Configuración y administración de sistemas remotos en Trusted Extensions (mapa de tareas)

Tras activar la administración remota antes de reiniciar el sistema remoto en Trusted Extensions, puede configurar el sistema mediante la informática en red virtual (VNC) o el protocolo ssh.

Cómo activar la administración remota de un sistema Trusted Extensions remoto

En este procedimiento, se activa la autenticación basada en host en un sistema remoto Oracle Solaris antes de agregar la función Trusted Extensions. El sistema remoto es el servidor Secure Shell.

Antes de empezar

El sistema remoto se instala con Oracle Solaris, y es posible acceder a ese sistema. Debe tener el rol root.

1. En ambos sistemas, active la autenticación basada en host.

   Para conocer el procedimiento, consulte Cómo configurar la autenticación basada en host para Secure Shell de Administración de Oracle Solaris 11.1: servicios de seguridad.

   ---

   Nota - No utilice el comando cat. Copie y pegue la clave pública mediante una conexión Secure Shell. Si el cliente Secure Shell no es un sistema Oracle Solaris, siga las instrucciones de la plataforma para configurar un cliente Secure Shell con la autenticación basada en host.

   ---

   Después de completar este paso, tendrá una cuenta de usuario en ambos sistemas que puede asumir el rol de usuario root. Se asigna el mismo UID, GID y asignación de rol a las cuentas. También ha generado pares de claves públicas/privadas y tiene claves públicas compartidas.

2. En el servidor Secure Shell, flexibilice la política ssh para permitir que root inicie sesión de manera remota.

   # pfedit /etc/ssh/sshd_config
   ## Permit remote login by root
   PermitRootLogin yes

   Un paso posterior limita el inicio de sesión de root a un sistema y un usuario concretos.

   ---

   Nota - Dado que el administrador asumirá el rol de usuario root, no necesita hacer menos estricta la política de inicio de sesión que impide que root inicie sesión de manera remota.

   ---

3. En el servidor Secure Shell, reinicie el servicio ssh.

   # svcadm restart ssh

4. En el servidor Secure Shell, en el directorio raíz root, especifique el host y el usuario para la autenticación basada en host.

   # cd
   # pfedit .shosts
   client-host username

   El archivo .shosts permite que username en el sistema client-host asuma el rol de usuario root en el servidor, cuando se comparte una clave pública/privada.

5. En el servidor Secure Shell, flexibilice las dos políticas PAM.
   1. Copie /etc/pam.d/other en /etc/pam.d/other.orig.

      # cp /etc/pam.d/other /etc/pam.d/other.orig

   2. Modifique la entrada pam_roles para permitir el acceso remoto mediante roles.

      # pfedit /etc/pam.d/other
      ...
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      ...

      Esta política permite que username en el sistema client-host asuma un rol en el servidor.

   3. Modifique la entrada pam_tsol_account para permitir que los hosts sin etiquetar se pongan en contacto con el sistema remoto de Trusted Extensions.

      # pfedit /etc/pam.d/other
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      #
      account required     pam_unix_account.so.1
      #account required     pam_tsol_account.so.1
      # Enable unlabeled access to TX system
      account required     pam_tsol_account.so.1  allow_unlabeled

6. Pruebe la configuración.
   1. Abra un nuevo terminal en el sistema remoto.
   2. En client-host, en una ventana de username, asuma el rol de usuario root en el sistema remoto.

      % ssh -l root remote-system

7. Después de comprobar que la configuración funciona, active Trusted Extensions en el sistema remoto y reinicie el sistema.

   # svcadm enable -s labeld
   # /usr/sbin/reboot

Ejemplo 12-1 Asignación del tipo de host CIPSO para la administración remota

En este ejemplo, el administrador utiliza un sistema Trusted Extensions para configurar un host Trusted Extensions remoto. Para ello, el administrador utiliza el comando tncfg en cada sistema con el fin de definir el tipo de host del sistema equivalente.

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host

client-host # tncfg -t cipso add host=192.168.1.22 Remote system

Dado que un sistema sin etiquetar también puede configurar el host Trusted Extensions remoto, el administrador deja la opción allow_unlabeled en el archivo pam.conf del host remoto.

Cómo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto

La tecnología de informática en red virtual (VNC) conecta un cliente a un servidor remoto y, luego, muestra el escritorio del servidor remoto en una ventana en el cliente. Xvnc es la versión UNIX de VNC, que se basa en un servidor X estándar. En Trusted Extensions, un cliente de cualquier plataforma puede conectarse a un servidor Xvnc que ejecuta Trusted Extensions, iniciar sesión en el servidor Xvnc y, luego, visualizar un escritorio de varios niveles y trabajar en él.

Para obtener más información, consulte las páginas del comando man Xvnc(1) y vncconfig(1).

Antes de empezar

Debe tener instalado y configurado Trusted Extensions en este sistema que se utilizará como servidor Xvnc. La zona global de este sistema tiene una dirección IP fija, es decir, no utiliza el perfil de configuración de red automático, como se describe en la página del comando man netcfg(1M).

Este sistema reconoce los clientes VNC por nombre de host o por dirección IP. En concreto, la plantilla de seguridad admin_low identifica de forma explícita o mediante un comodín los sistemas que pueden ser clientes VNC de este servidor. Para obtener más información sobre cómo configurar la conexión de manera segura, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.

Si actualmente ejecuta una sesión GNOME en la consola del futuro servidor Xvnc de Trusted Extensions, no tiene activado el uso compartido del escritorio.

Tiene el rol de usuario root en la zona global del futuro servidor Xvnc de Trusted Extensions.

1. Cargue o actualice el software Xvnc.

   # packagemanager &

   En la interfaz gráfica de usuario Package Manager, busque "vnc" y elija entre los servidores disponibles. Una opción es el software de servidor TigerVNC X11/VNC.

   Si no puede abrir la interfaz gráfica de usuario, agregue la cuenta root local a la lista de control de acceso del servidor X. Ejecute este comando como el usuario que inició sesión en el servidor X.

   % xhost +si:localuser:root

   Para obtener más información, consulte las páginas del comando man xhost(1) y Xsecurity(5).

2. Active X Display Manager Control Protocol.

   Modifique el archivo de configuración personalizado de GNOME Display Manager (gdm). En el archivo /etc/gdm/custom.conf, escriba Enable=true en el encabezado [xdmcp].

   [xdmcp]
   Enable=true

3. Inserte la siguiente línea en el archivo /etc/gdm/Xsession cerca de la línea 27.

   ---

   Consejo - Guarde una copia del archivo Xsession original antes de realizar el cambio.

   ---

   DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)

   Los archivos del Paso 2 y el Paso 3 están marcados con el atributo de paquetes preserve=true. Para obtener información sobre el efecto que tiene este atributo en los archivos modificados durante las actualizaciones y correcciones de paquetes, consulte la página de comando man pkg(5).

4. Active el servicio del servidor Xvnc.

   # svcadm enable xvnc-inetd

5. Cierre todas las sesiones GNOME activas en este servidor.

   # svcadm restart gdm

   Espere aproximadamente un minuto para que se reinicie el administrador del escritorio. A continuación, puede conectarse un cliente VNC.

6. Verifique que el software Xvnc esté activado.

   # svcs | grep vnc

7. En cada cliente VNC del servidor Xvnc, instale el software del cliente VNC.

   Para el sistema cliente, puede elegir el software. Puede utilizar el software VNC desde el repositorio de Oracle Solaris.

8. (Opcional) Audite las conexiones VNC.

   Para obtener información sobre la preselección de eventos de auditoría por sistema y por usuario, consulte Configuración del servicio de auditoría (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.

9. Para visualizar el espacio de trabajo del servidor Xvnc en un cliente VNC, lleve a cabo los siguientes pasos:
   1. En una ventana de terminal del cliente, conéctese al servidor.

      % /usr/bin/vncviewer Xvnc-server-hostname

      Para conocer las opciones de comandos, consulte la página del comando man vncviewer(1).

   2. En la ventana que aparece, escriba su nombre de usuario y contraseña.

      Continúe con el proceso de inicio de sesión. Para obtener una descripción del resto de los pasos, consulte Inicio de sesión en Trusted Extensions de Guía del usuario de Trusted Extensions.

Ejemplo 12-2 Uso de Vino para compartir un escritorio en un entorno de prueba

En este ejemplo, dos programadores usan el servicio Vino de GNOME para compartir la visualización desde el menú Launch (Lanzar) → System (Sistema) → Preferences (Preferencias) → Desktop Sharing (Compartición de escritorio). Además de los pasos anteriores, flexibilizan la política de Trusted Extensions al permitir la extensión XTEST.

# pfedit /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy
## /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy file
...
#extension XTEST
extension XTEST
...

Cómo realizar las tareas de inicio de sesión y administración en un sistema Trusted Extensions remoto

Este procedimiento permite utilizar la línea de comandos y la interfaz gráfica de usuario txzonemgr para administrar un sistema Trusted Extensions remoto.

Antes de empezar

El usuario, el rol y la asignación de rol se definen de manera idéntica en los sistemas locales y remotos, como se describe en Cómo activar la administración remota de un sistema Trusted Extensions remoto.

1. En el sistema de escritorio, active la visualización de los procesos del sistema remoto.

   desktop $ xhost + remote-sys

2. Asegúrese de ser el usuario que está nombrado de la misma manera en ambos sistemas.
3. Desde una ventana de terminal, inicie sesión en el sistema remoto.

   Utilice el comando ssh para iniciar sesión.

   desktop $ ssh -X -l identical-username remote-sys
   Password: Type the user's password
   remote-sys $

   La opción -X permite la visualización de las interfaces gráficas de usuario.

4. En la misma ventana de terminal, asuma el rol que se define de forma idéntica en ambos sistemas.

   Por ejemplo, asuma el rol de usuario root.

   remote-sys $ su - root
   Password: Type the root password

   Ahora está en la zona global. Ahora puede utilizar esta ventana de terminal para administrar el sistema remoto desde la línea de comandos. Las interfaces gráficas de usuario se mostrarán en la pantalla. Si desea ver un ejemplo, consulte el Ejemplo 12-3.

Ejemplo 12-3 Configuración de zonas con etiquetas en un sistema remoto

En este ejemplo, el administrador utiliza la interfaz gráfica de usuario txzonemgr para configurar zonas con etiquetas en un sistema remoto con etiquetas desde un sistema de escritorio con etiquetas. Como en Oracle Solaris, el administrador activa el acceso del sistema de escritorio al servidor X mediante la opción -X para el comando ssh. El usuario jandoe está definido de la misma manera en ambos sistemas y puede asumir el rol remoterole.

TXdesk1 $ xhost + TXnohead4

TXdesk1 $ ssh -X -l jandoe TXnohead4
Password: Ins1PwD1
TXnohead4 $

Para acceder a la zona global, el administrador utiliza la cuenta jandoe para asumir el rol remoterole. Este rol está definido de la misma manera en ambos sistemas.

TXnohead4 # su - remoterole
Password: abcd1EFG

En el mismo terminal, el administrador con el rol remoterole inicia la interfaz gráfica de usuario txzonemgr.

TXnohead4 $ /usr/sbin/txzonemgr &

Labeled Zone Manager se ejecuta en el sistema remoto y se visualiza en el sistema local.

Ejemplo 12-4 Inicio de sesión en una zona con etiquetas remota

El administrador desea cambiar un archivo de configuración de un sistema remoto en la etiqueta PUBLIC.

El administrador tiene dos opciones.

• Puede iniciar sesión de manera remota en la zona global, mostrar el espacio de trabajo de la zona global y, a continuación, cambiar el espacio de trabajo a la etiqueta PUBLIC, abrir una ventana de terminal y editar el archivo.

• Puede iniciar sesión de manera remota en la zona PUBLIC mediante el comando ssh desde una ventana de terminal PUBLIC y, a continuación, editar el archivo.

Tenga en cuenta que, si el sistema remoto ejecuta un daemon de servicio de nombres (nscd) para todas las zonas y utiliza el servicio de nombres de archivos, la contraseña de la zona PUBLIC remota es la contraseña que estaba vigente cuando se inició la zona por última vez. Si se modificó la contraseña de la zona PUBLIC, pero no se inició la zona después del cambio, la contraseña original permite el acceso.

Errores más frecuentes

Si la opción -X no funciona, es posible que deba instalar un paquete. El reenvío de X11 se desactiva cuando no se instala el binario xauth. El siguiente comando carga el binario: pkg install pkg:/x11/session/xauth.