Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
Etiquetado de hosts y redes (mapa de tareas)
Visualización de plantillas de seguridad existentes (tareas)
Cómo ver plantillas de seguridad
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo agregar hosts a la red conocida del sistema
Creación de plantillas de seguridad (tareas)
Cómo crear plantillas de seguridad
Agregación de hosts a plantillas de seguridad (tareas)
Cómo agregar un host a una plantilla de seguridad
Cómo agregar un rango de hosts a una plantilla de seguridad
Limitación de los hosts que pueden acceder a la red de confianza (tareas)
Cómo limitar los hosts que se pueden contactar en la red de confianza
Configuración de rutas y puertos de varios niveles (tareas)
Cómo agregar rutas predeterminadas
Cómo crear un puerto de varios niveles para una zona
Configuración de IPsec con etiquetas (mapa de tareas)
Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles
Cómo configurar un túnel en una red que no es de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces de un sistema estén activas
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
El siguiente mapa de tareas describe las tareas que ayudan a depurar la red de Trusted Extensions.
|
Utilice este procedimiento si el sistema no se comunica con otros hosts según lo esperado.
Antes de empezar
Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores.
Puede utilizar la interfaz gráfica de usuario Labeled Zone Manager o el comando ipadm para visualizar las interfaces del sistema.
# txzonemgr &
Seleccione Configure Network Interfaces y verifique que el valor de la columna Status para la zona sea Up.
# ipadm show-addr ... ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/_a dhcp down 10.131.132.133/23 net0:0/_a dhcp down 10.131.132.175/23
Las interfaces net0 deben tener el valor ok. Para obtener más información sobre el comando ipadm, consulte la página del comando man ipadm(1M).
Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Oracle Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) y netstat(1M). Para los comandos que son específicos de Trusted Extensions, consulte el Apéndice DLista de las páginas del comando man de Trusted Extensions.
Para obtener información sobre los problemas para contactarse con zonas con etiquetas, consulte Gestión de zonas (mapa de tareas).
Para obtener información sobre la depuración de los montajes de NFS, consulte Cómo resolver problemas por fallos de montaje en Trusted Extensions.
Antes de empezar
Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores. Sólo el rol de usuario root puede editar archivos.
# svccfg -s name-service/switch listprop config config/value_authorization astring solaris.smf.value.name-service.switch config/default astring ldap ... config/tnrhtp astring "files ldap" config/tnrhdb astring "files ldap"
# svccfg -s name-service/switch setprop config/tnrhtp="files ldap" # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
# svcadm restart name-service/switch
Utilice la línea de comandos para comprobar que la información de la red es correcta. Verifique que la asignación en cada host coincide con la asignación en los otros hosts de la red. En función de la vista deseada, utilice el comando tncfg, el comando tninfoo la interfaz gráfica de usuario txzonemgr.
El comando tninfo -t muestra las etiquetas en formato de cadena o hexadecimal.
$ tninfo -t template-name template: template-name host_type: one of cipso or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
El comando tncfg -t muestra las etiquetas en formato de cadena y enumera los hosts asignados.
$ tncfg -t template info name=<template-name> host_type=<one of cipso or unlabeled> doi=1 min_label=<minimum-label> max_label=<maximum-label> host=127.0.0.1/32 /** Localhost **/ host=192.168.1.2/32 /** LDAP server **/ host=192.168.1.22/32 /** Gateway to LDAP server **/ host=192.168.113.0/24 /** Additional network **/ host=192.168.113.100/25 /** Additional network **/ host=2001:a08:3903:200::0/56/** Additional network **/
El comando tninfo -h muestra la dirección IP del host especificado y el nombre de la plantilla de seguridad asignada.
$ tninfo -h hostname IP Address: IP-address Template: template-name
El comando tncfg get host= muestra el nombre de la plantilla de seguridad que define el host especificado.
$ tncfg get host=hostname|IP-address[/prefix] template-name
El comando tncfg -z muestra un MLP por línea.
$ tncfg -z zone-name info [mlp_private | mlp_shared] mlp_private=<port/protocol-that-is-specific-to-this-zone-only> mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>
El comando tninfo -m muestra los MLP privados en una línea y los MLP compartidos en una segunda línea. Los MLP se separan con punto y coma.
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
Para obtener una visualización gráfica de los MLP, utilice el comando txzonemgr. Haga doble clic en la zona y, a continuación, seleccione Configure Multilevel Ports.
Por ejemplo, la siguiente salida muestra que el nombre de una plantilla, internal_cipso, no está definido:
# tnchkdb checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... tnchkdb: unknown template name: internal_cipso at line 49 tnchkdb: unknown template name: internal_cipso at line 50 tnchkdb: unknown template name: internal_cipso at line 51 checking /etc/security/tsol/tnzonecfg ...
El error indica que los comandos tncfg y txzonemgr no se utilizaron para crear y asignar la plantilla de seguridad internal_cipso.
Para reparar esto, sustituya el archivo tnrhdb con el archivo original y luego utilice el comando tncfg para crear y asignar plantillas de seguridad.
Durante el inicio, la caché se rellena con información de la base de datos. El servicio SMF, name-service/switch, determina si se utilizan bases de datos locales o LDAP para rellenar el núcleo.
$ route get [ip] -secattr sl=label,doi=integer
Para obtener detalles, consulte la página del comando man route(1M).
$ snoop -v
La opción -v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).
$ netstat -aR
La opción -aR muestra los atributos de seguridad ampliados para sockets.
$ netstat -rR
La opción -rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).
Un error en la configuración de una entrada del cliente en el servidor LDAP puede impedir la comunicación del cliente con el servidor. Un error en la configuración de los archivos del cliente también puede impedir la comunicación. Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicación entre el cliente y el servidor.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global del cliente LDAP.
# tncfg get host=LDAP-server # tncfg get host=gateway-to-LDAP-server
# tninfo -h LDAP-server # tninfo -h gateway-to-LDAP-server
# route get LDAP-server
Si existe una asignación de plantilla incorrecta, agregue el host a la plantilla correcta.
El sistema, las interfaces para las zonas con etiquetas del sistema, la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo. Puede que tenga más entradas.
Busque las entradas duplicadas. Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas. Por ejemplo, si el nombre de su servidor LDAP es Lserver, y LServer-zones es la interfaz compartida para las zonas con etiquetas, elimine LServer-zones del archivo /etc/hosts.
# svccfg -s dns/client listprop config config application config/value_authorization astring solaris.smf.value.name-service.dns.switch config/nameserver astring 192.168.8.25 192.168.122.7
# svccfg -s dns/client setprop config/search = astring: example1.domain.com # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35 # svccfg -s dns/client:default refresh # svccfg -s dns/client:default validate # svcadm enable dns/client # svcadm refresh name-service/switch # nslookup some-system Server: 192.168.135.35 Address: 192.168.135.35#53 Name: some-system.example1.domain.com Address: 10.138.8.22 Name: some-system.example1.domain.com Address: 10.138.8.23
En la siguiente salida, no se muestran las entradas tnrhdb y tnrhtp. Por lo tanto, estas bases de datos utilizan los servicios de nombres predeterminados files ldap, en ese orden.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
# zoneadm list zone1 zone2 , , , # zoneadm -z zone1 halt # zoneadm -z zone2 halt . . . # reboot
También puede usar la interfaz gráfica de usuario txzonemgr para detener las zonas con etiquetas.