Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo activar la administración remota de un sistema Trusted Extensions remoto

En este procedimiento, se activa la autenticación basada en host en un sistema remoto Oracle Solaris antes de agregar la función Trusted Extensions. El sistema remoto es el servidor shell seguro.

Antes de empezar

El sistema remoto se instala con Oracle Solaris, y es posible acceder a ese sistema. Debe tener el rol root.

  1. En ambos sistemas, active la autenticación basada en host.

    Para conocer el procedimiento, consulte Cómo configurar la autenticación basada en host para el shell seguro de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 .

    Notas -  No utilice el comando cat. Copie y pegue la clave pública mediante una conexión shell seguro. Si el cliente shell seguro no es un sistema Oracle Solaris, siga las instrucciones de la plataforma para configurar un cliente shell seguro con la autenticación basada en host.

    Después de completar este paso, tendrá una cuenta de usuario en ambos sistemas que puede asumir el rol de usuario root. Se asigna el mismo UID, GID y asignación de rol a las cuentas. También ha generado pares de claves públicas/privadas y tiene claves públicas compartidas.

  2. En el servidor shell seguro, flexibilice la política ssh para permitir que root inicie sesión de manera remota. 
    # pfedit /etc/ssh/sshd_config
## Permit remote login by root
PermitRootLogin yes

    Un paso posterior limita el inicio de sesión de root a un sistema y un usuario concretos.

    Notas - Dado que el administrador asumirá el rol de usuario root, no necesita hacer menos estricta la política de inicio de sesión que impide que root inicie sesión de manera remota.
  3. En el servidor shell seguro, reinicie el servicio ssh. 
    # svcadm restart ssh
  4. En el servidor shell seguro, en el directorio raíz root, especifique el host y el usuario para la autenticación basada en host. 
    # cd
# pfedit .shosts
client-host username

    El archivo .shosts permite que username en el sistema client-host asuma el rol de usuario root en el servidor, cuando se comparte una clave pública/privada.

  5. En el servidor shell seguro, flexibilice las dos políticas PAM.
    1. Copie /etc/pam.d/other en /etc/pam.d/other.orig. 
      # cp /etc/pam.d/other /etc/pam.d/other.orig
    2. Modifique la entrada pam_roles para permitir el acceso remoto mediante roles. 
      # pfedit /etc/pam.d/other
...
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
...

      Esta política permite que username en el sistema client-host asuma un rol en el servidor.

    3. Modifique la entrada pam_tsol_account para permitir que los hosts sin etiquetar se pongan en contacto con el sistema remoto de Trusted Extensions. 
      # pfedit /etc/pam.d/other
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
#
account required     pam_unix_account.so.1
#account required     pam_tsol_account.so.1
# Enable unlabeled access to TX system
account required     pam_tsol_account.so.1  allow_unlabeled
  6. Pruebe la configuración.
    1. Abra un nuevo terminal en el sistema remoto.
    2. En client-host, en una ventana de username, asuma el rol de usuario root en el sistema remoto. 
      % ssh -l root remote-system
  7. Después de comprobar que la configuración funciona, active Trusted Extensions en el sistema remoto y reinicie el sistema. 
    # svcadm enable -s labeld
# /usr/sbin/reboot
Ejemplo 12-1  Asignación del tipo de host CIPSO para la administración remota

En este ejemplo, el administrador utiliza un sistema Trusted Extensions para configurar un host Trusted Extensions remoto. Para ello, el administrador utiliza el comando tncfg en cada sistema con el fin de definir el tipo de host del sistema equivalente.

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system

Para permitir que un administrador configure el host Trusted Extensions remoto desde un sistema sin etiquetas, el administrador deja la opción allow_unlabeled en el archivo pam.d/other del host remoto.

Copyright © 1992, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente