此部分提供在 Oracle Solaris 10 Trusted Extensions 上使用 Sun Ray Software 时可能需要完成的所有过程。有关更多信息,请参阅《Oracle Solaris 10 8/11 Trusted Extensions Administrator's Procedures》(《Oracle Solaris 10 8/11 Trusted Extensions 管理员规程》)。
Oracle Solaris 10 使用区域允许多个虚拟化的操作系统环境在一个 Oracle Solaris 实例中共存,以便进程独立于系统中的其他活动单独运行,从而提高安全性并增强控制。Sun Ray Software 仅在全局区域中受支持。
根据您的 Sun Ray 环境,从 ADMIN_LOW(全局区域)以 root 用户身份执行以下过程。
如果您的 Sun Ray 服务器是在专用网络上配置的,则需要执行此过程。有关更多信息,请参见第 19 章 备用网络配置。
使用 Solaris 管理控制台 (Solaris Management Console, SMC) 的 "Security Templates"(安全模板)为 Sun Ray 服务器分配 cipso
模板。为网络上的所有其他 Sun Ray 设备分配 admin_low
标签。admin_low
模板将分配给您计划在 utadm 命令中使用的 IP 地址范围。
完成后 /etc/security/tsol/tnrhdb
文件应该包含以下条目:
192.168.128.1:cipso 192.168.128.0:admin_low
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
做出如下选择:
在 SMC 中,选择 Management Tools(管理工具)> hostname:Scope=Files, Policy=TSOL
。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Security Templates(安全模板)> cipso
。
从菜单栏中,选择 Action(操作)> Properties(属性)> Hosts Assigned to Template(为模板分配的主机)
。
选择 Host(主机)
,并键入 Sun Ray 互连的 IP 地址
(例如,192.168.128.1)。
单击 Add(添加)
,然后单击 OK(确定)
。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Security Families(安全系列)> admin_low
。
从菜单栏中,选择 Action(操作)> Properties(属性)> Hosts Assigned to Template(为模板分配的主机)
。
选择 Wildcard(通配符)
。
键入 Sun Ray 互连网络的 IP 地址 (192.168.128.0)。
单击 Add(添加)
,然后单击 OK(确定)
。
为故障转移组中的所有 Sun Ray 服务器分配 cipso
标签。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Security Families(安全系列)> cipso
。
从菜单栏中,选择 Action(操作)> Properties(属性)> Hosts Assigned to Template(为模板分配的主机)
。
选择 Host(主机)
,并键入其他 Sun Ray 服务器的 IP 地址。
单击 Add(添加)
,然后单击 OK(确定)
。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
必须在全局区域中为 Sun Ray 服务添加共享多级别端口,以便能够从有标签区域访问。
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
转到 "Management Tools"(管理工具)。
选择 hostname:Scope=Files, Policy=TSOL
。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Trusted Network Zones(可信网络区域)> global(全局)
。
从菜单栏中,选择 Action(操作)> Properties(属性)
。
在 Multilevel Ports for Shared IP Addresses(共享 IP 地址的多级别端口)
下,单击 Add(添加)
。
添加 7007 作为 Port Number(端口号)
,选择 TCP
作为 Protocol(协议)
,然后单击 OK(确定)
。
对端口 4120、7010 和 7015 重复前一步骤。
通过运行以下命令重新启动网络服务:
# svcadm restart svc:/network/tnctl
通过运行以下命令验证这些端口是否已列为共享端口:
# /usr/sbin/tninfo -m global
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
/etc/security/tsol/tnzonecfg
中的默认条目显示三个可用的端口 (6001-6003)。请按照要求增加可用 X 服务器端口数。
从 ADMIN_LOW(全局区域)中以 root 用户身份登录。
启动 Solaris 管理控制台 (Solaris Management Console, SMC)。
# smc &
转到 "Management Tools"(管理工具)。
选择 hostname:Scope=Files, Policy=TSOL
选项。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Trusted Network Zones(可信网络区域)> global(全局)
。
从菜单栏中,选择 Action(操作)> Properties(属性)
。
在 Multilevel Ports for Zone's IP Addresses(区域 IP 地址的多级别端口)
下,选择 6000-6003/tcp
。
单击 Remove(删除)
。
选择 Add(添加)> Enable Specify A Port Range(允许指定端口范围)
。
在 Begin Port Range Number(开始端口范围号)
中键入 6000
,在 End Port Range Number(结束端口范围号)
中键入 6050
(以显示 50 个端口)。
选择 TCP
作为 Protocol(协议)
。
单击 OK(确定)
。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot
此过程说明如何在 Oracle Solaris Trusted Extensions 上配置 Windows 连接器。
为了使 Windows 连接器能够在 Oracle Solaris Trusted Extensions 服务器上正常工作,必须在所需的级别提供 Windows 终端服务器。
以超级用户身份在 Sun Ray 服务器上打开 shell 窗口。
要避免因继承用户环境设置而发生错误,请使用以下命令:
% su - root
将 Windows 系统提供给 public
模板。
启动 Solaris 管理控制台。
# smc &
在 "Management Tools"(管理工具)下做出如下选择:
选择 hostname:Scope=Files, Policy=TSOL
。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Security Templates(安全模板)> public
。
选择 Action(操作)> Properties(属性)> Hosts Assigned to Template(为模板分配的主机)
。
选择 Host(主机)
。
键入 Windows 系统的 IP 地址,例如 10.6.100.100。
单击 Add(添加)
。
单击 OK(确定)
。
将端口 7014 配置为 uttscpd 守护进程的共享多级别端口。
如果 Solaris 管理控制台尚未运行,请将其启动:
# smc &
选择 hostname:Scope=Files, Policy=TSOL
。
选择 System Configuration(系统配置)> Computers and Networks(计算机和网络)> Trusted Network Zones(可信网络区域)> global(全局)
。
选择 Action(操作)> Properties(属性)
。
通过单击 Multilevel Ports for Shared IP Addresses(共享 IP 地址的多级别端口)
下的 Add(添加)
来启用端口。
添加 7014 作为 Port Number(端口号)
,选择 TCP
作为 Protocol(协议)
,然后单击 OK(确定)
。
重新启动网络服务。
# svcadm restart svc:/network/tnctl
验证此端口是否已列为共享端口。
# /usr/sbin/tninfo -m global
在每个本地区域中为 uttscpd 守护进程创建条目。
配置时,会自动在全局区域中为 SRWC 代理守护进程创建 /etc/services
文件条目。需要在本地区域中创建对应的条目。
这些条目可以手动创建,也可以通过将全局区域的 /etc/services
文件回送挂载到本地区域以供读取访问。
要手动创建此条目,请在本地区域文件中插入以下条目。
uttscpd 7014/tcp # SRWC proxy daemon
在每个本地区域中回送挂载 /etc/opt/SUNWuttsc
目录。以下示例显示如何为名为 public
的本地区域完成此任务。
# zoneadm -z public halt # zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/etc/opt/SUNWuttsc zonecfg:public:fs> set special=/etc/opt/SUNWuttsc zonecfg:public:fs> set type=lofs zonecfg:public:fs> end # zoneadm -z public boot
(可选)为了使 TLS 对等验证能够正常工作,请确保每个本地区域中的 /etc/sfw/openssl/certs
文件夹下提供了可信 CA 证书。
重新引导 Sun Ray 服务器。
# /usr/sbin/reboot