跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
在 Trusted Extensions 中使用 LDAP 命名服务
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
为了在具有多个 Trusted Extensions 系统的一个安全域内实现用户、主机和网络属性的一致性,需使用一个命名服务来分发大多数配置信息。LDAP 是一个命名服务示例。nsswitch.conf 文件确定了将使用哪种命名服务。LDAP 是推荐用于 Trusted Extensions 的命名服务。
Directory Server 可以为 Trusted Extensions 和 Oracle Solaris 客户机提供 LDAP 命名服务。该服务器必须包含 Trusted Extensions 网络数据库,并且 Trusted Extensions 客户机必须通过一个多级别端口连接到服务器。安全管理员在配置 Trusted Extensions 时指定多级别端口。
Trusted Extensions 将两个可信网络数据库添加到 LDAP 服务器:tnrhdb 和 tnrhtp。这些数据库是使用 Solaris Management Console 中的 "Security Templates"(安全模板)工具管理的。Scope=LDAP, Policy=TSOL 的一个工具箱将配置更改存储在 Directory Server 上。
有关在 Oracle Solaris OS 中使用 LDAP 命名服务的信息,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》。
《Oracle Solaris Trusted Extensions 配置指南》中介绍了如何为 Trusted Extensions 客户机设置 Directory Server。通过使用配置有 Trusted Extensions 的 LDAP 代理服务器,可以使 Trusted Extensions 系统成为 Oracle Solaris LDAP 服务器的客户机。
注 - 配置有 Trusted Extensions 的系统不能成为 NIS 或 NIS+ 主机的客户机。
如果站点上没有使用命名服务,则管理员必须确保用户、主机和网络的配置信息在所有主机上均相同。如果在一个主机上做了某个更改,则在所有主机上必须做相同的更改。
在未联网的 Trusted Extensions 系统上,配置信息是在 /etc、/etc/security 和 /etc/security/tsol 目录中维护的。您可以使用 Trusted_Extensions 文件夹中的操作来修改某些配置信息。可以使用 Solaris Management Console 中的 "Security Templates"(安全模板)工具来修改网络数据库参数。用户、角色和权限是在 "User Accounts"(用户帐户)、"Administrative Roles"(管理角色)和 "Rights"(权限)工具中修改的。Scope=Files, Policy=TSOL 的 "This Computer"(本计算机)上的一个工具箱在本地存储配置更改。
Trusted Extensions 扩展了 Directory Server 的模式来容纳 tnrhdb 和 tnrhtp 数据库。Trusted Extensions 定义了两个新属性(ipTnetNumber 和 ipTnetTemplateName),以及两个新的对象类(ipTnetTemplate 和 ipTnetHost)。
属性定义如下所示:
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
对象类定义如下所示:
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP 中的 cipso 模板定义类似于以下内容:
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal