跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
在 Trusted Extensions 中启用 IPv6 网络
在 Trusted Extensions 中初始化 Solaris Management Console 服务器
使全局区域成为 Trusted Extensions 中的客户机
在 Trusted Extensions 中创建安全管理员角色
在 Trusted Extensions 中创建可以承担角色的用户
在 Trusted Extensions 中创建起始目录服务器
在 Trusted Extensions 中使用户能够访问其起始目录
在启用 Trusted Extensions 之后运行了 netservices limited
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
如果您有在 NIS 映射中定义的用户,可以将其添加到您的网络中。
要将主机和标签添加到主机中,请参见以下过程:
要添加主机,可使用 Solaris Management Console 中的 "Computers and Networks"(计算机和网络)工具集合。有关详细信息,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何向系统的已知网络添加主机"。
将某个主机添加到 LDAP 服务器时,请添加与该主机关联的所有 IP 地址。必须将所有区域地址(包括有标签区域的地址)添加到 LDAP 服务器。
为主机添加标签,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何将安全模板指定给向一台主机或一组主机"。
开始之前
您必须是具有 root 角色或主管理员角色的超级用户。
% ypcat -k aliases | grep login-name > aliases.name
% ypcat -k passwd | grep "Full Name" > passwd.name
% ypcat -k auto_home | grep login-name > auto_home_label
% sed 's/ /:/g' aliases.login-name > aliases
% nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd
% nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow
% nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...; labelview=int-or-ext,show-or-hide;min_label=min-label; clearance=max-label;type=normal;roles=role-name,...; auths=auth-name,..."}' passwd.name > user_attr
# cp aliases auto_home_internal passwd shadow user_attr /tmp/name
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/user_attr user_attr
示例 4-8 将 NIS 数据库中的用户添加到 LDAP 服务器
在以下示例中,管理员向可信网络中添加了一个新用户。该用户的信息原来存储在 NIS 数据库中。为了保护 LDAP 服务器口令,管理员在服务器上运行了 ldapaddent 命令。
在 Trusted Extensions 中,该新用户可以分配设备并承担操作员角色。因为该用户可以承担角色,因此用户帐户不会被锁定。用户的最小标签为 PUBLIC(公共)。用户工作所在的标签为 INTERNAL(内部),因此将 jan 添加到 auto_home_internal 数据库。auto_home_internal 数据库自动挂载具有读写权限的 jan 的起始目录。
在 LDAP 服务器上,管理员从 NIS 数据库中提取用户信息。
# ypcat -k aliases | grep jan.doe > aliases.jan # ypcat passwd | grep "Jan Doe" > passwd.jan # ypcat -k auto_home | grep jan.doe > auto_home_internal
然后,管理员为 LDAP 重新设置项的格式。
# sed 's/ /:/g' aliases.jan > aliases # nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.jan > passwd # nawk -F: '{print $1":"$2":6445::::::"}' passwd.jan > shadow
接着,管理员为 Trusted Extensions 创建 user_attr 项。
# nawk -F: '{print $1"::::lock_after_retries=no;profiles=Media User; labelview=internal,showsl;min_label=0x0002-08-08; clearance=0x0004-08-78;type=normal;roles=oper; auths=solaris.device.allocate"}' passwd.jan > user_attr
随后,管理员将文件复制到 /tmp/jan 目录。
# cp aliases auto_home_internal passwd shadow user_attr /tmp/jan
最后,管理员用 /tmp/jan 目录中的文件置备服务器。
# /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/user_attr user_attr