Cómo depurar la red de Trusted Extensions

Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Oracle Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) and netstat(1M). Para los comandos que son específicos de Trusted Extensions, consulte el Appendix D, Lista de las páginas del comando man de Trusted Extensions.

• Para obtener información sobre los problemas para contactarse con zonas con etiquetas, consulte Gestión de zonas.

• Para obtener información sobre la depuración de los montajes de NFS, consulte Cómo resolver problemas por fallos de montaje en Trusted Extensions.

Antes de empezar

Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores. Sólo el rol de usuario root puede editar archivos.

1. Compruebe que los hosts que no pueden comunicarse estén utilizando el mismo servicio de nombres.
   1. En cada sistema, compruebe los valores de las bases de datos de Trusted Extensions en el servicio SMF name-service/switch.

      # svccfg -s name-service/switch listprop config
      config/value_authorization  astring  solaris.smf.value.name-service.switch
      config/default              astring  ldap
      ...
      config/tnrhtp               astring  "files ldap"
      config/tnrhdb               astring  "files ldap"

   2. Si los valores son diferentes en los distintos hosts, corrija los valores de los hosts en conflicto.

      # svccfg -s name-service/switch setprop config/tnrhtp="files ldap"
      # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"

   3. A continuación, reinicie el daemon de servicio de nombres en esos hosts.

      # svcadm restart name-service/switch

2. Verifique que cada host esté definido correctamente. Para ello, visualice los atributos de seguridad de los hosts de origen, de destino y de puerta de enlace en la transmisión.

   Utilice la línea de comandos para comprobar que la información de la red es correcta. Verifique que la asignación en cada host coincide con la asignación en los otros hosts de la red. En función de la vista deseada, utilice el comando tncfg, el comando tninfoo la interfaz gráfica de usuario txzonemgr.

   • Visualice una definición de la plantilla.

     El comando tninfo -t muestra las etiquetas en formato de cadena o hexadecimal.

     # tninfo -t template-name
     template: template-name
     host_type: one of cipso or UNLABELED
     doi: 1
     min_sl: minimum-label
     hex: minimum-hex-label
     max_sl: maximum-label
     hex: maximum-hex-label

   • Visualice una plantilla y los hosts asignados a ella.

     El comando tncfg -t muestra las etiquetas en formato de cadena y enumera los hosts asignados.

     # tncfg -t template info
     name=<template-name>
     host_type=<one of cipso or unlabeled>
     doi=1
     min_label=<minimum-label>
     max_label=<maximum-label>
     host=127.0.0.1/32       /** Localhost **/
     host=192.168.1.2/32     /** LDAP server **/
     host=192.168.1.22/32    /** Gateway to LDAP server **/
     host=192.168.113.0/24   /** Additional network **/
     host=192.168.113.100/25      /** Additional network **/
     host=2001:a08:3903:200::0/56/** Additional network **/

   • Visualice la dirección IP y la plantilla de seguridad asignada para un host específico.

     El comando tninfo -h muestra la dirección IP del host especificado y el nombre de la plantilla de seguridad asignada.

     # tninfo -h hostname
     IP Address: IP-address
     Template: template-name

     El comando tncfg get host= muestra el nombre de la plantilla de seguridad que define el host especificado.

     # tncfg get host=hostname|IP-address[/prefix]
     template-name

   • Visualice los puertos de varios niveles (MLP) de una zona.

     El comando tncfg -z muestra un MLP por línea.

     # tncfg -z zone-name info [mlp_private | mlp_shared]
     mlp_private=<port/protocol-that-is-specific-to-this-zone-only>
     mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>

     El comando tninfo -m muestra los MLP privados en una línea y los MLP compartidos en una segunda línea. Los MLP se separan con punto y coma.

     # tninfo -m zone-name
     private: ports-that-are-specific-to-this-zone-only
     shared: ports-that-the-zone-shares-with-other-zones

     Para obtener una visualización gráfica de los MLP, utilice el comando txzonemgr. Haga doble clic en la zona y, a continuación, seleccione Configure Multilevel Ports.

3. Corrija cualquier información incorrecta.
   1. Para cambiar o comprobar la información de seguridad de la red, utilice los comandos administrativos de la red de confianza, tncfg y txzonemgr. Para verificar la sintaxis de las bases de datos, utilice el comando tnchkdb.

      Por ejemplo, la siguiente salida muestra que el nombre de una plantilla, internal_cipso, no está definido:

      # tnchkdb
      checking /etc/security/tsol/tnrhtp ...
      checking /etc/security/tsol/tnrhdb ...
      tnchkdb: unknown template name: internal_cipso at line 49
      tnchkdb: unknown template name: internal_cipso at line 50
      tnchkdb: unknown template name: internal_cipso at line 51
      checking /etc/security/tsol/tnzonecfg ...

      El error indica que los comandos tncfg y txzonemgr no se utilizaron para crear y asignar la plantilla de seguridad internal_cipso.

      Para reparar esto, sustituya el archivo tnrhdb con el archivo original y luego utilice el comando tncfg para crear y asignar plantillas de seguridad.

   2. Para borrar la caché del núcleo, reinicie el sistema.

      Durante el inicio, la caché se rellena con información de la base de datos. El servicio SMF, name-service/switch, determina si se utilizan bases de datos locales o LDAP para rellenar el núcleo.

4. Recopile información de la transmisión para usarla como ayuda en la depuración.
   1. Verifique la configuración de enrutamiento.

      # route get [ip] -secattr sl=label,doi=integer

      Para obtener detalles, consulte la página del comando man route(1M).

   2. Vea la información de la etiqueta en los paquetes.

      # snoop -v

      La opción –v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).

   3. Vea las entradas de la tabla de enrutamiento y los atributos de seguridad en sockets.

      # netstat -aR

      La opción –aR muestra los atributos de seguridad ampliados para sockets.

      # netstat -rR

      La opción –rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).