Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo crear un puerto de varios niveles para una zona

Puede agregar MLP privados y compartidos a las zonas con etiquetas y la zona global.

Este procedimiento se utiliza cuando una aplicación que se ejecuta en una zona con etiquetas necesita un puerto de varios niveles (MLP) para comunicarse con la zona. En este procedimiento, un proxy web se comunica con la zona.

Antes de empezar

Debe estar con el rol de usuario root en la zona global. El sistema debe tener al menos dos direcciones IP y la zona con etiquetas debe estar detenida.

  1. Agregue el host proxy y los servicios web host al archivo /etc/hosts.
    ## /etc/hosts file
    ...
    proxy-host-name  IP-address
    web-service-host-name IP-address
  2. Configure la zona.

    Por ejemplo, configure la zona public para que reconozca los paquetes que explícitamente tienen la etiqueta PUBLIC. Para esta configuración, la plantilla de seguridad se denomina webprox.

    # tncfg -t webprox
    tncfg:public> set name=webprox
    tncfg:public> set host_type=cipso
    tncfg:public> set min_label=public
    tncfg:public> set max_label=public
    tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone
    tncfg:public> add host=10.1.2.3/16IP address of public zone
    tncfg:public> exit
  3. Configure el puerto de varios niveles.

    Por ejemplo, el servicio proxy web podría establecer una comunicación con la zona PUBLIC por medio de la interfaz 8080/tcp.

    # tncfg -z public add mlp_shared=8080/tcp
    # tncfg -z public add mlp_private=8080/tcp
  4. Para agregar el puerto de varios niveles al núcleo, inicie la zona.
    # zoneadm -z zone-name boot
  5. En la zona global, agregue rutas para las nuevas direcciones.

    Para agregar rutas, consulte Cómo agregar rutas predeterminadas.

Ejemplo 16-21  Configuración de un puerto de varios niveles con la interfaz gráfica de usuario txzonemgr

Para configurar el servicio proxy web, el administrador abre Labeled Zone Manager.

# txzonemgr &

El administrador hace doble clic en la zona PUBLIC y, a continuación, hace doble clic en Configure Multilevel Ports. Luego, el administrador selecciona y hace doble clic en la línea Private interfaces. La selección cambia a un campo de entrada similar al siguiente:

Private interfaces:111/tcp;111/udp

El administrador comienza la entrada del proxy web con un punto y coma como separador.

Private interfaces:111/tcp;111/udp;8080/tcp

Después de completar la entrada privada, el administrador escribe el proxy web en el campo Shared interfaces.

Shared interfaces:111/tcp;111/udp;8080/tcp

Un mensaje emergente indica que los puertos de varios niveles de la zona public estarán activos la próxima vez que se inicie la zona.

Ejemplo 16-22  Configuración de un puerto de varios niveles privado para NFSv3 mediante udp

En este ejemplo, el administrador activa los montajes de lectura en sentido descendente de NFSv3 mediante udp. El administrador tiene la posibilidad de utilizar el comando tncfg.

# tncfg -z global add mlp_private=2049/udp

La interfaz gráfica de usuario txzonemgr proporciona otra manera de definir el puerto de varios niveles.

En Labeled Zone Manager, el administrador hace doble clic en la zona global y, a continuación, hace doble clic en Configure Multilevel Ports. En el menú MLP, el administrador selecciona y hace doble clic en la línea Private interfaces y agrega el puerto/protocolo.

Private interfaces:111/tcp;111/udp;8080/tcp

Un mensaje emergente indica que los puertos de varios niveles de la zona global estarán activos la próxima vez que se inicie la zona.

Ejemplo 16-23  Visualización de puertos de varios niveles en un sistema

En este ejemplo, se configura un sistema con varias zonas con etiquetas. Todas las zonas comparten la misma dirección IP. Algunas zonas también se configuran con direcciones específicas de las zonas. En esta configuración, el puerto TCP para navegar por la web (puerto 8080), es un puerto de varios niveles en una interfaz compartida en la zona public. El administrador también configuró telnet (puerto TCP 23) para que sea un puerto de varios niveles en la zona public. Dado que estos dos puertos de varios niveles están en una interfaz compartida, ninguna otra zona, ni siquiera la zona global, puede recibir paquetes de la interfaz compartida en los puertos 8080 y 23.

Además, el puerto TCP para ssh (puerto 22) es un puerto de varios niveles por zona en la zona public. El servicio de la zona public ssh puede recibir cualquier paquete en su dirección específica de la zona dentro del rango de etiquetas de la etiqueta.

El siguiente comando muestra los puertos de varios niveles para la zona public:

# tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

El siguiente comando muestra los puertos de varios niveles para la zona global. Tenga en cuenta que los puertos 23 y 8080 no pueden ser puertos de varios niveles en la zona global porque dicha zona comparte la misma dirección con la zona public:

# tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp