JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris Trusted Extensions 配置指南     Oracle Solaris 10 8/11 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

1.  Trusted Extensions 的安全规划

2.  Trusted Extensions 的配置任务列表

3.  将 Trusted Extensions 软件添加到 Solaris OS(任务)

4.  配置 Trusted Extensions(任务)

5.  为 Trusted Extensions 配置 LDAP(任务)

在 Trusted Extensions 主机上配置 LDAP 服务器(任务列表)

在 Trusted Extensions 主机上配置 LDAP 代理服务器(任务列表)

在 Trusted Extensions 系统上配置 Sun Java System Directory Server

收集用于 LDAP 的 Directory Server 的信息

安装 Sun Java System Directory Server

为 Directory Server 创建 LDAP 客户机

配置 Sun Java System Directory Server 的日志

为 Sun Java System Directory Server 配置多级别端口

置备 Sun Java System Directory Server

为现有 Sun Java System Directory Server 创建 Trusted Extensions 代理

创建 LDAP 代理服务器

为 LDAP 配置 Solaris Management Console(任务列表)

向 Solaris Management Console 注册 LDAP 凭证

使 Solaris Management Console 接受网络通信

在 Solaris Management Console 中编辑 LDAP 工具箱

验证 Solaris Management Console 是否包含 Trusted Extensions 信息

6.  配置具有 Trusted Extensions 的无显示系统(任务)

A.  站点安全策略

B.  使用 CDE 操作在 Trusted Extensions 中安装区域

C.  Trusted Extensions 的配置核对表

词汇表

索引

在 Trusted Extensions 系统上配置 Sun Java System Directory Server

LDAP 命名服务是适用于 Trusted Extensions 的受支持的命名服务。如果您的站点尚未运行 LDAP 命名服务,请在配置有 Trusted Extensions 的系统上配置 Sun Java System Directory Server (Directory Server)。

如果您的站点已经在运行 Directory Server,则您需要向服务器添加 Trusted Extensions 数据库。为访问 Directory Server,您需要在 Trusted Extensions 系统上设置一个 LDAP 代理。


注 - 如果不使用此 LDAP 服务器作为 NFS 服务器或 Sun Ray 客户机的服务器,则不需要在此服务器上安装任何有标签区域。


收集用于 LDAP 的 Directory Server 的信息

安装 Sun Java System Directory Server

可从 Sun Software Gateway Web 站点获取 Directory Server 软件包。

开始之前

您的 Trusted Extensions 系统上仅安装了一个全局区域。系统上没有带标签的区域。

Trusted Extensions LDAP 服务器是为使用 pam_unix 向 LDAP 系统信息库进行验证的客户机配置的。使用 pam_unix 时,口令操作由客户机确定,因此口令策略也由客户机确定。说得明确一点,也就是不使用由 LDAP 服务器设置的策略。有关可在客户机上设置的口令参数,请参见《系统管理指南:安全性服务》中的"管理口令信息"。有关 pam_unix 的信息,请参见 pam.conf(4) 手册页。


注 - LDAP 客户机上 pam_ldap 的使用是 Trusted Extensions 的未经评估的配置。


  1. 在安装 Directory Server 软件包之前,将 FQDN 添加至您的系统的主机名条目。

    FQDN 是指 Fully Qualified Domain Name(全限定域名)。此名称是主机名和管理域的组合,如下例所示:

    ## /etc/hosts
    ...
    192.168.5.5 myhost myhost.example-domain.com

    在运行 Solaris 10 8/07 之前的发行版的系统上,将 IPv4 和 IPv6 项添加到 /etc/inet/ipnodes 文件中。一个系统的项在文件中必须是连续的。

    如果未运行最新发行版的 Solaris OS,则必须安装以下修补程序。第一个编号是 SPARC 修补程序。第二个编号是 X86 修补程序。

    • 138874–05、138875–05:Native LDAP、PAM、名称服务转换器修补程序

    • 119313-35、119314-36:WBEM 修补程序

    • 121308-21、121308-21:Solaris Management Console 修补程序

    • 119315-20、119316-20:Solaris Management Applications 修补程序

  2. 在 Oracle Sun Web 站点中找到 Sun Java System Directory Server 软件包。
    1. Sun Software Gateway 页面中,单击 "Get It"(获取)选项卡。
    2. 单击 "Sun Java Identity Management Suite" 的复选框。
    3. 单击 "Submit"(提交)按钮。
    4. 如果您尚未注册,则进行注册。
    5. 登录以便下载软件。
    6. 单击屏幕左上角的 "Download Center"(下载中心)。
    7. 在 "Identity Management"(身份管理)下,下载适用于您的平台的最新软件。
  3. 安装 Directory Server 软件包。

    使用收集用于 LDAP 的 Directory Server 的信息中的信息来回答问题。有关问题、缺省值以及建议答案的完整列表,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 11  章 "为使用 LDAP 客户机设置 Sun Java System Directory Server(任务)"以及《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 12  章 "设置 LDAP 客户机(任务)"

  4. 可选将 Directory Server 的环境变量添加到您的路径。
    # $PATH
    /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin:
    /opt/SUNWdsee/dps6/bin
  5. 可选将 Directory Server 手册页添加到您的 MANPATH
    /opt/SUNWdsee/dsee6/man
  6. 启用 cacaoadm 程序,并验证是否已启用此程序。
    # /usr/sbin/cacaoadm enable
    # /usr/sbin/cacaoadm start
    start: server (pid n) already running
  7. 确保每次引导时 Directory Server 都会启动。

    Directory Server 的 SMF 服务的模板包含在 Sun Java System Directory Server 软件包中。

    • 对于 Trusted Extensions Directory Server,请启用此服务。
      # dsadm stop /export/home/ds/instances/your-instance
      # dsadm enable-service -T SMF /export/home/ds/instances/your-instance
      # dsadm start /export/home/ds/instances/your-instance

      有关 dsadm 命令的信息,请参见 dsadm(1M) 手册页。

    • 对于代理 Directory Server,请启用此服务。
      # dpadm stop /export/home/ds/instances/your-instance
      # dpadm enable-service -T SMF /export/home/ds/instances/your-instance
      # dpadm start /export/home/ds/instances/your-instance

      有关 dpadm 命令的信息,请参见 dpadm(1M) 手册页。

  8. 验证您的安装。
    # dsadm info /export/home/ds/instances/your-instance
    Instance Path:         /export/home/ds/instances/your-instance
    Owner:                 root(root)
    Non-secure port:       389
    Secure port:           636
    Bit format:            32-bit
    State:                 Running
    Server PID:            298
    DSCC url:              -
    SMF application name:  ds--export-home-ds-instances-your-instance
    Instance version:      D-A00

故障排除

有关解决 LDAP 配置问题的策略,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 13  章 "LDAP 疑难解答(参考)".

为 Directory Server 创建 LDAP 客户机

您将使用此客户机来置备您用于 LDAP 的 Directory Server。在置备 Directory Server 之前必须执行此任务。

您可以在 Trusted Extensions Directory Server 上临时创建客户机,然后在服务器上删除此客户机,您也可以创建独立的客户机。

  1. 在系统上安装 Trusted Extensions。

    可以使用 Trusted Extensions Directory Server,或者在一个独立的系统上安装 Trusted Extensions。


    注 - 如果未运行最新发行版的 Solaris OS,则必须安装以下修补程序。第一个编号是 SPARC 修补程序。第二个编号是 X86 修补程序。

    • 138874–05、138875–05:Native LDAP、PAM、名称服务转换器修补程序

    • 119313-35、119314-36:WBEM 修补程序

    • 121308-21、121308-21:Solaris Management Console 修补程序

    • 119315-20、119316-20:Solaris Management Applications 修补程序


  2. 在客户机上,修改缺省的 /etc/nsswitch.ldap 文件。

    以粗体显示的条目表示所做的修改。该文件应类似于以下内容:

    # /etc/nsswitch.ldap
    #
    # An example file that could be copied over to /etc/nsswitch.conf; it
    # uses LDAP in conjunction with files.
    #
    # "hosts:" and "services:" in this file are used only if the
    # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.
    
    # LDAP service requires that svc:/network/ldap/client:default be enabled
    # and online.
    
    # the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
    passwd:     files ldap
    group:      files ldap
    
    # consult /etc "files" only if ldap is down. 
    hosts: files ldap dns [NOTFOUND=return] files
    
    # Note that IPv4 addresses are searched for in all of the ipnodes databases
    # before searching the hosts databases.
    ipnodes: files ldap [NOTFOUND=return] files
    
    networks: files ldap [NOTFOUND=return] files
    protocols: files ldap [NOTFOUND=return] files
    rpc: files ldap [NOTFOUND=return] files
    ethers: files ldap [NOTFOUND=return] files
    netmasks: files ldap [NOTFOUND=return] files
    bootparams: files ldap [NOTFOUND=return] files
    publickey: files ldap [NOTFOUND=return] files
    
    netgroup:   ldap
    
    automount:  files ldap
    aliases:    files ldap
    
    # for efficient getservbyname() avoid ldap
    services:   files ldap
    
    printers:   user files ldap
    
    auth_attr:  files ldap
    prof_attr:  files ldap
    
    project:    files ldap
    
    tnrhtp:     files ldap
    tnrhdb:     files ldap
  3. 在全局区域中,运行 ldapclient init 命令。

    此命令将 nsswitch.ldap 文件复制到 nsswitch.conf 文件中。

    在本例中,LDAP 客户机位于 example-domain.com 域中。服务器的 IP 地址为 192.168.5.5

    # ldapclient init -a domainName=example-domain.com -a profileNmae=default \
    > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
    > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
    System successfully configured
  4. 将服务器的 enableShadowUpdate 参数设置为 TRUE
    # ldapclient -v mod -a enableShadowUpdate=TRUE \
    > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com
    System successfully configured

    有关 enableShadowUpdate 参数的信息,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的"enableShadowUpdate 开关"以及 ldapclient(1M) 手册页。

配置 Sun Java System Directory Server 的日志

此过程将配置三种类型的日志:访问日志、审计日志和错误日志。将不会更改以下缺省设置:

此过程中的设置满足以下要求:

  1. 配置访问日志。

    访问的 LOG_TYPEACCESS。用于配置日志的语法如下:

    dsconf set-log-prop LOG_TYPE property:value
    # dsconf set-log-prop ACCESS max-age:3M
    # dsconf set-log-prop ACCESS max-disk-space-size:20000M
    # dsconf set-log-prop ACCESS max-file-count:100
    # dsconf set-log-prop ACCESS max-size:500M
    # dsconf set-log-prop ACCESS min-free-disk-space:500M
  2. 配置审计日志。
    # dsconf set-log-prop AUDIT max-age:3M
    # dsconf set-log-prop AUDIT max-disk-space-size:20000M
    # dsconf set-log-prop AUDIT max-file-count:100
    # dsconf set-log-prop AUDIT max-size:500M
    # dsconf set-log-prop AUDIT min-free-disk-space:500M
    # dsconf set-log-prop AUDIT rotation-interval:1d

    缺省情况下,审计日志的轮转时间间隔是一周。

  3. 配置错误日志。

    在此配置中,您将指定要在错误日志中收集的其他数据。

    # dsconf set-log-prop ERROR max-age:3M
    # dsconf set-log-prop ERROR max-disk-space-size:20000M
    # dsconf set-log-prop ERROR max-file-count:30
    # dsconf set-log-prop ERROR max-size:500M
    # dsconf set-log-prop ERROR min-free-disk-space:500M
    # dsconf set-log-prop ERROR verbose-enabled:on
  4. 可选进一步配置日志。

    您还可以为每个日志配置以下设置:

    # dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined
    # dsconf set-log-prop LOG_TYPE rotation-time:undefined

    有关 dsconf 命令的信息,请参见 dsconf(1M) 手册页。

为 Sun Java System Directory Server 配置多级别端口

要在 Trusted Extensions 中工作,必须在全局区域中将 Directory Server 的服务器端口配置为多级别端口 (multilevel port, MLP)。

  1. 启动 Solaris Management Console。
    # /usr/sbin/smc &
  2. 选择 This Computer (this-host: Scope=Files, Policy=TSOL) 工具箱。
  3. 单击 "System Configuration"(系统配置),然后单击 "Computers and Networks"(计算机和网络)。

    此时会提示您输入口令。

  4. 键入相应的口令。
  5. 双击 "Trusted Network Zones"(可信网络区域)。
  6. 双击全局区域。
  7. 为 TCP 协议添加多级别端口:
    1. 单击 "Add for the Multilevel Ports for Zone's IP Addresses"(为区域的 IP 地址添加多级别端口)。
    2. 键入端口号 389,然后单击 "OK"(确定)。
  8. 为 UDP 协议添加多级别端口:
    1. 单击 "Add for the Multilevel Ports for Zone's IP Addresses"(为区域的 IP 地址添加多级别端口)。
    2. 键入端口号 389。
    3. 选择 udp 协议,然后单击 "OK"(确定)。
  9. 单击 "OK"(确定)以保存设置。
  10. 更新内核。
    # tnctl -fz /etc/security/tsol/tnzonecfg

置备 Sun Java System Directory Server

已创建或修改了多个 LDAP 数据库,用以保存有关标签配置、用户和远程系统的 Trusted Extensions 数据。在此过程中,您将使用 Trusted Extensions 信息置备 Directory Server 数据库。

开始之前

必须从启用了投影更新的 LDAP 客户机置备数据库。有关先决条件,请参见为 Directory Server 创建 LDAP 客户机

如果站点安全要求 separation of duty(职责分离),请在置备 Directory server 之前完成以下操作:

  1. 为您计划用来置备命名服务数据库的文件创建一个暂存区域。
    # mkdir -p /setup/files
  2. 将样例 /etc 文件复制到暂存区域中。
    # cd /etc
    # cp aliases group networks netmasks protocols /setup/files
    # cp rpc services auto_master /setup/files
    
    # cd /etc/security
    # cp auth_attr prof_attr exec_attr /setup/files/
    #
    # cd /etc/security/tsol
    # cp tnrhdb tnrhtp /setup/files

    如果您运行的是没有修补程序的 Solaris 10 11/06 发行版,请复制 ipnodes 文件。

    # cd /etc/inet
    # cp ipnodes /setup/files
  3. /setup/files/auto_master 文件中删除 +auto_master 条目。
  4. Remove the ?:::::? entry from the /setup/files/auth_attr file.
  5. /setup/files/prof_attr 文件中删除 :::: 条目。
  6. 在暂存区域中创建区域自动映射。

    在以下自动映射列表中,每一对行中的第一行显示了文件的名称。每一对行中的第二行显示了文件内容。区域名称标识 Trusted Extensions 软件中包含的缺省 label_encodings 文件中的标签。

    • 使用您的区域名称替换这些行中的区域名称。

    • myNFSserver 标识 NFS 服务器的起始目录。

    /setup/files/auto_home_public
     * myNFSserver_FQDN:/zone/public/root/export/home/&
    
    /setup/files/auto_home_internal
     * myNFSserver_FQDN:/zone/internal/root/export/home/&
    
    /setup/files/auto_home_needtoknow
     * myNFSserver_FQDN:/zone/needtoknow/root/export/home/&
    
    /setup/files/auto_home_restricted
     * myNFSserver_FQDN:/zone/restricted/root/export/home/&
  7. 将网络上的每个系统都添加到 /setup/files/tnrhdb 文件中。

    此处不可使用任何通配符机制。必须将要与之通信的每个系统的 IP 地址(包括有标签区域的 IP 地址)包含在此文件中。

    1. 打开可信编辑器,并编辑 /setup/files/tnrhdb
    2. 将有标签系统上的每个 IP 地址添加到 Trusted Extensions 域中。

      有标签系统的类型为 cipso。此外,有标签系统的安全模板的名称为 cipso。因此,在缺省配置中,cipso 条目类似于以下内容:

      192.168.25.2:cipso

      注 - 此列表包括全局区域和有标签区域的 IP 地址。


    3. 添加域可与之进行通信的所有无标签系统。

      无标签系统的类型为 unlabeled。无标签系统的安全模板的名称为 admin_low。因此,在缺省配置中,无标签系统的条目类似于以下内容:

      192.168.35.2:admin_low
    4. 保存文件后退出编辑器。
    5. 检查文件的语法。
      # tnchkdb -h /setup/files/tnrhdb
    6. 修复所有错误之后再继续。
  8. /setup/files/tnrhdb 文件复制为 /etc/security/tsol/tnrhdb 文件。
  9. 通过 ldapaddent 命令,使用暂存区域中的所有文件置备 Directory Server。

    例如,以下命令基于暂存区域中的 hosts 文件置备服务器。

    # /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
  10. 如果在 Trusted Extensions Directory Server 上运行 ldapclient 命令,则会在该系统上禁用客户机。

    在全局区域中,运行 ldapclient uninit 命令。使用详细输出来验证该系统不再是 LDAP 客户机。

    # ldapclient -v uninit

    有关更多信息,请参见 ldapclient(1M) 手册页。