Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services réseau Oracle Solaris 11 Information Library (Français) |
Partie I Sujets relatifs aux services réseau
1. Service réseau (présentation)
2. Gestion des serveurs cache Web
NCA (Network Cache et Accelerator) (présentation)
Serveurs Web utilisant le protocole SSL (Secure Sockets Layer)
Gestion des serveurs cache Web (liste des tâches)
Configuration système requise pour NCA
Bibliothèque d'interposition pour prise en charge démon du serveur de porte
Prise en charge de plusieurs instances
Administration de la mise en cache de pages Web (tâches)
Activation de la mise en cache de pages Web
Désactivation de la mise en cache de pages Web
Activation ou désactivation de la journalisation NCA
Chargement de la bibliothèque d'utilitaires de socket NCA
Ajout d'un port au service NCA
Configuration d'un serveur Web Apache 2.0 pour utiliser le proxy SSL au niveau du noyau
Configuration d'un serveur Web Sun Java System pour une utilisation du proxy SSL au niveau du noyau
Mise en cache des pages Web (référence)
Flux d'une demande de NCA à HTTPD
Partie II Accès aux systèmes de fichiers réseau
4. Gestion des systèmes de fichiers NFS (présentation)
5. Administration de système de fichiers réseau (tâches)
6. Accès aux systèmes de fichiers réseau (référence)
8. Planification et activation de SLP (tâches)
9. Administration de SLP (tâches)
10. Intégration des services hérités
Partie IV Sujets relatifs aux services de messagerie
12. Services de messagerie (présentation)
13. Services de messagerie (tâches)
14. Services de messagerie (référence)
Partie V Sujets relatifs à la mise en réseau série
15. Solaris PPP 4.0 (Présentation)
16. Planification de la liaison PPP (tâches)
17. Configuration d'une liaison PPP commutée (tâches)
18. Configuration d'une liaison PPP de ligne spécialisée (tâches)
19. Paramétrage de l'authentification PPP (tâches)
20. Configuration d'un tunnel PPPoE (tâches)
21. Résolution des problèmes PPP courants (tâches)
22. Solaris PPP 4.0 (Référence)
23. Migration de Solaris PPP asynchrone à Solaris PPP 4.0 (tâches)
25. Administration du protocole UUCP (tâches)
Partie VI Utilisation de systèmes distants
27. Utilisation de systèmes distants (présentation)
28. Administration du serveur FTP (tâches)
29. Accès aux systèmes distants (tâches)
Partie VII Sujets relatifs au contrôle des services réseau
Les sections suivantes décrivent les procédures d'activation et de désactivation de certaines parties du service.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
Entrez le nom de chaque interface physique dans le fichier /etc/nca/nca.if. Pour plus d'informations, reportez-vous à la page de manuel nca.if(4).
# cat /etc/nca/nca.if hme0 hme1
Chaque interface doit être accompagnée d'un fichier hostname.interface-name et le fichier /etc/hosts doit inclure une entrée pour le contenu de hostname.interface-name. Pour démarrer la fonctionnalité NCA sur toutes les interfaces, placez un astérisque (*) dans le fichier nca.si.
Remplacez l'entrée status dans /etc/nca/ncakmod.conf par enabled.
# cat /etc/nca/ncakmod.conf # # NCA Kernel Module Configuration File # status=enabled httpd_door_path=/system/volatile/nca_httpd_1.door nca_active=disabled
Pour plus d'informations, reportez-vous à la page de manuel ncakmod.conf(4).
Remplacez l'entrée status dans /etc/nca/ncalogd.conf par enabled.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log" logd_file_size=1000000
Vous pouvez changer l'emplacement du fichier journal en modifiant le chemin d'accès indiqué par l'entrée logd_path_name. Le fichier journal peut être un périphérique brut ou un fichier. Reportez-vous aux exemples suivants pour obtenir des exemples de chemins d'accès au fichier journal NCA. Pour plus d'informations sur le fichier de configuration, reportez-vous à la page de manuel ncalogd.conf(4).
Ajoutez le numéro des ports dans le fichier /etc/nca/ncaport.conf . Avec cette entrée, NCA contrôle le port 80 sur toutes les adresses IP configurées.
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80
Utilisez la commande eeprom pour définir l'entrée kernelbase du système.
# eeprom kernelbase=0x90000000 # eeprom kernelbase kernelbase=0x90000000
La deuxième commande vérifie que le paramètre a été défini.
Remarque - Définir kernelbase permet de réduire la quantité de mémoire virtuelle que les processus utilisateurs peuvent utiliser à moins de 3 Go. Cette restriction signifie que le système n'est pas conforme à ABI. Lors de l'initialisation du système, la console affiche un message qui vous avertit de la non-conformité. La plupart de ces programmes n'ont pas réellement besoin de la totalité des 3 Go d'espace d'adressage virtuel. Si votre programme nécessite plus de 3 Go, vous devez l'exécuter sur un système sur lequel NCA n'est pas activé.
Exemple 2-1 Utilisation d'un périphérique brut comme fichier journal NCA
La chaîne logd_path_name dans le fichier ncalogd.conf peut définir un périphérique brut en tant qu'emplacement de stockage du fichier journal NCA. L'avantage de l'utilisation d'un périphérique brut est que le service peut s'exécuter plus rapidement, le temps système pour l'accès à un périphérique brut étant inférieur.
Le service NCA teste tous les périphériques bruts répertoriés dans le fichier afin de s'assurer qu'aucun système de fichiers n'est en place. Ce test garantit que vous n'écrivez pas sur les systèmes de fichiers actifs par mégarde.
Pour éviter que ce test ne trouve un système de fichiers, exécutez la commande suivante. Cette commande détruit en partie le système de fichiers sur les partitions de disque configurées en tant que système de fichiers. Dans cet exemple, /dev/rdsk/c0t0d0s7 est le périphérique brut qui a un ancien système de fichiers en place.
# dd if=/dev/zero of=/dev/rdsk/c0t0d0s7 bs=1024 count=1
Après l'exécution de dd, vous pouvez ajouter le périphérique brut dans le fichier ncalogd.conf.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/dev/rdsk/c0t0d0s7" logd_file_size=1000000
Exemple 2-2 Utilisation de plusieurs fichiers pour la journalisation NCA
La chaîne logd_path_name dans le fichier ncalogd.conf peut définir plusieurs cibles en tant qu'emplacement de stockage du fichier journal NCA. Le deuxième fichier est utilisé lorsque le premier est saturé. L'exemple ci-dessous indique comment écrire dans le fichier /var/nca/log en premier, puis utiliser une partition brute.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log /dev/rdsk/c0t0d0s7" logd_file_size=1000000
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
Remplacez l'entrée status dans /etc/nca/ncakmod.conf par disabled.
# cat /etc/nca/ncakmod.conf # NCA Kernel Module Configuration File # status=disabled httpd_door_path=/system/volatile/nca_httpd_1.door nca_active=disabled
Pour plus d'informations, reportez-vous à la page de manuel ncakmod.conf(4).
Remplacez l'entrée status dans /etc/nca/ncalogd.conf par disabled.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=disabled logd_path_name="/var/nca/log" logd_file_size=1000000
Pour plus d'informations, reportez-vous à la page de manuel ncalogd.conf(4).
Une fois NCA activé, vous pouvez activer ou désactiver la journalisation NCA en fonction de vos besoins. Pour plus d'informations, reportez-vous à la section Activation de la mise en cache de pages Web .
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
Pour désactiver l'enregistrement définitivement, vous devez remplacer le statut dans le fichier /etc/nca/ncalogd.conf par disabled et réinitialisez le système. Pour plus d'informations, reportez-vous à la page de manuel ncalogd.conf(4).
Suivez cette procédure uniquement si votre serveur Web ne fournit pas la prise en charge native du socket AF_NCA.
Dans le script de démarrage du serveur Web, ajoutez une ligne qui déclenche le préchargement de la bibliothèque. La ligne doit ressembler à ceci :
LD_PRELOAD=/usr/lib/ncad_addr.so /usr/bin/httpd
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
Ajoutez une entrée de port à /etc/nca/ncaport.conf. Cet exemple ajoute le port 8888 sur l'adresse IP 192.168.84.71. Pour plus d'informations, reportez-vous à ncaport.conf(4).
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80 ncaport=192.168.84.71/8888
Une adresse doit figurer dans le fichier qui contient les configuration de port NCA avant qu'un serveur Web puisse l'utiliser pour NCA. Si le serveur Web est en cours d'exécution, vous devez le redémarrer avant de définir la nouvelle adresse.
Cette procédure doit être utilisée pour améliorer les performances du traitement de paquets SSL sur un serveur Web Apache 2.0.
Avant de commencer
La procédure suivante exige qu'un serveur Web Apache 2.0 soit installé et configuré. Le serveur Web Apache 2.0 est inclus dans la version.
Pour utiliser le proxy SSL au niveau du noyau, la clé privée et le certificat du serveur doivent figurer dans un seul et même fichier. Si seul le paramètre SSLCertificateFile est précisé dans le fichier ssl.conf, le fichier spécifié peut être utilisé directement pour le protocole SSL au niveau du noyau. Si le paramètre SSLCertificateKeyFile est également spécifié, le fichier de certificat et le fichier de clé privée doivent être combinés. Pour combiner le fichier de certificat et le fichier de clé, vous pouvez exécuter la commande suivante :
# cat cert.pem key.pem >cert-and-key.pem
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. La commande ksslcfg est incluse dans le profil Network Security.
Cette commande arrête le serveur Web sur un système dans lequel le serveur est configuré de manière à s'exécuter avec SMF.
# svcadm disable svc:/network/http:apache2
Si le service n'a pas encore été converti, arrêtez-le à l'aide de cette syntaxe de commande : /usr/apache2/bin/apachectl stop
Toutes les options sont répertoriées dans la page de manuel ksslcfg(1M). Les paramètres pour lesquels vous devez disposer d'informations sont les suivants :
key-format : utilisé avec l'option -f pour définir le format de clé et de certificat. Pour le proxy SSL au niveau du noyau, cette valeur doit être pem ou pkcs12.
key-and-certificate-file : utilisé avec l'option -i pour définir l'emplacement du fichier de stockage du certificat et de la clé du serveur.
password-file : utilisé avec l'option -p pour sélectionner l'emplacement du fichier contenant le mot de passe utilisé pour chiffrer la clé privée. Ce mot de passe est utilisé pour autoriser les réinitialisations sans l'intervention d'un opérateur. Les autorisations du fichier doivent être 0400.
proxy-port : utilisé avec l'option -x pour définir le port proxy SSL. Sélectionnez un autre port que le port standard 80. Le serveur Web est à l'écoute sur le port proxy SSL.
ssl-port : sélectionne le port d'écoute du proxy SSL au niveau du noyau. Il s'agit généralement de la valeur 443.
Remarque - Les valeurs ssl-port et proxy-port ne peuvent pas être configurées pour NCA, dans la mesure où ces ports sont utilisés exclusivement par le proxy SSL au niveau du noyau. Généralement, le port 80 est utilisé pour NCA, le port 8443 pour proxy-port et le port 443 pour ssl-port.
La commande ksslcfg permet d'indiquer le port proxy SSL et les paramètres associés.
ksslcfg create -f key-format -i key-and-certificate-file -p password-file -x proxy-port ssl-port
L'état du service signalé par la commande ci-dessous doit être "on line".
# svcs svc:/network/ssl/proxy
Modifiez le fichier /etc/apache2/http.conf et ajoutez une ligne pour définir le port proxy SSL. Si vous utilisez l'adresse IP des serveurs, le serveur Web écoute uniquement sur cette interface. La ligne doit ressembler à ce qui suit :
Listen 0.0.0.0:proxy-port
Le serveur Web doit uniquement être démarré après l'instance du proxy SSL au niveau du noyau. Les commandes suivantes établissent cette dépendance.
# svccfg -s svc:/network/http:apache2 svc:/network/http:apache2> addpg kssl dependency svc:/network/http:apache2> setprop kssl/entities = fmri:svc:/network/ssl/proxy:kssl-INADDR_ANY-443 svc:/network/http:apache2> setprop kssl/grouping = astring: require_all svc:/network/http:apache2> setprop kssl/restart_on = astring: refresh svc:/network/http:apache2> setprop kssl/type = astring: service svc:/network/http:apache2> end
# svcadm enable svc:/network/http:apache2
Si le service n'est pas démarré à l'aide de SMF, utilisez la commande suivante : /usr/apache2/bin/apachectl startssl
Exemple 2-3 Configuration d'un serveur Web Apache 2.0 pour une utilisation du proxy SSL au niveau du noyau
La commande suivante crée une instance avec le format de clé pem.
# ksslcfg create -f pem -i cert-and-key.pem -p file -x 8443 443
Cette procédure doit être utilisée pour améliorer les performances du traitement de paquets SSL sur un serveur Web Sun Java System. Pour plus d'informations sur ce serveur Web, reportez-vous au Sun Java System Web Server 7.0 Update 1 Administrator’s Guide .
Avant de commencer
La procédure suivante exige qu'un serveur Web Sun Java System soit installé et configuré.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. La commande ksslcfg est incluse dans le profil Network Security.
Utilisez l'interface Web de l'administrateur pour arrêter le serveur. Pour plus d'informations, reportez-vous à la section Starting and Stopping the Server du Sun Java System Web Server 7.0 Update 1 Administrator’s Guide .
Toutes les options sont répertoriées dans la page de manuel ksslcfg(1M). Les paramètres pour lesquels vous devez disposer d'informations sont les suivants :
key-format : utilisé avec l'option -f pour définir le format de clé et de certificat.
token-label : utilisé avec l'option -T pour spécifier le jeton PKCS#11.
certificate-label : utilisé avec l'option -C pour sélectionner l'étiquette de l'objet de certificat dans le jeton PKCS#11.
password-file : utilisé avec l'option -p pour sélectionner l'emplacement du fichier contenant le mot de passe pour la connexion de l'utilisateur au jeton PKCS#11 utilisé par le serveur Web. Ce mot de passe est utilisé pour autoriser les réinitialisations sans l'intervention d'un opérateur. Les autorisations du fichier doivent être 0400.
proxy-port : utilisé avec l'option -x pour définir le port proxy SSL. Sélectionnez un autre port que le port standard 80. Le serveur Web est à l'écoute sur le port proxy SSL.
ssl-port : définit le port d'écoute du proxy SSL au niveau du noyau. Il s'agit généralement de la valeur 443.
Remarque - Les valeurs ssl-port et proxy-port ne peuvent pas être configurées pour NCA, dans la mesure où ces ports sont utilisés exclusivement par le proxy SSL au niveau du noyau. Généralement, le port 80 est utilisé pour NCA, le port 8443 pour proxy-port et le port 443 pour ssl-port.
La commande ksslcfg permet d'indiquer le port proxy SSL et les paramètres associés.
ksslcfg create -f key-format -T PKCS#11-token -C certificate-label -p password-file -x proxy-port ssl-port
L'état du service signalé par la commande ci-dessous doit être "on line".
# svcs svc:/network/ssl/proxy
Pour plus d'informations, reportez-vous à la section Adding and Editing Listen Sockets du Sun Java System Web Server 7.0 Update 1 Administrator’s Guide .
Exemple 2-4 Configuration d'un serveur Web Sun Java System pour une utilisation du proxy SSL au niveau du noyau
La commande suivante crée une instance avec le format de clé pkcs11.
# ksslcfg create -f pkcs11 -T "Sun Software PKCS#11 softtoken" -C "Server-Cert" -p file -x 8443 443
Le proxy SSL au niveau du noyau fonctionne dans les zones avec les restrictions suivantes :
L'ensemble de la gestion SSL au niveau du noyau doit être réalisé dans la zone globale. L'administrateur de la zone globale a besoin d'un accès aux fichiers de clé et de certificat de la zone locale. Le serveur Web de la zone locale peut être démarré une fois l'instance de service configurée à l'aide de la commande ksslcfg dans la zone globale.
Un nom d'hôte ou une adresse IP spécifique doit être spécifié(e) lors de l'exécution de la commande ksslcfg pour configurer l'instance. En particulier, l'instance ne peut pas utiliser INADDR_ANY.
Exemple 2-5 Configuration d'un serveur Web Apache dans une zone locale pour une utilisation du proxy SSL au niveau du noyau
Dans la zone locale, arrêtez d'abord le serveur Web. Dans la zone globale, configurez le service, étape par étape. Pour créer une instance d'une zone locale appelée apache-zone, utilisez la commande suivante :
# ksslcfg create -f pem -i /zone/apache-zone/root/keypair.pem -p /zone/apache-zone/root/pass \ -x 8443 apache-zone 443
Dans la zone locale, exécutez la commande suivante pour activer l'instance de service :
# svcadm enable svc:/network/http:apache2