跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 安装时随附有一套缺省安全模板。将某模板指定给一台主机时,该模板中的安全值将应用于该主机。在 Trusted Extensions 中,网络上的无标签主机和有标签主机均通过模板方式指定安全属性。未指定安全模板的主机将不可访问。模板可本地存储,或存储在 Oracle Directory Server Enterprise Edition 上的 LDAP 命名服务中。
模板可直接或间接指定给主机。直接指定会将模板指定给特定的 IP 地址。间接指定会将模板指定给包括该主机的网络地址。没有安全模板的主机无法与配置有 Trusted Extensions 的主机进行通信。有关直接指定和间接指定的说明,请参见可信网络回退机制。
通过使用 Solaris Management Console 中的 "Security Templates"(安全模板)工具修改或创建模板。"Security Templates"(安全模板)工具强制完成模板中的必需字段。哪些字段是必需的取决于主机类型。
每种主机类型都有其自己的一套额外的必需和可选安全属性。以下安全属性均在安全模板中进行指定:
缺省标签—定义无标签主机的信任级别。无标签主机发送的包由接收 Trusted Extensions 主机或网关在此标签进行读取。
缺省标签属性特定于无标签主机类型。有关详细信息,请参见 smtnrhtp(1M) 手册页和以下各节。
DOI—标识系统解释域的非零正整数。DOI 用于说明哪组标签编码适用于网络通信或网络实体。具有不同 DOI 的标签是不相交的,即使在其他方面是相同的。对于无标签主机,DOI 适用于缺省标签。在 Trusted Extensions 中,缺省值为 1。
安全标签集合—可选。为安全模板指定一组独立的安全标签。除了其认可范围由最大和最小标签确定之外,指定给具有安全标签集合的模板的主机还可以发送和接收与该标签集合中任一标签匹配的包。可以指定的最大标签数为四。
Trusted Extensions 支持可信网络数据库中的两种主机类型并提供两个缺省模板:
CIPSO 主机类型—针对运行可信操作系统的主机。Trusted Extensions 为该主机类型提供名为 cipso 的模板。
通用 IP 安全选项 (Common IP Security Option, CIPSO) 协议用于指定在 IP 选项字段中传递的安全标签。CIPSO 标签从数据的标签自动派生。标记类型 1 用于传递 CIPSO 安全标签。然后,该标签用于在 IP 级别进行安全检查,并标记网络包中的数据。
无标签主机类型—针对使用标准联网协议但不支持 CIPSO 选项的主机。Trusted Extensions 为该主机类型提供名为 admin_low 的模板。
该主机类型将指定给运行 Oracle Solaris OS 或其他无标签操作系统的主机。该主机类型负责提供缺省标签和缺省安全许可,以与无标签主机进行通信。此外,可以指定一个标签范围或一组独立标签,以允许将包发送到无标签网关进行转发。
注意 - admin_low 模板提供了使用特定于站点的标签构建无标签模板的示例。虽然安装 Trusted Extensions 需要 admin_low 模板,但是安全设置可能不适用于常规系统操作。出于系统维护和支持原因,请保持提供的模板不进行任何修改。 |
无标签主机类型的模板指定缺省标签。该标签用于控制与其操作系统无法识别标签(如 Oracle Solaris 系统)的主机进行的通信。指定的缺省标签反映适用于该主机及其用户的信任级别。
因为与无标签主机之间的通信本质上仅限于缺省标签,所有这些主机也称为单标签主机。
使用同一系统解释域 (Domain of Interpretation, DOI) 的组织在以相同方式解释标签信息和其他安全属性方面达成共识。Trusted Extensions 执行标签比较时,会进行检查以确定 DOI 是否等同。
Trusted Extensions 系统在一个 DOI 值上强制执行标签策略。Trusted Extensions 系统上的所有区域必须在同一 DOI 处运行。对于从使用不同 DOI 的系统接收的包,Trusted Extensions 系统不对其提供异常处理。
如果站点使用的 DOI 值与缺省值不同,必须将此值添加到 /etc/system 文件,并在每个安全模板中更改该值。有关初始过程,请参见《Trusted Extensions Configuration Guide》中的"Configure the Domain of Interpretation"。要配置各个安全模板中的 DOI,请参见示例 13-1。
最小标签和最大标签属性用于为有标签主机和无标签主机建立标签范围。这些属性用于执行以下操作:
设置可在与远程 CIPSO 主机通信时使用的标签范围
为了将包发送至目标主机,包的标签必须位于在该目标主机安全模板中指定给目标主机的标签范围内。
为通过 CIPSO 网关或无标签网关转发的包设置标签范围
标签范围可在无标签主机类型的模板中进行指定。利用标签范围,主机可以转发不一定处于该主机的标签级别、但是位于指定标签范围内的包。
安全标签集合最多可定义四个独立标签,远程主机可以在这些标签级别接受、转发或发送包。该属性为可选。缺省情况下,不定义安全标签集合。