为了在具有多个 Trusted Extensions 系统的一个安全域内实现用户、主机和网络属性的一致性,需使用一个命名服务来分发大多数配置信息。svc:/system/name-service/switch 服务确定要使用的命名服务。LDAP 是推荐用于 Trusted Extensions 的命名服务。
LDAP 服务器可以为 Trusted Extensions 和 Oracle Solaris 客户机提供 LDAP 命名服务。该服务器必须包含 Trusted Extensions 网络数据库,并且 Trusted Extensions 客户机必须通过一个多级别端口连接到服务器。安全管理员在系统配置期间指定多级别端口。
通常,在全局区域中为全局区域配置此多级别端口。因此,有标签区域无法对 LDAP 目录进行写入访问。相反,有标签区域通过在网络上其自身系统或其他可信系统中运行的多级别代理服务发送读取请求。Trusted Extensions 也支持每个标签一个目录服务器的 LDAP 配置。当用户每个标签有不同的凭证时,需要此类配置。
Trusted Extensions 将两个可信网络数据库添加到 LDAP 服务器:tnrhdb 和 tnrhtp。
有关在 Oracle Solaris 中使用 LDAP 命名服务的信息,请参见使用 Oracle Solaris 11.2 目录和命名服务:LDAP 。
Chapter 5, 为 Trusted Extensions 配置 LDAP中介绍了如何设置用于 Trusted Extensions 的 LDAP 服务器。通过使用配置有 Trusted Extensions 的代理,Trusted Extensions 系统可以成为 Oracle Solaris LDAP 服务器的客户机。
创建 Trusted Extensions LDAP 客户机中介绍了如何设置 Trusted Extensions LDAP 服务器的客户机。