Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Conversión de la zona global en un cliente LDAP en Trusted Extensions

Este procedimiento establece la configuración del servicio de nombres LDAP para la zona global en un cliente LDAP.

Utilice la secuencia de comandos txzonemgr.


Notas - Si tiene previsto configurar un servidor de nombres en cada zona con etiquetas, debe establecer la conexión entre el cliente LDAP y cada zona con etiquetas.

Antes de empezar

Oracle Directory Server Enterprise Edition, es decir, el servidor LDAP, debe existir. El servidor se debe rellenar con las bases de datos de Trusted Extensions, y este sistema cliente debe poder establecer contacto con el servidor. Por lo tanto, el servidor LDAP debe tener asignada una plantilla de seguridad para este cliente. No se necesita una asignación específica; una asignación comodín es suficiente.

Debe estar con el rol de usuario root en la zona global.

  1. Si utiliza DNS, agregue dns a la configuración name-service/switch.

    El archivo de cambio de servicio de nombres estándar para LDAP es demasiado restrictivo para Trusted Extensions.

    1. Visualice la configuración actual.
      # svccfg -s name-service/switch listprop config
      config                       application
      config/value_authorization   astring       solaris.smf.value.name-service.switch
      config/default               astring       files ldap
      config/netgroup              astring       ldap
      config/printer               astring       "user files ldap"
    2. Agregue dns a la propiedad host y refresque el servicio.
      # svccfg -s name-service/switch setprop config/host = astring: "files dns ldap"
      # svccfg -s name-service/switch:default refresh
    3. Verifique la nueva configuración.
      # svccfg -s name-service/switch listprop config
      config                       application
      config/value_authorization   astring       solaris.smf.value.name-service.switch
      config/default               astring       files ldap
      config/host                  astring       files dns ldap
      config/netgroup              astring       ldap
      config/printer               astring       "user files ldap"

      Las bases de datos de Trusted Extensions utilizan la configuración predeterminada files ldap y, por lo tanto, no se muestran.

  2. Para crear un cliente LDAP, ejecute el comando txzonemgr sin ninguna opción.
    # txzonemgr &
    1. Haga doble clic en la zona global.
    2. Seleccione Create LDAP Client.
    3. Responda a las siguientes peticiones de datos y haga clic en OK después de cada respuesta:
      Enter Domain Name:                   Type the domain name
      Enter Hostname of LDAP Server:       Type the name of the server
      Enter IP Address of LDAP Server servername: Type the IP address
      Enter LDAP Proxy Password:       Type the password to the server
      Confirm LDAP Proxy Password:     Retype the password to the server
      Enter LDAP Profile Name:         Type the profile name
    4. Confirme o cancele los valores mostrados.
      Proceed to create LDAP Client?

      Al confirmar, la secuencia de comandos txzonemgr ejecuta el comando ldapclient init.

  3. Complete la configuración de cliente mediante la activación de las actualizaciones de shadow.
    # ldapclient -v mod -a enableShadowUpdate=TRUE \
    > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix
    System successfully configured
  4. Verifique que la información del servidor es correcta.
    1. Abra una ventana de terminal y consulte el servidor LDAP.
      # ldapclient list

      El resultado es similar al siguiente:

      NS_LDAP_FILE_VERSION= 2.0
      NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name
      ...
      NS_LDAP_BIND_TIME= number
    2. Corrija los errores.

      Si se produce un error, vuelva a realizar del Step 2 al Step 4. Por ejemplo, el siguiente error puede indicar que el sistema no tiene una entrada en el servidor LDAP:

      LDAP ERROR (91): Can't connect to the LDAP server.
      Failed to find defaultSearchBase for domain domain-name

      Para corregir este error, debe revisar el servidor LDAP.