此核对表提供了 Trusted Extensions 的主要配置任务的概述。并在主要任务中列出了更小的任务。核对表不能代替本指南中的步骤。
以下汇总了在站点上启用和配置 Trusted Extensions 所需执行的操作。其中交叉引用了别处介绍的任务。
阅读。
了解站点安全要求。
准备。
确定 root 口令。
确定 PROM 或 BIOS 安全级别。
确定 PROM 或 BIOS 口令。
确定是否允许连接外围设备。
确定是否允许访问远程打印机。
确定是否允许访问无标签的网络。
安装 Oracle Solaris OS。
启用 Trusted Extensions。请参见安装和启用 Trusted Extensions。
无论系统是否运行多级别桌面,都为其加载相应的 Trusted Extensions 软件包集。
运行 labeladm enable options 命令以启用 Trusted Extensions 服务。
(可选)运行 labeladm encodings encodings-file 命令,以安装您的编码文件。
重新引导。
(可选)定制全局区域。请参见在 Trusted Extensions 中设置全局区域。
如果使用不同于 1 的 DOI,请在 /etc/system 文件和每个安全模板中设置 DOI。
检验并安装站点的 label_encodings 文件。
重新引导。
添加有标签区域。请参见创建有标签区域。
自动配置两个有标签区域。
手动配置有标签区域。
创建有标签工作区。
配置 LDAP 命名服务。请参见Chapter 5, 为 Trusted Extensions 配置 LDAP。
创建一个 Trusted Extensions 代理服务器或 Trusted Extensions LDAP 服务器。文件命名服务无需配置。
为全局区域和有标签区域配置接口和路由。请参见在 Trusted Extensions 中配置网络接口。
配置网络。请参见为主机和网络设置标签。
标识单标签主机和有限范围主机。
确定要应用于来自无标签主机的传入数据的标签。
定制安全模板。
将各个主机指定给安全模板。
为安全模板指定子网。
执行进一步配置。
为 LDAP 配置网络连接。
为所有安全模板中的 cipso 主机类型指定 LDAP 服务器或代理服务器。
为所有安全模板中的 cipso 主机类型指定 LDAP 客户机。
使本地系统成为 LDAP 服务器的客户机。
配置本地用户和本地管理角色。请参见在 Trusted Extensions 中创建角色和用户。
创建 "Security Administrator"(安全管理员)角色。
创建一个可以承担 "Security Administrator"(安全管理员)角色的本地用户。
创建其他角色,以及要承担这些角色的其他本地用户(根据具体情况确定是否创建)。
在用户可以访问的每个标签下创建起始目录。请参见在 Trusted Extensions 中创建集中起始目录。
在 NFS 服务器上创建起始目录。
创建可加密的本地 ZFS 起始目录。
(可选)阻止用户从其较低级别的起始目录进行读取。
配置打印。请参见配置有标签打印。
配置设备。请参见在 Trusted Extensions 中操作设备。
为角色指定 "Device Management"(设备管理)配置文件或 "System Administrator"(系统管理员)配置文件。
要使设备可用,请执行以下操作之一:
逐个系统地使设备成为可分配的。
为选定的用户和角色指定 "Allocate Device"(分配设备)授权。
配置 Oracle Solaris 功能。
配置审计。
配置系统安全值。
启用特定的 LDAP 客户机以管理 LDAP。
配置 LDAP 中的用户。
配置 LDAP 中的网络角色。
挂载并共享文件系统。请参见Chapter 14, 在 Trusted Extensions 中管理和挂载文件。