Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Revisión e instalación del archivo de codificaciones de etiquetas
Habilitación de redes IPv6 en Trusted Extensions
Configuración del dominio de interpretación
Creación de agrupación ZFS para clonar zonas
Reinicie e inicie sesión en Trusted Extensions
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Creación de zonas con etiquetas
Ejecución de la secuencia de comandos txzonemgr
Configuración de las interfaces de red en Trusted Extensions
Asignación de nombre y etiquetado de zona
Instalación de la zona con etiquetas
Verificación del estado de la zona
Personalización de la zona con etiquetas
Copia o clonación de una zona en Trusted Extensions
Adición de interfaces de red y rutas a zonas con etiquetas
Adición de una interfaz de red para enrutar una zona con etiquetas existente
Configuración de una antememoria de servicio de nombres en cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
Creación de un rol de administrador del sistema restringido
Creación de usuarios que puedan asumir roles en Trusted Extensions
Verificación del funcionamiento de los roles de Trusted Extensions
Habilitación de los usuarios para que inicien sesión en una zona con etiquetas
Creación de directorios principales en Trusted Extensions
Creación del servidor de directorio principal en Trusted Extensions
Habilitación de los usuarios para que accedan a sus directorios principales en Trusted Extensions
Adición de usuarios y hosts a una red de confianza existente
Adición de un usuario NIS al servidor LDAP
Resolución de los problemas de configuración de Trusted Extensions
netservices limited se ejecutó después de que se habilitó Trusted Extensions
No se puede abrir la ventana de consola en una zona con etiquetas
La zona con etiquetas no puede acceder al servidor X
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
Cómo eliminar Trusted Extensions del sistema
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
Las siguientes tareas se pueden realizar en entornos en los que cada zona está conectada a una red física independiente.
|
Este procedimiento agrega interfaces de red específicas de la zona a las zonas con etiquetas existentes. Esta configuración se puede realizar en entornos en los que cada zona con etiquetas está conectada a una red física independiente. Las zonas con etiquetas utilizan la ruta de red que proporciona la zona global.
Nota - La zona global debe configurar una dirección IP para cada subred en la que esté configurada una dirección de zona no global.
Antes de empezar
Debe ser superusuario de la zona global.
Para cada zona, debe haber completado las tareas de la sección Creación de zonas con etiquetas.
Utilice una convención de denominación estándar, como la adición de nombre_zona al nombre del host.
## /etc/hosts in global zone 10.10.8.2 hostname-zone-name1 10.10.8.3 hostname-global-name1 10.10.9.2 hostname-zone-name2 10.10.9.3 hostname-global-name2
## /etc/netmasks in global zone 10.10.8.0 255.255.255.0 10.10.9.0 255.255.255.0
Para obtener más información, consulte la página del comando man netmasks(4).
# ifconfig -a
# ifconfig interface-nameN1 plumb # ifconfig interface-nameN1 10.10.8.3 up # ifconfig interface-nameN2 plumb # ifconfig interface-nameN2 10.10.9.3 up
# /etc/hostname.interface-nameN1 10.10.8.3 # /etc/hostname.interface-nameN2 10.10.9.3
Las direcciones de la zona global se configuran inmediatamente cuando se inicia el sistema. Las direcciones específicas de la zona se configuran cuando se inicia la zona.
Si la puerta de enlace a la red no está configurada con etiquetas, asigne la plantilla de seguridad admin_low. Si la puerta de enlace a la red tiene etiquetas, asigne una plantilla de seguridad cipso.
Puede crear plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red. Para ver los procedimientos para crear y asignar plantillas, consulte Configuración de bases de datos de red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
# zoneadm -z zone-name halt
# /usr/sbin/txzonemgr
# ifconfig -a
# netstat -rn
Errores más frecuentes
Para depurar la configuración de la zona, consulte lo siguiente:
Este procedimiento establece rutas predeterminadas específicas de la zona para las zonas con etiquetas existentes. En esta configuración, las zonas con etiquetas no utilizan la zona global para el enrutamiento.
La zona con etiquetas debe estar conectada a la zona global antes de que se inicie la zona. Sin embargo, para aislar la zona con etiquetas de la zona global, cuando se inicie la zona, la interfaz debe estar en el estado down. Para obtener más información, véase el Capítulo 17, Non-Global Zone Configuration (Overview) de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
Nota - Se debe configurar una única ruta predeterminada para cada zona no global que se inicie.
Antes de empezar
Debe ser superusuario de la zona global.
Para cada zona, debe haber completado las tareas de la sección Creación de zonas con etiquetas. Está utilizando la interfaz vni0 o la interfaz lo0 para conectar las zonas con etiquetas a la zona global.
Utilice el comando ifconfig -a para determinar la dirección IP y la máscara de red. Utilice el comando zonecfg -z zonename info net para determinar si se ha asignado un enrutador predeterminado.
# touch /etc/hostname.interface # touch /etc/hostname.interface:n
Para obtener más información, consulte la página del comando man netmasks(4).
# ifconfig zone1-network-interface plumb # ifconfig zone2-network-interface plumb
# ifconfig -a zone1-network-interface zone1-IP-address down zone2-network-interface zone2-IP-address down
Las direcciones específicas de la zona se configuran cuando se inicia la zona.
## /etc/netmasks in global zone 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
Para obtener más información, consulte la página del comando man netmasks(4).
Cree plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red. Para crear y asignar plantillas, consulte Configuración de bases de datos de red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
En Labeled Zone Manager, agregará las interfaces de red para las zonas con etiquetas. En la ventana de terminal, visualizará la información de la zona y definirá el enrutador predeterminado.
# zoneadm -z zone-name halt
# zonecfg -z zone-name info net net: address: IP-address physical: zone-network-interface defrouter not specified
# zonecfg -z zone-name zonecfg:zone-name > select net address=IP-address zonecfg:zone-name:net> set defrouter=router-address zonecfg:zone-name:net> end zonecfg:zone-name > verify zonecfg:zone-name > commit zonecfg:zone-name > exit #
Para obtener más información, consulte la página del comando man zonecfg(1M) y How to Configure the Zone de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
# zoneadm -z zone-name boot
# netstat -rn
Aparece una tabla de enrutamiento. El destino y la interfaz para la zona con etiquetas es diferente de la entrada para la zona global.
# zonecfg -z zone-name zonecfg:zone-name > select net address=zone-IP-address zonecfg:zone-name:net> remove net defrouter=zone-default-route zonecfg:zone-name:net> info net net: address: zone-IP-address physical: zone-network-interface defrouter not specified
Ejemplo 4-5 Definición de una ruta predeterminada para una zona con etiquetas
En este ejemplo, el administrador enruta la zona Secret a una subred física independiente. El tráfico desde y hacia la zona Secret no se enruta por medio de la zona global. El administrador utiliza Labeled Zone Manager y el comando zonecfg, y, a continuación, verifica que el enrutamiento funcione.
El administrador determina que qfe1 y qfe1:0 actualmente no están en uso, y crea una asignación para dos zonas con etiquetas. qfe1 es la interfaz designada para la zona Secret.
Interface IP Address Netmask Default Router qfe1 192.168.2.22 255.255.255.0 192.168.2.2 qfe1:0 192.168.3.33 255.255.255.0 192.168.3.3
En primer lugar, el administrador crea el archivo /etc/hostname.qfe1 y configura el archivo /etc/netmasks.
# touch /etc/hostname.qfe1
# cat /etc/netmasks ## /etc/netmasks in global zone 192.168.2.0 255.255.255.0
A continuación, el administrador conecta la interfaz de red y verifica que la interfaz esté inactiva.
# ifconfig qfe1 plumb # ifconfig -a
A continuación, en Solaris Management Console, el administrador crea una plantilla de seguridad con una única etiqueta, Secret, y asigna la dirección IP de la interfaz a la plantilla.
El administrador detiene la zona.
# zoneadm -z secret halt
El administrador ejecuta la secuencia de comandos txzonemgr para abrir Labeled Zone Manager.
# /usr/sbin/txzonemgr
En Labeled Zone Manager, el administrador selecciona la zona Secret, luego, Add Network y, por último, una interfaz de red. El administrador cierra Labeled Zone Manager.
En la línea de comandos, el administrador selecciona la dirección IP de la zona y, a continuación, define la ruta predeterminada. Antes de salir del comando, el administrador verifica la ruta y la confirma.
# zonecfg -z secret zonecfg: secret > select net address=192.168.6.22 zonecfg: secret:net> set defrouter=192.168.6.2 zonecfg: secret:net> end zonecfg: secret > verify zonecfg: secret > commit zonecfg: secret > info net net: address: 192.168.6.22 physical: qfe1 defrouter: 192.168.6.2 zonecfg: secret > exit #
El administrador inicia la zona.
# zoneadm -z secret boot
En una ventana de terminal independiente, en la zona global, el administrador verifica el envío y la recepción de paquetes.
# netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------- --------- default 192.168.5.15 UG 1 2664 qfe0 192.168.6.2 192.168.6.22 UG 1 240 qfe1 192.168.3.3 192.168.3.33 U 1 183 qfe1:0 127.0.0.1 127.0.0.1 UH 1 380 lo0 ...
Este procedimiento permite configurar por separado un daemon de servicio de nombres (nscd) en cada zona con etiquetas. Esta configuración admite entornos en los que cada zona se conecta a una subred que se ejecuta en la etiqueta de la zona y la subred dispone de su propio servidor de nombres para esa etiqueta.
Nota - Esta configuración no cumple con los criterios de una configuración evaluada. En una configuración evaluada, el daemon nscd sólo se ejecuta en la zona global. Las puertas de cada zona con etiquetas conectan la zona al daemon nscd global.
Antes de empezar
Debe ser superusuario de la zona global. El usuario root todavía no debe ser un rol. Debe haber completado satisfactoriamente la sección Adición de una interfaz de red para enrutar una zona con etiquetas existente.
Para utilizar esta configuración, es necesario tener conocimientos avanzados sobre redes. Si tiene el servicio de nombres LDAP, debe establecer la conexión de cliente LDAP a cada zona con etiquetas. El daemon nscd almacena la información del servicio de nombres en la antememoria, pero no la envía.
En una ventana de terminal de cada zona con etiquetas, ejecute el siguiente comando:
zone-name # netstat -rn
# /usr/sbin/txzonemgr
Esta opción está diseñada que ser utilizada una vez, durante configuración inicial del sistema.
Para obtener ayuda, consulte las páginas del comando man nscd(1M) y nscd.conf(4).
zone-name # svcs -x name-service-cache svc:/system/name-service-cache:default (name service cache) State: online since October 10, 2010 10:10:10 AM PDT See: nscd(1M) See: /etc/svc/volatile/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
Esta selección elimina el daemon nscd de cada zona con etiquetas.