在 Trusted Extensions 中,您必须使用 安全 Shell 协议以及基于主机的验证,才能访问和管理远程系统。使用基于主机的验证,具有相同名称的用户帐户可以在远程 Trusted Extensions 上承担角色。
使用基于主机的验证时,安全 Shell 客户机会向远程系统(即服务器)发送原始用户名和角色名称。使用该信息,服务器可以将足够的内容传递到 pam_roles 模块以启用角色承担,而无需使用用户帐户登录到服务器。
下面是在 Trusted Extensions 中可以使用的远程管理方法:
从 Trusted Extensions 系统进行管理-为了实现最安全的远程管理,两个系统均将它们的对等方指定给 CIPSO 安全模板。请参见Example 12–1。
从无标签系统进行管理-如果由 Trusted Extensions 系统进行管理不可行,则可以通过为 PAM 栈中的 pam_tsol_account 模块指定 allow_unlabeled 选项放宽网络协议策略。
如果放宽该策略,则必须更改缺省安全模板,以便使任意系统都无法访问全局区域。应谨慎使用 admin_low 模板,并且通配符地址 0.0.0.0 不得缺省设置为 ADMIN_LOW 标签。有关详细信息,请参见如何限定可能会在可信网络上联系的主机。
在任一管理方案中,要使用 root 角色进行远程登录,必须通过为 pam_roles 模块指定 allow_remote 选项来放宽 PAM 策略。
通常,管理员使用 ssh 命令从命令行管理远程系统。通过 –X 选项,可以使用 Trusted Extensions 管理 GUI。
另外,也可以对远程 Trusted Extensions 配置 Xvnc 服务器。然后,可以使用虚拟网络计算 (Virtual Network Computing, VNC) 连接来显示远程多级别桌面并管理系统。请参见如何对 Trusted Extensions 系统配置 Xvnc 以进行远程访问。