Configuration du serveur Oracle Directory Server Enterprise Edition sur un système Trusted Extensions

Le service de nommage LDAP est le service de nommage pris en charge pour Trusted Extensions. Si votre site n'exécute pas encore le service de nommage LDAP, configurez un serveur Oracle Directory Server Enterprise Edition (serveur d'annuaire) sur un système configuré avec Trusted Extensions.

Si votre site exécute déjà un serveur d'annuaire, vous devez ajouter les bases de données Trusted Extensions au serveur. Pour accéder au serveur d'annuaire, vous devez ensuite configurer un serveur proxy LDAP sur un système Trusted Extensions.

Remarque - Si vous n'utilisez pas ce serveur LDAP en tant que serveur NFS, vous n'avez pas besoin d'installer de zones étiquetées sur ce serveur.

Collecte d'informations pour le serveur d'annuaire pour LDAP

Déterminez les valeurs des éléments suivants.

Les éléments sont répertoriés dans l'ordre où ils apparaissent dans l'Assistant d'installation de Sun Java Enterprise System.

Invite de l'Assistant d'installation	Action ou informations
Oracle Directory Server Enterprise Edition `version`
ID utilisateur de l'administrateur	La valeur par défaut est `admin`.
Mot de passe de l'administrateur	Créez un mot de passe, tel que `admin123`.
DN du gestionnaire d'annuaire	La valeur par défaut est `cn=Directory Manager`.
Mot de passe du gestionnaire d'annuaire	Créez un mot de passe, tel que `dirmgr89`.
Root du serveur d'annuaire	La valeur par défaut est `/var/Sun/mps`. Ce chemin est également utilisé par la suite si le logiciel proxy est installé.
Identificateur du serveur	La valeur par défaut est le système local.
Port du serveur	Si vous avez l'intention d'utiliser le serveur d'annuaire pour fournir des services de nommage LDAP standard aux systèmes clients, utilisez la valeur par défaut, `389`. Si vous envisagez d'utiliser le serveur d'annuaire pour prendre en charge l'installation ultérieure d'un serveur proxy, saisissez un port non standard, tel que `10389`.
Suffixe	Incluez votre composant de domaine, comme dans `dc=example-domain,dc=com`.
Domaine d'administration	Construisez-le afin qu'il corresponde au suffixe, comme dans `example-domain.com`.
Utilisateur du système	La valeur par défaut est `root`.
Groupe du système	La valeur par défaut est `root`.
Emplacement de stockage des données	La valeur par défaut est `Store configuration data on this server`.
Emplacement de stockage des données	La valeur par défaut est `Store user data and group data on this server`.
Port d'administration	La valeur par défaut est le port du serveur. Une convention suggérée pour changer la valeur par défaut est `version du logiciel` multiplié par `1000`. Pour la version `5.2` du logiciel, cette convention donnerait le port `5200`.

Installation du serveur Oracle Directory Server Enterprise Edition

Les packages du serveur d'annuaire sont disponibles à partir du site Web Oracle pour les produits logiciels Sun.

Avant de commencer

Vous vous trouvez sur un système Trusted Extensions comportant une zone globale. Le système n'a aucune zone étiquetée. Vous devez être superutilisateur dans la zone globale.

Les serveurs LDAP Trusted Extensions sont configurés pour les clients qui utilisent pam_unix pour l'authentification auprès du référentiel LDAP. Avec pam_unix, le fonctionnement du mot de passe, et par conséquent sa stratégie, sont déterminés par le client. Plus précisément, la stratégie définie par le serveur LDAP n'est pas utilisée. Pour connaître les paramètres de mot de passe pouvant être définis sur le client, reportez-vous à la section Gestion des informations de mot de passe du manuel Administration d’Oracle Solaris : services de sécurité. Pour en savoir plus sur pam_unix, reportez-vous à la page de manuel pam.conf(4).

Remarque - L'utilisation de pam_ldap sur un client LDAP ne constitue pas une configuration évaluée pour Trusted Extensions.

Avant d'installer les packages du serveur d'annuaire, ajoutez le FQDN pour l'entrée de nom d'hôte de votre système.
FQDN (Fully Qualified Domain Name) signifie nom de domaine complet. Ce nom se compose du nom d'hôte et du domaine d'administration, par exemple :
```
## /etc/hosts
...
192.168.5.5 myhost myhost.example-domain.com
```
Téléchargez les packages Oracle Directory Server Enterprise Edition à partir du site Web Oracle pour les produits logiciels Sun.
Sélectionnez la versions la plus récente du logiciel approprié pour votre plate-forme.
Installez les packages du serveur d'annuaire.
Répondez aux questions posées à l'aide des informations recueillies à l'étape Collecte d'informations pour le serveur d'annuaire pour LDAP. Pour obtenir une liste complète des questions, des valeurs par défaut et des réponses suggérées, reportez-vous au Chapitre 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services et au Chapitre 12, Setting Up LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services.

(Facultatif) Ajoutez les variables d'environnement pour le serveur d'annuaire à votre chemin.

# $PATH
/usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin:
/opt/SUNWdsee/dps6/bin

(Facultatif) Ajoutez les pages de manuel du serveur d'annuaire à votre MANPATH.
```
/opt/SUNWdsee/dsee6/man
```

Activez le programme cacaoadm et vérifiez qu'il est activé.

# /usr/sbin/cacaoadm enable
# /usr/sbin/cacaoadm start
start: server (pid n) already running

Assurez-vous que le serveur d'annuaire se lance à chaque démarrage.
Les packages Oracle Directory Server Enterprise Edition contiennent des modèles de services SMF pour le serveur d'annuaire.
- Pour un serveur d'annuaire Trusted Extensions, activez le service.
```
# dsadm stop /export/home/ds/instances/your-instance
# dsadm enable-service -T SMF /export/home/ds/instances/your-instance
# dsadm start /export/home/ds/instances/your-instance
```
  Pour plus d'informations sur la commande dsadm, reportez-vous à la page de manuel dsadm(1M).
- Pour un serveur d'annuaire proxy, activez le service.
```
# dpadm stop /export/home/ds/instances/your-instance
# dpadm enable-service -T SMF /export/home/ds/instances/your-instance
# dpadm start /export/home/ds/instances/your-instance
```
  Pour plus d'informations sur la commande dpadm, reportez-vous à la page de manuel dpadm(1M).

Vérifiez votre installation.

# dsadm info /export/home/ds/instances/your-instance
Instance Path:         /export/home/ds/instances/your-instance
Owner:                 root(root)
Non-secure port:       389
Secure port:           636
Bit format:            32-bit
State:                 Running
Server PID:            298
DSCC url:              -
SMF application name:  ds--export-home-ds-instances-your-instance
Instance version:      D-A00

Erreurs fréquentes

Pour connaître les stratégies de résolution des problèmes de configuration LDAP, reportez-vous au Chapitre 13, LDAP Troubleshooting (Reference) du manuel Oracle Solaris Administration: Naming and Directory Services.

Création d'un client LDAP pour le serveur d'annuaire

Vous utilisez ce client pour remplir votre serveur d'annuaire pour LDAP. Vous devez exécuter cette tâche avant de remplir le serveur d'annuaire.

Vous pouvez créer le client temporairement sur le serveur d'annuaire Trusted Extensions, puis supprimer le client du serveur, ou vous pouvez créer un client indépendant.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Ajoutez un logiciel Trusted Extensions logiciel à un système.
Vous pouvez utiliser le serveur d'annuaire Trusted Extensions ou ajouter Trusted Extensions sur un système séparé.

Sur le client, configurez le serveur LDAP dans le service name-service/switch service.

Affichez la configuration actuelle.

# svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       "files ldap"
config/host                  astring       "files dns"
config/netgroup              astring       ldap
config/printer               astring       "user files ldap"

Remplacez la valeur par défaut de la propriété par la valeur suivante :

# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"

Dans la zone globale, exécutez la commande ldapclient init.

Dans cet exemple, le client LDAP se trouve dans le domaine example-domain.com. L'adresse IP du serveur est 192.168.5.5.

# ldapclient init -a domainName=example-domain.com -a profileName=default \
> -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
> -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
System successfully configured

Définissez le paramètre enableShadowUpdate du serveur sur TRUE.
```
# ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com
System successfully configured
```
Pour plus d'informations sur le paramètre enableShadowUpdate, reportez-vous à la section enableShadowUpdate Switch du manuel Oracle Solaris Administration: Naming and Directory Services et à la page de manuel ldapclient(1M).

Configuration des journaux pour le serveur Oracle Directory Server Enterprise Edition

Cette procédure configure trois types de journaux : les journaux d'accès, les journaux d'audit et les journaux des erreurs. Les paramètres par défaut suivants n'ont pas été modifiés :

Tous les journaux sont activés et mis en tampon.
Les journaux sont placés dans le répertoire /export/home/ds/instances/your-instance/logs/LOG_TYPE approprié.
Les événements sont enregistrés au niveau de journal 256.
Les journaux sont protégés par des autorisations de fichier 600.
Les journaux d'accès sont permutés quotidiennement.
Les journaux des erreurs sont permutés hebdomadairement.

Les paramètres dans cette procédure satisfont aux exigences suivantes :

Les journaux d'audit sont permutés quotidiennement.
Les fichiers journaux plus anciens que 3 mois expirent.
Tous les fichiers journaux utilisent un maximum de 20 000 Mo d'espace disque.
100 fichiers journaux maximum sont conservés, et chaque fichier pèse au maximum 500 Mo.
Les journaux les plus anciens sont supprimés si l'espace disque disponible est inférieur à 500 Mo.
Des informations supplémentaires sont collectées dans les journaux des erreurs.

Avant de commencer

Vous devez être superutilisateur dans la zone globale.

Configurez les journaux d'accès.

Le LOG_TYPE pour l'accès est ACCESS. La syntaxe de configuration des journaux est la suivante :

dsconf set-log-prop LOG_TYPE property:value

# dsconf set-log-prop ACCESS max-age:3M
# dsconf set-log-prop ACCESS max-disk-space-size:20000M
# dsconf set-log-prop ACCESS max-file-count:100
# dsconf set-log-prop ACCESS max-size:500M
# dsconf set-log-prop ACCESS min-free-disk-space:500M

Configurez les journaux d'audit.

# dsconf set-log-prop AUDIT max-age:3M
# dsconf set-log-prop AUDIT max-disk-space-size:20000M
# dsconf set-log-prop AUDIT max-file-count:100
# dsconf set-log-prop AUDIT max-size:500M
# dsconf set-log-prop AUDIT min-free-disk-space:500M
# dsconf set-log-prop AUDIT rotation-interval:1d

Par défaut, l'intervalle de permutation des journaux d'audit est une semaine.

Configurez les journaux des erreurs.

Dans cette configuration, vous pouvez spécifier d'autres données à collecter dans le journal des erreurs.

# dsconf set-log-prop ERROR max-age:3M
# dsconf set-log-prop ERROR max-disk-space-size:20000M
# dsconf set-log-prop ERROR max-file-count:30
# dsconf set-log-prop ERROR max-size:500M
# dsconf set-log-prop ERROR min-free-disk-space:500M
# dsconf set-log-prop ERROR verbose-enabled:on

(Facultatif) Effectuez une configuration avancée des journaux.
Vous pouvez également configurer les paramètres suivants pour chaque journal :
```
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined
# dsconf set-log-prop LOG_TYPE rotation-time:undefined
```
Pour plus d'informations sur la commande dsconf, reportez-vous à la page de manuel dsconf(1M).

Configuration d'un port multiniveau pour le serveur Oracle Directory Server Enterprise Edition

Pour fonctionner dans Trusted Extensions, le port du serveur d'annuaire doit être configuré en tant que port multiniveau (MLP) dans la zone globale.

Avant de commencer

Vous devez être superutilisateur dans la zone globale.

Démarrez txzonemgr.
```
# /usr/sbin/txzonemgr &
```
Ajoutez un port multiniveau pour le protocole TCP à la zone globale.
Le numéro de port est 389.
Ajoutez un port multiniveau pour le protocole UDP à la zone globale.
Le numéro de port est 389.

Remplissage du serveur Oracle Directory Server Enterprise Edition

Plusieurs bases de données LDAP ont été créées ou modifiées afin de contenir les données Trusted Extensions relatives à la configuration de l'étiquette, aux utilisateurs et aux systèmes distants. Dans cette procédure, vous remplissez les bases de données du serveur d'annuaire avec des informations Trusted Extensions.

Avant de commencer

Vous devez être superutilisateur dans la zone globale. Vous êtes sur un client LDAP où la mise à jour en double est activée. Pour connaître les conditions requises, reportez-vous à la section Création d'un client LDAP pour le serveur d'annuaire.

Créez une zone de préparation pour les fichiers que vous prévoyez d'utiliser pour remplir les bases de données du service de nommage.
```
# mkdir -p /setup/files
```

Copiez l'échantillon de fichiers /etc dans la zone de préparation.

# cd /etc
# cp aliases group networks netmasks protocols /setup/files
# cp rpc services auto_master /setup/files

# cd /etc/security/tsol
# cp tnrhdb tnrhtp /setup/files

Attention - Ne copiez pas les fichiers *attr. Associez plutôt l'option -S ldap aux commandes permettant d'ajouter des utilisateurs, des rôles et des profils de droits au référentiel LDAP. Ces commandes ajoutent des entrées pour les bases de données user_attr, auth_attr, exec_attr , et prof_attr. Pour plus d'informations, reportez-vous aux pages de manuel user_attr(4) et useradd(1M).

Supprimez l'entrée +auto_master du fichier /setup/files/auto_master.

Créez les mappages automatiques de zone dans la zone de préparation.

# cp /zone/public/root/etc/auto_home_public /setup/files
# cp /zone/internal/root/etc/auto_home_internal /setup/files
# cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files
# cp /zone/restricted/root/etc/auto_home_restricted /setup/files

Dans la liste de mappages automatiques suivante, la première ligne de chaque paire indique le nom du fichier. La deuxième ligne de chaque paire montre le contenu du fichier. Les noms de zones identifient les étiquettes sur la base du fichier label_encodings par défaut fourni avec le logiciel Trusted Extensions.

Remplacez vos noms de zones par ceux qui apparaissent dans ces lignes.
myNFSserver identifie le serveur NFS pour les répertoires personnels.

/setup/files/auto_home_public
 * myNFSserver_FQDN:/zone/public/root/export/home/&

/setup/files/auto_home_internal
 * myNFSserver_FQDN:/zone/internal/root/export/home/&

/setup/files/auto_home_needtoknow
 * myNFSserver_FQDN:/zone/needtoknow/root/export/home/&

/setup/files/auto_home_restricted
 * myNFSserver_FQDN:/zone/restricted/root/export/home/&

Utilisez la commande ldapaddent pour remplir le serveur d'annuaire avec chaque fichier de la zone de préparation.
Par exemple, la commande suivante permet de remplir le serveur à partir du fichier hosts de la zone de préparation.
```
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
```
Si vous avez exécuté la commande ldapclient sur le serveur d'annuaire Trusted Extensions, désactivez le client sur ce système.
Dans la zone globale, exécutez la commande ldapclient l. Utilisez la sortie détaillée pour vérifier que le système n'est plus un client LDAP.
```
# ldapclient -v uninit
```
Pour plus d'informations, reportez-vous à la page de manuel ldapclient(1M).
Pour remplir la base de données du réseau Trusted Extensions dans LDAP, utilisez la commande tncfg avec l'option -S ldap.
Pour plus d'instructions, reportez-vous à la section Étiquetage d'hôtes et de réseaux (liste des tâches).

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)