En este procedimiento, se activa la autenticación basada en host en un sistema remoto Oracle Solaris antes de agregar la función Trusted Extensions. El sistema remoto es el servidor shell seguro.
Antes de empezar
El sistema remoto se instala con Oracle Solaris, y es posible acceder a ese sistema. Debe tener el rol root.
Para conocer el procedimiento, consulte Cómo configurar la autenticación basada en host para el shell seguro de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 .
Después de completar este paso, tendrá una cuenta de usuario en ambos sistemas que puede asumir el rol de usuario root. Se asigna el mismo UID, GID y asignación de rol a las cuentas. También ha generado pares de claves públicas/privadas y tiene claves públicas compartidas.
# pfedit /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
Un paso posterior limita el inicio de sesión de root a un sistema y un usuario concretos.
# svcadm restart ssh
# cd # pfedit .shosts client-host username
El archivo .shosts permite que username en el sistema client-host asuma el rol de usuario root en el servidor, cuando se comparte una clave pública/privada.
# cp /etc/pam.d/other /etc/pam.d/other.orig
# pfedit /etc/pam.d/other ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote ...
Esta política permite que username en el sistema client-host asuma un rol en el servidor.
# pfedit /etc/pam.d/other # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote # account required pam_unix_account.so.1 #account required pam_tsol_account.so.1 # Enable unlabeled access to TX system account required pam_tsol_account.so.1 allow_unlabeled
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
En este ejemplo, el administrador utiliza un sistema Trusted Extensions para configurar un host Trusted Extensions remoto. Para ello, el administrador utiliza el comando tncfg en cada sistema con el fin de definir el tipo de host del sistema equivalente.
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
Para permitir que un administrador configure el host Trusted Extensions remoto desde un sistema sin etiquetas, el administrador deja la opción allow_unlabeled en el archivo pam.d/other del host remoto.