Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
Configuración de un sistema sin periféricos en Trusted Extensions (mapa de tareas)
Habilitación del inicio de sesión remoto por parte del usuario root en Trusted Extensions
Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions
Habilitación del inicio de sesión remoto desde un sistema sin etiquetas
Uso de una consola Solaris Management Console remota para administrar dentro del ámbito Files
Habilitación de la visualización remota de interfaces gráficas de usuario administrativas
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
En los sistemas sin periféricos, se conecta una consola por medio de una línea de serie a una ventana del emulador de terminal. La línea generalmente se protege mediante el comando tip. Según el tipo de sistema secundario que esté disponible, podrá utilizar uno de los siguientes métodos para configurar un sistema sin periféricos. En la siguiente tabla, los métodos aparecen ordenados del más seguro al menos seguro. Estas instrucciones también se aplican a los sistemas remotos.
|
Nota - Consulte su política de seguridad para determinar qué métodos de administración remota están permitidos en su sitio.
Como en el SO Solaris, el usuario root puede iniciar una sesión de manera remota desde un sistema con etiquetas cuando la entrada CONSOLE está inhabilitada.
Si tiene previsto administrar un sistema remoto mediante la edición archivos locales, utilice este procedimiento.
# /usr/dt/bin/trusted_edit /etc/default/login
La línea editada tiene el siguiente aspecto:
#CONSOLE=/dev/console
Modifique el archivo /etc/ssh/sshd_config. De manera predeterminada, el comando ssh está habilitado en los sistemas Solaris.
# /usr/dt/bin/trusted_edit /etc/ssh/sshd_config
La línea editada tiene el siguiente aspecto:
PermitRootLogin yes
Pasos siguientes
Para iniciar sesión como usuario root desde un sistema sin etiquetas, también debe completar la sección Habilitación del inicio de sesión remoto desde un sistema sin etiquetas.
Para habilitar el inicio de sesión remoto por parte de un rol, continúe con Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions.
Siga este procedimiento sólo si debe administrar un sistema sin periféricos mediante el comando rlogin o ssh.
Los errores de configuración se pueden depurar de manera remota.
Antes de empezar
Si está utilizando archivos locales para administrar el sistema remoto, debe haber completado la sección Habilitación del inicio de sesión remoto por parte del usuario root en Trusted Extensions. Por lo tanto, como usuario root, realice esta tarea en ambos sistemas.
El sistema de escritorio y el sistema sin periféricos deben poder identificar que ambos están utilizando la misma plantilla de seguridad. Para conocer el procedimiento, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Para asignar una etiqueta temporal, consulte el Ejemplo 6-1.
Los nombres y los ID deben ser idénticos, y el rol debe ser asignado al usuario en ambos sistemas. Para crear usuarios y roles, consulte Creación de roles y usuarios en Trusted Extensions.
# /usr/dt/bin/trusted_edit /etc/hosts
127.0.0.1 localhost 192.168.66.66 local-system-name loghost 192.168.66.12 remote-system-name
# cp /etc/pam.conf /etc/pam.conf.orig
# /usr/dt/bin/trusted_edit /etc/pam.conf
Utilice la tecla Tab entre los campos. Esta sección ahora tiene un aspecto similar al siguiente:
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1
# cp /etc/pam.conf /etc/pam.conf.site
Si actualiza el sistema a una versión posterior, deberá evaluar si debe copiar los cambios del archivo /etc/pam.conf.site en el archivo pam.conf.
Ejemplo 6-1 Creación de una definición temporal de un tipo de host de Trusted Extensions
En este ejemplo, el administrador desea empezar a configurar un sistema Trusted Extensions remoto antes de que se configuren las definiciones de tipo de host. Para ello, el administrador utiliza el comando tnctl en el sistema remoto con el objetivo de definir de manera temporal el tipo de host del sistema de escritorio:
remote-TX# tnctl -h desktop-TX:cipso
Más tarde, el administrador desea acceder al sistema Trusted Extensions remoto desde un sistema de escritorio en el que no está configurado Trusted Extensions. En este caso, el administrador utiliza el comando tnctl en el sistema remoto para definir de manera temporal el tipo de host del sistema de escritorio como un sistema sin etiquetas que se ejecuta en la etiqueta ADMIN_LOW:
remote-TX# tnctl -h desktop-TX:admin_low
Antes de empezar
Este procedimiento no es seguro.
Debe haber flexibilizado la política de PAM para permitir la asunción de roles remotos, como se describe en Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions.
Precaución - Si utiliza los valores predeterminados, otro sistema sin etiquetas podría iniciar sesión en el sistema remoto y administrarlo. Por lo tanto, debe cambiar el valor predeterminado de la red 0.0.0.0 de ADMIN_LOW a una etiqueta diferente. Para conocer el procedimiento, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza de Procedimientos de administradores de Oracle Solaris Trusted Extensions. |
# /usr/dt/bin/trusted_edit /etc/pam.conf
Utilice la tecla Tab entre los campos.
smcconsole account required pam_tsol_account.so.1 allow_unlabeled
Después de las ediciones, esta sección se verá similar a la siguiente:
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 allow_unlabeled
Si no está utilizando LDAP y desea utilizar Solaris Management Console en un sistema remoto, debe habilitar la conexión remota a la consola. Este procedimiento no es suficiente para permitir el acceso al ámbito LDAP.
Para habilitar el acceso al ámbito LDAP, debe completar todos los procedimientos de la sección Configuración de Solaris Management Console para LDAP (mapa de tareas).
Antes de empezar
Ambos sistemas son sistemas con etiquetas.
Debe haber completado los siguientes procedimientos:
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions
# /usr/sbin/smc &
A continuación, seleccione la caja de herramientas Scope=Files.
This Computer (sistema remoto: Scope=Files, Policy=TSOL)
El procedimiento para la visualización remota en un escritorio es idéntico al procedimiento en un sistema Solaris en el que no está configurado Trusted Extensions. Este procedimiento se coloca aquí para su comodidad.
desktop $ xhost + headless-host
desktop $ echo $DISPLAY :n.n
headless $ DISPLAY=desktop:n.n headless $ export DISPLAY=n:n
Este procedimiento le permite utilizar la línea de comandos y la interfaz gráfica de usuario txzonemgr para administrar un sistema sin periféricos como superusuario o como un rol.
Nota - El inicio de sesión remoto mediante el comando rlogin es menos seguro que el inicio de sesión remoto mediante el comando ssh.
Para utilizar Solaris Management Console para administrar un sistema remoto no necesita utilizar un comando de inicio de sesión remoto. Para conocer el procedimiento, consulte Cómo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Antes de empezar
Debe haber completado la sección Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions.
Debe ser un usuario habilitado para iniciar sesión en el sistema sin periféricos con ese mismo nombre e ID de usuario, y debe poder asumir el mismo rol en el sistema sin periféricos y en el sistema de escritorio.
desktop $ xhost + headless-host desktop $ echo $DISPLAY :n.n
desktop $ ssh -l identical-username headless Password: Type the user's password headless $
desktop # rlogin headless Password: Type the user's password headless $
Utilice la misma ventana de terminal. Por ejemplo, asuma el rol root.
headless $ su - root Password: Type the root password
Ahora está en la zona global. Ahora puede utilizar este terminal para administrar el sistema sin periféricos desde la línea de comandos.
Nota - También puede visualizar las interfaces gráficas de usuario remotas iniciando sesión con el comandossh -X. Para obtener más información, consulte la página del comando man ssh(1). Si desea ver un ejemplo, consulte el Ejemplo 6-2.
headless $ DISPLAY desktop:n.n headless $ export DISPLAY=n:n
Ahora puede administrar el sistema sin periféricos mediante las interfaces gráficas de usuario de Trusted Extensions. Por ejemplo, inicie la interfaz gráfica de usuario txzonemgr:
headless $ /usr/sbin/txzonemgr
Labeled Zone Manager se ejecuta en el sistema remoto y se visualiza en el sistema de escritorio.
Para abrir y cerrar de manera segura el gestor de aplicaciones, consulte Cómo administrar Trusted Extensions con dtappsession de manera remota de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Ejemplo 6-2 Configuración de zonas con etiquetas en un sistema sin periféricos
En este ejemplo, el administrador utiliza la interfaz gráfica de usuario txzonemgr para configurar zonas con etiquetas en un sistema sin periféricos con etiquetas desde un sistema de escritorio con etiquetas. Como en el SO Solaris, el administrador habilita el acceso del sistema de escritorio al servidor X utilizando la opción -X para el comando ssh. El usuario install1 está definido de la misma manera en ambos sistemas y puede asumir el rol remoterole.
TXdesk1 $ xhost + TXnohead4 TXdesk1 $ whoami install1
TXdesk1 $ ssh -X -l install1 TXnohead4 Password: Ins1PwD1 TXnohead4 $
Para acceder a la zona global, el administrador asume el rol remoterole. Este rol está definido de la misma manera en ambos sistemas.
TXnohead4 # su - remoterole Password: abcd1EFG
A continuación, el administrador inicia la interfaz gráfica de usuario txzonemgr.
TXnohead4 $ /usr/sbin/txzonemgr &
Labeled Zone Manager se ejecuta en el sistema sin periféricos y se visualiza en el sistema de escritorio.