Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Configuración de un servidor LDAP en un host de Trusted Extensions (mapa de tareas)
Configuración de un servidor proxy LDAP en un host de Trusted Extensions (mapa de tareas)
Configuración de Sun Java System Directory Server en un sistema Trusted Extensions
Recopilación de información para el servidor de directorios para LDAP
Instalación de Sun Java System Directory Server
Creación de un cliente LDAP para el servidor de directorios
Configuración de los registros para Sun Java System Directory Server
Configuración de puerto de varios niveles para Sun Java System Directory Server
Creación de un servidor proxy LDAP
Configuración de Solaris Management Console para LDAP (mapa de tareas)
Registro de las credenciales LDAP en Solaris Management Console
Habilitación de comunicaciones de red en Solaris Management Console
Edición de la caja de herramientas LDAP en Solaris Management Console
Verificación de que Solaris Management Console contenga la información de Trusted Extensions
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions. Si en su sitio aún no se está ejecutado el servicio de nombres LDAP, configure un Sun Java System Directory Server (servidor de directorios) en un sistema en el que esté configurado Trusted Extensions.
Si en su sitio ya se está ejecutando un servidor de directorios, debe agregar las bases de datos de Trusted Extensions al servidor. Para acceder al servidor de directorios, debe configurar un proxy LDAP en un sistema Trusted Extensions.
Nota - si no utiliza este servidor LDAP como un servidor NFS o como un servidor para clientes Sun Ray, no necesita instalar ninguna zona con etiquetas en este servidor.
Los elementos se muestran en el orden en el que aparecen en el asistente de instalación de Sun Java Enterprise System.
|
Los paquetes del servidor de directorios están disponibles en el sitio web de la puerta de enlace de software de Sun.
Antes de empezar
Debe estar en un sistema Trusted Extensions con sólo una zona global instalada. El sistema no debe tener zonas con etiquetas.
Los servidores LDAP de Trusted Extensions están configurados para los clientes que usan pam_unix para autenticarse en el depósito LDAP. Con pam_unix, las operaciones de contraseña y, por consiguiente, las directivas de contraseña son determinadas por el cliente. En concreto, la política establecida por el servidor LDAP no se utiliza. Para los parámetros de contraseña que puede establecer en el cliente, consulte Gestión de información de contraseñas de Guía de administración del sistema: servicios de seguridad. Para obtener información sobre pam_unix, consulte la página del comando man pam.conf(4).
Nota - El uso de pam_ldap en un cliente LDAP no es una configuración evaluada para Trusted Extensions.
El FQDN es el nombre de dominio completo. Este nombre es una combinación del nombre de host y el dominio de administración, como en el siguiente ejemplo:
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
En un sistema que se ejecute en una versión anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo.
Si no está ejecutando la última versión del SO Solaris, debe tener los siguientes parches instalados. El primer número es un parche para SPARC. El segundo número es un parche para X86.
138874–05, 138875–05: parche de conmutación de servicio de nombres LDAP, PAM nativo
119313-35, 119314-36: parche de WBEM
121308-21, 121308-21: parche de Solaris Management Console
119315-20, 119316-20: parche de las aplicaciones de gestión de Solaris
Responda a las preguntas utilizando la información de Recopilación de información para el servidor de directorios para LDAP. Para obtener una lista completa de las preguntas, los valores predeterminados y las respuestas sugeridas, consulte el Capítulo 11, Configuración de Sun Java System Directory Server con clientes LDAP (tareas) de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP), y el Capítulo 12, Configuración de clientes LDAP (tareas) de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Las plantillas para los servicios SMF para el servidor de directorios están en los paquetes de Sun Java System Directory Server.
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
Para obtener información sobre el comando dsadm, consulte la página del comando man dsadm(1M).
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
Para obtener información sobre el comando dpadm, consulte la página del comando man dpadm(1M).
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
Errores más frecuentes
Para conocer estrategias de resolución de problemas de configuración LDAP, consulte el Capítulo 13, LDAP Troubleshooting (Reference) de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Puede utilizar este cliente para rellenar su servidor de directorios para LDAP. Debe realizar esta tarea antes rellenar el servidor de directorios.
Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y, a continuación, eliminar el cliente del servidor, o bien puede crear un cliente independiente.
Puede utilizar el servidor de directorios de Trusted Extensions o instalar Trusted Extensions en un sistema aparte.
Nota - Si no está ejecutando la última versión del SO Solaris, debe tener los siguientes parches instalados. El primer número es un parche para SPARC. El segundo número es un parche para X86.
138874–05, 138875–05: parche de conmutación de servicio de nombres LDAP, PAM nativo
119313-35, 119314-36: parche de WBEM
121308-21, 121308-21: parche de Solaris Management Console
119315-20, 119316-20: parche de las aplicaciones de gestión de Solaris
Las entradas en negrita indican las modificaciones. El archivo tiene el siguiente aspecto:
# /etc/nsswitch.ldap # # An example file that could be copied over to /etc/nsswitch.conf; it # uses LDAP in conjunction with files. # # "hosts:" and "services:" in this file are used only if the # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports. # LDAP service requires that svc:/network/ldap/client:default be enabled # and online. # the following two lines obviate the "+" entry in /etc/passwd and /etc/group. passwd: files ldap group: files ldap # consult /etc "files" only if ldap is down. hosts: files ldap dns [NOTFOUND=return] files # Note that IPv4 addresses are searched for in all of the ipnodes databases # before searching the hosts databases. ipnodes: files ldap [NOTFOUND=return] files networks: files ldap [NOTFOUND=return] files protocols: files ldap [NOTFOUND=return] files rpc: files ldap [NOTFOUND=return] files ethers: files ldap [NOTFOUND=return] files netmasks: files ldap [NOTFOUND=return] files bootparams: files ldap [NOTFOUND=return] files publickey: files ldap [NOTFOUND=return] files netgroup: ldap automount: files ldap aliases: files ldap # for efficient getservbyname() avoid ldap services: files ldap printers: user files ldap auth_attr: files ldap prof_attr: files ldap project: files ldap tnrhtp: files ldap tnrhdb: files ldap
Este comando copia el archivo nsswitch.ldap al archivo nsswitch.conf.
En este ejemplo, el cliente LDAP está en el dominio example-domain.com. La dirección IP del servidor es 192.168.5.5.
# ldapclient init -a domainName=example-domain.com -a profileNmae=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
Para obtener información sobre el parámetro enableShadowUpdate, consulte Conmutador enableShadowUpdate de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP) y en la página del comando man ldapclient(1M).
Mediante este procedimiento se configuran tres tipos de registros: registros de acceso, registros de auditoría y registros de errores. Los siguientes valores predeterminados no se modifican:
Todos los registros se habilitan y almacenan en la memoria intermedia.
Los registros se colocan en el directorio /export/home/ds/instances/su_instancia/logs/REGISTRO_TIPO adecuado.
Los eventos se registran en el nivel de registro 256.
Los registros están protegidos por 600 permisos de archivo.
Los registros de acceso rotan diariamente.
Los registros de errores rotan semanalmente.
La configuración de este procedimiento cumple con los siguientes requisitos:
Los registros de auditoría rotan diariamente.
Los archivos de registro anteriores a 3 meses caducan.
Todos los archivos de registro utilizan un máximo de 20.000 MB de espacio de disco.
Se conserva un máximo de 100 archivos de registro, y cada archivo tiene como máximo 500 Mbytes.
Los registros más antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco.
Se recopila información adicional en los registros de errores.
El REGISTRO_TIPO para acceso es ACCESS. La sintaxis para la configuración de registros es la siguiente:
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
De manera predeterminada, el intervalo de rotación de registros de auditoría es de una semana.
En esta configuración, puede especificar los datos adicionales que se van a recopilar en el registro de errores.
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
También puede configurar los siguientes valores de configuración para cada log:
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
Para obtener información sobre el comando dsconf, consulte la página del comando man dsconf(1M).
Para trabajar en Trusted Extensions, el puerto de servidor del servidor de directorios debe estar configurado como un puerto de varios niveles (MLP) en la zona global.
# /usr/sbin/smc &
Se le solicitará la contraseña.
# tnctl -fz /etc/security/tsol/tnzonecfg
Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuración de etiquetas, los usuarios y los sistemas remotos. Mediante este procedimiento, se rellenan las bases de datos del servidor de directorios con la información de Trusted Extensions.
Antes de empezar
Debe rellenar la base de datos desde un cliente LDAP en el que esté habilitada la actualización de shadow. Para conocer los requisitos previos, consulte Creación de un cliente LDAP para el servidor de directorios.
Si la seguridad del sitio requiere la separación de tareas, realice lo siguiente antes de llenar el servidor de directorios:
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
Si está ejecutando la versión Solaris 10 11/06 sin los parches, copie el archivo ipnodes.
# cd /etc/inet # cp ipnodes /setup/files
En la siguiente lista de mapas automáticos, el primero de cada par de líneas muestra el nombre del archivo. La segunda línea de cada par muestra el contenido del archivo. Los nombres de zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software de Trusted Extensions.
Sustituya los nombres de zona por los nombres de zona de estas líneas.
myNFSserver identifica el servidor NFS para los directorios principles.
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
Aquí no se puede utilizar ningún mecanismo comodín. Las direcciones IP de todos los sistemas con los que se establecerá contacto, incluidas las direcciones IP de las zonas con etiquetas, deben estar en este archivo.
Los sistemas con etiquetas son del tipo cipso. Además, el nombre de la plantilla de seguridad para los sistemas con etiquetas es cipso. Por lo tanto, en la configuración predeterminada, una entrada cipso es similar a la siguiente:
192.168.25.2:cipso
Nota - Esta lista incluye las direcciones IP de las zonas globales y las zonas con etiquetas.
Los sistemas sin etiquetas son del tipo unlabeled. El nombre de la plantilla de seguridad para los sistemas sin etiquetas es admin_low. Por lo tanto, en la configuración predeterminada, una entrada para un sistema sin etiquetas es similar a la siguiente:
192.168.35.2:admin_low
# tnchkdb -h /setup/files/tnrhdb
Por ejemplo, el siguiente comando rellena el servidor del archivo hosts del área temporal.
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
En la zona global, ejecute el comando ldapclient uninit. Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP.
# ldapclient -v uninit
Para obtener más información, consulte la página del comando man ldapclient(1M).