JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris Trusted Extensions 配置指南     Oracle Solaris 10 8/11 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

1.  Trusted Extensions 的安全规划

2.  Trusted Extensions 的配置任务列表

3.  将 Trusted Extensions 软件添加到 Solaris OS(任务)

4.  配置 Trusted Extensions(任务)

在 Trusted Extensions 中设置全局区域

检查并安装标签编码文件

在 Trusted Extensions 中启用 IPv6 网络

配置系统解释域

创建用于克隆区域的 ZFS 池

重新引导并登录到 Trusted Extensions

在 Trusted Extensions 中初始化 Solaris Management Console 服务器

使全局区域成为 Trusted Extensions 中的客户机

创建有标签区域

运行 txzonemgr 脚本

在 Trusted Extensions 中配置网络接口

命名区域并为其添加标签

安装有标签区域

引导有标签区域

检验区域的状态

定制有标签区域

在 Trusted Extensions 中复制或克隆区域

将网络接口和路由添加到有标签区域

添加网络接口以路由现有的有标签区域

添加不使用全局区域的网络接口以路由现有的有标签区域

在每个有标签区域中配置名称服务高速缓存

在 Trusted Extensions 中创建角色和用户

创建实施职责分离的权限配置文件

在 Trusted Extensions 中创建安全管理员角色

创建受限系统管理员角色

在 Trusted Extensions 中创建可以承担角色的用户

检验 Trusted Extensions 角色是否有效

使用户能够登录到有标签区域

在 Trusted Extensions 中创建起始目录

在 Trusted Extensions 中创建起始目录服务器

在 Trusted Extensions 中使用户能够访问其起始目录

将用户和主机添加到现有可信网络

将 NIS 用户添加到 LDAP 服务器

Trusted Extensions 配置故障排除

在启用 Trusted Extensions 之后运行了 netservices limited

无法在有标签区域中打开控制台窗口

有标签区域无法访问 X 服务器

其他 Trusted Extensions 配置任务

如何在 Trusted Extensions 中将文件复制到便携介质

如何在 Trusted Extensions 中从便携介质复制文件

如何从系统中删除 Trusted Extensions

5.  为 Trusted Extensions 配置 LDAP(任务)

6.  配置具有 Trusted Extensions 的无显示系统(任务)

A.  站点安全策略

B.  使用 CDE 操作在 Trusted Extensions 中安装区域

C.  Trusted Extensions 的配置核对表

词汇表

索引

其他 Trusted Extensions 配置任务

通过以下两项任务,可以将配置文件的完整副本传输至您站点上的每个 Trusted Extensions 系统。通过最后一项任务,可以将 Trusted Extensions 定制内容从 Solaris 系统中删除。

如何在 Trusted Extensions 中将文件复制到便携介质

复制到便携介质时,使用信息的敏感标签来标记介质。


注 - 在 Trusted Extensions 配置过程中,超级用户或等效角色会向便携介质和从便携介质复制管理文件。使用 Trusted Path(可信路径)标记介质。


开始之前

要复制管理文件,您必须是超级用户,或者在全局区域中承担了角色。

  1. 分配相应的设备。

    使用设备分配管理器,然后插入一个干净的介质。有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"

    • 在 Solaris Trusted Extensions (CDE) 中,File Manager(文件管理器)会显示便携介质的内容。

    • 在 Solaris Trusted Extensions (JDS) 中,File Browser(文件浏览器)会显示内容。

    在此过程中,使用 File Browser(文件浏览器)来指代此 GUI。

  2. 打开另外一个 File Browser(文件浏览器)。
  3. 导航到要复制的文件所在的文件夹。

    例如,可能已将文件复制到 /export/clientfiles 文件夹。

  4. 对于每个文件,执行以下操作:
    1. 突出显示文件的图标。
    2. 将文件拖到便携介质的 File Browser(文件浏览器)中。
  5. 对设备解除分配。

    有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备解除分配"

  6. 在便携介质的 File Browser(文件浏览器)上,从 "File"(文件)菜单中选择 "Eject"(弹出)。

    注 - 请记住在包含所复制文件敏感标签的介质上粘上一个实体标签。


示例 4-9 使所有系统上的配置文件保持相同

系统管理员需要确保每台计算机配置了相同的设置。因此,在配置的第一台计算机上,要创建一个在重新引导后不会被删除的目录。在该目录中,管理员将放入应在所有系统上相同或非常相似的文件。

例如,管理员复制 Solaris Management Console 用于 LDAP 作用域的 Trusted Extensions 工具箱 /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx。管理员在 tnrhtp 文件中定制了远程主机模板,有一个 DNS 服务器以及审计配置文件的列表。管理员还修改了其站点的 policy.conf 文件。因此,管理员将这些文件复制到永久目录。

# mkdir /export/commonfiles
# cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles

管理员使用设备分配管理器在全局区域中分配软盘,并将文件传输到该软盘上。在一个有 ADMIN_HIGH 标签的单独软盘上,管理员放入站点的 label_encodings 文件。

管理员将文件复制到某个系统上时,针对该系统修改了 /etc/security/audit_control 文件中的 dir: 条目。

如何在 Trusted Extensions 中从便携介质复制文件

在替换原始 Trusted Extensions 文件之前,可以安全地对其进行重命名。在配置系统时,root 角色会重命名和复制管理文件。

开始之前

要复制管理文件,您必须是超级用户,或者在全局区域中承担了角色。

  1. 分配相应的设备。

    有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"

    • 在 Solaris Trusted Extensions (CDE) 中,File Manager(文件管理器)会显示便携介质的内容。

    • 在 Solaris Trusted Extensions (JDS) 中,File Browser(文件浏览器)会显示内容。

    在此过程中,使用 File Browser(文件浏览器)来指代此 GUI。

  2. 插入包含管理文件的介质。
  3. 如果系统有同名文件,请在原始文件名的基础上组成新名称。

    例如,在原始文件末尾加上 .orig

    # cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig
  4. 打开一个 File Browser(文件浏览器)。
  5. 导航到所需的目标目录,如 /etc/security/tsol
  6. 对于要复制的每个文件,执行以下操作:
    1. 在挂载介质的 File Browser(文件浏览器)中,突出显示文件的图标。
    2. 然后,将文件拖至第二个 File Browser(文件浏览器)的目标目录中。
  7. 对设备解除分配。

    有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备解除分配"

  8. 系统提示时,弹出并移除介质。

示例 4-10 在 Trusted Extensions 中装入审计配置文件

在此示例中,系统上尚未配置角色。root 用户需要将配置文件复制到便携介质上。然后,可将该介质的内容复制到其他系统上。这些文件将被复制到配置有 Trusted Extensions 软件的每个系统上。

root 用户在设备分配管理器中分配 floppy_0 设备,并对挂载查询做出 yes(是)响应。随后,root 用户插入包含配置文件的软盘,并将配置文件复制到磁盘上。该软盘带有 Trusted Path(可信路径)标签。

为了从介质中读取,root 用户在接收主机上分配设备,然后下载内容。

如果配置文件位于磁带上,root 用户将分配 mag_0 设备。如果配置文件位于 CD-ROM 上,root 用户将分配 cdrom_0 设备。

如何从系统中删除 Trusted Extensions

要从 Solaris 系统中删除 Trusted Extensions,要执行特定的步骤来删除 Solaris 系统中的 Trusted Extensions 定制内容。

  1. 如同在 Solaris OS 中一样,对需要保留的有标签区域的所有数据进行归档。
  2. 从系统中删除有标签区域。

    有关详细信息,请参见《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的"How to Remove a Non-Global Zone"

  3. 禁用 Trusted Extensions 服务。
    # svcadm disable labeld
  4. 运行 bsmunconv 命令。

    有关此命令的效果,请参见 bsmunconv(1M) 手册页。

  5. 可选重新引导系统。
  6. 配置系统。

    可能需要为您的 Solaris 系统配置各种服务。候选项包括审计、基本联网、命名服务和文件系统挂载。