跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
Trusted Extensions 中用于管理远程系统的方法
在 Trusted Extensions 中配置和管理远程系统(任务列表)
启用对远程 Trusted Extensions 系统的远程管理
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
将远程系统重新引导至 Trusted Extensions 之前,启用远程管理之后,您可以使用虚拟网络计算 (Virtual Network Computing, VNC) 或 ssh 协议配置系统。
|
注 - 请参阅您的安全策略,以确定您的站点上允许的远程管理方法。
在此过程中,您将在 Oracle Solaris 远程系统上启用基于主机的验证,然后再向其添加 Trusted Extensions 功能。远程系统是 安全 Shell 服务器。
开始之前
远程系统随 Oracle Solaris 一起安装,并且您可以访问该系统。您必须是 root 角色。
有关过程,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何为安全 Shell 设置基于主机的验证"。
注 - 不要使用 cat 命令。通过 安全 Shell 连接复制和粘贴公钥。如果您的 安全 Shell 客户机不是 Oracle Solaris 系统,请遵循适用于您的平台的有关说明,对 安全 Shell 客户机配置基于主机的验证。
完成此步骤后,您将在这两个系统上具有可承担 root 角色的用户帐户。为这些帐户分配了相同的 UID、GID 以及角色。此外,您已经生成公钥/私钥对,并共享公钥。
# pfedit /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
随后的步骤将限制 root 登录到特定的系统和用户。
注 - 由于管理员将承担 root 角色,因此您不需要放宽阻止远程 root 登录的登录策略。
# svcadm restart ssh
# cd # pfedit .shosts client-host username
当共享公钥/私钥时,.shosts 文件将使 client-host 系统上的 username 能够承担服务器上的 root 角色。
# cp /etc/pam.d/other /etc/pam.d/other.orig
# pfedit /etc/pam.d/other ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote ...
此策略使 client-host 系统上的 username 能够承担服务器上的角色。
# pfedit /etc/pam.d/other # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote # account required pam_unix_account.so.1 #account required pam_tsol_account.so.1 # Enable unlabeled access to TX system account required pam_tsol_account.so.1 allow_unlabeled
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
示例 12-1 为远程管理指定 CIPSO 主机类型
在此示例中,管理员将使用 Trusted Extensions 系统来配置远程 Trusted Extensions 主机。为此,管理员将在每个系统上使用 tncfg 命令来定义对等系统的主机类型。
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
由于无标签系统也可以配置远程 Trusted Extensions 主机,因此管理员可以在远程主机的 pam.d/other 文件中保留 allow_unlabeled 选项。
虚拟网络计算 (Virtual Network Computing, VNC) 技术将客户机连接到远程服务器,然后在客户机的窗口中显示远程服务器的桌面。Xvnc 是 UNIX 版的 VNC,它基于标准的 X 服务器。在 Trusted Extensions 中,任何平台上的客户机都可以连接到运行 Trusted Extensions 的 Xvnc 服务器,登录到 Xvnc 服务器,然后显示多级别桌面并在其上工作。
有关更多信息,请参见 Xvnc(1) 和 vncconfig (1) 手册页。
开始之前
您已经在将用作 Xvnc 服务器的此系统上安装并配置了 Trusted Extensions。此系统上的全局区域具有固定 IP 地址,即,它不使用自动网络配置的配置文件,如 netcfg(1M) 手册页中所述。
此系统通过主机名或 IP 地址识别 VNC 客户机。具体来说,admin_low 安全模板以显式方式或使用通配符标识可作为此服务器的 VNC 客户机的系统。有关安全配置连接的更多信息,请参见如何限定可能会在可信网络上联系的主机。
如果当前正在将来 Trusted Extensions Xvnc 服务器的控制台上的 GNOME 会话中运行,则不必启用桌面共享。
您是将来 Trusted Extensions Xvnc 服务器的全局区域中的 root 角色。
# packagemanager &
在软件包管理器 GUI 中,搜索 "vnc" 并从可用的服务器中进行选择。其中一个选项是 TigerVNC X11/VNC 服务器软件。
如果无法打开 GUI,请将本地 root 帐户添加到 X 服务器访问控制列表。以登录到 X 服务器的用户身份运行此命令。
% xhost +si:localuser:root
有关更多信息,请参见 xhost(1) 和 Xsecurity(5) 手册页。
修改 GNOME Display Manager (gdm) 定制配置文件。在 /etc/gdm/custom.conf 文件的 [xdmcp] 标题下键入 Enable=true。
[xdmcp] Enable=true
提示 - 在进行更改之前保存原始 Xsession 文件的副本。
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
步骤 2 和步骤 3 中的文件标记有软件包属性 preserve=true。有关此属性对在软件包升级和软件包修复期间修改的文件所产生的影响的信息,请参见 pkg(5) 手册页。
# svcadm enable xvnc-inetd
# svcadm restart gdm
请等待大约一分钟,让桌面管理器重新启动。然后,VNC 客户机可以进行连接。
# svcs | grep vnc
对于客户机系统,您可以选择使用哪种软件。您可以使用 Oracle Solaris 系统信息库中的 VNC 软件。
有关预选每个系统和每个用户的审计事件的信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"配置审计服务(任务)"。
% /usr/bin/vncviewer Xvnc-server-hostname
有关命令选项,请参见 vncviewer(1) 手册页。
继续执行登录过程。有关其余步骤的说明,请参见《Trusted Extensions 用户指南》中的"登录到 Trusted Extensions"。
示例 12-2 使用 Vino 在测试环境中共享桌面
在本示例中,两个开发者使用 GNOME Vino 服务来共享显示(通过 "Launch"(启动)→ "System"(系统)→ "Preferences"(首选项)→ "Desktop Sharing"(桌面共享)菜单)。除了以上步骤,他们还通过启用 XTEST 扩展来放宽 Trusted Extensions 策略。
# pfedit /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy ## /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy file ... #extension XTEST extension XTEST ...
通过该过程,可以使用命令行和 txzonemgr GUI 管理远程 Trusted Extensions 系统。
开始之前
在本地和远程系统上定义相同的用户、角色和角色指定,如启用对远程 Trusted Extensions 系统的远程管理中所述。
desktop $ xhost + remote-sys
使用 ssh 命令登录。
desktop $ ssh -X -l identical-username remote-sys Password: Type the user's password remote-sys $
-X 选项可使 GUI 得以显示。
例如,承担 root 角色。
remote-sys $ su - root Password: Type the root password
您现在已在全局区域中。现在,您可以使用此终端窗口从命令行管理远程系统。GUI 将显示在您的屏幕上。有关示例,请参见示例 12-3。
示例 12-3 配置远程系统上的有标签区域
在此示例中,管理员使用 txzonemgr GUI 从有标签桌面系统中配置有标签远程系统上的有标签区域。与在 Oracle Solaris 中一样,管理员通过使用 ssh 命令的 -X 选项使 X 服务器能够访问桌面系统。用户 jandoe 在两个系统上具有相同的定义,可以承担角色 remoterole。
TXdesk1 $ xhost + TXnohead4
TXdesk1 $ ssh -X -l jandoe TXnohead4 Password: Ins1PwD1 TXnohead4 $
要访问全局区域,管理员使用 jandoe 帐户承担角色 remoterole。该角色在两个系统上具有相同的定义。
TXnohead4 # su - remoterole Password: abcd1EFG
在同一终端中,承担 remoterole 角色的管理员启动 txzonemgr GUI。
TXnohead4 $ /usr/sbin/txzonemgr &
"Labeled Zone Manager"(有标签区域管理器)将在远程系统上运行,并显示在本地系统上。
示例 12-4 登录到远程有标签区域
管理员想要在 PUBLIC(公共)标签下的远程系统上更改配置文件。
管理员具有两个选项。
远程登录到全局区域,显示远程全局区域工作区,然后将工作区更改为 PUBLIC(公共)标签,打开终端窗口,然后编辑文件
从 PUBLIC(公共)终端窗口中使用 ssh 命令远程登录到 PUBLIC(公共)区域,然后编辑文件
请注意,如果对于所有区域,远程系统运行一个命名服务守护进程 (nscd),并且远程系统使用文件命名服务,则远程 PUBLIC 区域的口令是上次引导区域时生效的口令。如果更改了远程 PUBLIC(公共)区域的口令,但更改后未引导该区域,则原始口令仍允许访问。
故障排除
如果 -X 选项不起作用,您可能需要安装一个软件包。如果未安装 xauth 二进制文件,将会禁用 X11 转发。以下命令可装入该二进制文件:pkg install pkg:/x11/session/xauth。