JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Configuración y administración de Trusted Extensions     Oracle Solaris 11 Information Library (Español)
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prefacio

Parte I Configuración inicial de Trusted Extensions

1.  Planificación de la seguridad para Trusted Extensions

2.  Guía básica de configuración de Trusted Extensions

3.  Adición de la función Trusted Extensions a Oracle Solaris (tareas)

4.  Configuración de Trusted Extensions (tareas)

Configuración de la zona global en Trusted Extensions

Cómo comprobar e instalar el archivo de codificaciones de etiquetas

Cómo habilitar redes IPv6 en Trusted Extensions

Cómo configurar el dominio de interpretación

Creación de zonas con etiquetas

Cómo crear un sistema Trusted Extensions predeterminado

Cómo crear zonas con etiquetas de forma interactiva

Cómo asignar etiquetas a dos espacios de trabajo con zonas

Configuración de las interfaces de red en Trusted Extensions

Cómo compartir una única dirección IP con todas las zonas

Cómo agregar una instancia de IP para una zona con etiquetas

Cómo agregar una interfaz de red virtual a una zona con etiquetas

Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions

Cómo configurar un servicio de nombres independiente para cada zona con etiquetas

Creación de roles y usuarios en Trusted Extensions

Cómo crear el rol de administrador de la seguridad en Trusted Extensions

Cómo crear un rol de administrador del sistema

Cómo crear usuarios que puedan asumir roles en Trusted Extensions

Cómo verificar que los roles de Trusted Extensions funcionan

Cómo permitir que los usuarios inicien sesión en una zona con etiquetas

Creación de directorios principales centralizados en Trusted Extensions

Cómo crear el servidor de directorio principal en Trusted Extensions

Cómo permitir que los usuarios accedan a sus directorios principales remotos en cada etiqueta mediante el inicio de sesión en cada servidor NFS

Cómo permitir que los usuarios accedan a sus directorios principales remotos mediante la configuración del montador automático en cada servidor

Resolución de los problemas de configuración de Trusted Extensions

Cómo mover los paneles de escritorio a la parte inferior de la pantalla

Tareas adicionales de configuración de Trusted Extensions

Cómo copiar archivos en medios portátiles en Trusted Extensions

Cómo copiar archivos desde medios portátiles en Trusted Extensions

Cómo eliminar Trusted Extensions del sistema

5.  Configuración de LDAP para Trusted Extensions (tareas)

Parte II Administración de Trusted Extensions

6.  Conceptos de la administración de Trusted Extensions

7.  Herramientas de administración de Trusted Extensions

8.  Requisitos de seguridad del sistema Trusted Extensions (descripción general)

9.  Realización de tareas comunes en Trusted Extensions (tareas)

10.  Usuarios, derechos y roles en Trusted Extensions (descripción general)

11.  Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)

12.  Administración remota en Trusted Extensions (tareas)

13.  Gestión de zonas en Trusted Extensions (tareas)

14.  Gestión y montaje de archivos en Trusted Extensions (tareas)

15.  Redes de confianza (descripción general)

16.  Gestión de redes en Trusted Extensions (tareas)

17.  Trusted Extensions y LDAP (descripción general)

18.  Correo de varios niveles en Trusted Extensions (descripción general)

19.  Gestión de impresión con etiquetas (tareas)

20.  Dispositivos en Trusted Extensions (descripción general)

21.  Gestión de dispositivos para Trusted Extensions (tareas)

22.  Auditoría de Trusted Extensions (descripción general)

23.  Gestión de software en Trusted Extensions (referencia)

A.  Política de seguridad del sitio

Creación y gestión de una política de seguridad

Política de seguridad del sitio y Trusted Extensions

Recomendaciones de seguridad informática

Recomendaciones de seguridad física

Recomendaciones de seguridad del personal

Infracciones de seguridad comunes

Referencias de seguridad adicionales

B.  Lista de comprobación de configuración de Trusted Extensions

Lista de comprobación para la configuración de Trusted Extensions

C.  Referencia rápida a la administración de Trusted Extensions

Interfaces administrativas en Trusted Extensions

Interfaces de Oracle Solaris ampliadas por Trusted Extensions

Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions

Opciones limitadas en Trusted Extensions

D.  Lista de las páginas del comando man de Trusted Extensions

Páginas del comando man de Trusted Extensions en orden alfabético

Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions

Glosario

Índice

Configuración de las interfaces de red en Trusted Extensions

El sistema Trusted Extensions no necesita una red para ejecutar un escritorio con una pantalla de mapa de bits con conexión directa, como un equipo portátil o una estación de trabajo. Sin embargo, se requiere una configuración de red para la comunicación con otros sistemas. Mediante la interfaz gráfica de usuario txzonemgr, puede configurar de forma sencilla las zonas con etiquetas y la zona global para la conexión con otros sistemas. Para obtener una descripción de las opciones de configuración para las zonas con etiquetas, consulte Acceso a zonas con etiquetas. En el siguiente mapa de tareas, se describen las tareas de configuración de red y se incluyen enlaces a ellas.

Tarea
Descripción
Para obtener instrucciones
Configurar un sistema predeterminado para los usuarios comunes.
El sistema tiene una dirección IP y utiliza una interfaz all-zones para la comunicación entre las zonas con etiquetas y la zona global. La misma dirección IP se utiliza para la comunicación con sistemas remotos.
Cómo compartir una única dirección IP con todas las zonas
Agregar una dirección IP a la zona global.
El sistema tiene más de una dirección IP y utiliza la dirección IP exclusiva de la zona global para acceder a una subred privada. Las zonas con etiquetas no pueden acceder a esta subred.
Cómo compartir una única dirección IP con todas las zonas
Asignar una dirección IP a cada zona, donde las zonas comparten la pila de IP.
El sistema tiene más de una dirección IP. En el caso más sencillo, las zonas comparten una interfaz física.
Cómo agregar una instancia de IP para una zona con etiquetas
Agregar una interfaz all-zones a la instancia de IP por zona.
El sistema puede ofrecer a sus zonas con etiquetas servicios con privilegios que están protegidos contra ataques remotos.
Cómo agregar una instancia de IP para una zona con etiquetas
Asignar una dirección IP a cada zona, donde la pila de IP es exclusiva.
Se asigna una dirección IP a cada zona, incluida la zona global. Se crea una tarjeta de interfaz de red virtual (VNIC) para cada zona con etiquetas.
Cómo agregar una interfaz de red virtual a una zona con etiquetas
Conectar las zonas con zonas remotas.
Esta tarea configura las interfaces de red de las zonas con etiquetas y la zona global para acceder a sistemas remotos en la misma etiqueta.
Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions
Ejecutar un daemon nscd independiente por zona.
En un entorno en el que cada subred tiene su propio servidor de nombres, esta tarea configura un daemon nscd por zona.
Cómo configurar un servicio de nombres independiente para cada zona con etiquetas

Cómo compartir una única dirección IP con todas las zonas

Este procedimiento permite a cada zona del sistema utilizar una dirección IP, la dirección IP de la zona global, para acceder a otros hosts o zonas con etiquetas idénticas. Ésta es la configuración predeterminada. Debe completar este procedimiento si ha configurado las interfaces de red de forma diferente y desea restablecer el sistema a la configuración de red predeterminada.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

  1. Ejecute el comando txzonemgr sin ninguna opción.
    # txzonemgr &

    La lista de zonas se muestra en Labeled Zone Manager. Para obtener información sobre esta interfaz gráfica de usuario, consulte Cómo crear zonas con etiquetas de forma interactiva.

  2. Haga doble clic en la zona global.
  3. Haga doble clic en Configure Network Interfaces.

    Aparece una lista de interfaces. Busque una interfaz en la lista con las siguientes características:

    • Tipo de phys

    • Dirección IP de su nombre de host

    • Estado de up

  4. Seleccione la interfaz que coincide con su nombre de host.
  5. De la lista de comandos, seleccione Share with Shared-IP Zones.

    Todas las zonas pueden utilizar esta dirección IP compartida para la comunicación con sistemas remotos en su etiqueta.

  6. Haga clic en Cancel para volver a la lista de comandos de zonas.

Pasos siguientes

Para configurar la red externa del sistema, vaya a Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions.

Cómo agregar una instancia de IP para una zona con etiquetas

Este procedimiento resulta necesario si utiliza una pila de IP compartida y direcciones por zona, y desea conectar las zonas con etiquetas a zonas con etiquetas de otros sistemas de la red.

En este procedimiento, se crea una instancia de IP, es decir, una dirección por zona, para una o varias zonas con etiquetas. Las zonas con etiquetas utilizan su dirección por zona para comunicarse con zonas con etiquetas idénticas en la red.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

La lista de zonas se muestra en Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Cómo crear zonas con etiquetas de forma interactiva. Se debe detener la zona con etiquetas que desea configurar.

  1. En Labeled Zone Manager, haga doble clic en una zona con etiquetas a la que desea agregar una instancia de IP.
  2. Haga doble clic en Configure Network Interfaces.

    Aparece una lista de opciones de configuración.

  3. Seleccione Add an IP instance.
  4. Si el sistema tiene más de una dirección IP, seleccione la entrada con la interfaz deseada.
  5. Para esta zona con etiquetas, proporcione una dirección IP y un recuento de prefijos.

    Por ejemplo, escriba 192.168.1.2/24. Si no anexa el recuento de prefijos, se le solicitará una máscara de red. La máscara de red equivalente para este ejemplo es 255.255.255.0.

  6. Haga clic en OK.
  7. Para agregar un enrutador predeterminado, haga doble clic en la entrada que acaba de agregar.

    Cuando se solicite, escriba la dirección IP del enrutador y haga clic en OK.

    Nota - Para eliminar o modificar el enrutador predeterminado, elimine la entrada y, a continuación, cree la instancia de IP de nuevo.

  8. Haga clic en Cancel para volver a la lista de comandos de zonas.

Pasos siguientes

Para configurar la red externa del sistema, vaya a Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions.

Cómo agregar una interfaz de red virtual a una zona con etiquetas

Este procedimiento resulta necesario si utiliza una pila de IP exclusiva y direcciones por zona, y planea conectar las zonas con etiquetas a zonas con etiquetas de otros sistemas de la red.

En este procedimiento, se crea una VNIC y se la asigna a una zona con etiquetas.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

La lista de zonas se muestra en Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Cómo crear zonas con etiquetas de forma interactiva. Se debe detener la zona con etiquetas que desea configurar.

  1. En Labeled Zone Manager, haga doble clic en la zona con etiquetas a la que desea agregar una interfaz virtual.
  2. Haga doble clic en Configure Network Interfaces.

    Aparece una lista de opciones de configuración.

  3. Haga doble clic en Add a virtual interface (VNIC).

    Si el sistema tiene más de una tarjeta VNIC, se muestra más de una opción. Seleccione la entrada con la interfaz deseada.

  4. Asigne un nombre de host o asigne una dirección IP y un recuento de prefijos.

    Por ejemplo, escriba 192.168.1.2/24. Si no anexa el recuento de prefijos, se le solicitará una máscara de red. La máscara de red equivalente para este ejemplo es 255.255.255.0.

  5. Para agregar un enrutador predeterminado, haga doble clic en la entrada que acaba de agregar.

    Cuando se solicite, escriba la dirección IP del enrutador y haga clic en OK.

    Nota - Para eliminar o modificar el enrutador predeterminado, elimine la entrada y, a continuación, cree la VNIC de nuevo.

  6. Haga clic en Cancel para volver a la lista de comandos de zonas.

    Se muestra la entrada de VNIC. El sistema asigna el nombre nombre_zona_n, como en internal_0.

Pasos siguientes

Para configurar la red externa del sistema, vaya a Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions.

Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions

En este procedimiento, se define la red de Trusted Extensions mediante la adición de hosts remotos a los que el sistema Trusted Extensions se puede conectar.

Antes de empezar

Aparece Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Cómo crear zonas con etiquetas de forma interactiva. Debe estar con el rol de usuario root en la zona global.

  1. En Labeled Zone Manager, haga doble clic en la zona global.
  2. Seleccione Add Multilevel Access to Remote Host.
    1. Escriba la dirección IP de otro sistema Trusted Extensions.
    2. Ejecute los comandos correspondientes en el otro sistema Trusted Extensions.
  3. Haga clic en Cancel para volver a la lista de comandos de zonas.
  4. En Labeled Zone Manager, haga doble clic en una zona con etiquetas.
  5. Seleccione Add Access to Remote Host.
    1. Escriba la dirección IP de la zona con etiquetas idénticas en otro sistema Trusted Extensions.
    2. Ejecute los comandos correspondientes en la zona del otro a sistema Trusted Extensions.

Véase también

Cómo configurar un servicio de nombres independiente para cada zona con etiquetas

Este procedimiento permite configurar por separado un daemon de servicio de nombres (nscd) en cada zona con etiquetas. Esta configuración no cumple con los criterios de una configuración evaluada. En una configuración evaluada, el daemon nscd sólo se ejecuta en la zona global. Las puertas de cada zona con etiquetas conectan la zona al daemon nscd global.

Esta configuración admite entornos donde cada zona está conectada a una subred que se ejecuta en la etiqueta de la zona y la subred tiene su propio servidor de nombres para esa etiqueta.

Nota - Para utilizar esta configuración, es necesario tener conocimientos avanzados sobre redes.

Antes de empezar

Aparece Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Cómo crear zonas con etiquetas de forma interactiva. Debe estar con el rol de usuario root en la zona global.

  1. En Labeled Zone Manager, seleccione Configure per-zone name service y haga clic en OK.

    Nota - Esta opción está diseñada que ser utilizada una vez, durante configuración inicial del sistema.

  2. Configure el servicio nscd de cada zona.

    Para obtener ayuda, consulte la página del comando man nscd(1M).

  3. Reinicie el sistema.
    # /usr/sbin/reboot
  4. Para cada zona, verifique la ruta y el daemon de servicio de nombres.
    1. En la consola de zona, muestre el servicio nscd.
      zone-name # svcs -x name-service/cache
svc:/system/name-service/cache:default (name service cache)
 State: online since September 10, 2011  10:10:11 AM PDT
   See: nscd(1M)
   See: /var/svc/log/system-name-service-cache:default.log
Impact: None.
    2. Verifique la ruta a la subred.
      zone-name # netstat -rn

Ejemplo 4-3 Eliminación de una antememoria de servicio de nombres en cada zona con etiquetas

Después de probar un daemon de servicio de nombres por zona, el administrador del sistema decide eliminar los daemons de servicio de nombres de las zonas con etiquetas y ejecutar el daemon sólo en la zona global. Para restablecer el sistema a la configuración predeterminada del servicio de nombres, el administrador abre la interfaz gráfica de usuario txzonemgr, selecciona la zona global y, a continuación, selecciona Unconfigure per-zone name service y OK. Esta selección elimina el daemon nscd de cada zona con etiquetas. A continuación, el administrador reinicia el sistema.

Pasos siguientes

Al configurar las cuentas de usuario y de rol para cada zona, cuenta con tres opciones.

La configuración por separado de un daemon de servicio de nombres en cada zona con etiquetas tiene consecuencias en las contraseñas para todos los usuarios. Los usuarios deben autenticarse para obtener acceso a cualquiera de sus zonas con etiquetas, incluida la zona que corresponde a su etiqueta predeterminada. Además, el administrador debe crear cuentas de manera local en cada zona, o bien las cuentas deben existir en un directorio LDAP en donde la zona es un cliente LDAP.

En el caso especial en que una cuenta de la zona global ejecuta Labeled Zone Manager, txzonemgr, la información de la cuenta se copia en las zonas con etiquetas para que al menos esa cuenta pueda iniciar sesión en cada zona. De manera predeterminada, esta cuenta es la cuenta de usuario inicial.

Copyright © 1992, 2011, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente