Configuración de Solaris Management Console para LDAP (mapa de tareas)

Solaris Management Console es la interfaz gráfica de usuario para administrar la red de los sistemas que ejecutan Trusted Extensions.

Registro de las credenciales LDAP en Solaris Management Console

Antes de empezar

Debe ser el usuario root en un servidor LDAP en el que se esté ejecutando Trusted Extensions. El servidor puede ser un servidor proxy.

Su Sun Java System Directory Server debe estar configurado. Ha realizado una de las siguientes configuraciones:

• Configuración de un servidor LDAP en un host de Trusted Extensions (mapa de tareas)

• Configuración de un servidor proxy LDAP en un host de Trusted Extensions (mapa de tareas)

1. Registre las credenciales administrativas LDAP.

   LDAP-Server # /usr/sadm/bin/dtsetup storeCred
   Administrator DN:Type the value for cn on your system
   Password:Type the Directory Manager password
   Password (confirm):Retype the password

2. Muestre los ámbitos en el servidor de directorios.

   LDAP-Server # /usr/sadm/bin/dtsetup scopes
   Getting list of manageable scopes...
   Scope 1 file:Displays name of file scope
   Scope 2 ldap:Displays name of ldap scope

   La configuración del servidor LDAP determina los ámbitos que se muestran en la lista. El ámbito LDAP no aparecerá en la lista hasta que se haya editado la caja de herramientas LDAP. La caja de herramientas no se podrá editar hasta que se haya registrado el servidor.

Ejemplo 5-1 Registro de las credenciales LDAP

En este ejemplo, el nombre del servidor LDAP es LDAP1 y el valor para cn es el valor predeterminado, Directory Manager.

# /usr/sadm/bin/dtsetup storeCred
Administrator DN:cn=Directory Manager
Password:abcde1;!
Password (confirm):abcde1;!
# /usr/sadm/bin/dtsetup scopes
Getting list of manageable scopes...
Scope 1 file:/LDAP1/LDAP1
Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com

Habilitación de comunicaciones de red en Solaris Management Console

De manera predeterminada, los sistemas Solaris no están configurados para recibir puertos que presentan riesgos de seguridad. Por lo tanto, debe configurar explícitamente cualquier sistema que pretenda administrar de manera remota para que acepte las comunicaciones de red. Por ejemplo, para administrar las bases de datos de red del servidor LDAP desde un cliente, el servidor de SMC; del servidor LDAP debe aceptar las comunicaciones de red.

Para ver una ilustración de los requisitos de configuración de Solaris Management Console para una red con un servidor LDAP, consulte Comunicación cliente-servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions.

Antes de empezar

Debe ser superusuario en la zona global en el sistema de servidor de SMC;. En este procedimiento, ese sistema se denomina remoto. Asimismo, debe tener acceso como superusuario mediante la línea comandos al sistema cliente.

1. Habilite las conexiones remotas en el sistema remoto.

   El daemon smc se controla mediante el servicio wbem. Si la propiedad options/tcp_listen del servicio wbem se establece en true, el servidor de Solaris Management Console acepta las conexiones remotas.

   # /usr/sbin/svcprop -p options wbem
   options/tcp_listen boolean false
   # svccfg -s wbem setprop options/tcp_listen=true

2. Actualice y reinicie el servicio wbem.

   # svcadm refresh wbem
   # svcadm restart wbem

3. Verifique que el servicio wbem esté configurado para aceptar conexiones remotas.

   # svcprop -p options wbem
   options/tcp_listen boolean true

4. En el sistema remoto y en cualquier cliente que necesite acceder a Solaris Management Console, asegúrese de que las conexiones remotas estén habilitadas en el archivo smcserver.config.
   1. Abra el archivo smcserver.config en el editor de confianza.

      # /usr/dt/bin/trusted_edit /etc/smc/smcserver.config

   2. Establezca el parámetro remote.connections en true.

      ## remote.connections=false
      remote.connections=true

   3. Guarde el archivo y salga del editor de confianza.

Errores más frecuentes

Si reinicia o habilita el servicio wbem, debe asegurarse de que el parámetro remote.connections del archivo smcserver.config permanezca establecido en true.

Edición de la caja de herramientas LDAP en Solaris Management Console

Antes de empezar

Debe ser superusuario en el servidor LDAP. Las credenciales LDAP deben estar registradas en Solaris Management Console, y debe conocer el resultado del comando /usr/sadm/bin/dtsetup scopes. Para obtener detalles, consulte Registro de las credenciales LDAP en Solaris Management Console.

1. Encuentre la caja de herramientas LDAP.

   # cd /var/sadm/smc/toolboxes/tsol_ldap
   # ls *tbx
   tsol_ldap.tbx

2. Proporcione el nombre del servidor LDAP.
   1. Abra el editor de confianza.
   2. Copie y pegue el nombre de ruta completo de la caja de herramientas tsol_ldap.tbx como argumento en el editor.

      Por ejemplo, la siguiente ruta es la ubicación predeterminada de la caja de herramientas LDAP:

      /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx

   3. Reemplace la información del ámbito.

      Reemplace las marcas server entre las marcas <Scope> y </Scope> por el resultado de la línea ldap:/...... del comando /usr/sadm/bin/dtsetup scopes.

      <Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>

   4. Reemplace todas las instancias de <?server?> o <?server ?> por el servidor LDAP.

      <Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name>
      services and configuration of ldap-server-name.</Description>
      and configuring ldap-server-name.</Description>
      ...

   5. Guarde el archivo y salga del editor.
3. Actualice y reinicie el servicio wbem.

   # svcadm refresh wbem
   # svcadm restart wbem

Ejemplo 5-2 Configuración de la caja de herramientas LDAP

En este ejemplo, el nombre del servidor LDAP es LDAP1. Para configurar la caja de herramientas, el administrador reemplaza las instancias de <?server ?> por LDAP1.

# cd /var/sadm/smc/toolboxes/tsol_ldap
# /usr/dt/bin/trusted_edit /tsol_ldap.tbx
<Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope

...
<Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name>
services and configuration of LDAP1.</Description>
and configuring LDAP1.</Description>
...

Verificación de que Solaris Management Console contenga la información de Trusted Extensions

Para ver una ilustración de los requisitos de configuración de Solaris Management Console para una red con un servidor LDAP y para una red sin un servidor LDAP, consulte Comunicación cliente-servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions.

Antes de empezar

Debe iniciar sesión en un cliente LDAP con un rol administrativo o como superusuario. Para convertir un sistema en un cliente LDAP, consulte Conversión de la zona global en un cliente LDAP en Trusted Extensions.

Para administrar el sistema local, debe haber completado Inicialización del servidor de Solaris Management Console en Trusted Extensions.

Para conectarse a un servidor de consola de un sistema remoto desde el sistema local, debe haber completado Inicialización del servidor de Solaris Management Console en Trusted Extensions en ambos sistemas. Además, en el sistema remoto, debe haber completado Habilitación de comunicaciones de red en Solaris Management Console.

Para administrar las bases de datos del servicio de nombres LDAP desde el cliente LDAP, en el servidor LDAP debe haber completado Edición de la caja de herramientas LDAP en Solaris Management Console, además de los procedimientos mencionados anteriormente.

1. Inicie Solaris Management Console.

   # /usr/sbin/smc &

2. Abra una caja de herramientas de Trusted Extensions.

   Una caja de herramientas de Trusted Extensions tiene el valor Policy=TSOL.

   • En una red de confianza que utiliza LDAP como servicio de nombres, realice las siguientes pruebas:
     1. Para verificar que se pueda acceder a las bases de datos administrativas locales, abra la siguiente caja de herramientas:

        This Computer (este host: Scope=Files, Policy=TSOL)

     2. Para verificar que se pueda acceder a las bases de datos administrativas locales del servidor LDAP, especifique la siguiente caja de herramientas:

        This Computer (servidor ldap: Scope=Files, Policy=TSOL)

     3. Para verificar que se pueda acceder a las bases de datos del servicio de nombres del servidor LDAP, especifique la siguiente caja de herramientas:

        This Computer (servidor ldap: Scope=LDAP, Policy=TSOL)

   • En una red de confianza que no utiliza LDAP como servicio de nombres, realice las siguientes pruebas:
     1. Para verificar que se pueda acceder a las bases de datos administrativas locales, abra la siguiente caja de herramientas:

        This Computer (este host: Scope=Files, Policy=TSOL)

     2. Para verificar que se pueda acceder a las bases de datos administrativas locales de un sistema remoto, especifique la siguiente caja de herramientas:

        This Computer (sistema remoto: Scope=Files, Policy=TSOL)

3. En System Configuration, navegue hasta Computers and Networks y, luego, hasta Security Templates.
4. Compruebe que se hayan aplicado las plantillas y etiquetas correctas a los sistemas remotos.

   ---

   Nota - Si intenta acceder a la información de la base de datos de la red desde un sistema distinto del servidor LDAP, la operación fallará. La consola le permite iniciar sesión en el host remoto y abrir la caja de herramientas. Sin embargo, si intenta acceder a la información o modificarla, el siguiente mensaje de error le indicará que ha seleccionado Scope=LDAP en un sistema distinto del servidor LDAP:

   Management server cannot perform the operation requested.
   ...
   Error extracting the value-from-tool.
   The keys received from the client were machine, domain, Scope.
   Problem with Scope.

   ---

Errores más frecuentes

Para resolver problemas de configuración de LDAP, consulte el Capítulo 13, LDAP Troubleshooting (Reference) de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).