跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
如何在多级别 Trusted Extensions 网络中应用 IPsec 保护
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
以下任务列表介绍了可帮助您调试 Trusted Extensions 网络的任务。
|
如果您的系统不能按预期方式与其他主机进行通信,请使用此过程。
开始之前
您必须位于全局区域中,并充当可以检查网络属性值的角色。"Security Administrator"(安全管理员)角色和 "System Administrator"(系统管理员)角色可以检查这些值。
可以使用 "Labeled Zone Manager"(有标签区域管理器)GUI 或 ipadm 命令显示系统的接口。
# txzonemgr &
选择 "Configure Network Interfaces"(配置网络接口),并检验此区域的 Status(状态)列的值是否为 Up(启动)。
# ipadm show-addr ... ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/_a dhcp down 10.131.132.133/23 net0:0/_a dhcp down 10.131.132.175/23
net0 接口的值应为 ok。有关 ipadm 命令的更多信息,请参见 ipadm(1M) 手册页。
要调试两台应当进行通信但未进行通信的主机,可以使用 Trusted Extensions 和 Oracle Solaris 调试工具。例如,提供了诸如 snoop 和 netstat 之类的 Oracle Solaris 网络调试命令。有关详细信息,请参见 snoop(1M) 和 netstat(1M) 手册页。有关特定于 Trusted Extensions 的命令,请参见附录 D。
有关联系有标签区域的问题,请参见管理区域(任务列表)。
有关调试 NFS 挂载的信息,请参见如何解决 Trusted Extensions 中的挂载故障。
开始之前
您必须位于全局区域中,并充当可以检查网络属性值的角色。"Security Administrator"(安全管理员)角色或 "System Administrator"(系统管理员)角色可以检查这些值。只有 root 角色可以编辑文件。
# svccfg -s name-service/switch listprop config config/value_authorization astring solaris.smf.value.name-service.switch config/default astring ldap ... config/tnrhtp astring "files ldap" config/tnrhdb astring "files ldap"
# svccfg -s name-service/switch setprop config/tnrhtp="files ldap" # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
# svcadm restart name-service/switch
使用命令行检查网络信息是否正确。检验每台主机上的指定是否与网络中其他主机上的指定匹配。根据要查看的内容,使用 tncfg 命令、tninfo 命令或 txzonemgr GUI。
tninfo -t 命令以字符串和十六进制格式显示标签。
$ tninfo -t template-name template: template-name host_type: one of cipso or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
tncfg -t 命令以字符串格式显示标签并列出指定的主机。
$ tncfg -t template info name=<template-name> host_type=<one of cipso or unlabeled> doi=1 min_label=<minimum-label> max_label=<maximum-label> host=127.0.0.1/32 /** Localhost **/ host=192.168.1.2/32 /** LDAP server **/ host=192.168.1.22/32 /** Gateway to LDAP server **/ host=192.168.113.0/24 /** Additional network **/ host=192.168.113.100/25 /** Additional network **/ host=2001:a08:3903:200::0/56/** Additional network **/
tninfo -h 命令显示指定主机的 IP 地址以及所指定的安全模板的名称。
$ tninfo -h hostname IP Address: IP-address Template: template-name
tncfg get host= 命令显示定义指定主机的安全模板名称。
$ tncfg get host=hostname|IP-address[/prefix] template-name
tncfg -z 命令在每一行列出一个 MLP。
$ tncfg -z zone-name info [mlp_private | mlp_shared] mlp_private=<port/protocol-that-is-specific-to-this-zone-only> mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>
tninfo -m 命令在一行中列出专用 MLP,在另一行中列出共享 MLP。使用分号分隔 MLP。
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
要以 GUI 形式显示 MLP,请使用 txzonemgr 命令。双击区域,然后选择 "Configure Multilevel Ports"(配置多级别端口)。
例如,以下输出显示未定义模板名称 internal_cipso:
# tnchkdb checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... tnchkdb: unknown template name: internal_cipso at line 49 tnchkdb: unknown template name: internal_cipso at line 50 tnchkdb: unknown template name: internal_cipso at line 51 checking /etc/security/tsol/tnzonecfg ...
该错误表明未使用 tncfg 和 txzonemgr 命令创建和指定 internal_cipso 安全模板。
要进行修复,请将 tnrhdb 文件替换为原始文件,然后使用 tncfg 命令创建并指定安全模板。
在引导时,会使用数据库信息置备高速缓存。SMF 服务 name-service/switch 决定是使用本地数据库还是使用 LDAP 数据库来置备内核。
$ route get [ip] -secattr sl=label,doi=integer
有关详细信息,请参见route(1M) 手册页。
$ snoop -v
-v 选项显示包标头的详细信息,包括标签信息。此命令提供大量详细信息,因此您可能需要限定此命令检查的包。有关详细信息,请参见 snoop(1M) 手册页。
$ netstat -aR
-aR 选项显示套接字的扩展安全属性。
$ netstat -rR
-rR 选项显示路由表项。有关详细信息,请参见 netstat(1M) 手册页。
在 LDAP 服务器上错误配置客户机项可能会妨碍客户机与服务器进行通信。同样,在客户机上错误配置文件可能会妨碍通信。尝试调试客户机/服务器通信问题时,请检查以下项和文件。
开始之前
在 LDAP 客户机上,您必须充当全局区域中的安全管理员角色。
# tncfg get host=LDAP-server # tncfg get host=gateway-to-LDAP-server
# tninfo -h LDAP-server # tninfo -h gateway-to-LDAP-server
# route get LDAP-server
如果模板指定不正确,请将主机添加到正确的模板。
您的系统、系统上有标签区域的接口、LDAP 服务器的网关和 LDAP 服务器必须列在该文件中。可能还会有更多项。
查找重复的项。删除其他系统上属于有标签区域的任何项。例如,如果 Lserver 是 LDAP 服务器的名称,LServer-zones 是有标签区域的共享接口,请从 /etc/hosts 文件中删除 LServer-zones。
# svccfg -s dns/client listprop config config application config/value_authorization astring solaris.smf.value.name-service.dns.switch config/nameserver astring 192.168.8.25 192.168.122.7
# svccfg -s dns/client setprop config/search = astring: example1.domain.com # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35 # svccfg -s dns/client:default refresh # svccfg -s dns/client:default validate # svcadm enable dns/client # svcadm refresh name-service/switch # nslookup some-system Server: 192.168.135.35 Address: 192.168.135.35#53 Name: some-system.example1.domain.com Address: 10.138.8.22 Name: some-system.example1.domain.com Address: 10.138.8.23
在以下输出中,未列出 tnrhdb 和 tnrhtp 项。因此,这些数据库将按该顺序使用缺省的 files ldap 命名服务。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
# zoneadm list zone1 zone2 , , , # zoneadm -z zone1 halt # zoneadm -z zone2 halt . . . # reboot
可以改用 txzonemgr GUI 来停止有标签区域。