跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
Trusted Extensions 中用于管理远程系统的方法
在 Trusted Extensions 中通过角色进行的远程登录
如何在 Trusted Extensions 中从命令行远程登录
如何使用 dtappsession 来远程管理 Trusted Extensions
如何从 Trusted Extensions 系统使用 Solaris Management Console 来远程管理系统
如何从无标签系统使用 Solaris Management Console 来远程管理系统
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
下面的任务列表描述了用于管理远程 Trusted Extensions 系统的任务。
|
注 - telnet 命令不能用于远程角色承担,因为此命令不能将主标识和角色标识传递给 pam_roles 模块。
开始之前
用户和角色在本地和远程系统上必须具有相同的定义。
角色必须具有 "Remote Login"(远程登录)授权。缺省情况下,该授权在 "Remote Administration"(远程管理)和 "Maintenance"(维护)以及 "Repair"(修复)权限配置文件中。
安全管理员已经在可被远程管理的每个系统上完成了《Oracle Solaris Trusted Extensions 配置指南》中的"在 Trusted Extensions 中以某个角色启用远程登录"过程。如果可使用无标签系统来管理该系统,则还必须已完成《Oracle Solaris Trusted Extensions 配置指南》中的"启用从无标签系统进行的远程登录"过程。
使用 rlogin 命令、ssh 命令或 ftp 命令。
如果使用 rlogin -l 或 ssh 命令进行登录,则角色的权限配置文件中的所有命令都可用。
如果使用 ftp 命令,请参见 ftp(1) 手册页以了解可用的命令。
使用 dtappsession 程序,管理员可以管理运行 CDE 的远程系统。
当远程系统没有监视器时,dtappsession 非常有用。例如,dtappsession 经常用于管理大型服务器上的域。有关更多信息,请参见 dtappsession(1) 手册页。
开始之前
在有标签系统上,您必须是全局区域中的管理角色。在无标签系统上,您必须承担远程系统上定义的某个角色。然后,您必须从角色的配置文件 shell 运行远程登录。
为避免在远程 CDE 应用程序和本地应用程序之间造成混淆,可以将一个管理角色工作区专用于该过程。有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在特定标签下添加工作区"。
可以使用 rlogin 命令或 ssh 命令。
$ ssh remote-host
在终端窗口中,键入 dtappsession 命令,后跟本地主机的名称。
$ /usr/dt/bin/dtappsession local-host
远程主机上运行的 "Application Manager"(应用程序管理器)将显示在本地主机上。同时,还会出现一个 "Exit"(退出)对话框。
如果您是从 Trusted CDE 中调用了远程会话,则可以使用 Trusted_Extensions 文件夹中的操作。
注意 - 关闭 "Application Manager"(应用程序管理器)不会结束登录会话,因此建议不要采用此操作。 |
使用 hostname 命令验证您位于本地主机上。
$ exit $ hostname local-host
Solaris Management Console 提供了用来管理用户、权限、角色和网络的远程管理界面。您需要承担某个角色以使用控制台。在此过程中,您在本地系统上运行此控制台并将远程系统指定为服务器。
开始之前
您已完成以下过程:
在两个系统上—《Oracle Solaris Trusted Extensions 配置指南》中的"在 Trusted Extensions 中初始化 Solaris Management Console 服务器"
在远程系统上—《Oracle Solaris Trusted Extensions 配置指南》中的"在 Trusted Extensions 中以某个角色启用远程登录"和《Oracle Solaris Trusted Extensions 配置指南》中的"使 Solaris Management Console 接受网络通信"
在作为 LDAP 服务器的远程系统上—《Oracle Solaris Trusted Extensions 配置指南》中的"为 LDAP 配置 Solaris Management Console(任务列表)"
有关详细信息,请参见《Oracle Solaris Trusted Extensions 配置指南》中的"在 Trusted Extensions 中初始化 Solaris Management Console 服务器"。
然后,选择下列作用域之一。
This Computer (ldap-server: Scope=LDAP, Policy=TSOL)
This Computer (ldap-server: Scope=Files, Policy=TSOL)
然后,选择 Scope=Files 工具箱。
This Computer (remote-system: Scope=Files, Policy=TSOL)
当您选定某个工具(例如 "User"(用户))时,对话框将显示 Solaris Management Console 服务器名称、您的用户名、您的角色名和一个用于键入角色口令的位置。请确保各项正确无误。
键入角色的口令并按 "Login as Role"(以角色身份登录)。现在您即可以使用 Solaris Management Console 来管理系统。
注 - 虽然可以使用 Solaris Management Console 来运行 dtappsession,但使用 dtappsession 的最简单方法是如何使用 dtappsession 来远程管理 Trusted Extensions中介绍的方法。
在此过程中,您在远程系统上运行 Solaris Management Console 客户机和服务器,并在本地系统上显示控制台。
开始之前
Trusted Extensions 系统必须已将标签 ADMIN_LOW 指定给本地系统。
注 - 从 Trusted Extensions 系统的角度来看,未运行 CIPSO 协议的系统(如 Trusted Solaris 系统)是无标签系统。
必须将远程系统上的 Solaris Management Console 服务器配置为接受远程连接。有关过程,请参见《Oracle Solaris Trusted Extensions 配置指南》中的"使 Solaris Management Console 接受网络通信"。
两个系统都必须具有已指定可使用 Solaris Management Console 的同一角色的相同用户。该用户可以具有常规用户的标签范围,但该角色必须具有从 ADMIN_LOW 到 ADMIN_HIGH 的范围。
您必须是全局区域中的管理角色。
# xhost + TX-SMC-Server # echo $DISPLAY :n.n
# su - same-username-on-both-systems
$ rlogin -l same-rolename-on-both-systems TX-SMC-Server
$ DISPLAY=local:n.n $ export DISPLAY=local:n.n
$ LOGNAME=same-username-on-both-systems $ export LOGNAME=same-username-on-both-systems
$ USER=same-rolename-on-both-systems $ export USER=same-rolename-on-both-systems
$ /usr/sbin/smc &
当您选定某个工具(例如 "User"(用户))时,对话框将显示 Solaris Management Console 服务器名称、您的用户名、您的角色名和一个用于键入角色口令的位置。请确保各项正确无误。
键入角色的口令并按 "Login as Role"(以角色身份登录)。现在您即可以使用 Solaris Management Console 来管理系统。
注 - 当您尝试从不是 LDAP 服务器的系统访问网络数据库信息时,该操作将失败。通过控制台,您可以登录到远程主机并打开工具箱。不过,当您尝试访问或更改信息时,以下错误消息指出您在不是 LDAP 服务器的系统上选择了 Scope=LDAP。
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
对用户的缺省标签范围和区域的缺省行为进行更改以启用以非角色身份进行的远程登录。您可能希望为使用远程有标签系统的测试者完成此过程。出于安全原因,测试者的系统应当运行与其他用户没有交集的标签。
开始之前
您必须有充足的理由证明该用户需要登录到全局区域。
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
使用 Solaris Management Console 将安全许可 ADMIN_HIGH 和最小标签 ADMIN_LOW 指定给各个用户。有关详细信息,请参见如何在 Solaris Management Console 中修改用户的标签范围。
用户的有标签区域必须也允许登录。
使用 Solaris Management Console。基于 TCP 协议的端口 513 启用远程登录。有关示例,请参见如何为区域创建多级别端口。
# tnctl -fz /etc/security/tsol/tnzonecfg
# svcadm restart svc:/network/login:rlogin
虚拟网络计算 (Virtual Network Computing, VNC) 技术将客户机连接到远程服务器,然后在客户机的窗口中显示远程服务器的桌面。Xvnc 是 UNIX 版的 VNC,它基于标准的 X 服务器。在 Trusted Extensions 中,任何平台上的客户机都可以连接到运行 Trusted Extensions 软件的 Xvnc,登录到 Xvnc 服务器,然后显示多级别桌面并在其上工作。
开始之前
您已在将要用作 Xvnc 服务器的系统上安装并配置了 Trusted Extensions 软件。您已经创建并引导了有标签区域。Xvnc 服务器通过主机名或 IP 地址识别 VNC 客户机。
您在将用作 Xvnc 服务器的系统的全局区域中是超级用户。
有关更多信息,请参见 Xvnc(1) 和 vncconfig(1)手册页。
注意 - 如果您运行的是 Solaris 10 10/08 或 Solaris 10 5/08 发行版,则在配置服务器之前必须先修补您的系统。对于 SPARC 系统,请安装最新版本的修补程序 125719。对于 x86 系统,请安装最新版本的修补程序 125720。 |
# mkdir -p /etc/dt/config
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
在本例中,该条目被配置为无需口令即可登录服务器。要成功登录桌面,本地 UID 必须是 none,而不是 console。
在示例中,为便于显示,对条目进行了拆分。该条目必须在一个行上。
# :0 Local local_uid@console root /usr/X11/bin/Xserver :0 -nobanner :0 Local local_uid@none root /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024x768x24 -depth 24
注 - 更安全的配置是通过使用 -SecurityTypes VncAuth 参数来要求输入口令。Xvnc(1) 手册页介绍了口令要求。
# reboot
重新引导后,验证 Xvnc 程序是否正在运行。
# ps -ef | grep Xvnc root 2145 932 0 Jan 18 ? 6:15 /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024
对于客户机系统,您可以选择使用哪种软件。本例中使用了 Sun VNC 软件。
# cd SUNW-pkg-directory # pkgadd -d . SUNWvncviewer
% /usr/bin/vncviewer Xvnc-server-hostname
继续执行登录过程。有关其余步骤的说明,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"登录到 Trusted Extensions"。
如果是以超级用户身份登录到服务器,则您可以立即管理服务器。如果是以用户身份登录到服务器,则您必须承担某个角色才能管理系统。