跳过导航链接 | |
退出打印视图 | |
![]() |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
在 Trusted Extensions 主机上配置 LDAP 服务器(任务列表)
在 Trusted Extensions 主机上配置 LDAP 代理服务器(任务列表)
在 Trusted Extensions 系统上配置 Sun Java System Directory Server
收集用于 LDAP 的 Directory Server 的信息
安装 Sun Java System Directory Server
为 Directory Server 创建 LDAP 客户机
配置 Sun Java System Directory Server 的日志
为现有 Sun Java System Directory Server 创建 Trusted Extensions 代理
为 LDAP 配置 Solaris Management Console(任务列表)
向 Solaris Management Console 注册 LDAP 凭证
使 Solaris Management Console 接受网络通信
在 Solaris Management Console 中编辑 LDAP 工具箱
验证 Solaris Management Console 是否包含 Trusted Extensions 信息
6. 配置具有 Trusted Extensions 的无显示系统(任务)
LDAP 命名服务是适用于 Trusted Extensions 的受支持的命名服务。如果您的站点尚未运行 LDAP 命名服务,请在配置有 Trusted Extensions 的系统上配置 Sun Java System Directory Server (Directory Server)。
如果您的站点已经在运行 Directory Server,则您需要向服务器添加 Trusted Extensions 数据库。为访问 Directory Server,您需要在 Trusted Extensions 系统上设置一个 LDAP 代理。
这些项按其在 Oracle Java Enterprise System 安装向导中的出现顺序列出。
|
可从 Sun Software Gateway Web 站点获取 Directory Server 软件包。
开始之前
您的 Trusted Extensions 系统上仅安装了一个全局区域。系统上没有带标签的区域。
Trusted Extensions LDAP 服务器是为使用 pam_unix 向 LDAP 系统信息库进行验证的客户机配置的。使用 pam_unix 时,口令操作由客户机确定,因此口令策略也由客户机确定。说得明确一点,也就是不使用由 LDAP 服务器设置的策略。有关可在客户机上设置的口令参数,请参见《系统管理指南:安全性服务》中的"管理口令信息"。有关 pam_unix 的信息,请参见 pam.conf(4) 手册页。
注 - LDAP 客户机上 pam_ldap 的使用是 Trusted Extensions 的未经评估的配置。
FQDN 是指 Fully Qualified Domain Name(全限定域名)。此名称是主机名和管理域的组合,如下例所示:
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
在运行 Solaris 10 8/07 之前的发行版的系统上,将 IPv4 和 IPv6 项添加到 /etc/inet/ipnodes 文件中。一个系统的项在文件中必须是连续的。
如果未运行最新发行版的 Solaris OS,则必须安装以下修补程序。第一个编号是 SPARC 修补程序。第二个编号是 X86 修补程序。
138874–05、138875–05:Native LDAP、PAM、名称服务转换器修补程序
119313-35、119314-36:WBEM 修补程序
121308-21、121308-21:Solaris Management Console 修补程序
119315-20、119316-20:Solaris Management Applications 修补程序
使用收集用于 LDAP 的 Directory Server 的信息中的信息来回答问题。有关问题、缺省值以及建议答案的完整列表,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 11 章 "为使用 LDAP 客户机设置 Sun Java System Directory Server(任务)"以及《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 12 章 "设置 LDAP 客户机(任务)"。
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Directory Server 的 SMF 服务的模板包含在 Sun Java System Directory Server 软件包中。
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
有关 dsadm 命令的信息,请参见 dsadm(1M) 手册页。
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
有关 dpadm 命令的信息,请参见 dpadm(1M) 手册页。
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
故障排除
有关解决 LDAP 配置问题的策略,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 13 章 "LDAP 疑难解答(参考)".
您将使用此客户机来置备您用于 LDAP 的 Directory Server。在置备 Directory Server 之前必须执行此任务。
您可以在 Trusted Extensions Directory Server 上临时创建客户机,然后在服务器上删除此客户机,您也可以创建独立的客户机。
可以使用 Trusted Extensions Directory Server,或者在一个独立的系统上安装 Trusted Extensions。
注 - 如果未运行最新发行版的 Solaris OS,则必须安装以下修补程序。第一个编号是 SPARC 修补程序。第二个编号是 X86 修补程序。
138874–05、138875–05:Native LDAP、PAM、名称服务转换器修补程序
119313-35、119314-36:WBEM 修补程序
121308-21、121308-21:Solaris Management Console 修补程序
119315-20、119316-20:Solaris Management Applications 修补程序
以粗体显示的条目表示所做的修改。该文件应类似于以下内容:
# /etc/nsswitch.ldap # # An example file that could be copied over to /etc/nsswitch.conf; it # uses LDAP in conjunction with files. # # "hosts:" and "services:" in this file are used only if the # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports. # LDAP service requires that svc:/network/ldap/client:default be enabled # and online. # the following two lines obviate the "+" entry in /etc/passwd and /etc/group. passwd: files ldap group: files ldap # consult /etc "files" only if ldap is down. hosts: files ldap dns [NOTFOUND=return] files # Note that IPv4 addresses are searched for in all of the ipnodes databases # before searching the hosts databases. ipnodes: files ldap [NOTFOUND=return] files networks: files ldap [NOTFOUND=return] files protocols: files ldap [NOTFOUND=return] files rpc: files ldap [NOTFOUND=return] files ethers: files ldap [NOTFOUND=return] files netmasks: files ldap [NOTFOUND=return] files bootparams: files ldap [NOTFOUND=return] files publickey: files ldap [NOTFOUND=return] files netgroup: ldap automount: files ldap aliases: files ldap # for efficient getservbyname() avoid ldap services: files ldap printers: user files ldap auth_attr: files ldap prof_attr: files ldap project: files ldap tnrhtp: files ldap tnrhdb: files ldap
此命令将 nsswitch.ldap 文件复制到 nsswitch.conf 文件中。
在本例中,LDAP 客户机位于 example-domain.com 域中。服务器的 IP 地址为 192.168.5.5。
# ldapclient init -a domainName=example-domain.com -a profileNmae=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
有关 enableShadowUpdate 参数的信息,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的"enableShadowUpdate 开关"以及 ldapclient(1M) 手册页。
此过程将配置三种类型的日志:访问日志、审计日志和错误日志。将不会更改以下缺省设置:
启用并缓冲所有日志。
将日志放置在相应的 /export/home/ds/instances/your-instance/logs/LOG_TYPE 目录中。
以日志级别 256 记录事件。
使用 600 文件权限保护日志。
访问日志每天轮转一次。
错误日志每周轮转一次。
此过程中的设置满足以下要求:
审计日志每天轮转一次。
超过 3 个月的日志文件将过期。
所有日志文件最多可使用 20,000 MB 磁盘空间。
最多可保留 100 个日志文件,且每个文件最多 500 MB。
如果可用的空闲磁盘空间小于 500 MB,则删除最旧的日志。
在错误日志中收集其他信息。
访问的 LOG_TYPE 为 ACCESS。用于配置日志的语法如下:
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
缺省情况下,审计日志的轮转时间间隔是一周。
在此配置中,您将指定要在错误日志中收集的其他数据。
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
您还可以为每个日志配置以下设置:
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
有关 dsconf 命令的信息,请参见 dsconf(1M) 手册页。
要在 Trusted Extensions 中工作,必须在全局区域中将 Directory Server 的服务器端口配置为多级别端口 (multilevel port, MLP)。
# /usr/sbin/smc &
此时会提示您输入口令。
# tnctl -fz /etc/security/tsol/tnzonecfg
已创建或修改了多个 LDAP 数据库,用以保存有关标签配置、用户和远程系统的 Trusted Extensions 数据。在此过程中,您将使用 Trusted Extensions 信息置备 Directory Server 数据库。
开始之前
必须从启用了投影更新的 LDAP 客户机置备数据库。有关先决条件,请参见为 Directory Server 创建 LDAP 客户机。
如果站点安全要求 separation of duty(职责分离),请在置备 Directory server 之前完成以下操作:
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
如果您运行的是没有修补程序的 Solaris 10 11/06 发行版,请复制 ipnodes 文件。
# cd /etc/inet # cp ipnodes /setup/files
在以下自动映射列表中,每一对行中的第一行显示了文件的名称。每一对行中的第二行显示了文件内容。区域名称标识 Trusted Extensions 软件中包含的缺省 label_encodings 文件中的标签。
使用您的区域名称替换这些行中的区域名称。
myNFSserver 标识 NFS 服务器的起始目录。
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
此处不可使用任何通配符机制。必须将要与之通信的每个系统的 IP 地址(包括有标签区域的 IP 地址)包含在此文件中。
有标签系统的类型为 cipso。此外,有标签系统的安全模板的名称为 cipso。因此,在缺省配置中,cipso 条目类似于以下内容:
192.168.25.2:cipso
注 - 此列表包括全局区域和有标签区域的 IP 地址。
无标签系统的类型为 unlabeled。无标签系统的安全模板的名称为 admin_low。因此,在缺省配置中,无标签系统的条目类似于以下内容:
192.168.35.2:admin_low
# tnchkdb -h /setup/files/tnrhdb
例如,以下命令基于暂存区域中的 hosts 文件置备服务器。
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
在全局区域中,运行 ldapclient uninit 命令。使用详细输出来验证该系统不再是 LDAP 客户机。
# ldapclient -v uninit
有关更多信息,请参见 ldapclient(1M) 手册页。