Dépannage du réseau de confiance (liste des tâches)

La liste ci-dessous décrit les tâches à effectuer pour déboguer votre réseau Trusted Extensions.

Vérification de l'affichage des interfaces du système

Utilisez cette procédure si votre système ne communique pas avec les hôtes comme prévu.

Avant de commencer

Vous devez accéder à la zone globale dans un rôle habilité à vérifier les valeurs d'attribut du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces valeurs.

1. Assurez-vous que l'interface réseau est active.

   Vous pouvez utiliser l'interface utilisateur du gestionnaire de zones étiquetées (Labeled Zone Manager) ou la commande ipadm pour afficher les interfaces du système.

   • Ouvrez le gestionnaire de zones étiquetées (Labeled Zone Manager), puis double-cliquez sur la zone qui vous intéresse.

     # txzonemgr &

     Sélectionnez Configure Network Interfaces (Configurer les interfaces réseau) et vérifiez que la valeur de la colonne Status de la zone est Up.

   • Vous pouvez également utiliser la commande ipadm show-addr.

     # ipadm show-addr
     ...
     ADDROBJ          TYPE      STATE        ADDR
     lo0/v4           static    ok           127.0.0.1/8
     net0/_a          dhcp      down         10.131.132.133/23
     net0:0/_a        dhcp      down         10.131.132.175/23

     La valeur des interfaces net0 doit être ok. Pour plus d'informations sur la commande ipadm, reportez-vous à la page de manuel ipadm(1M).

2. Si l'interface n'est pas visible, affichez-la.
   1. Dans l'interface graphique du gestionnaire de zones étiquetées, cliquez deux fois sur la zone dont vous souhaitez afficher l'interface.
   2. Sélectionnez Configurer les interfaces réseau.
   3. Double-cliquez sur l'interface dont l'état est Down.
   4. Sélectionnez Bring Up (Afficher), puis cliquez sur OK.
   5. Cliquez sur Cancel (Annuler) ou sur OK.

Débogage du réseau Trusted Extensions

Pour déboguer deux hôtes censés communiquer mais qui ne le font pas, vous pouvez utiliser les outils de débogage Trusted Extensions et Oracle Solaris. Par exemple, vous pouvez utiliser des commandes de débogage du réseau d'Oracle Solaris telles que snoop et netstat. Pour plus d'informations, reportez-vous aux pages de manuel snoop(1M) et netstat(1M). Pour les commandes spécifiques à Trusted Extensions, reportez-vous à l'Annexe DListe des pages de manuel Trusted Extensions.

• Pour les problèmes relatifs à l'établissement de contact avec des zones étiquetées, reportez-vous à la section Gestion des zones (liste des tâches).

• Pour le débogage des montages NFS, reportez-vous à la section Dépannage des échecs de montage dans Trusted Extensions.

Avant de commencer

Vous devez accéder à la zone globale dans un rôle habilité à vérifier les valeurs d'attribut du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces valeurs. Seul le rôle root est habilité à modifier ces fichiers.

1. Vérifiez que les hôtes qui ne parviennent pas à communiquer utilisent le même service de noms.
   1. Sur chaque système, vérifiez les valeurs des bases de données Trusted Extensions dans le service name-service/switch.

      # svccfg -s name-service/switch listprop config
      config/value_authorization  astring  solaris.smf.value.name-service.switch
      config/default              astring  ldap
      ...
      config/tnrhtp               astring  "files ldap"
      config/tnrhdb               astring  "files ldap"

   2. Si les valeurs sont différentes en fonction des hôtes, corrigez les valeurs sur les hôtes concernés.

      # svccfg -s name-service/switch setprop config/tnrhtp="files ldap"
      # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"

   3. Ensuite, redémarrez le démon du service de noms sur ces hôtes.

      # svcadm restart name-service/switch

2. Assurez-vous que chaque hôte est défini correctement en affichant les attributs de sécurité pour la source, la destination et les hôtes de passerelle dans la transmission.

   Utilisez la ligne de commande pour vérifier que les informations de réseau sont correctes. Vérifiez que l'affectation sur chaque hôte correspond à l'affectation sur les autres hôtes du réseau. Selon la vue que vous souhaitez, utilisez la commande tncfg, la commande tninfo ou l'interface graphique txzonemgr.

   • Affichage d'une définition de modèle.

     La commande tninfo -t affiche les étiquettes dans la chaîne et le format hexadécimal.

     $ tninfo -t template-name
     template: template-name
     host_type: one of cipso or UNLABELED
     doi: 1
     min_sl: minimum-label
     hex: minimum-hex-label
     max_sl: maximum-label
     hex: maximum-hex-label

   • Affichage d'un modèle et des hôtes qui lui sont affectés.

     La commande tncfg -t affiche les étiquettes au format d'une chaîne de caractères et répertorie les hôtes affectés.

     $ tncfg -t template info
        name=<template-name>
        host_type=<one of cipso or unlabeled>
        doi=1
        min_label=<minimum-label>
        max_label=<maximum-label>
        host=127.0.0.1/32       /** Localhost **/
        host=192.168.1.2/32     /** LDAP server **/
        host=192.168.1.22/32    /** Gateway to LDAP server **/
        host=192.168.113.0/24   /** Additional network **/
        host=192.168.113.100/25      /** Additional network **/
        host=2001:a08:3903:200::0/56/** Additional network **/

   • Affichage de l'adresse IP et du modèle de sécurité affecté pour un hôte spécifique.

     La commande tninfo -h affiche l'adresse IP de l'hôte spécifié et le nom du modèle de sécurité qui lui est assigné.

     $ tninfo -h hostname
     IP Address: IP-address
     Template: template-name

     La commande tncfg get host= affiche le nom du modèle de sécurité qui définit l'hôte spécifié.

     $ tncfg get host=hostname|IP-address[/prefix]
     template-name

   • Affichage des ports multiniveau (MLP) pour une zone.

     La commande tncfg -z répertorie un MLP par ligne.

     $ tncfg -z zone-name info [mlp_private | mlp_shared]
     mlp_private=<port/protocol-that-is-specific-to-this-zone-only>
     mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>

     La commande tninfo -m répertorie les MLP privés sur une ligne et les MLP partagés sur une seconde ligne. Les MLP sont séparés par des points-virgules.

     $ tninfo -m zone-name
     private: ports-that-are-specific-to-this-zone-only
     shared: ports-that-the-zone-shares-with-other-zones

     Pour afficher l'interface graphique des MLP, utilisez la commande txzonemgr. Double-cliquez sur la zone, puis sélectionnez Configure Multilevel Ports (Configurer des ports multiniveau).

3. Corrigez les informations erronées.
   1. Pour modifier ou vérifier les informations de sécurité réseau, utilisez les commandes d'administration du réseau de confiance, tncfg et txzonemgr. Pour vérifier la syntaxe des bases de données, utilisez la commande tnchkdb.

      Par exemple, la sortie suivante indique qu'un nom de modèle, internal_cipso , n'est pas défini :

      # tnchkdb
           checking /etc/security/tsol/tnrhtp ...
           checking /etc/security/tsol/tnrhdb ...
      tnchkdb: unknown template name: internal_cipso at line 49
      tnchkdb: unknown template name: internal_cipso at line 50
      tnchkdb: unknown template name: internal_cipso at line 51
           checking /etc/security/tsol/tnzonecfg ...

      L'erreur indique que les commandes tncfg et txzonemgr n'ont pas été utilisées pour créer et affecter le modèle de sécurité internal_cipso.

      Pour réparer et remplacer le fichier tnrhdb avec le fichier d'origine, utilisez la commande tncfg pour créer et affecter des modèles de sécurité.

   2. Pour vider la mémoire cache du noyau, réinitialisez le système.

      Pendant l'initialisation, des informations de base de données sont inscrites dans le cache. Le service SMF, name-service/switch détermine si les bases de données locales ou LDAP sont utilisées pour remplir le noyau.

4. Collectez des informations de transmission pour assister le débogage.
   1. Contrôlez votre configuration de routage.

      $ route get [ip] -secattr sl=label,doi=integer

      Pour plus d'informations, reportez-vous à la page de manuel route(1M).

   2. Visualisez les informations d'étiquette dans les paquets.

      $ snoop -v

      L'option-v affiche les détails des en-têtes de paquets, notamment les informations d'étiquette. Etant donné que cette commande fournit un grand nombre de détails, vous pouvez avoir intérêt à limiter le nombre de paquets examinés par la commande. Pour plus d'informations, reportez-vous à la page de manuel snoop(1M).

   3. Visualisez les entrées de la table de routage et les attributs de sécurité sur des sockets.

      $ netstat -aR

      L'option -aR affiche les attributs de sécurité étendus des sockets.

      $ netstat -rR

      L'option -rR affiche les entrées de la table de routage. Pour plus d'informations, reportez-vous à la page de manuel netstat(1M).

Débogage d'une connexion client au serveur LDAP

Une configuration incorrecte de l'entrée du client sur le serveur LDAP peut empêcher le client de communiquer avec le serveur. De la même façon, une mauvaise configuration des fichiers sur le client peut empêcher la communication. Contrôlez les entrées et les fichiers suivants lors d'une tentative de débogage d'un problème de communication entre client et serveur.

Avant de commencer

Vous·devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Assurez-vous que les modèles d'hôte distant pour le serveur LDAP et la passerelle vers le serveur LDAP sont corrects.
   1. Utilisez la commande tncfg ou tninfo pour consulter les informations.

      # tncfg get host=LDAP-server
      # tncfg get host=gateway-to-LDAP-server

      # tninfo -h LDAP-server
      # tninfo -h gateway-to-LDAP-server

   2. Déterminez la route vers le serveur.

      # route get LDAP-server

   Si une assignation de modèle est incorrecte, assignez l'hôte au modèle approprié.

2. Consultez et, si nécessaire, corrigez le fichier /etc/hosts.

   Votre système, les interfaces des zones étiquetées de votre système, la passerelle au serveur LDAP et le serveur LDAP doivent être répertoriés dans le fichier. Il peut contenir plus d'entrées.

   Recherchez les entrées dupliquées. Supprimez toutes les entrées correspondant à des zones étiquetées sur d'autres systèmes. Par exemple, si Lserver est le nom de votre serveur LDAP et si LServer-zones est l'interface partagée pour les zones étiquetées, supprimez LServer-zones du fichier /etc/hosts.

3. Si vous utilisez un DNS, vérifiez la configuration du service svc:/network/dns/client.

   # svccfg -s dns/client listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
   config/nameserver            astring       192.168.8.25 192.168.122.7

4. Pour modifier les valeurs, utilisez la commande svccfg.

   # svccfg -s dns/client setprop config/search = astring: example1.domain.com
   # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
   # svccfg -s dns/client:default refresh
   # svccfg -s dns/client:default validate
   # svcadm enable dns/client
   # svcadm refresh name-service/switch
   # nslookup some-system
   Server:         192.168.135.35
   Address:        192.168.135.35#53
   
   Name:   some-system.example1.domain.com
   Address: 10.138.8.22
   Name:   some-system.example1.domain.com
   Address: 10.138.8.23

5. Vérifiez que les entrées tnrhdb et tnrhtp du service name-service/switch sont exactes.

   Dans la sortie suivante, les entrées tnrhdb et tnrhtp ne sont pas répertoriées. Par conséquent, ces bases de données utilisent les services de noms files ldap par défaut, dans cet ordre.

   # svccfg -s name-service/switch listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.switch
   config/default               astring       "files ldap"
   config/host                  astring       "files dns"
   config/netgroup              astring       ldap

6. Vérifiez que le client est correctement configuré sur le serveur.

   # ldaplist -l tnrhdb client-IP-address

7. Vérifiez que les interfaces de vos zones étiquetées sont correctement configurées sur le serveur LDAP.

   # ldaplist -l tnrhdb client-zone-IP-address

8. Vérifiez que vous êtes en mesure de contacter le serveur LDAP à partir de toutes les zones en cours d'exécution.

   # ldapclient list
   ...
   NS_LDAP_SERVERS= LDAP-server-address
   # zlogin zone-name1 ping LDAP-server-address
   LDAP-server-address is alive
   # zlogin zone-name2 ping LDAP-server-address
   LDAP-server-address is alive
   ...

9. Configurez le serveur LDAP, puis réinitialisez.
   1. Pour plus d'informations sur cette procédure, reportez-vous à la section Etablissement de la zone globale en tant que client LDAP dans Trusted Extensions.
   2. Dans chaque zone étiquetée, rétablissez la zone en tant que client du serveur LDAP.

      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...

   3. Arrêtez toutes les zones et réinitialisez le système.

      # zoneadm list
      zone1
      zone2
      ,
      ,
      ,
      # zoneadm -z zone1 halt
      # zoneadm -z zone2 halt
      .
      .
      .
      # reboot

      Vous pouvez également utiliser l'interface graphique txzonemgr pour arrêter les zones étiquetées.