Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Création d'un port multiniveau pour une zone

Vous pouvez ajouter des MLP privés et partagés à des zones étiquetées et à la zone globale.

Cette procédure est utilisée lorsqu'une application qui s'exécute à l'intérieur d'une zone étiquetée requiert un port multiniveau (MLP) pour communiquer avec la zone. Dans cette procédure, un proxy Web communique avec la zone.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale. Le système doit avoir au moins deux adresses IP et la zone étiquetée est arrêtée.

  1. Ajoutez l'hôte proxy et l'hôte de services Web au fichier /etc/hosts .
    ## /etc/hosts file
...
proxy-host-name  IP-address
web-service-host-name IP-address
  2. Configurez la zone.

    Par exemple, vous pouvez configurer la zone public de manière à ce qu'elle reconnaisse les paquets explicitement étiquetés PUBLIC. Pour cette configuration, le modèle de sécurité est nommé webprox. 

    # tncfg -t webprox
tncfg:public> set name=webprox
tncfg:public> set host_type=cipso
tncfg:public> set min_label=public
tncfg:public> set max_label=public
tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone
tncfg:public> add host=10.1.2.3/16IP address of public zone
tncfg:public> exit
  3. Configurez le MLP.

    Par exemple, le service de proxy Web peut communiquer avec la zone PUBLIC via l'interface 8080/tcp.

    # tncfg -z public add mlp_shared=8080/tcp
# tncfg -z public add mlp_private=8080/tcp
  4. Pour ajouter les MLP au noyau, initialisez la zone. 
    # zoneadm -z zone-name boot
  5. Dans la zone globale, ajoutez des routes pour les nouvelles adresses.

    Pour ajouter des routes, effectuez les étapes décrites dans la section Ajout des routes par défaut.

Exemple 16-21  Configuration d'un MLP à l'aide de l'interface graphique txzonemgr

L'administrateur configure le service de proxy Web en ouvrant le gestionnaire de zones étiquetées (Labeled Zone Manager). 

# txzonemgr &

L'administrateur clique deux fois sur la zone PUBLIC, puis sur les ports Configure Multilevel Ports. Il sélectionne ensuite la ligne Private interfaces et clique deux fois dessus. La sélection prend ensuite l'apparence d'une zone de saisie semblable à ce qui suit :

Private interfaces:111/tcp;111/udp

L'administrateur saisit ensuite le proxy Web en le séparant de ce qui précède par un point-virgule.

Private interfaces:111/tcp;111/udp;8080/tcp

Une fois la saisie privée terminée, l'administrateur saisit le proxy Web dans le champ Shared interfaces. 

Shared interfaces:111/tcp;111/udp;8080/tcp

Une fenêtre contextuelle indique que les ports multiniveau de la zone public seront actifs à la prochaine initialisation de la zone.

Exemple 16-22  Configuration d'un port multiniveau privé pour NFSv3 sur udp

Dans cet exemple, l'administrateur active les montages "read-down" NFSv3 sur udp. L'administrateur a la possibilité d'utiliser la commande tncfg. 

# tncfg -z global add mlp_private=2049/udp

L'interface graphique txzonemgr fournit une autre manière de définir le MLP.

Dans le gestionnaire de zones étiquetées (Labeled Zone Manager), l'administrateur clique deux fois sur la zone global, puis sur Configure Multilevel Ports. Dans le menu MLP, l'administrateur sélectionne la ligne Private interfaces et clique deux fois dessus avant d'ajouter le port/protocole. 

Private interfaces:111/tcp;111/udp;8080/tcp

Une fenêtre contextuelle indique que les ports multiniveau de la zone global seront actifs à la prochaine initialisation de la zone.

Exemple 16-23  Affichage de ports multiniveau sur un système

Dans cet exemple, un système est configuré avec plusieurs zones étiquetées. Toutes les zones partagent la même adresse IP. Certaines zones sont également configurées avec des adresses spécifiques à leur zone. Dans cette configuration, le port TCP permettant de naviguer sur le Web (port 8080) est un MLP situé sur une interface partagée de la zone publique. L'administrateur a également configuré telnet, le port TCP 23, comme MLP de la zone publique. Etant donné que ces deux MLP se trouvent sur une interface partagée, aucune autre zone, pas même la zone globale, ne peut recevoir de paquets sur les ports 8080 et 23 dans l'interface partagée.

En outre, le port TCP de ssh, le port 22, est un MLP par zone de la zone publique. Le service ssh de la zone publique peut recevoir sur l'adresse spécifique à sa zone n'importe quel paquet correspondant à la page d'étiquettes de l'adresse.

La commande suivante indique les MLP pour la zone publique :

# tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

La commande suivante indique les MLP pour la zone globale. Notez que les ports 23 et 8080 ne peuvent pas être de type MLP dans la zone globale car celle-ci partage la même adresse que la zone publique :

# tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp
Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant