跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
安装或升级 Solaris OS 以使用 Trusted Extensions
安装 Solaris 系统以支持 Trusted Extensions
准备已安装的 Solaris 系统以使用 Trusted Extensions
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
对于要在其上配置 Trusted Extensions 的每个系统,您需要了解一些信息,并做出一些有关配置的决定。例如,因为您要创建有标签区域,您可能需要留出磁盘空间,以便在其中将这些区域克隆为 Solaris ZFS 文件系统。Solaris ZFS 为区域提供额外的隔离。
主机名是主机在网络上的名称,并且是全局区域。在 Solaris 系统上,getent 命令会返回主机名,如下所示:
# getent hosts machine1 192.168.0.11 machine1
具有两个 IP 地址的系统可用作多级别服务器。具有一个 IP 地址的系统必须拥有对多级别服务器的访问权限才能打印或执行多级别任务。有关 IP 地址选项的论述,请参见规划多级别访问。
大多数系统要求为有标签区域使用另外的 IP 地址。例如,以下是为有标签区域使用了另外的 IP 地址的主机:
# getent hosts machine1-zones 192.168.0.12 machine1-zones
对于运行 Trusted Extensions 软件的 LDAP 服务器,您需要以下信息:
LDAP 服务器所服务的 Trusted Extensions 域的名称
LDAP 服务器的 IP 地址
将装入的 LDAP 配置文件的名称
对于 LDAP 代理服务器,您还需要用于 LDAP 代理的口令。
对于要在其上配置 Trusted Extensions 的每个系统,请在启用此软件之前做出这些配置决策。
在安全站点中,已经为每个已安装 Solaris 的系统完成了这一步骤。
对于 SPARC 系统,已提供了 PROM 安全级别和口令。
对于 x86 系统,BIOS 受保护。
在所有系统上,通过口令保护 root。
如果您有特定于站点的 label_encodings 文件,必须先检查并安装该文件,然后才能开始其他配置任务。如果您的站点没有 label_encodings 文件,您可使用 Oracle 提供的缺省文件。Oracle 还提供了其他 label_encodings 文件,您可在 /etc/security/tsol 目录中找到这些文件。这些 Oracle 文件是演示文件。它们可能不适合用于生产系统。
要为您的站点定制文件,请参见《Trusted Extensions Label Administration》。
下表列出了缺省 label_encodings 文件的标签名和建议的区域名称。
|
为便于 NFS 挂载,特定标签的区域名称在每个系统上都必须相同。某些系统,例如多级别打印服务器,不需要安装有标签区域。但是,如果您在打印服务器上安装有标签区域,这些区域名称就必须与您网络上其他系统的区域名称相同。
您站点的安全策略可能要求您通过担任角色来管理 Trusted Extensions。如果是这样,或者如果您要配置系统来满足某个已评估配置的条件,您就必须在配置过程的早期阶段创建角色。
如果不要求您通过使用角色来配置系统,您可以选择作为超级用户来配置系统。这种配置方式不太安全。审计记录不会指示在配置过程中哪个用户是超级用户。超级用户可以在系统上执行所有任务,而一个角色只能执行较为有限的一组任务。因此,在通过角色执行配置时可以对配置进行更好的控制。
您可以从头创建区域,复制区域或克隆区域。这些方式的创建速度、磁盘空间要求和稳健性各不相同。有关权衡事项,请参见在 Trusted Extensions 中规划区域。
对于未联网系统,使用本地文件进行管理比较实际。
LDAP 是用于联网环境的命名服务。配置多个计算机时需要一个已置备的 LDAP 服务器。
如果您具有现有的 Sun Java System Directory Server(LDAP 服务器),您可在运行 Trusted Extensions 的系统上创建 LDAP 代理服务器。多级别代理服务器处理与无标签 LDAP 服务器的通信。
如果您没有 LDAP 服务器,可将运行 Trusted Extensions 软件的一个系统配置为多级别 LDAP 服务器。
例如,您可能会考虑下列安全问题:
确定哪些设备可连接到系统并可供分配使用。
确定可从系统访问哪些标签下的哪些打印机。
确定具有有限标签范围的任何系统,例如,网关系统或公用资讯服务站。
确定哪些有标签系统可以与无标签系统进行通信。