Usar as portas de 1 a 1024
Em um sistema UNIX, as portas de 1 a 1024 são reservadas para uso por serviços TCP padrão. Durante a instalação, você pode permitir que o DXserver faça a escuta das portas de 1 a 1024. O padrão para essa opção é No, o que restringe as portas que podem ser usadas para melhorar a segurança. A instalação dos pacotes DEB e RPM no Linux também não permite usar as portas de 1 a 1024.
cad126br
Em um sistema UNIX, as portas de 1 a 1024 são reservadas para uso por serviços TCP padrão. Durante a instalação, você pode permitir que o DXserver faça a escuta das portas de 1 a 1024. O padrão para essa opção é No, o que restringe as portas que podem ser usadas para melhorar a segurança. A instalação dos pacotes DEB e RPM no Linux também não permite usar as portas de 1 a 1024.
Nas versões anteriores do CA Directory, se o administrador desejasse utilizar as portas de 1 a 1024, precisaria fazer as seguintes configurações na instalação para permitir que o DSA faça a escuta dessas portas:
- setuid bit definido no binário do dxserver (modo 4750)
- Proprietário do binário do dxserver alterado para usuário raiz
Se desejar que o DXserver faça a escuta dessas portas, use uma das técnicas a seguir, dependendo do tipo de Unix:
- Em sistemas Linux, o recursocap_net_bind_serviceé atribuído aos binários. Para obter mais informações sobre esse recurso, consulte "capabilities(7) Linux man page".
- Em sistemas Solaris, é criado um perfil de direitosCADirectorydxserverProfilepara o DXserver. Esse perfil concede o privilégionet_privaddrao binário, e o perfil criado é atribuído ao usuário do diretório.
- Em outros sistemas Unix, o proprietário dos binários deve ser raiz e o sinalizador setuid deve ser definido. Caso precise permitir que o DXserver use as portas <= 1024, defina isso manualmente, se isso não tiver sido feito durante a instalação.
Linux
Siga estas etapas:
- Efetue logon como raiz.
- Use o seguinte comando para usar o recurso do Linux:setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
Siga estas etapas:
- Efetue logon como raiz.
- Use o seguinte comando para criar um perfil de direitos:profiles -p profile_nameprofiles:profile_name> set desc=”Profile description”profiles:profile_name> add cmd=”$DXHOME/bin/binary”profiles:profile_name:binary> add privs="basic,net_privaddr"profiles:profile_name:binary> endprofiles:profile_name> exit
- Use o comando a seguir para adicionar este perfil de direitos para o usuário do diretório:usermod -K profiles+=profile_name $DXUSER
Observação:
em sistemas Solaris, um shell do perfil deve ser usado para criar e iniciar um novo DSA que usa uma porta no intervalo de 1 a 1024:pfexec dxnewdsa test 389 pfexec dxserver start test
(Outros sistemas Unix)
Siga estas etapas:
- Efetue logon como raiz.
- Altere para $DXHOME/bin.
- Use os seguintes comandos para alterar o proprietário e o bit SUID para o binário com as portas <= 1024:chown root binary chmod 4750 binarySendo que o binário pode ser dxadmind ou dxserver.
Exemplo: tentativa de uso da porta 389 sem o bit SUID definido
Você está tentando iniciar um DSA com a porta 389, e o bit SUID não está definido. É exibida uma mensagem de erro informando que a porta não pode iniciar o DSA. A seguinte mensagem será gravada no arquivo de log de alarmes:
** ALARM **: DSA_E1990 Cannot register SNMP address