手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

tnctl(1M)

名称

tnctl - 配置 Trusted Extensions 网络参数

用法概要

/usr/sbin/tnctl [-dfv] [-h host [/prefix] [:template]]
     [-m zone:mlp:shared-mlp][-t template [:key=val [;key=val]]] 
     [-HTz] file]

描述

tnctl 提供了一个接口来处理 Solaris 内核中的可信网络参数。

作为 Solaris Trusted Extensions 初始化的一部分,在系统引导期间,tnctl 通过 smf(5) 脚本在全局区域中运行。tnctl 命令不是计划在常规系统管理过程中使用的。而是在本地可信网络数据库文件被修改时使用,此时管理员首先发出 tnchkdb(1M) 来检查语法,然后使用以下命令刷新内核副本:

# svcadm restart svc:/network/tnctl

有关在正在运行的系统上更改远程主机和模板信息的风险,请参见“警告”部分。

选项

–d

从内核中删除匹配的条目。将从匹配模板主机类型的内核高速缓存表中删除条目。例如,如果模板主机类型是 NETIF,将从内核接口高速缓存中删除条目;否则,将从内核主机高速缓存中删除条目。如果未指定模板,tnctl 将尝试从内核高速缓存表中删除条目。

在删除 MLP 时,MLP 范围必须完全匹配。MLP 指定为以下格式:

port[-port]/protocol

其中 port 可以是 1 到 65535 之间的数字。或任何已知服务(请参见 services(4)),protocol 可以是 1 到 255 之间的数字,或任何已知协议(请参见 protocols(4))。

–f

在加载命令行上指定的条目之前刷新所有内核条目。除非至少一个条目解析成功,否则不进行刷新。同时刷新主机高速缓存和接口高速缓存条目。

–v

打开详细模式。

–h host[/prefix][:template]

为指定的 host 更新本地主机上的内核远程主机高速缓存,或者,如果给定了模板名称,则更改内核的高速缓存以使用指定的 template。如果没有指定 prefix,则根据用于解释 tnrhdb 的规则确定隐式前缀长度。如果指定了 –d,则不能指定模板名称。

–m zone:mlp:shared-mlp

为指定的 zone 修改内核的多级别端口 (multilevel port, MLP) 配置高速缓存。zone 指定要更新的区域。mlpshared-mlp 为特定于区域的 IP 地址和共享的 IP 地址指定 MLP。shared-mlp 字段仅在全局区域中有效。

–t template[key=val[;key=val]]

template 更新内核模板高速缓存,或者,如果给定了 key=val 对的列表,则更改内核的高速缓存以使用指定的条目。如果指定了 –d,则不能指定 key=val 对。

–T file

file 中的所有模板条目加载到内核高速缓存中。

–H file

file 中的所有远程主机条目加载到内核高速缓存中。

–z file

仅将 file 中的全局区域的 MLP 加载到内核高速缓存中。要为非全局区域重新加载 MLP,请重新引导区域:

# zoneadm -z non-global zone reboot

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
system/trusted
接口稳定性
Uncommitted(未确定)

文件

/etc/security/tsol/tnrhdb

可信网络远程主机数据库

/etc/security/tsol/tnrhtp

可信网络远程主机模板

/etc/security/tsol/tnzonecfg

可信区域配置数据库

/etc/nsswitch.conf

名称服务转换器的配置文件

另请参见

svcs(1)svcadm(1M)tninfo(1M)tnd(1M)tnchkdb(1M)zoneadm(1M)nsswitch.conf(4)protocols(4)services(4)attributes(5)smf(5)

Trusted Extensions 配置和管理

警告

当网络处于运行状态时更改模板可能会改变某些主机(数量不定)的安全视图。

附注

仅当系统配置有 Trusted Extensions 时,本手册页中介绍的功能才可用。

tnctl 服务由服务管理工具 smf(5) 管理,其服务标识符为:

svc:/network/tnctl

可以使用 svcs(1) 来查询服务的状态。可以使用 svcadm(1M) 来对此服务执行管理操作(如刷新内核高速缓存),如下所示:

svcadm restart svc:/network/tnctl