跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
在 Trusted Extensions 网络上配置 LDAP(任务列表)
在 Trusted Extensions 系统上配置 LDAP 代理服务器(任务列表)
在 Trusted Extensions 系统上配置 Oracle Directory Server 企业版
收集用于 LDAP 的 Directory Server 的信息
安装 Oracle Directory Server 企业版
为 Directory Server 创建 LDAP 客户机
配置 Oracle Directory Server 企业版的日志
为现有 Oracle Directory Server 企业版创建 Trusted Extensions 代理
创建 Trusted Extensions LDAP 客户机
使全局区域成为 Trusted Extensions 中的客户机
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
LDAP 命名服务是适用于 Trusted Extensions 的受支持的命名服务。如果您的站点尚未运行 LDAP 命名服务,请在配置有 Trusted Extensions 的系统上配置 Oracle Directory Server 企业版 (Directory Server)。
如果您的站点已经在运行 Directory Server,则您需要向服务器添加 Trusted Extensions 数据库。为访问 Directory Server,您需要在 Trusted Extensions 系统上设置一个 LDAP 代理。
这些项按其在 Oracle Java Enterprise System 安装向导中的出现顺序列出。
|
可以从 Sun 软件产品的 Oracle Web 站点 中获取 Directory Server 软件包。
开始之前
您的 Trusted Extensions 系统上安装了一个全局区域。系统上没有带标签的区域。您必须在全局区域中承担 root 角色。
Trusted Extensions LDAP 服务器是为使用 pam_unix 向 LDAP 系统信息库进行验证的客户机配置的。使用 pam_unix 时,口令操作由客户机确定,因此口令策略也由客户机确定。说得明确一点,也就是不使用由 LDAP 服务器设置的策略。有关可在客户机上设置的口令参数,请参见《Oracle Solaris 管理:安全服务》中的"管理口令信息"。有关 pam_unix 的信息,请参见 pam.conf(4) 手册页。
注 - LDAP 客户机上 pam_ldap 的使用是 Trusted Extensions 的未经评估的配置。
FQDN 是指 Fully Qualified Domain Name(全限定域名)。此名称是主机名和管理域的组合,如下例所示:
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
选择适用于您平台的最新软件。
使用收集用于 LDAP 的 Directory Server 的信息中的信息来回答问题。有关问题、缺省值以及建议答案的完整列表,请参见《Oracle Solaris Administration: Naming and Directory Services》中的第 11 章 "Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks)"和《Oracle Solaris Administration: Naming and Directory Services》中的第 12 章 "Setting Up LDAP Clients (Tasks)"。
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Directory Server 的 SMF 服务的模板包含在 Oracle Directory Server 企业版软件包中。
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
有关 dsadm 命令的信息,请参见 dsadm(1M) 手册页。
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
有关 dpadm 命令的信息,请参见 dpadm(1M) 手册页。
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
故障排除
有关解决 LDAP 配置问题的策略,请参见《Oracle Solaris Administration: Naming and Directory Services》中的第 13 章 "LDAP Troubleshooting (Reference)"。
您将使用此客户机来置备您用于 LDAP 的 Directory Server。在置备 Directory Server 之前必须执行此任务。
您可以在 Trusted Extensions Directory Server 上临时创建客户机,然后在服务器上删除此客户机,您也可以创建独立的客户机。
开始之前
您是全局区域中的 root 角色。
可以使用 Trusted Extensions Directory Server,或者将 Trusted Extensions 添加到独立的系统中。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"
在本例中,LDAP 客户机位于 example-domain.com 域中。服务器的 IP 地址为 192.168.5.5。
# ldapclient init -a domainName=example-domain.com -a profileName=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
有关 enableShadowUpdate 参数的信息,请参见《Oracle Solaris Administration: Naming and Directory Services》中的"enableShadowUpdate Switch"和 ldapclient(1M) 手册页。
此过程将配置三种类型的日志:访问日志、审计日志和错误日志。将不会更改以下缺省设置:
启用并缓冲所有日志。
将日志放置在相应的 /export/home/ds/instances/your-instance/logs/LOG_TYPE 目录中。
以日志级别 256 记录事件。
使用 600 文件权限保护日志。
访问日志每天轮转一次。
错误日志每周轮转一次。
此过程中的设置满足以下要求:
审计日志每天轮转一次。
超过 3 个月的日志文件将到期。
所有日志文件最多可使用 20,000 MB 磁盘空间。
最多可保留 100 个日志文件,且每个文件最多 500 MB。
如果可用的空闲磁盘空间小于 500 MB,则删除最旧的日志。
在错误日志中收集其他信息。
开始之前
您必须在全局区域中承担 root 角色。
访问的 LOG_TYPE 为 ACCESS。用于配置日志的语法如下:
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
缺省情况下,审计日志的轮转时间间隔是一周。
在此配置中,您将指定要在错误日志中收集的其他数据。
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
您还可以为每个日志配置以下设置:
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
有关 dsconf 命令的信息,请参见 dsconf(1M) 手册页。
要在 Trusted Extensions 中工作,必须在全局区域中将 Directory Server 的服务器端口配置为多级别端口 (multilevel port, MLP)。
开始之前
您必须在全局区域中承担 root 角色。
# /usr/sbin/txzonemgr &
端口号为 389。
端口号为 389。
已创建或修改了多个 LDAP 数据库,用以保存有关标签配置、用户和远程系统的 Trusted Extensions 数据。在此过程中,您将使用 Trusted Extensions 信息置备 Directory Server 数据库。
开始之前
您必须在全局区域中承担 root 角色。您的 LDAP 客户机上启用了投影更新。有关先决条件,请参见为 Directory Server 创建 LDAP 客户机。
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
注意 - 请勿复制 *attr 文件。而是在向 LDAP 系统信息库添加用户、角色和权限配置文件的命令中使用 -S ldap 选项。这些命令可为 user_attr、auth_attr、exec_attr 和 prof_attr 数据库添加条目。有关更多信息,请参见 user_attr(4) 和 useradd(1M) 手册页。 |
# cp /zone/public/root/etc/auto_home_public /setup/files # cp /zone/internal/root/etc/auto_home_internal /setup/files # cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files # cp /zone/restricted/root/etc/auto_home_restricted /setup/files
在以下自动映射列表中,每一对行中的第一行显示了文件的名称。每一对行中的第二行显示了文件内容。区域名称标识 Trusted Extensions 软件中包含的缺省 label_encodings 文件中的标签。
使用您的区域名称替换这些行中的区域名称。
myNFSserver 标识 NFS 服务器的起始目录。
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
例如,以下命令基于暂存区域中的 hosts 文件置备服务器。
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
在全局区域中,运行 ldapclient uninit 命令。使用详细输出来验证该系统不再是 LDAP 客户机。
# ldapclient -v uninit
有关更多信息,请参见 ldapclient(1M) 手册页。
有关说明,请参见为主机和网络设置标签(任务列表)。