al inicio completó Configure the Domain of Interpretation de Trusted Extensions Configuration Guide.

Primero, el administrador de la seguridad confirma el valor del dominio de interpretación en el archivo/etc/system:

# grep doi /etc/system
set default_doi = 4

Luego, en la herramienta Security Templates, por cada plantilla que el administrador crea, el valor de doi se establece en 4. El administrador de la seguridad crea la plantilla siguiente para el sistema de una sola etiqueta que se describe en el Ejemplo 13-2:

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 4
min_sl: PUBLIC
max_sl: PUBLIC

Ejemplo 13-2 Creación de una plantilla de seguridad que tiene una sola etiqueta

En este ejemplo, el administrador de la seguridad desea crear una puerta de enlace que únicamente pueda transferir paquetes en una sola etiqueta, PUBLIC. Mediante la herramienta Security Templates de Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.

Primero, el host de la puerta de enlace y la dirección IP se agregan a la herramienta Computers and Networks.

gateway-1
192.168.131.75

Luego, se crea la plantilla en la herramienta Security Templates.  Los siguientes son los valores de la plantilla:

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 1
min_sl: PUBLIC
max_sl: PUBLIC

La herramienta proporciona el valor hexadecimal para PUBLIC, 0X0002-08-08.

Por último, el host gateway-1 se asigna a la plantilla por su nombre y dirección IP.

gateway-1
192.168.131.75

En un host local, la entrada tnrhtp se verá similar a la siguiente:

cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;

En un host local, la entrada tnrhdb se verá similar a la siguiente:

# gateway-1
192.168.131.75:cipso_public

Ejemplo 13-3 Creación de una plantilla de seguridad para un enrutador sin etiquetas

Cualquier enrutador IP puede reenviar los mensajes con etiquetas CIPSO aunque el enrutador no admita etiquetas de manera explícita. Por ejemplo, un enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben tratar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de la seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.

En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.

Primero, el enrutador y su dirección IP se agregan a la herramienta Computers and Networks.

router-1
192.168.131.82

Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:

Template Name: UNL_PUBLIC
Host Type: UNLABELED
DOI: 1
Default Label: PUBLIC
Minimum Label: ADMIN_LOW
Maximum Label: ADMIN_HIGH

La herramienta proporciona el valor hexadecimal para las etiquetas.

Por último, el enrutador router-1 se asigna a la plantilla por su nombre y dirección IP.

router-1
192.168.131.82

Ejemplo 13-4 Creación de una plantilla de seguridad con un rango de etiquetas limitado

En este ejemplo, el administrador de la seguridad desea crear una puerta de enlace que restrinja los paquetes a un rango de etiquetas estrecho. En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.

Primero, el host y su dirección IP se agregan a la herramienta Computers and Networks.

gateway-ir
192.168.131.78

Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:

Template Name: CIPSO_IUO_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY
Maximum Label: CONFIDENTIAL : RESTRICTED

La herramienta proporciona el valor hexadecimal para las etiquetas.

Por último, la puerta de enlace gateway-ir se asigna a la plantilla por su nombre y dirección IP.

gateway-ir
192.168.131.78

Ejemplo 13-5 Creación de una plantilla de seguridad con un conjunto de etiquetas de seguridad

En este ejemplo, el administrador de la seguridad desea crear una plantilla de seguridad que reconoce solamente dos etiquetas. En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.

Primero, se agregan todos los hosts y las direcciones IP que utilizará esta plantilla a la herramienta Computers and Networks.

host-slset1
192.168.132.21

host-slset2
192.168.132.22

host-slset3
192.168.132.23

host-slset4
192.168.132.24

Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:

Template Name: CIPSO_PUB_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: PUBLIC
Maximum Label: CONFIDENTIAL : RESTRICTED
SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED

La herramienta proporciona el valor hexadecimal para las etiquetas.

Por último, el rango de direcciones IP se asigna a la plantilla con el botón Wildcard y un prefijo.

192.168.132.0/17

Ejemplo 13-6 Creación de una plantilla sin etiquetas en la etiqueta PUBLIC

En este ejemplo, el administrador de la seguridad activa una subred de los sistemas Oracle Solaris para que se incluya la etiqueta PUBLIC en la red de confianza. La plantilla tiene los siguientes valores:

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Wildcard Entry: 10.10.0.0
Prefix: 16

Todos los sistemas de la subred 10.10.0.0 se gestionan en la etiqueta PUBLIC.

Ejemplo 13-7 Creación de una plantilla con etiquetas para desarrolladores

En este ejemplo, el administrador de la seguridad crea una plantilla SANDBOX. Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Los dos sistemas que tienen asignada esta plantilla crean y prueban los programas con etiquetas. Sin embargo, estas pruebas no afectan a otros sistemas con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red. 

Template Name: cipso_sandbox
Host Type: CIPSO
Minimum Label: SANDBOX
Maximum Label: SANDBOX
DOI: 1

Hostname: DevMachine1
IP Address: 196.168.129.129

Hostname: DevMachine2
IP Address: 196.168.129.102

Los desarrolladores que utilizan estos sistemas pueden comunicarse entre sí en la etiqueta SANDBOX.

Cómo agregar hosts a la red conocida del sistema

La herramienta Computers de Solaris Management Console es idéntica a la herramienta Computers de SO Oracle Solaris. Este procedimiento se proporciona aquí para su comodidad. Después de que se establecen los hosts conocidos, debe asignar los hosts a una plantilla de seguridad.

Antes de empezar

Debe estar en un administrador que pueda gestionar redes. Por ejemplo, los roles que incluyen los perfiles de derechos de gestión de red o administración del sistema pueden gestionar redes.

  1. En Solaris Management Console, vaya a la herramienta Computers.

    Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza.

  2. En la herramienta Computers, confirme que desea ver todos los equipos de la red.
  3. Agregue un host con el que este sistema pueda contactarse.

    Debe agregar todos los hosts con los que este sistema pueda contactarse, incluidos todos los enrutadores estáticos y los servidores de auditoría.

    1. En el menú Action, seleccione Add Computer.
    2. Identifique el host por nombre y dirección IP.
    3. (Opcional) Proporcione información adicional sobre el host.
    4. Para agregar el host, haga clic en Apply.
    5. Cuando las entradas estén completas, haga clic en OK.
  4. Agregue un grupo de hosts con los que este sistema pueda contactarse.

    Utilice la ayuda en pantalla para agregar grupos de hosts con una dirección IP de red.

Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Todos los hosts que desee asignar a una plantilla deben existir en la herramienta Computers and Networks. Para obtener detalles, consulte Cómo agregar hosts a la red conocida del sistema.

  1. En Solaris Management Console, vaya a la herramienta Security Templates.

    Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza.

  2. Haga doble clic en el nombre de plantilla correspondiente.
  3. Haga clic en la ficha Hosts Assigned to Template.
  4. Para asignar la plantilla a un solo host, realice las siguientes acciones:
    1. En el campo Hostname, escriba el nombre del host.
    2. En el campo IP Address, escriba la dirección del host.
    3. Haga clic en el botón Agregar.
    4. Para guardar los cambios, haga clic en OK.
  5. Para asignar una plantilla a un grupo de hosts con direcciones contiguas, realice las siguientes acciones:
    1. Haga clic en Wildcard.
    2. En el campo IP Address, escriba la dirección IP.
    3. En el campo Prefix, escriba el prefijo que describe el grupo de las direcciones contiguas.
    4. Haga clic en el botón Agregar.
    5. Para guardar los cambios, haga clic en OK.

Ejemplo 13-8 Agregación de una red IPv4 como entrada de comodín

En el ejemplo siguiente, un administrador de la seguridad asigna varias subredes IPv4 a la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:

IP Address: 192.168.113.0
IP address: 192.168.75.0

Ejemplo 13-9 Agregación de una lista de hosts IPv4 como entrada de comodín

En el ejemplo siguiente, un administrador de la seguridad asigna direcciones IPv4 contiguas que no están en los límites de octetos de la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:

IP Address: 192.168.113.100
Prefix Length: 25

Esta entrada de comodín cubre el rango de direcciones de 192.168.113.0 a 192.168.113.127. La dirección incluye 192.168.113.100.

Ejemplo 13-10 Agregación de una lista de hosts IPv6 como entrada de comodín

En el ejemplo siguiente, un administrador de la seguridad asigna direcciones IPv6 contiguas a la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:

IP Address: 2001:a08:3903:200::0
Prefix Length: 56

Esta entrada de comodín cubre el rango de direcciones de 2001:a08:3903:200::0 a 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.

Cómo limitar los hosts que se pueden contactar en la red de confianza

Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Si Trusted Extensions está instalado, esta plantilla predeterminada define cada host en la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.

El archivo local tnrhdb de cada sistema se utiliza para contactar con la red en el momento del inicio. De manera predeterminada, cada host que no se proporciona con una plantilla CIPSO se define mediante la plantilla admin_low. Esta plantilla asigna todos los sistemas que no estén definidos de ningún otro modo (0.0.0.0) como sistemas sin etiquetas con la etiqueta predeterminada admin_low.

Precaución

Precaución - La plantilla predeterminada admin_low puede ser un riesgo de seguridad en una red de Trusted Extensions. Si la seguridad del sitio requiere una protección elevada, el administrador de la seguridad puede eliminar la entrada de comodín 0.0.0.0 después de que se instala el sistema. La entrada debe reemplazarse con entradas para cada host con el que el sistema se contacta durante el inicio.

Por ejemplo, los servidores DNS, los servidores del directorio principal, los servidores de auditoría, las direcciones de difusión y multidifusión, y los enrutadores deben estar en el archivo local tnrhdb uva vez que se elimine la entrada de comodín 0.0.0.0.

Si, al inicio, una aplicación reconoce clientes en la dirección de host 0.0.0.0, debe agregar la entrada de host 0.0.0.0/32:admin_low a la base de datos tnrhdb. Por ejemplo, para recibir las solicitudes de conexión inicial de los posibles clientes Sun Ray, los servidores Sun Ray deben incluir esta entrada. A continuación, cuando el servidor reconoce los clientes, se proporciona una dirección IP a los clientes y se los conecta como clientes CIPSO.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Todos los hosts que se deben contactar en el momento del inicio deben existir en la herramienta Computers and Networks.

  1. En Solaris Management Console, vaya a la herramienta Security Templates en el ámbito Files.

    El ámbito Files protege el sistema durante el inicio. Para acceder a la herramienta Security Templates, consulte Cómo abrir las herramientas de redes de confianza.

  2. Modifique los hosts que se asignan a la plantilla admin_low.
    1. Haga doble clic en la plantilla admin_low.

      Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.

    2. Haga clic en la ficha Hosts Assigned to Template.

      Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.

    3. Agregue cada host sin etiquetas que se deba contactar en el momento del inicio.

      Para obtener detalles, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts.

      Incluya cada enrutador "on-link" que no esté ejecutando Trusted Extensions, mediante el cual este host debe comunicarse.

    4. Agregue los rangos de los hosts que se deben contactar en el momento del inicio.
    5. Elimine la entrada 0.0.0.0.
  3. Modifique los hosts que se asignan a la plantilla cipso.
    1. Haga doble clic en la plantilla cipso.

      Cada host que se agrega se puede contactar durante el inicio.

    2. Haga clic en la ficha Hosts Assigned to Template.

      Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.

    3. Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio.

      Para obtener detalles, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts.

      • Incluya el servidor LDAP.

      • Incluya cada enrutador "on-link" que esté ejecutando Trusted Extensions, mediante el cual este host debe comunicarse.

      • Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.

      • Incluya las direcciones de difusión.

    4. Agregue los rangos de los hosts que se deben contactar en el momento del inicio.
  4. Compruebe que las asignaciones de hosts permitan que el sistema se inicie.

Ejemplo 13-11 Cambio de la etiqueta de la entrada 0.0.0.0 tnrhdb

En este ejemplo, el administrador de la seguridad crea un sistema de puerta de enlace pública. El administrador elimina la entrada 0.0.0.0 de la plantilla admin_low y asigna la entrada a una plantilla sin etiquetas que se denomina public. El sistema reconoce cualquier sistema que no figure en su archivo tnrhdb como sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.

A continuación se describe una plantilla sin etiquetas creada específicamente para puertas de enlace públicas.

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Ejemplo 13-12 Enumeración de equipos que se deben contactar durante el inicio en la base de datos tnrhdb

El siguiente ejemplo muestra la base de datos local tnrhdb con entradas para un cliente LDAP con dos interfaces de red. El cliente se comunica con otra red y con los enrutadores.

127.0.0.1:cipso       Loopback address
192.168.112.111:cipso Interface 1 of this host
192.168.113.111:cipso Interface 2 of this host
10.6.6.2:cipso        LDAP server
192.168.113.6:cipso   Audit server
192.168.112.255:cipso Subnet broadcast address
192.168.113.255:cipso Subnet broadcast address
192.168.113.1:cipso   Router
192.168.117.0:cipso   Another Trusted Extensions network
192.168.112.12:public Specific network router
192.168.113.12:public Specific network router
224.0.0.2:public      Multicast address
255.255.255.255:admin_low Broadcast address

Ejemplo 13-13 Establecimiento de la dirección de host 0.0.0.0 como entrada tnrhdb válida

En este ejemplo, el administrador de la seguridad configura un servidor Sun Ray para que acepte las solicitudes de conexión inicial de clientes potenciales. El servidor usa una topología privada y los valores predeterminados:

# utadm -a bge0

Primero, el administrador determina el nombre de dominio de Solaris Management Console:

SMCserver # /usr/sadm/bin/dtsetup scopes
Getting list of managable scopes...
Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM

Luego, el administrador agrega la entrada para la conexión inicial del cliente con la base de datos tnrhdb del servidor Sun Ray. Mientras el administrador está probando, la dirección de comodín predeterminada se sigue utilizando para todas las direcciones desconocidas:

SunRayServer # /usr/sadm/bin/smtnrhdb \
add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \
-- -w 0.0.0.0 -p 32 -n admin_low
Authenticating as user: root

Please enter a string value for: password :: 
... from machine1.ExampleCo.COM was successful.

Después de que se ejecuta este comando, aparece una base de datos tnrhdb similar a la siguiente. El resultado del comando smtnrhdb aparece resaltado:

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## Default wildcard address
0.0.0.0:admin_low
Other addresses to be contacted at boot
# tnchkdb -h /etc/security/tsol/tnrhdb

Después de que esta fase de la prueba se realizó correctamente, el administrador elimina la dirección de comodín predeterminada a fin de hacer la configuración más segura, comprueba la sintaxis de la base de datos tnrhdb y vuelve a realizar la prueba. La base de datos tnrhdb final será similar a la siguiente:

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## 0.0.0.0:admin_low - no other systems can enter network at admin_low
Other addresses to be contacted at boot
Copyright © 1992, 2013, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente