Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
![]() |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Revisión e instalación del archivo de codificaciones de etiquetas
Habilitación de redes IPv6 en Trusted Extensions
Configuración del dominio de interpretación
Creación de agrupación ZFS para clonar zonas
Reinicie e inicie sesión en Trusted Extensions
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Creación de zonas con etiquetas
Ejecución de la secuencia de comandos txzonemgr
Configuración de las interfaces de red en Trusted Extensions
Asignación de nombre y etiquetado de zona
Instalación de la zona con etiquetas
Verificación del estado de la zona
Personalización de la zona con etiquetas
Copia o clonación de una zona en Trusted Extensions
Adición de interfaces de red y rutas a zonas con etiquetas
Adición de una interfaz de red para enrutar una zona con etiquetas existente
Configuración de una antememoria de servicio de nombres en cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
Creación de un rol de administrador del sistema restringido
Creación de usuarios que puedan asumir roles en Trusted Extensions
Verificación del funcionamiento de los roles de Trusted Extensions
Habilitación de los usuarios para que inicien sesión en una zona con etiquetas
Creación de directorios principales en Trusted Extensions
Creación del servidor de directorio principal en Trusted Extensions
Habilitación de los usuarios para que accedan a sus directorios principales en Trusted Extensions
Adición de usuarios y hosts a una red de confianza existente
Adición de un usuario NIS al servidor LDAP
Resolución de los problemas de configuración de Trusted Extensions
netservices limited se ejecutó después de que se habilitó Trusted Extensions
No se puede abrir la ventana de consola en una zona con etiquetas
La zona con etiquetas no puede acceder al servidor X
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
Las dos tareas siguientes permiten transferir copias exactas de los archivos de configuración a todos los sistemas Trusted Extensions del sitio. La tarea final permite eliminar las personalizaciones de Trusted Extensions de un sistema Solaris.
Cuando copie a medios portátiles, etiquete los medios con la etiqueta de sensibilidad de la información.
Nota - Durante la configuración de Trusted Extensions, el superusuario, o un rol equivalente, copia los archivos administrativos a un medio portátil y desde él. Etiquete los medios con Trusted Path.
Antes de empezar
Para copiar los archivos administrativos, debe ser superusuario o un rol en la zona global.
Utilice Device Allocation Manager e inserte un medio vacío. Para obtener detalles, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.
En Solaris Trusted Extensions (CDE), un gestor de archivos muestra el contenido del medio portátil.
En Solaris Trusted Extensions (JDS), un explorador de archivos muestra el contenido.
En este procedimiento, el explorador de archivos se utiliza para hacer referencia a esta interfaz gráfica de usuario.
Por ejemplo, puede haber copiado los archivos a una carpeta /export/clientfiles.
Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.
Nota - Recuerde agregar físicamente una etiqueta a los medios con la etiqueta de sensibilidad de los archivos copiados.
Ejemplo 4-9 Mantenimiento de los mismos archivos de configuración en todos los sistemas
El administrador del sistema debe asegurarse de que todos los equipos estén configurados con los mismos valores. Por lo tanto, en el primer equipo que configura, crea un directorio que no se puede suprimir entre reinicios. En ese directorio, el administrador coloca los archivos, que deben ser idénticos o muy similares, en todos los sistemas.
Por ejemplo, copia la caja de herramientas de Trusted Extensions que Solaris Management Console utiliza para el ámbito LDAP, /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx. El administrador personalizó las plantillas de host remoto en el archivo tnrhtp, tiene una lista de servidores DNS y archivos de configuración de auditoría. Asimismo, modificó el archivo policy.conf para su sitio. Entonces, copia los archivos al directorio permanente.
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles
Utiliza Device Allocation Manager para asignar un disquete en la zona global, y transfiere los archivos al disquete. En un disquete aparte, con etiqueta ADMIN_HIGH, coloca el archivo label_encodings para el sitio.
Cuando copia los archivos en un sistema, modifica las entradas dir: en el archivo /etc/security/audit_control para ese sistema.
Es una práctica segura cambiar el nombre del archivo de Trusted Extensions original antes de sustituir el archivo. Al configurar un sistema, el rol root copia los archivos administrativos y les cambia el nombre.
Antes de empezar
Para copiar los archivos administrativos, debe ser superusuario o un rol en la zona global.
Para obtener más información, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.
En Solaris Trusted Extensions (CDE), un gestor de archivos muestra el contenido del medio portátil.
En Solaris Trusted Extensions (JDS), un explorador de archivos muestra el contenido.
En este procedimiento, el explorador de archivos se utiliza para hacer referencia a esta interfaz gráfica de usuario.
Por ejemplo, agregue .orig al final del archivo original:
# cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig
Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.
Ejemplo 4-10 Carga de archivos de configuración de auditoría en Trusted Extensions
En este ejemplo, los roles aún no están configurados en el sistema. El usuario root necesita copiar archivos de configuración en el medio portátil. El contenido de los medios luego se copiará a otros sistemas. Estos archivos se copiarán en cada sistema en el que esté configurado el software de Trusted Extensions.
El usuario root asigna el dispositivo floppy_0 en Device Allocation Manager y responde yes a la consulta de montaje. A continuación, el usuario root inserta el disquete con los archivos de configuración y los copia en el disco. El disquete tiene la etiqueta Trusted Path.
Para leer desde el medio, el usuario root asigna el dispositivo en el host de recepción y, a continuación, descarga el contenido.
Si los archivos de configuración están en una cinta, el usuario root asigna el dispositivo mag_0. Si los archivos de configuración están en un CD-ROM, el usuario root asigna el dispositivo cdrom_0.
Para eliminar Trusted Extensions del sistema Solaris, debe realizar pasos específicos para eliminar las personalizaciones de Trusted Extensions del sistema Solaris.
Para obtener detalles, consulte How to Remove a Non-Global Zone de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
# svcadm disable labeld
Para ver el efecto de este comando, consulte la página del comando man bsmunconv(1M).
Es posible que deba configurar varios servicios para su sistema Solaris. Entre los candidatos se incluyen la auditoría, las funciones básicas de redes, los servicios de nombres y los montajes de sistemas de archivos.