跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
在 Trusted Extensions 中使用 LDAP 命名服务
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
为了在具有多个 Trusted Extensions 系统的一个安全域内实现用户、主机和网络属性的一致性,需使用一个命名服务来分发大多数配置信息。svc:/system/name-service/switch 服务确定要使用的命名服务。LDAP 是推荐用于 Trusted Extensions 的命名服务。
Directory Server 可以为 Trusted Extensions 和 Oracle Solaris 客户机提供 LDAP 命名服务。该服务器必须包含 Trusted Extensions 网络数据库,并且 Trusted Extensions 客户机必须通过一个多级别端口连接到服务器。安全管理员在系统配置期间指定多级别端口。
Trusted Extensions 将两个可信网络数据库添加到 Directory Server:tnrhdb 和 tnrhtp。
有关在 Oracle Solaris 中使用 LDAP 命名服务的信息,请参见《Oracle Solaris Administration: Naming and Directory Services》。
第 5 章中介绍了如何设置用于 Trusted Extensions 的 Directory Server。通过使用配置有 Trusted Extensions 的 Directory Server 代理,Trusted Extensions 系统可以成为 Oracle Solaris Directory Server 的客户机。
创建 Trusted Extensions LDAP 客户机中介绍了如何设置 Trusted Extensions Directory Server 的客户机。
注 - 配置有 Trusted Extensions 的系统不能成为 NIS 主机的客户机。
如果站点上没有使用命名服务,则管理员必须确保用户、系统和网络的配置信息在所有系统上均相同。如果在一个系统上做了某个更改,则在所有系统上必须做相同的更改。
在本地管理的 Trusted Extensions 系统上,在 /etc、/etc/security 和 /etc/security/tsol 目录中的文件中维护配置信息。
Trusted Extensions 扩展了 Directory Server 的模式来容纳 tnrhdb 和 tnrhtp 数据库。Trusted Extensions 定义了两个新属性(ipTnetNumber 和 ipTnetTemplateName),以及两个新的对象类(ipTnetTemplate 和 ipTnetHost)。
属性定义如下所示:
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
对象类定义如下所示:
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP 中的 cipso 模板定义类似于以下内容:
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal