跳过导航链接 | |
退出打印视图 | |
![]() |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
在 Trusted Extensions 中启用 IPv6 网络
在 Trusted Extensions 中初始化 Solaris Management Console 服务器
使全局区域成为 Trusted Extensions 中的客户机
在 Trusted Extensions 中创建安全管理员角色
在 Trusted Extensions 中创建可以承担角色的用户
在 Trusted Extensions 中创建起始目录服务器
在 Trusted Extensions 中使用户能够访问其起始目录
在启用 Trusted Extensions 之后运行了 netservices limited
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
通过以下两项任务,可以将配置文件的完整副本传输至您站点上的每个 Trusted Extensions 系统。通过最后一项任务,可以将 Trusted Extensions 定制内容从 Solaris 系统中删除。
复制到便携介质时,使用信息的敏感标签来标记介质。
注 - 在 Trusted Extensions 配置过程中,超级用户或等效角色会向便携介质和从便携介质复制管理文件。使用 Trusted Path(可信路径)标记介质。
开始之前
要复制管理文件,您必须是超级用户,或者在全局区域中承担了角色。
使用设备分配管理器,然后插入一个干净的介质。有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
在 Solaris Trusted Extensions (CDE) 中,File Manager(文件管理器)会显示便携介质的内容。
在 Solaris Trusted Extensions (JDS) 中,File Browser(文件浏览器)会显示内容。
在此过程中,使用 File Browser(文件浏览器)来指代此 GUI。
例如,可能已将文件复制到 /export/clientfiles 文件夹。
有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备解除分配"。
注 - 请记住在包含所复制文件敏感标签的介质上粘上一个实体标签。
示例 4-9 使所有系统上的配置文件保持相同
系统管理员需要确保每台计算机配置了相同的设置。因此,在配置的第一台计算机上,要创建一个在重新引导后不会被删除的目录。在该目录中,管理员将放入应在所有系统上相同或非常相似的文件。
例如,管理员复制 Solaris Management Console 用于 LDAP 作用域的 Trusted Extensions 工具箱 /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx。管理员在 tnrhtp 文件中定制了远程主机模板,有一个 DNS 服务器以及审计配置文件的列表。管理员还修改了其站点的 policy.conf 文件。因此,管理员将这些文件复制到永久目录。
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles
管理员使用设备分配管理器在全局区域中分配软盘,并将文件传输到该软盘上。在一个有 ADMIN_HIGH 标签的单独软盘上,管理员放入站点的 label_encodings 文件。
管理员将文件复制到某个系统上时,针对该系统修改了 /etc/security/audit_control 文件中的 dir: 条目。
在替换原始 Trusted Extensions 文件之前,可以安全地对其进行重命名。在配置系统时,root 角色会重命名和复制管理文件。
开始之前
要复制管理文件,您必须是超级用户,或者在全局区域中承担了角色。
有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中分配设备"。
在 Solaris Trusted Extensions (CDE) 中,File Manager(文件管理器)会显示便携介质的内容。
在 Solaris Trusted Extensions (JDS) 中,File Browser(文件浏览器)会显示内容。
在此过程中,使用 File Browser(文件浏览器)来指代此 GUI。
例如,在原始文件末尾加上 .orig:
# cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig
有关详细信息,请参见《Oracle Solaris Trusted Extensions 用户指南》中的"如何在 Trusted Extensions 中对设备解除分配"。
示例 4-10 在 Trusted Extensions 中装入审计配置文件
在此示例中,系统上尚未配置角色。root 用户需要将配置文件复制到便携介质上。然后,可将该介质的内容复制到其他系统上。这些文件将被复制到配置有 Trusted Extensions 软件的每个系统上。
root 用户在设备分配管理器中分配 floppy_0 设备,并对挂载查询做出 yes(是)响应。随后,root 用户插入包含配置文件的软盘,并将配置文件复制到磁盘上。该软盘带有 Trusted Path(可信路径)标签。
为了从介质中读取,root 用户在接收主机上分配设备,然后下载内容。
如果配置文件位于磁带上,root 用户将分配 mag_0 设备。如果配置文件位于 CD-ROM 上,root 用户将分配 cdrom_0 设备。
要从 Solaris 系统中删除 Trusted Extensions,要执行特定的步骤来删除 Solaris 系统中的 Trusted Extensions 定制内容。
# svcadm disable labeld
有关此命令的效果,请参见 bsmunconv(1M) 手册页。
可能需要为您的 Solaris 系统配置各种服务。候选项包括审计、基本联网、命名服务和文件系统挂载。