启用对远程 Trusted Extensions 系统的远程管理

在此过程中，您将在 Oracle Solaris 远程系统上启用基于主机的验证，然后再向其添加 Trusted Extensions 功能。远程系统是 安全 Shell 服务器。

开始之前

远程系统随 Oracle Solaris 一起安装，并且您可以访问该系统。您必须是 root 角色。

1. 在这两个系统上，启用基于主机的验证。

   有关过程，请参见在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何设置基于主机的安全 Shell 验证。

   ---

   注 -  不要使用 cat 命令。通过 安全 Shell 连接复制和粘贴公钥。如果您的 安全 Shell 客户机不是 Oracle Solaris 系统，请遵循适用于您的平台的有关说明，对 安全 Shell 客户机配置基于主机的验证。

   ---

   完成此步骤后，您将在这两个系统上具有可承担 root 角色的用户帐户。为这些帐户分配了相同的 UID、GID 以及角色。此外，您已经生成公钥/私钥对，并共享公钥。

2. 在 安全 Shell 服务器上，放宽 ssh 策略以使 root 能够进行远程登录。

   # pfedit /etc/ssh/sshd_config
   ## Permit remote login by root
   PermitRootLogin yes

   随后的步骤将限制 root 登录到特定的系统和用户。

   ---

   注 - 由于管理员将承担 root 角色，因此您不需要放宽阻止远程 root 登录的登录策略。

   ---

3. 在 安全 Shell 服务器上，重新启动 ssh 服务。

   # svcadm restart ssh

4. 在 安全 Shell 服务器上，在 root 的起始目录中，指定用于基于主机的验证的主机和用户。

   # cd
   # pfedit .shosts
   client-host username

   当共享公钥/私钥时，.shosts 文件将使 client-host 系统上的 username 能够承担服务器上的 root 角色。

5. 在 安全 Shell 服务器上，放宽两个 PAM 策略。
   1. 将 /etc/pam.d/other 复制到 /etc/pam.d/other.orig。

      # cp /etc/pam.d/other /etc/pam.d/other.orig

   2. 修改 pam_roles 项以允许通过角色进行远程登录。

      # pfedit /etc/pam.d/other
      ...
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      ...

      此策略使 client-host 系统上的 username 能够承担服务器上的角色。

   3. 修改 pam_tsol_account 项以允许无标签主机与 Trusted Extensions 远程系统联系。

      # pfedit /etc/pam.d/other
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      #
      account required     pam_unix_account.so.1
      #account required     pam_tsol_account.so.1
      # Enable unlabeled access to TX system
      account required     pam_tsol_account.so.1  allow_unlabeled

6. 测试配置。
   1. 在远程系统上打开新的终端。
   2. 在 client-host 上 username 所拥有的窗口中，承担远程系统上的 root 角色。

      % ssh -l root remote-system

7. 证明配置正常工作后，在远程系统上启用 Trusted Extensions 并重新引导。

   # svcadm enable -s labeld
   # /usr/sbin/reboot

在此示例中，管理员将使用 Trusted Extensions 系统来配置远程 Trusted Extensions 主机。为此，管理员将在每个系统上使用 tncfg 命令来定义对等系统的主机类型。

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host

client-host # tncfg -t cipso add host=192.168.1.22 Remote system

要使管理员可以通过无标签系统配置远程 Trusted Extensions 主机，管理员需要在远程主机的 pam.d/other 文件中保留 allow_unlabeled 选项。