跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
在 Trusted Extensions 中启用 IPv6 网络
在 Trusted Extensions 中初始化 Solaris Management Console 服务器
使全局区域成为 Trusted Extensions 中的客户机
在 Trusted Extensions 中创建安全管理员角色
在 Trusted Extensions 中创建可以承担角色的用户
在 Trusted Extensions 中创建起始目录服务器
在 Trusted Extensions 中使用户能够访问其起始目录
在启用 Trusted Extensions 之后运行了 netservices limited
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
以下任务支持其中的每个区域都连接到单独物理网络的环境。
|
此过程将特定于区域的网络接口添加到现有的有标签区域中。此配置支持其中的每个有标签区域都连接到单独物理网络的环境。有标签区域使用全局区域提供的网络路由。
注 - 全局区域必须为配置了非全局区域地址的每个子网配置一个 IP 地址。
开始之前
您是全局区域中的超级用户。
对于每个区域,您已完成了创建有标签区域中的任务。
使用标准命名约定,例如向主机的名称添加 -zone-name。
## /etc/hosts in global zone 10.10.8.2 hostname-zone-name1 10.10.8.3 hostname-global-name1 10.10.9.2 hostname-zone-name2 10.10.9.3 hostname-global-name2
## /etc/netmasks in global zone 10.10.8.0 255.255.255.0 10.10.9.0 255.255.255.0
有关更多信息,请参见 netmasks(4) 手册页。
# ifconfig -a
# ifconfig interface-nameN1 plumb # ifconfig interface-nameN1 10.10.8.3 up # ifconfig interface-nameN2 plumb # ifconfig interface-nameN2 10.10.9.3 up
# /etc/hostname.interface-nameN1 10.10.8.3 # /etc/hostname.interface-nameN2 10.10.9.3
全局区域地址在系统启动时立即进行配置。特定于区域的地址在引导区域时进行配置。
如果网络的网关未配置标签,请指定 admin_low 安全模板。如果网络的网关配有标签,请指定 cipso 安全模板。
您可以创建主机类型为 cipso 的安全模板,以反映每个网络的标签。有关创建和指定模板的过程,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"配置可信网络数据库(任务列表)"。
# zoneadm -z zone-name halt
# /usr/sbin/txzonemgr
# ifconfig -a
# netstat -rn
故障排除
要调试区域配置,请参见以下内容:
此过程为现有的有标签区域设置特定于区域的缺省路由。在此配置中,有标签区域不使用全局区域进行路由。
在引导区域前,必须在全局区域中检测有标签的区域。但是,要将有标签区域与全局区域隔离,在引导区域时接口必须处于 down(关闭)状态。有关更多信息,请参见 《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的第 17 章 "Non-Global Zone Configuration (Overview)"。
注 - 必须为引导的每个非全局区域配置一个唯一缺省路由。
开始之前
您是全局区域中的超级用户。
对于每个区域,您已完成了创建有标签区域中的任务。您使用 vni0 接口或 lo0 接口将有标签区域连接到全局区域。
使用 ifconfig -a 命令确定 IP 地址和网络掩码。使用 zonecfg -z zonename info net 命令确定是否指定了缺省路由器。
# touch /etc/hostname.interface # touch /etc/hostname.interface:n
有关更多信息,请参见 netmasks(4) 手册页。
# ifconfig zone1-network-interface plumb # ifconfig zone2-network-interface plumb
# ifconfig -a zone1-network-interface zone1-IP-address down zone2-network-interface zone2-IP-address down
特定于区域的地址在引导区域时进行配置。
## /etc/netmasks in global zone 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
有关更多信息,请参见 netmasks(4) 手册页。
创建主机类型为 cipso 的安全模板,以反映每个网络的标签。要创建和指定模板,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"配置可信网络数据库(任务列表)"。
在 Labeled Zone Manager(有标签区域管理器)中,您将为有标签区域添加网络接口。在终端窗口中,您将显示有关区域的信息并设置缺省路由器。
# zoneadm -z zone-name halt
# zonecfg -z zone-name info net net: address: IP-address physical: zone-network-interface defrouter not specified
# zonecfg -z zone-name zonecfg:zone-name > select net address=IP-address zonecfg:zone-name:net> set defrouter=router-address zonecfg:zone-name:net> end zonecfg:zone-name > verify zonecfg:zone-name > commit zonecfg:zone-name > exit #
有关更多信息,请参见 zonecfg(1M) 手册页,以及《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的"How to Configure the Zone"。
# zoneadm -z zone-name boot
# netstat -rn
将会显示一个路由表。有标签区域的目标和接口不同于全局区域的条目。
# zonecfg -z zone-name zonecfg:zone-name > select net address=zone-IP-address zonecfg:zone-name:net> remove net defrouter=zone-default-route zonecfg:zone-name:net> info net net: address: zone-IP-address physical: zone-network-interface defrouter not specified
示例 4-5 设置有标签区域的缺省路由
在此示例中,管理员将 Secret(秘密)区域路由到单独的物理子网。来往于 Secret(秘密)区域的通信不会通过全局区域进行路由。管理员使用 Labeled Zone Manager(有标签区域管理器)和 zonecfg 命令,然后检验路由是否有效。
管理员确定 qfe1 和 qfe1:0 当前未在使用,并为两个有标签区域创建映射。qfe1 是 Secret(秘密)区域的指定接口。
Interface IP Address Netmask Default Router qfe1 192.168.2.22 255.255.255.0 192.168.2.2 qfe1:0 192.168.3.33 255.255.255.0 192.168.3.3
首先,管理员创建 /etc/hostname.qfe1 文件并配置 /etc/netmasks 文件。
# touch /etc/hostname.qfe1
# cat /etc/netmasks ## /etc/netmasks in global zone 192.168.2.0 255.255.255.0
接着,管理员检测网络接口并检验接口是否关闭。
# ifconfig qfe1 plumb # ifconfig -a
然后,在 Solaris Management Console 中,管理员创建一个具有单一标签 Secret(秘密)的安全模板,并将接口的 IP 地址指定给模板。
管理员停止区域。
# zoneadm -z secret halt
管理员运行 txzonemgr 脚本打开 Labeled Zone Manager(有标签区域管理器)。
# /usr/sbin/txzonemgr
在 Labeled Zone Manager(有标签区域管理器)中,管理员依次选择 Secret(秘密)区域、"Add Network"(添加网络)和一个网络接口。管理员关闭 Labeled Zone Manager(有标签区域管理器)。
在命令行上,管理员选择区域的 IP 地址,然后设置其缺省路由。在退出命令之前,管理员检验路由并将其提交。
# zonecfg -z secret zonecfg: secret > select net address=192.168.6.22 zonecfg: secret:net> set defrouter=192.168.6.2 zonecfg: secret:net> end zonecfg: secret > verify zonecfg: secret > commit zonecfg: secret > info net net: address: 192.168.6.22 physical: qfe1 defrouter: 192.168.6.2 zonecfg: secret > exit #
管理员引导区域。
# zoneadm -z secret boot
在全局区域中的单独终端窗口中,管理员检验数据包的发送和接收。
# netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------- --------- default 192.168.5.15 UG 1 2664 qfe0 192.168.6.2 192.168.6.22 UG 1 240 qfe1 192.168.3.3 192.168.3.33 U 1 183 qfe1:0 127.0.0.1 127.0.0.1 UH 1 380 lo0 ...
通过此过程,可以在每个有标签区域中单独配置名称服务守护进程 (nscd)。此配置支持满足以下条件的环境:其中的每个区域都连接到一个以区域的标签运行的子网,并且该子网拥有自己的用于该标签的名称服务器。
注 - 此配置不满足评估配置的标准。在评估配置中,nscd 守护进程仅在全局区域中运行。每个有标签区域中的通道将区域连接到全局 nscd 守护进程。
开始之前
您是全局区域中的超级用户。root 必须尚未成为角色。您已成功完成了添加网络接口以路由现有的有标签区域。
此配置要求您具备网络方面的高级技能。如果您的命名服务是 LDAP,则您要负责建立与每个有标签区域的 LDAP 客户机连接。nscd 守护进程会缓存名称服务信息,但不会路由该信息。
在每个有标签区域的终端窗口中,运行以下命令:
zone-name # netstat -rn
# /usr/sbin/txzonemgr
此选项规定为在初始系统配置过程中使用一次。
有关帮助,请参见 nscd(1M) 和 nscd.conf(4) 手册页。
zone-name # svcs -x name-service-cache svc:/system/name-service-cache:default (name service cache) State: online since October 10, 2010 10:10:10 AM PDT See: nscd(1M) See: /etc/svc/volatile/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
此选择将删除每个有标签区域中的 nscd 守护进程。