| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
Oracle Administración Solaris: Servicios de red Oracle Solaris 11 Information Library (Español) |
| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
|
Oracle Administración Solaris: Servicios de red Oracle Solaris 11 Information Library (Español) |
Parte I Servicios de red (temas)
1. Servicio de red (descripción general)
2. Gestión de servidores de antememoria web
Acelerador y antememoria de red (descripción general)
Servidores web que usan el protocolo de capa de sockets seguros
Gestión de servidores de antememoria web (mapa de tareas)
Requisitos del sistema para el NCA
Biblioteca de interposición para compatibilidad con daemon del servidor Door
Administración del almacenamiento en antememoria de las páginas web (tareas)
Cómo habilitar el almacenamiento en antememoria de páginas web
Cómo deshabilitar el almacenamiento en la antememoria de las páginas web
Cómo habilitar y deshabilitar el registro del NCA
Cómo cargar la biblioteca de utilidades del socket NCA
Cómo agregar un nuevo puerto al servicio del NCA
Cómo configurar un servidor web Apache 2.0 para utilizar el proxy SSL en el nivel del núcleo
Cómo configurar un Sun Java System Web Server para utilizar el proxy SSL en el nivel del núcleo
Almacenamiento en antememoria de páginas web (referencia)
Flujo de solicitud del NCA a httpd
3. Servicios relacionados con el tiempo
Parte II Acceso a los sistemas de archivos de red (temas)
4. Gestión de sistemas de archivos de red (descripción general)
5. Administración de sistema de archivos de red (tareas)
6. Acceso a los sistemas de archivos de red (referencia)
8. Planificación y habilitación del SLP (tareas)
9. Administración del SLP (tareas)
10. Incorporación de servicios antiguos
Parte IV Servicios de correo (temas)
12. Servicios de correo (descripción general)
13. Servicios de correo (tareas)
14. Servicios de correo (referencia)
Parte V Redes en serie (temas)
15. Solaris PPP 4.0 (descripción general)
16. Planificación del enlace de PPP (tareas)
17. Configuración de un enlace de PPP por marcación telefónica (tareas)
18. Configuración de un enlace de PPP de línea arrendada (tareas)
19. Configuración de autenticación PPP (tareas)
20. Configuración de un túnel PPPoE (tareas)
21. Resolución de problemas comunes de PPP (tareas)
22. Solaris PPP 4.0 (referencia)
23. Migración de Solaris PPP asíncrono a Solaris PPP 4.0 (tareas)
24. UUCP (descripción general)
25. Administración del UUCP (tareas)
Parte VI Trabajo con sistemas remotos (temas)
27. Trabajo con sistemas remotos (descripción general)
28. Administración del servidor FTP (tareas)
29. Acceso a sistemas remotos (tareas)
Parte VII Supervisión de servicios de red (temas)
Las siguientes secciones incluyen los procedimientos para habilitar o deshabilitar las partes del servicio.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad.
Escriba los nombres de cada una de las interfaces físicas en el archivo /etc/nca/nca.if. Consulte la página del comando man nca.if(4) para obtener más información.
# cat /etc/nca/nca.if hme0 hme1
Cada interfaz debe estar junto con un archivo hostname.nombre_interfaz y una entrada en el archivo /etc/hosts para los contenidos de hostname.nombre_interfaz. Para iniciar la función NCA en todas las interfaces, coloque un asterisco, *, en el archivo nca.si.
Cambie la entrada status en /etc/nca/ncakmod.conf a enabled.
# cat /etc/nca/ncakmod.conf # # NCA Kernel Module Configuration File # status=enabled httpd_door_path=/system/volatile/nca_httpd_1.door nca_active=disabled
Consulte la página del comando man ncakmod.conf(4) para obtener más información.
Cambie la entrada status en /etc/nca/ncalogd.conf a enabled.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log" logd_file_size=1000000
Puede cambiar la ubicación del archivo de registro si cambia la ruta indicada por la entrada logd_path_name. El archivo de registro puede ser un dispositivo sin formato o un archivo. Consulte los siguientes ejemplos para ver muetras de rutas de archivos de registro del NCA. Consulte la página del comando man ncalogd.conf(4) para obtener más información sobre el archivo de configuración.
Agregue los números de puerto en el archivo /etc/nca/ncaport.conf. Esta entrada hace que el NCA supervise el puerto 80 en todas las direcciones IP configuradas.
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80
Utilice el comando eeprom para definir la kernelbase del sistema.
# eeprom kernelbase=0x90000000 # eeprom kernelbase kernelbase=0x90000000
El segundo comando verifica que el parámetro se haya configurado.
Nota - Al configurar kernelbase, reduce la cantidad de memoria virtual que pueden usar los procesos de usuario a menos de 3 Gbytes. Esta restricción significa que el sistema no es compatibles con ABI. Cuando el sistema se inicia, la consola muestra un mensaje que advierte acerca del incumplimiento. La mayoría de los programas no necesitan todo el espacio de dirección virtual de 3 GB. Si tiene un programa que requiere más de 3 Gbytes, debe ejecutar el programa en un sistema que no tenga el NCA habilitado.
Ejemplo 2-1 Uso de un dispositivo sin formato como archivo de registro del NCA
La cadena logd_path_name en ncalogd.conf puede definir un dispositivo sin formato como el lugar para almacenar el archivo de registro NCA. La ventaja de utilizar un dispositivo sin formato es que el servicio puede ejecutarse más rápido debido a que se disminuye la sobrecarga al acceder a un dispositivo sin formato.
El servicio del NCA prueba los dispositivos sin formato que aparecen en el archivo para garantizar que no haya ningún sistema de archivos en el lugar. Esta prueba garantiza que no se sobreescriban accidentalmente sistemas de archivos.
Para evitar que esta prueba encuentre un sistema de archivos, ejecute el siguiente comando. Este comando destruye parte del sistema de archivos en cualquier partición de disco que se haya configurado como sistema de archivos. En este ejemplo, /dev/rdsk/c0t0d0s7 es el dispositivo sin formato que tiene un sistema de archivos antiguo.
# dd if=/dev/zero of=/dev/rdsk/c0t0d0s7 bs=1024 count=1
Después de ejecutar dd, puede agregar el dispositivo sin formato al archivo ncalogd.conf.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/dev/rdsk/c0t0d0s7" logd_file_size=1000000
Ejemplo 2-2 Uso de varios archivos de registro del NCA
La cadena logd_path_name en ncalogd.conf puede definir varios destinos como el lugar para almacenar el archivo de registro del NCA. El segundo archivo se utiliza cuando el primer archivo está lleno. El siguiente ejemplo muestra cómo seleccionar escribir en el archivo /var/nca/log primero y luego usar la partición sin formato.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log /dev/rdsk/c0t0d0s7" logd_file_size=1000000
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad.
Cambie la entrada status en /etc/nca/ncakmod.conf a disabled.
# cat /etc/nca/ncakmod.conf # NCA Kernel Module Configuration File # status=disabled httpd_door_path=/system/volatile/nca_httpd_1.door nca_active=disabled
Consulte la página del comando man ncakmod.conf(4) para obtener más información.
Cambie la entrada status en /etc/nca/ncalogd.conf a disabled.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=disabled logd_path_name="/var/nca/log" logd_file_size=1000000
Consulte la página del comando manncalogd.conf(4) para obtener más información.
El registro del NCA puede habilitarse o deshabilitarse según sea necesario, una vez que se haya habilitado el NCA. Consulte Cómo habilitar el almacenamiento en antememoria de páginas web para obtener más información.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad.
Para deshabilitar permanentemente el registro, debe cambiar el estado en /etc/nca/ncalogd.conf a disabled y reiniciar el sistema. Consulte la página del comando man ncalogd.conf(4) para obtener más información.
Siga este proceso sólo si el servidor web no proporciona soporte nativo del socket AF_NCA.
En la secuencia de comandos de inicio para el servidor web, agregue una línea que haga que la biblioteca se precargue. La línea que obtendrá debe ser similar a la siguiente:
LD_PRELOAD=/usr/lib/ncad_addr.so /usr/bin/httpd
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad.
Agregue una nueva entrada de puerto a /etc/nca/ncaport.conf. Este ejemplo agrega el puerto 8888 a la dirección IP 192.168.84.71. Consulte ncaport.conf(4) para obtener más información.
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80 ncaport=192.168.84.71/8888
Una dirección debe estar en el archivo que contiene las configuraciones de puerto del NCA antes de que un servidor web pueda utilizar la dirección del NCA. Si el servidor web se ejecuta, debe reiniciarse después de que se defina la nueva dirección.
Este procedimiento se debe utilizar para mejorar el rendimiento del proceso de paquetes SSL en un servidor web Apache 2.0.
Antes de empezar
El siguiente procedimiento requiere que se instale y configure un servidor web Apache 2.0. El servidor web Apache 2.0 se incluye en la versión.
Para utilizar el proxy SSL en el nivel del núcleo, la clave privada del servidor y el certificado de servidor tienen que existir en un único archivo. Si sólo los parámetros SSLCertificateFile se especifican en el archivo ssl.conf, el archivo especificado se puede utilizar directamente para el SSL del núcleo. Si el parámetro SSLCertificateKeyFile también se especifica, el archivo de certificado y el archivo de clave privada deben combinarse. Una forma de combinar el certificado y el archivo de clave es ejecutar el siguiente comando:
# cat cert.pem key.pem >cert-and-key.pem
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. El comando ksslcfg se incluye en el perfil Network Security.
Este comando detendrá el servidor web en un sistema en el que el servidor esté configurado para ejecutarse con SMF.
# svcadm disable svc:/network/http:apache2
Si el servicio no se ha convertido aún, deténgalo con esta sintaxis de comando: /usr/apache2/bin/apachectl stop
Todas las opciones se muestran en la página del comando man ksslcfg(1M). Los parámetros para los que debe tener información son:
key-format: se usa con la opción -f para definir el certificado y el formato de clave. Para el proxy SSL en el nivel del núcleo, el valor debería ser pem o pkcs12.
key-and-certificate-file: se usa con la opción -i para establecer la ubicación del archivo que almacena la clave del servidor y el certificado.
password-file: se utiliza con la opción -p para seleccionar la ubicación del archivo que incluye la contraseña utilizada para cifrar la clave privada. Esta contraseña se utiliza para permitir inicios sin vigilancia. Los permisos en el archivo deben ser 0400.
proxy-port: se usa con la opción -x para configurar el puerto proxy SSL. Seleccione un puerto diferente que el puerto estándar 80. El servidor web recibe el puerto proxy SSL.
ssl-port: selecciona el puerto del que debe recibir el proxy SSL en el nivel del núcleo. Normalmente esto se establece en 443.
Nota - Los valores ssl-port y proxy-port no se pueden configurar para el NCA, ya que estos puertos son utilizados exclusivamente por el proxy SSL en el nivel del núcleo. Normalmente, el puerto 80 se utiliza para el NCA, el puerto 8443 para proxy-port y el 443 para ssl-port.
El comando ksslcfg para especificar el puerto proxy SSL y los parámetros asociados.
ksslcfg create -f key-format -i key-and-certificate-file -p password-file -x proxy-port ssl-port
El servicio de estado informado por el siguiente comando debe ser “en línea”.
# svcs svc:/network/ssl/proxy
Edite el archivo /etc/apache2/http.conf y agregue una línea para definir el puerto proxy SSL. Si utiliza las direcciones de los servidores IP, el servidor web sólo recibirá en dicha interfaz. La línea debe ser como esta:
Listen 0.0.0.0:proxy-port
El servidor web sólo debe iniciarse después de la instancia de proxy de núcleo SSL. Los siguientes comandos establecen la dependencia.
# svccfg -s svc:/network/http:apache2 svc:/network/http:apache2> addpg kssl dependency svc:/network/http:apache2> setprop kssl/entities = fmri:svc:/network/ssl/proxy:kssl-INADDR_ANY-443 svc:/network/http:apache2> setprop kssl/grouping = astring: require_all svc:/network/http:apache2> setprop kssl/restart_on = astring: refresh svc:/network/http:apache2> setprop kssl/type = astring: service svc:/network/http:apache2> end
# svcadm enable svc:/network/http:apache2
Si el servicio no se inicia mediante SMF, utilice el siguiente comando: /usr/apache2/bin/apachectl startssl
Ejemplo 2-3 Configuración de un servidor web Apache 2.0 para utilizar el proxy SSL en el nivel del núcleo
El siguiente comando crea una instancia con el formato de clave pem.
# ksslcfg create -f pem -i cert-and-key.pem -p file -x 8443 443
Este procedimiento se debe utilizar para mejorar el rendimiento del proceso de paquete SSL en un Sun Java System Web Server. Consulte Sun Java System Web Server 7.0 Update 1 Administrator’s Guide para obtener información acerca de este servidor web.
Antes de empezar
El siguiente procedimiento requiere que se haya instalado y configurado un Sun Java System Web Server.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. El comando ksslcfg se incluye en el perfil Network Security.
Utilice la interfaz web del administrador para detener el servidor. Consulte Inicio y detención del servidor en Sun Java System Web Server 7.0 Update 1 Administrator’s Guide para obtener más información.
Todas las opciones se muestran en la página del comando man ksslcfg(1M). Los parámetros para los que debe tener información son:
key-format: se usa con la opción -f para definir el certificado y el formato de clave.
token-label: se usa con la opción -T para especificar el token PKCS#11.
certificate-label: se usa con la opción -C para seleccionar la etiqueta en el objeto de certificado en el token PKCS#11.
password-file: se usa con la opción -p para seleccionar la ubicación del archivo que incluye la contraseña usada para iniciar sesión con el usuario para el token PKCS#11 usado por el servidor web. Esta contraseña se utiliza para permitir inicios sin vigilancia. Los permisos en el archivo deben ser 0400.
proxy-port: se usa con la opción -x para configurar el puerto proxy SSL. Seleccione un puerto diferente que el puerto estándar 80. El servidor web recibe el puerto proxy SSL.
ssl-port: define el puerto del que debe recibir el proxy SSL en el nivel del núcleo. Normalmente este valor se establece en 443.
Nota - Los valores ssl-port y proxy-port no se pueden configurar para el NCA, ya que estos puertos son utilizados exclusivamente por el proxy SSL en el nivel del núcleo. Normalmente, el puerto 80 se utiliza para el NCA, el puerto 8443 para proxy-port y el 443 para ssl-port.
El comando ksslcfg para especificar el puerto proxy SSL y los parámetros asociados.
ksslcfg create -f key-format -T PKCS#11-token -C certificate-label -p password-file -x proxy-port ssl-port
El servicio de estado informado por el siguiente comando debe ser “en línea”.
# svcs svc:/network/ssl/proxy
Consulte Agregar y editar sockets de escucha en Sun Java System Web Server 7.0 Update 1 Administrator’s Guide para obtener más información.
Ejemplo 2-4 Configuración de un Sun Java System Web Server para utilizar el proxy SSL en el nivel del núcleo
El siguiente comando crea una instancia con el formato de clave pkcs11.
# ksslcfg create -f pkcs11 -T "Sun Software PKCS#11 softtoken" -C "Server-Cert" -p file -x 8443 443
El proxy SSL en el nivel del núcleo funciona en zonas con las siguientes limitaciones:
Toda la administración del SSL del núcleo se debe realizar desde la zona global. El administrador de la zona global necesita acceder al certificado de la zona local y los archivos de claves. El servidor web de la zona local se puede iniciar una vez que la instancia de servicio se configure mediante el comando ksslcfg en la zona global.
Debe especificarse un nombre de host específico o dirección IP al ejecutar el comando ksslcfg para configurar la instancia. En particular, la instancia no puede usar INADDR_ANY.
Ejemplo 2-5 Configuración de un servidor web Apache en una zona local para utilizar proxy SSL en el nivel del núcleo
En la zona local, primero detenga el servidor web. En la zona global, realice todos los pasos para configurar el servicio. Para crear una instancia para una zona local denominada apache-zone, utilice el siguiente comando:
# ksslcfg create -f pem -i /zone/apache-zone/root/keypair.pem -p /zone/apache-zone/root/pass \ -x 8443 apache-zone 443
En la zona local, ejecute el siguiente comando para habilitar la instancia de servicio:
# svcadm enable svc:/network/http:apache2
|