Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
Uso compartido y montaje de archivos en Trusted Extensions
Montajes de NFS en Trusted Extensions
Uso compartido de archivos desde una zona con etiquetas
Acceso a los directorios montados de NFS en Trusted Extensions
Creación de directorios principales en Trusted Extensions
Cambios en el montador automático en Trusted Extensions
Software de Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir directorios desde una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas, se describen las tareas comunes que se emplean para realizar copias de seguridad y restaurar los datos de sistemas de archivos con etiquetas y para compartir o montar los directorios y archivos que tienen etiquetas.
|
Este rol incluye el perfil de derechos de las copias de seguridad de medios.
/usr/lib/fs/ufs/ufsdump para las copias principales
/usr/sbin/tar cT para las copias pequeñas
Una secuencia de comandos que llame a cualquiera de estos comandos
Por ejemplo, la aplicación para realizar copias de seguridad Budtool llama al comando ufsdump. Consulte la página del comando man ufsdump(1M). Para obtener detalles sobre la opción T para el comando tar, consulte la página del comando man tar(1).
/usr/lib/fs/ufs/ufsrestore para restauraciones principales
/usr/sbin/tar xT para restauraciones pequeñas
Una secuencia de comandos que llame a cualquiera de estos comandos
Para obtener detalles sobre la opción T para el comando tar, consulte la página del comando man tar(1).
Precaución - Sólo estos comandos preservan las etiquetas. |
Como en el SO Oracle Solaris, la herramienta Mounts and Shares de Solaris Management Console se utiliza para compartir y montar archivos desde la zona global. Esta herramienta no se puede usar para montar o compartir directorios que se originen en zonas con etiquetas. Cree un archivo dfstab en la etiqueta de la zona y, a continuación, reinicie la zona para compartir los directorios con etiquetas.
Precaución - No utilice nombres propietarios para los sistemas de archivos compartidos. Los nombres de los sistemas de archivos compartidos son visibles para todos los usuarios. |
Antes de empezar
Debe ser superusuario o asumir el rol de administrador del sistema en la zona global del servidor de archivos.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta determinada de Guía del usuario de Oracle Solaris Trusted Extensions.
Para cada zona que comparta un directorio, repita los pasos siguientes:
# mkdir -p /zone/zone-name/etc/dfs
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
# /zone/zone-name/etc/dfs/dfstab
La entrada describe el directorio desde la perspectiva de la ruta root de la zona. Por ejemplo, la siguiente entrada comparte los archivos de una aplicación en la etiqueta de la zona contenedora:
share -F nfs -o ro /viewdir/viewfiles
En la zona global, ejecute uno de los siguientes comandos para cada zona. Cada zona puede compartir sus directorios de cualquiera de estas maneras. El uso compartido real tiene lugar cuando las zonas están en estado ready o running.
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
# showmount -e
Ejemplo 11-2 Uso compartido del directorio /export/share en la etiqueta PUBLIC
Para las aplicaciones que se ejecutan en la etiqueta PUBLIC, el administrador del sistema permite a los usuarios leer la documentación del directorio /export/share de la zona public. La zona denominada public se ejecuta en la etiqueta PUBLIC.
Primero, el administrador crea un espacio de trabajo public y edita el archivo dfstab.
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab
En el archivo, el administrador agrega la siguiente entrada:
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs
El administrador deja el espacio de trabajo public y vuelve al espacio de trabajo de Trusted Path. Dado que los usuarios no tienen permiso para iniciar sesión en este sistema, el administrador comparte los archivos. Para ello, pone la zona en el estado ready:
# zoneadm -z public ready
Los usuarios pueden acceder a los directorios compartidos una vez que éstos quedan montados en sus sistemas.
En Trusted Extensions, las zonas con etiquetas gestionan el montaje de los archivos en su zona.
Los archivos de hosts con etiquetas y sin etiquetas pueden montarse en un host con etiquetas de Trusted Extensions.
Para montar los archivos de lectura y escritura desde un host de una sola etiqueta, la etiqueta asignada del host remoto debe ser idéntica a la zona en que se monta el archivo.
Los archivos que se montan en una zona de nivel superior son de sólo lectura.
En Trusted Extensions, el archivo de configuración auto_home se personaliza por zona. El archivo se denomina según el nombre de la zona. Por ejemplo, si el sistema tiene una zona global y una zona public, habrá dos archivos auto_home: auto_home_global y auto_home_public.
Trusted Extensions utiliza las mismas interfaces de montaje que el SO Oracle Solaris:
Para montar archivos durante el inicio, utilice el archivo /etc/vfstab en la zona con etiquetas.
Para montar los archivos dinámicamente, utilice el comando mount en la zona con etiquetas.
Para montar los directorios principales automáticamente, utilice los archivos auto_home_nombre-de-zona.
Para montar otros directorios automáticamente, use los mapas de montaje automático estándares. Si los mapas de montaje automático están en LDAP, utilice los comandos LDAP para gestionarlos.
Antes de empezar
Debe estar en el sistema cliente, en la zona de la etiqueta de los archivos que desea montar. Si no usa el montador automático, debe ser superusuario o estar en el rol de administrador del sistema. Para montar servidores de nivel inferior, la zona debe estar configurada con el privilegio net_mac_aware.
La mayoría de los procedimientos requieren la creación de un espacio de trabajo en una etiqueta determinada. Para crear un espacio de trabajo, consulte Cómo agregar un espacio de trabajo en una etiqueta determinada de Guía del usuario de Oracle Solaris Trusted Extensions.
En la zona con etiquetas, utilice el comando mount. Para ver un ejemplo sobre cómo montar archivos dinámicamente, consulte el Ejemplo 11-3.
En la zona con etiquetas, agregue los montajes al archivo vfstab.
Para ver ejemplos sobre cómo montar archivos cuando se inicia la zona con etiquetas, consulte el Ejemplo 11-4 y el Ejemplo 11-5.
Si desea ver un ejemplo, consulte el Ejemplo 11-6.
Si desea ver un ejemplo, consulte el Ejemplo 11-7.
Ejemplo 11-3 Montaje de archivos en una zona con etiquetas con el comando mount
En este ejemplo, el administrador del sistema monta un sistema de archivos remoto desde una zona public. La zona public está en un servidor de varios niveles.
Después de asumir el rol de administrador del sistema, el administrador crea un espacio de trabajo en la etiqueta PUBLIC. En ese espacio de trabajo, el administrador ejecuta el comando mount.
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs
El servidor de archivos de una sola etiqueta en la etiqueta PUBLIC también contiene documentos que se deben montar:
# mount -F nfs public-sys:/publicdocs /opt/publicdocs
Cuando la zona public del servidor de archivos remote-sys se encuentra en estado ready o running, los archivos remote-sys se montan correctamente en este sistema. Cuando el servidor de archivos public-sys se está ejecutando, los archivos se montan correctamente.
Ejemplo 11-4 Montaje de archivos de lectura y escritura en una zona con etiquetas mediante la modificación del archivo vfstab
En este ejemplo, el administrador del sistema monta dos sistemas de archivos remotos en la etiqueta PUBLIC en la zona public del sistema local cuando esta zona se inicia. Uno de los montajes de sistema de archivos es de un sistema de varios niveles y el otro, de un sistema de una sola etiqueta.
Después de asumir el rol de administrador del sistema, el administrador crea un espacio de trabajo en la etiqueta PUBLIC. En ese espacio de trabajo, el administrador modifica el archivo vfstab en la zona.
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw
Para acceder a los archivos en la zona con etiquetas remota del sistema de varios niveles, la entrada vfstab utiliza la ruta root de la zona de la zona public del sistema remoto, /zone/public/root, como nombre de ruta de los directorios que se deben montar. La ruta del sistema de una sola etiqueta es idéntica a la ruta que se utilizaría en un sistema Oracle Solaris.
El administrador monta los archivos en una ventana de terminal en la etiqueta PUBLIC.
# mountall
Ejemplo 11-5 Montaje de archivos de nivel inferior en una zona con etiquetas mediante la modificación del archivo vfstab
En este ejemplo, el administrador del sistema monta un sistema de archivos remoto de una zona public en la zona interna del sistema local. Después de asumir el rol de administrador del sistema, el administrador crea un espacio de trabajo en la etiqueta INTERNAL. Luego, modifica el archivo vfstab en esa zona.
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro
Para acceder a los archivos en la zona con etiquetas remota, la entrada vfstab utiliza la ruta root de la zona de la zona public del sistema remoto, /zone/public/root, como nombre de ruta de los directorios que se deben montar.
Desde la perspectiva de un usuario en la zona interna, se puede acceder a los archivos en /opt/docs.
En una ventana de terminal, en la etiqueta INTERNAL, el administrador monta los archivos.
# mountall
Ejemplo 11-6 Montaje de directorios principales con etiquetas de una red que se administra mediante LDAP
En este ejemplo, el administrador del sistema habilita a un usuario nuevo, ikuk, para que acceda a su directorio principal en cada etiqueta. Este sitio utiliza dos servidores de directorios principales y se administra mediante LDAP. El segundo servidor contiene los directorios principales para los usuarios jdoe y pkai. El usuario nuevo se agrega a esta lista.
Primero, después de asumir el rol de administrador del sistema, el administrador modifica los archivos auto_home_nombre-de-zona en el directorio /etc de la zona global a fin de incluir al usuario nuevo en el segundo servidor del directorio principal.
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
Luego, a fin de habilitar a los usuarios para que inicien sesión en todas las etiquetas, el administrador repite estas ediciones en los archivos auto_home_nombre-de-zona de cada etiqueta.
Por último, después de modificar cada archivo auto_home_nombre-de-zona de este sistema, el administrador utiliza estos archivos para agregar entradas a la base de datos LDAP.
De manera similar a como sucede en el SO Oracle Solaris, la entrada +auto_home_public de los archivos /etc/auto_home_nombre-de-zona dirige el montador automático a las entradas LDAP. Los archivos auto_home_nombre-de-zona en otros sistemas de la red se actualizan desde la base de datos LDAP.
Ejemplo 11-7 Montaje de un directorio principal de nivel inferior en un sistema que se administra mediante archivos
En este ejemplo, el administrador del sistema habilita a los usuarios para que accedan a sus directorios principales en cada etiqueta. Las etiquetas del sitio son PUBLIC, INTERNAL y NEEDTOKNOW. Este sitio utiliza dos servidores de directorios principales y se administra mediante el uso de archivos. El segundo servidor contiene los directorios principales para los usuarios jdoe y pkai.
Para completar esta tarea, el administrador del sistema define los directorios principales NFS de la zona public y comparte esta configuración con las zonas internal y needtoknow.
En primer lugar, después de asumir el rol de administrador del sistema, el administrador crea un espacio de trabajo en la etiqueta PUBLIC. En este espacio de trabajo, el administrador crea un archivo nuevo, /export/home/auto_home_public. Este archivo contiene todas las entradas de especificación NFS personalizadas por usuario.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/&
En segundo lugar, el administrador modifica el archivo /etc/auto_home_public a fin de que apunte a este archivo nuevo.
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public
Esta entrada le indica al montador automático que utilice el contenido del archivo local.
En tercer lugar, el administrador modifica, de manera similar, el archivo /etc/auto_home_public archivo en las zonas internal y needtoknow. El administrador utiliza el nombre de la ruta de la zona public que está visible para las zonas internal y needtoknow.
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
Cuando el administrador agrega al usuario nuevo ikuk, éste se agrega en el archivo /export/home/auto_home_public de la etiqueta PUBLIC.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
Las zonas de nivel superior leen en sentido descendente para obtener directorios principales por usuario de la zona public de nivel inferior.
Antes de empezar
Debe estar en la zona de la etiqueta de los archivos que desea montar. Debe ser superusuario o estar en el rol de administrador del sistema.
Utilice la herramienta Security Templates de Solaris Management Console en el ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
La dirección se puede asignar de manera directa o de manera indirecta, mediante un mecanismo de comodín. La dirección puede estar en una plantilla con etiquetas o sin etiquetas.
Esta etiqueta debe ser coherente con la etiqueta en la que intenta montar los archivos.
Si esta etiqueta es superior a la etiqueta del sistema de archivos montados, no podrá escribir en el montaje, aunque el sistema de archivos remoto se exporte con permisos de lectura y escritura. Sólo puede escribir en el sistema de archivos montados, en la etiqueta del montaje.
Para montar sistemas de archivos de cualquiera de estos servidores, el servidor debe estar asignado a una plantilla sin etiquetas.