跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
在 Trusted Extensions 中启用 IPv6 网络
在 Trusted Extensions 中初始化 Solaris Management Console 服务器
使全局区域成为 Trusted Extensions 中的客户机
在 Trusted Extensions 中创建安全管理员角色
在 Trusted Extensions 中创建可以承担角色的用户
在 Trusted Extensions 中创建起始目录服务器
在 Trusted Extensions 中使用户能够访问其起始目录
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
在 Trusted Extensions 中,有标签区域通过全局区域与 X 服务器通信。因此,有标签区域必须有通往全局区域的可用路由。此外,在 Solaris 安装过程中选择的选项可能会防止 Trusted Extensions 使用通往全局区域的接口。
不是在启用 Trusted Extensions 之前运行 netservices limited 命令,而是之后在全局区域中运行了该命令。因此,您的有标签区域无法连接到全局区域中的 X 服务器。
运行以下命令以打开 Trusted Extensions 在区域间通信所需的服务:
# svccfg -s x11-server setprop options/tcp_listen = true # svcadm enable svc:/network/rpc/rstat:default
尝试在有标签区域中打开控制台窗口时,对话框中出现了以下错误:
Action:DttermConsole,*,*,*,0 [Error] Action not authorized.
检验 /etc/security/exec_attr 文件中每个区域的项中是否存在以下两行:
All Actions:solaris:act:::*;*;*;*;*: All:solaris:act:::*;*;*;*;*:
如果不存在这些行,表明未在该有标签区域中安装添加这些项的 Trusted Extensions 软件包。在这种情况下,请重新创建有标签区域。有关过程,请参见创建有标签区域。
如果某个有标签区域不能成功访问 X 服务器,可能会显示如下消息:
Action failed. Reconnect to Solaris Zone?(操作失败。是否重新连接到 Solaris Zone?)
No route available(没有可用路由)
Cannot reach globalzone-hostname :0(无法访问 globalzone-hostname: 0)
有标签区域可能因以下任何原因而无法访问 X 服务器:
区域未初始化,正在等待 sysidcfg 进程完成。
有标签区域的主机名未被全局区域中运行的命名服务识别。
未将任何接口指定为 all-zones。
有标签区域的网络接口已关闭。
LDAP 名称查找失败。
NFS 挂载无效。
请执行以下操作:
登录到区域。
可以使用 zlogin 命令或 Zone Terminal Console(区域终端控制台)操作。
# zlogin -z zone-name
如果无法以超级用户身份登录,请使用 zlogin -S 命令来跳过验证。
检验区域是否正在运行。
# zoneadm list
如果某个区域的状态为 running(运行),则表明该区域至少正在运行一个进程。
解决防止有标签区域访问 X 服务器的任何问题。
通过完成 sysidcfg 进程初始化区域。
以交互方式运行 sysidcfg 程序。应答 Zone Terminal Console(区域终端控制台)或运行 zlogin 命令的终端窗口中的提示。
要以非交互方式运行 sysidcfg 进程,可以执行以下操作之一:
为 /usr/sbin/txzonemgr 脚本指定 "Initialize"(初始化)项。
通过 "Initialize"(初始化)项,可以向 sysidcfg 问题提供缺省值。
编写您自己的 sysidcfg 脚本。
有关更多信息,请参见 sysidcfg(4) 手册页。
检验 X 服务器对区域可用。
登录到有标签区域。将 DISPLAY 变量设置为指向 X 服务器,然后打开一个窗口。
# DISPLAY=global-zone-hostname:n.n # export DISPLAY # /usr/openwin/bin/xclock
如果未显示有标签窗口,表明该有标签区域的区域网络配置不正确。
通过命名服务配置区域的主机名。
不使用该区域的本地 /etc/hosts 文件,而是必须在全局区域中或 LDAP 服务器上指定等效信息。该信息必须包括指定给区域的主机名的 IP 地址。
未将任何接口指定为 all-zones。
除非您的所有区域在与全局区域相同的子网上有 IP 地址,否则可能需要配置一个 all-zones(共享)接口通过这种配置,有标签区域可以连接到全局区域的 X 服务器。如果需要限制与全局区域 X 服务器的远程连接,可以使用 vni0 作为 all-zones 地址。
如果不希望配置 all-zones 接口,必须为每个区域提供通往全局区域 X 服务器的路由。必须在全局区域中配置这些路由。
有标签区域的网络接口已关闭。
# ifconfig -a
使用 ifconfig 命令检验有标签区域的网络接口处于 UP 和 RUNNING 状态。
LDAP 名称查找失败。
使用 ldaplist 命令检验每个区域都可以与 LDAP 服务器或 LDAP 代理服务器通信。在 LDAP 服务器上,检验该区域是否已在 tnrhdb 数据库中列出。
NFS 挂载无效。
以超级用户身份在区域中重新启动 automount。或者,添加一个 crontab 项以便每隔五分钟运行一次 automount 命令。