| 跳过导航链接 | |
| 退出打印视图 | |
|
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
Trusted Extensions 中的 LDAP 命名服务快速参考
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
为了在具有多个 Trusted Extensions 系统的一个安全域内实现用户、主机和网络属性的一致性,需使用一个命名服务来分发大多数配置信息。svc:/system/name-service/switch 服务确定要使用的命名服务。LDAP 是推荐用于 Trusted Extensions 的命名服务。
LDAP 服务器可以为 Trusted Extensions 和 Oracle Solaris 客户机提供 LDAP 命名服务。该服务器必须包含 Trusted Extensions 网络数据库,并且 Trusted Extensions 客户机必须通过一个多级别端口连接到服务器。安全管理员在系统配置期间指定多级别端口。
通常,在全局区域中为全局区域配置此多级别端口。因此,有标签区域无法对 LDAP 目录进行写入访问。相反,有标签区域通过在网络上其自身系统或其他可信系统中运行的多级别代理服务发送读取请求。Trusted Extensions 也支持每个标签一个目录服务器的 LDAP 配置。当用户每个标签有不同的凭证时,需要此类配置。
Trusted Extensions 将两个可信网络数据库添加到 LDAP 服务器:tnrhdb 和 tnrhtp。
有关在 Oracle Solaris 中使用 LDAP 命名服务的信息,请参见《Oracle Solaris Administration: Naming and Directory Services》中的第 III 部分, "LDAP Naming Services"。
第 5 章中介绍了如何设置用于 Trusted Extensions 的 LDAP 服务器。通过使用配置有 Trusted Extensions 的代理,Trusted Extensions 系统可以成为 Oracle Solaris LDAP 服务器的客户机。
创建 Trusted Extensions LDAP 客户机中介绍了如何设置 Trusted Extensions LDAP 服务器的客户机。
如果站点上没有使用分布式的命名服务,则管理员必须确保用户、系统和网络的配置信息在所有系统上均相同。如果在一个系统上做了某个更改,则在所有系统上必须做相同的更改。
在本地管理的 Trusted Extensions 系统上,在 /etc、/etc/security 和 /etc/security/tsol 目录中的文件中通过 name-service/switch SMF 服务中的配置属性来维护配置信息。
Trusted Extensions 扩展了 Directory Server 的模式来容纳 tnrhdb 和 tnrhtp 数据库。Trusted Extensions 定义了两个新属性(ipTnetNumber 和 ipTnetTemplateName),以及两个新的对象类(ipTnetTemplate 和 ipTnetHost)。
属性定义如下所示:
ipTnetNumber
( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber'
DESC 'Trusted network host or subnet address'
EQUALITY caseExactIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
SINGLE-VALUE )ipTnetTemplateName
( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName'
DESC 'Trusted network template name'
EQUALITY caseExactIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
SINGLE-VALUE )
对象类定义如下所示:
ipTnetTemplate
( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL
DESC 'Object class for Trusted network host templates'
MUST ( ipTnetTemplateName )
MAY ( SolarisAttrKeyValue ) )
ipTnetHost
( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY
DESC 'Object class for Trusted network host/subnet address
to template mapping'
MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP 中的 cipso 模板定义类似于以下内容:
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal
|