本部分提供在 Oracle Solaris Trusted Extensions 上使用 Sun Ray Software 时可能需要完成的所有过程。有关最新的 Oracle Solaris Trusted Extensions 信息,请参见 http://download.oracle.com/docs/cd/E19253-01/index.html。
根据您的 Sun Ray 环境,从 ADMIN_LOW(全局区域)以 root 用户身份执行以下过程。
如果您的 Sun Ray 服务器是在专用网络上配置的,则需要执行此过程。有关更多信息,请参见第 20 章 备用网络配置。
使用 Solaris 管理控制台 (Solaris Management Console, SMC) 的 "Security Templates"(安全模板)为 Sun Ray 服务器分配 cipso 模板。为网络上的所有其他 Sun Ray 设备分配 admin_low 标签。admin_low 模板将分配给您计划在 utadm 命令中使用的 IP 地址范围。
完成后 /etc/security/tsol/tnrhdb 文件应该包含以下条目:
192.168.128.1:cipso 192.168.128.0:admin_low
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
做出如下选择:
在 SMC 中,选择 Management Tools(管理工具) -> hostname:Scope=Files, Policy=TSOL。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Security Templates(安全模板)->cipso。
从菜单栏中,选择 Action(操作)->Properties(属性)->Hosts Assigned to Template(为模板分配的主机)。
选择 Host(主机),并键入 Sun Ray 互连的 IP 地址
(例如,192.168.128.1)。
单击 Add(添加),然后单击 OK(确定)。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Security Families(安全系列)->admin_low。
从菜单栏中,选择 Action(操作)->Properties(属性)->Hosts Assigned to Template(为模板分配的主机)。
选择 Wildcard(通配符)。
键入 Sun Ray 互连网络的 IP 地址 (192.168.128.0)。
单击 Add(添加),然后单击 OK(确定)。
为故障转移组中的所有 Sun Ray 服务器分配 cipso 标签。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Security Families(安全系列)->cipso。
从菜单栏中,选择 Action(操作)->Properties(属性)->Hosts Assigned to Template(为模板分配的主机)。
选择 Host(主机),并键入其他 Sun Ray 服务器的 IP 地址。
单击 Add(添加),然后单击 OK(确定)。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
必须在全局区域中为 Sun Ray 服务添加共享多级别端口,以便能够从有标签区域访问。
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
转到 "Management Tools"(管理工具)。
选择 hostname:Scope=Files, Policy=TSOL。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Trusted Network Zones(可信网络区域)->global(全局)。
从菜单栏中,选择 Action(操作)->Properties(属性)。
在 Multilevel Ports for Shared IP Addresses(共享 IP 地址的多级别端口)下,单击 Add(添加)。
添加 7007 作为 Port Number(端口号),选择 TCP 作为 Protocol(协议),然后单击 OK(确定)。
对端口 5999、7010 和 7015 重复前一步骤。
通过运行以下命令重新启动网络服务:
# svcadm restart svc:/network/tnctl
通过运行以下命令验证这些端口是否已列为共享端口:
# /usr/sbin/tninfo -m global
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
/etc/security/tsol/tnzonecfg 中的默认条目显示三个可用的端口 (6001-6003)。请按照要求增加可用 X 服务器端口数。
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
转到 "Management Tools"(管理工具)。
选择 hostname:Scope=Files, Policy=TSOL 选项。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Trusted Network Zones(可信网络区域)->global(全局)。
从菜单栏中,选择 Action(操作)->Properties(属性)。
在 Multilevel Ports for Zone's IP Addresses(区域 IP 地址的多级别端口)下,选择 6000-6003/tcp。
单击 Remove(删除)。
选择 Add(添加)->Enable Specify A Port Range(允许指定端口范围)。
在 Begin Port Range Number(开始端口范围号)中键入 6000,在 End Port Range Number(结束端口范围号)中键入 6050(以显示 50 个端口)。
选择 TCP 作为 Protocol(协议)。
单击 OK(确定)。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
此过程说明如何在 Oracle Solaris Trusted Extensions 上配置 Windows 连接器。
为了使 Sun Ray Windows 连接器能够在 Oracle Solaris Trusted Extensions 服务器上正常工作,必须在所需的级别提供 Windows 终端服务器。
以超级用户身份在 Sun Ray 服务器上打开 shell 窗口。
要避免因继承用户环境设置而发生错误,请使用以下命令:
% su - root
将 Windows 系统提供给 public 模板。
启动 Solaris 管理控制台。
# smc &
在 "Management Tools"(管理工具)下做出如下选择:
选择 hostname:Scope=Files, Policy=TSOL。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Security Templates(安全模板)->public(公用)。
选择 Action(操作)->Properties(属性)->Hosts Assigned to Template(为模板分配的主机)。
选择 Host(主机)。
键入 Windows 系统的 IP 地址,例如 10.6.100.100。
单击 Add(添加)。
单击 OK(确定)。
将端口 7014 配置为 uttscpd 守护进程的共享多级别端口。
如果 Solaris 管理控制台尚未运行,请将其启动:
# smc &
选择 hostname:Scope=Files, Policy=TSOL。
选择 System Configuration(系统配置)->Computers and Networks(计算机和网络)->Trusted Network Zones(可信网络区域)->global(全局)。
选择 Action(操作)->Properties(属性)。
通过单击 Multilevel Ports for Shared IP Addresses(共享 IP 地址的多级别端口)下的 Add(添加)来启用端口。
添加 7014 作为 Port Number(端口号),选择 TCP 作为 Protocol(协议),然后单击 OK(确定)。
重新启动网络服务。
# svcadm restart svc:/network/tnctl
验证此端口是否已列为共享端口。
# /usr/sbin/tninfo -m global
在每个本地区域中为 uttscpd 守护进程创建条目。
配置时,会自动在全局区域中为 SRWC 代理守护进程创建 /etc/services 文件条目。需要在本地区域中创建对应的条目。
这些条目可以手动创建,也可以通过将全局区域的 /etc/services 文件回送挂载到本地区域以供读取访问。
要手动创建此条目,请在本地区域文件中插入以下条目。
uttscpd 7014/tcp # SRWC proxy daemon
在每个本地区域中回送挂载 /etc/opt/SUNWuttsc 目录。以下示例显示如何为名为 public 的区域完成此任务
# zoneadm -z public halt # zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/etc/opt/SUNWuttsc zonecfg:public:fs> set special=/etc/opt/SUNWuttsc zonecfg:public:fs> set type=lofs zonecfg:public:fs> end # zoneadm -z public boot
(可选)为了使 TLS 对等验证能够正常工作,请确保每个本地区域中的 /etc/sfw/openssl/certs 文件夹下提供了可信 CA 证书。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot