跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
在 Trusted Extensions 中配置路由并检查网络信息(任务列表)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
以下任务列表介绍了调试网络的任务。
|
如果您的系统不能按预期方式与其他主机进行通信,请使用此过程。
开始之前
您必须位于全局区域中,并充当可以检查网络设置的角色。安全管理员角色和 "Security Administrator"(安全管理员)角色可以检查这些设置。
以下输出结果显示该系统有两个网络接口,即 hme0 和 hme0:3。两个接口都未启动。
# ifconfig -a ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255 hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255
以下输出结果显示两个接口都已启动。
# ifconfig hme0 up # ifconfig -a ... hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,... hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..
要调试两台应当进行通信但未进行通信的主机,您可以使用 Trusted Extensions 和 Solaris 调试工具。例如,提供了诸如 snoop 和 netstat 之类的 Oracle Solaris 网络调试命令。有关详细信息,请参见 snoop(1M) 和 netstat(1M) 手册页。有关特定于 Trusted Extensions 的命令,请参见表 2-4。
有关联系有标签区域的问题,请参见管理区域(任务列表)。
有关调试 NFS 挂载的信息,请参见如何解决 Trusted Extensions 中的挂载故障。
有关调试 LDAP 通信的信息,请参见如何调试客户机与 LDAP 服务器的连接。
开始之前
您必须位于全局区域中,并充当可以检查网络设置的角色。安全管理员角色或 "Security Administrator"(安全管理员)角色可以检查这些设置。
注 - tnd 服务仅在 ldap 服务运行的情况下才运行。
有关详细信息,请参见tnd(1M) 手册页。
例如,在使用 LDAP 管理网络的站点上,相应的项类似如下:
# Trusted Extensions tnrhtp: files ldap tnrhdb: files ldap
要修改这些项,系统管理员可使用 "Name Service Switch"(名称服务转换)操作。有关详细信息,请参见如何在 Trusted Extensions 中启动 CDE 管理操作。此操作会保留所需的 DAC 和 MAC 文件权限。
$ ldaplist -l
$ ldaplist -l hosts | grep hostname
在安全模板工具中,检查每台主机是否都已指定给与其他主机的安全模板兼容的安全模板。
对于无标签系统,检查缺省标签指定是否正确。
在可信网络区域工具中,检查是否已经正确配置多级别端口 (multilevel port, MLP)。
检查每台主机内核高速缓存中的指定是否与网络上以及其他主机上的分配相匹配。
要在传输过程中获取源主机、目标主机和网关主机的安全信息,请使用 tninfo 命令。
$ tninfo -h hostname IP Address: IP-address Template: template-name
$ tninfo -t template-name template: template-name host_type: one of CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
要更改或检查网络安全信息,请使用 Solaris Management Console 工具。有关详细信息,请参见如何打开可信网络工具。
要更新内核高速缓存,请在信息已过时的主机上重新启动 tnctl 服务。留出一些时间以允许此进程完成。然后,刷新 tnd 服务。如果刷新失败,请尝试重新启动 tnd 服务。有关详细信息,请参见如何将内核高速缓存与可信网络数据库同步。
注 - tnd 服务仅在 ldap 服务运行的情况下才运行。
重新引导会清除内核高速缓存。在引导时,会使用数据库信息置备高速缓存。nsswitch.conf 文件确定是使用本地数据库还是 LDAP 数据库置备内核。
使用 route 命令的 get 子命令。
$ route get [ip] -secattr sl=label,doi=integer
有关详细信息,请参见route(1M) 手册页。
使用 snoop -v 命令。
-v 选项显示包标头的详细信息,包括标签信息。此命令提供大量详细信息,因此您可能需要限定此命令检查的包。有关详细信息,请参见 snoop(1M) 手册页。
在 netstat -a|-r 命令中使用 -R 选项。
-aR 选项显示套接字的扩展安全属性。-rR 选项显示路由表项。有关详细信息,请参见 netstat(1M) 手册页。
在 LDAP 服务器上错误配置客户机项可能会妨碍客户机与服务器进行通信。同样,在客户机上错误配置文件可能会妨碍通信。尝试调试客户机/服务器通信问题时,请检查以下项和文件。
开始之前
在 LDAP 客户机上,您必须充当全局区域中的安全管理员角色。
# tninfo -h LDAP-server # route get LDAP-server # tninfo -h gateway-to-LDAP-server
如果远程主机模板指定不正确,请使用 Solaris Management Console 中的安全模板工具将主机指定给正确的模板。
您的系统、系统上有标签区域的接口、LDAP 服务器的网关和 LDAP 服务器必须列在该文件中。可能还会有更多项。
查找重复的项。删除其他系统上属于有标签区域的任何项。例如,如果 Lserver 是 LDAP 服务器的名称,LServer-zones 是有标签区域的共享接口,请从 /etc/hosts 中删除 LServer-zones。
# more resolv.conf search list of domains domain domain-name nameserver IP-address ... nameserver IP-address
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
如果您在使用 Oracle Solaris ZFS,请先停止区域并锁定文件系统,然后再重新引导。如果未在使用 ZFS,您可以在不停止区域和锁定文件系统的情况下重新引导。
# zoneadm list # zoneadm -z zone-name halt # lockfs -fa # reboot