Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Oracle Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) and netstat(1M). Para los comandos que son específicos de Trusted Extensions, consulte el Appendix D, Lista de las páginas del comando man de Trusted Extensions.
Para obtener información sobre los problemas para contactarse con zonas con etiquetas, consulte Gestión de zonas.
Para obtener información sobre la depuración de los montajes de NFS, consulte Cómo resolver problemas por fallos de montaje en Trusted Extensions.
Antes de empezar
Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores. Sólo el rol de usuario root puede editar archivos.
# svccfg -s name-service/switch listprop config config/value_authorization astring solaris.smf.value.name-service.switch config/default astring ldap ... config/tnrhtp astring "files ldap" config/tnrhdb astring "files ldap"
# svccfg -s name-service/switch setprop config/tnrhtp="files ldap" # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
# svcadm restart name-service/switch
Utilice la línea de comandos para comprobar que la información de la red es correcta. Verifique que la asignación en cada host coincide con la asignación en los otros hosts de la red. En función de la vista deseada, utilice el comando tncfg, el comando tninfoo la interfaz gráfica de usuario txzonemgr.
El comando tninfo -t muestra las etiquetas en formato de cadena o hexadecimal.
# tninfo -t template-name template: template-name host_type: one of cipso or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
El comando tncfg -t muestra las etiquetas en formato de cadena y enumera los hosts asignados.
# tncfg -t template info name=<template-name> host_type=<one of cipso or unlabeled> doi=1 min_label=<minimum-label> max_label=<maximum-label> host=127.0.0.1/32 /** Localhost **/ host=192.168.1.2/32 /** LDAP server **/ host=192.168.1.22/32 /** Gateway to LDAP server **/ host=192.168.113.0/24 /** Additional network **/ host=192.168.113.100/25 /** Additional network **/ host=2001:a08:3903:200::0/56/** Additional network **/
El comando tninfo -h muestra la dirección IP del host especificado y el nombre de la plantilla de seguridad asignada.
# tninfo -h hostname IP Address: IP-address Template: template-name
El comando tncfg get host= muestra el nombre de la plantilla de seguridad que define el host especificado.
# tncfg get host=hostname|IP-address[/prefix] template-name
El comando tncfg -z muestra un MLP por línea.
# tncfg -z zone-name info [mlp_private | mlp_shared] mlp_private=<port/protocol-that-is-specific-to-this-zone-only> mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>
El comando tninfo -m muestra los MLP privados en una línea y los MLP compartidos en una segunda línea. Los MLP se separan con punto y coma.
# tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
Para obtener una visualización gráfica de los MLP, utilice el comando txzonemgr. Haga doble clic en la zona y, a continuación, seleccione Configure Multilevel Ports.
Por ejemplo, la siguiente salida muestra que el nombre de una plantilla, internal_cipso, no está definido:
# tnchkdb checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... tnchkdb: unknown template name: internal_cipso at line 49 tnchkdb: unknown template name: internal_cipso at line 50 tnchkdb: unknown template name: internal_cipso at line 51 checking /etc/security/tsol/tnzonecfg ...
El error indica que los comandos tncfg y txzonemgr no se utilizaron para crear y asignar la plantilla de seguridad internal_cipso.
Para reparar esto, sustituya el archivo tnrhdb con el archivo original y luego utilice el comando tncfg para crear y asignar plantillas de seguridad.
Durante el inicio, la caché se rellena con información de la base de datos. El servicio SMF, name-service/switch, determina si se utilizan bases de datos locales o LDAP para rellenar el núcleo.
# route get [ip] -secattr sl=label,doi=integer
Para obtener detalles, consulte la página del comando man route(1M).
# snoop -v
La opción –v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).
# netstat -aR
La opción –aR muestra los atributos de seguridad ampliados para sockets.
# netstat -rR
La opción –rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).