可信网络故障排除（任务列表）

以下任务列表介绍了调试网络的任务。

如何检验主机的接口是否已启动

如果您的系统不能按预期方式与其他主机进行通信，请使用此过程。

开始之前

您必须位于全局区域中，并充当可以检查网络设置的角色。安全管理员角色和 "Security Administrator"（安全管理员）角色可以检查这些设置。

1. 检验系统的网络接口是否已启动。

   以下输出结果显示该系统有两个网络接口，即 hme0 和 hme0:3。两个接口都未启动。

   # ifconfig -a
   ...
   hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
            inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255
   hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
            inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255

2. 如果接口未启动，请使其启动，然后检验其是否已启动。

   以下输出结果显示两个接口都已启动。

   # ifconfig hme0 up
   # ifconfig -a
   ...
   hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,...
   hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..

如何调试 Trusted Extensions 网络

要调试两台应当进行通信但未进行通信的主机，您可以使用 Trusted Extensions 和 Solaris 调试工具。例如，提供了诸如 snoop 和 netstat 之类的 Oracle Solaris 网络调试命令。有关详细信息，请参见 snoop(1M) 和 netstat(1M) 手册页。有关特定于 Trusted Extensions 的命令，请参见表 2-4。

• 有关联系有标签区域的问题，请参见管理区域（任务列表）。

• 有关调试 NFS 挂载的信息，请参见如何解决 Trusted Extensions 中的挂载故障。

• 有关调试 LDAP 通信的信息，请参见如何调试客户机与 LDAP 服务器的连接。

开始之前

您必须位于全局区域中，并充当可以检查网络设置的角色。安全管理员角色或 "Security Administrator"（安全管理员）角色可以检查这些设置。

1. 要排除 tnd 守护进程故障，请更改轮询间隔并收集调试信息。

   ---

   注 - tnd 服务仅在 ldap 服务运行的情况下才运行。

   ---

   有关详细信息，请参见 tnd(1M) 手册页。

2. 检查无法通信的主机是否正在使用同一命名服务。
   1. 在每台主机上，检查 nsswitch.conf 文件。
      1. 检查 nsswitch.conf 文件中 Trusted Extensions 数据库的值。

         例如，在使用 LDAP 管理网络的站点上，相应的项类似如下：

         # Trusted Extensions
         tnrhtp: files ldap
         tnrhdb: files ldap

      2. 如果值不同，请更正 nsswitch.conf 文件。

         要修改这些项，系统管理员可使用 "Name Service Switch"（名称服务转换）操作。有关详细信息，请参见如何在 Trusted Extensions 中启动 CDE 管理操作。此操作会保留所需的 DAC 和 MAC 文件权限。

   2. 检查是否已配置 LDAP 命名服务。

      $ ldaplist -l

   3. 检查两台主机是否都位于 LDAP 命名服务中。

      $ ldaplist -l hosts | grep hostname

3. 检查是否正确定义了每台主机。
   1. 使用 Solaris Management Console 检验这些定义。

      • 在安全模板工具中，检查每台主机是否都已指定给与其他主机的安全模板兼容的安全模板。

      • 对于无标签系统，检查缺省标签指定是否正确。

      • 在可信网络区域工具中，检查是否已经正确配置多级别端口 (Multilevel Port, MLP)。

   2. 使用命令行检查内核中的网络信息是否为最新。

      检查每台主机内核高速缓存中的指定是否与网络上以及其他主机上的分配相匹配。

      要在传输过程中获取源主机、目标主机和网关主机的安全信息，请使用 tninfo 命令。

      • 显示给定主机的 IP 地址和所指定的安全模板。

        $ tninfo -h hostname
        IP Address: IP-address
        Template: template-name

      • 显示模板定义。

        $ tninfo -t template-name
        template: template-name
        host_type: one of CIPSO or UNLABELED
        doi: 1
        min_sl: minimum-label
        hex: minimum-hex-label
        max_sl: maximum-label
        hex: maximum-hex-label

      • 显示区域的 MLP。

        $ tninfo -m zone-name
        private: ports-that-are-specific-to-this-zone-only
        shared: ports-that-the-zone-shares-with-other-zones

4. 修复任何不正确的信息。

   • 要更改或检查网络安全信息，请使用 Solaris Management Console 工具。有关详细信息，请参见如何打开可信网络工具。

   • 要更新内核高速缓存，请在信息已过时的主机上重新启动 tnctl 服务。留出一些时间以允许此进程完成。然后，刷新 tnd 服务。如果刷新失败，请尝试重新启动 tnd 服务。有关详细信息，请参见如何将内核高速缓存与可信网络数据库同步。

     ---

     注 - tnd 服务仅在 ldap 服务运行的情况下才运行。

     ---

     重新引导会清除内核高速缓存。在引导时，会使用数据库信息置备高速缓存。nsswitch.conf 文件确定是使用本地数据库还是 LDAP 数据库置备内核。

5. 收集传输信息以帮助您进行调试。
   • 检验您的路由配置。

     使用 route 命令的 get 子命令。

     $ route get [ip] -secattr sl=label,doi=integer

     有关详细信息，请参见 route(1M) 手册页。

   • 查看包中的标签信息。

     使用 snoop -v 命令。

     -v 选项显示包标头的详细信息，包括标签信息。此命令提供大量详细信息，因此您可能需要限定此命令检查的包。有关详细信息，请参见 snoop(1M) 手册页。

   • 查看路由表项和套接字的安全属性。

     在 netstat -a|-r 命令中使用 -R 选项。

     -aR 选项显示套接字的扩展安全属性。-rR 选项显示路由表项。有关详细信息，请参见 netstat(1M) 手册页。

如何调试客户机与 LDAP 服务器的连接

在 LDAP 服务器上错误配置客户机项可能会妨碍客户机与服务器进行通信。同样，在客户机上错误配置文件可能会妨碍通信。尝试调试客户机/服务器通信问题时，请检查以下项和文件。

开始之前

在 LDAP 客户机上，您必须充当全局区域中的安全管理员角色。

1. 检查 LDAP 服务器以及 LDAP 服务器网关所对应的远程主机模板是否正确。

   # tninfo -h LDAP-server
   # route get LDAP-server
   # tninfo -h gateway-to-LDAP-server

   如果远程主机模板指定不正确，请使用 Solaris Management Console 中的安全模板工具将主机指定给正确的模板。

2. 检查并更正 /etc/hosts 文件。

   您的系统、系统上有标签区域的接口、LDAP 服务器的网关和 LDAP 服务器必须列在该文件中。可能还会有更多项。

   查找重复的项。删除其他系统上属于有标签区域的任何项。例如，如果 Lserver 是 LDAP 服务器的名称，LServer-zones 是有标签区域的共享接口，请从 /etc/hosts 中删除 LServer-zones。

3. 如果您在使用 DNS，请检查并更正 resolv.conf 文件中的项。

   # more resolv.conf
   search list of domains
   domain domain-name
   nameserver IP-address
   
   ...
   nameserver IP-address

4. 检查 nsswitch.conf 文件中的 tnrhdb 和 tnrhtp 项是否准确。
5. 检查是否在服务器上正确配置了客户机。

   # ldaplist -l tnrhdb client-IP-address

6. 检查是否在 LDAP 服务器上正确配置了有标签区域的接口。

   # ldaplist -l tnrhdb client-zone-IP-address

7. 检验您是否可以从当前运行的所有区域 ping LDAP 服务器。

   # ldapclient list
   ...
   NS_LDAP_SERVERS= LDAP-server-address
   # zlogin zone-name1 ping LDAP-server-address
   LDAP-server-address is alive
   # zlogin zone-name2 ping LDAP-server-address
   LDAP-server-address is alive
   ...

8. 配置 LDAP 并重新引导。
   1. 有关过程，请参见《Trusted Extensions Configuration Guide》中的"Make the Global Zone an LDAP Client in Trusted Extensions"。
   2. 在每个有标签区域中，将区域重建为 LDAP 服务器的客户机。

      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...

   3. 停止所有区域，锁定文件系统，然后重新引导。

      如果您在使用 Oracle Solaris ZFS，请先停止区域并锁定文件系统，然后再重新引导。如果未在使用 ZFS，您可以在不停止区域和锁定文件系统的情况下重新引导。

      # zoneadm list
      # zoneadm -z zone-name halt
      # lockfs -fa
      # reboot