Usar as portas de 1 a 1024

Em um sistema UNIX, as portas de 1 a 1024 são reservadas para uso por serviços TCP padrão. Durante a instalação, você pode permitir que o DXserver faça a escuta das portas de 1 a 1024. O padrão para essa opção é No, o que restringe as portas que podem ser usadas para melhorar a segurança. A instalação dos pacotes DEB e RPM no Linux também não permite usar as portas de 1 a 1024.
cad140br
Em um sistema UNIX, as portas de 1 a 1024 são reservadas para uso por serviços TCP padrão. Durante a instalação, você pode permitir que o DXserver faça a escuta das portas de 1 a 1024. O padrão para essa opção é No, o que restringe as portas que podem ser usadas para melhorar a segurança. A instalação dos pacotes DEB e RPM no Linux também não permite usar as portas de 1 a 1024.
Nas versões anteriores do CA Directory, se o administrador desejasse utilizar as portas de 1 a 1024, precisaria fazer as seguintes configurações na instalação para permitir que o DSA faça a escuta dessas portas:
  • setuid bit definido no binário do dxserver (modo 4750)
  • Proprietário do binário do dxserver alterado para usuário raiz
Se desejar que o DXserver faça a escuta dessas portas, use uma das técnicas a seguir, dependendo do tipo de Unix:
  • Em sistemas Linux, o recurso
    cap_net_bind_service
    é atribuído aos binários. Para obter mais informações sobre esse recurso, consulte "capabilities(7) Linux man page".
  • Em sistemas Solaris, é criado um perfil de direitos
    CADirectorydxserverProfile
    para o DXserver. Esse perfil concede o privilégio
    net_privaddr
    ao binário, e o perfil criado é atribuído ao usuário do diretório.
  • Em outros sistemas Unix, o proprietário dos binários deve ser raiz e o sinalizador setuid deve ser definido. Caso precise permitir que o DXserver use as portas <= 1024, defina isso manualmente, se isso não tiver sido feito durante a instalação.
Linux
Siga estas etapas:
  1. Efetue logon como raiz.
  2. Use o seguinte comando para usar o recurso do Linux:
    setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
Siga estas etapas:
  1. Efetue logon como raiz.
  2. Use o seguinte comando para criar um perfil de direitos:
    profiles -p profile_name
    profiles:profile_name> set desc=”Profile description”
    profiles:profile_name> add cmd=”$DXHOME/bin/binary”
    profiles:profile_name:binary> add privs="basic,net_privaddr"
    profiles:profile_name:binary> end
    profiles:profile_name> exit
  3. Use o comando a seguir para adicionar este perfil de direitos para o usuário do diretório:
    usermod -K profiles+=profile_name $DXUSER
Observação:
em sistemas Solaris, um shell do perfil deve ser usado para criar e iniciar um novo DSA que usa uma porta no intervalo de 1 a 1024:
pfexec dxnewdsa test 389 pfexec dxserver start test
(Outros sistemas Unix)
Siga estas etapas:
  1. Efetue logon como raiz.
  2. Altere para $DXHOME/bin.
  3. Use os seguintes comandos para alterar o proprietário e o bit SUID para o binário com as portas <= 1024:
    chown root binary chmod 4750 binary
    Sendo que o binário pode ser dxadmind ou dxserver.
Exemplo: tentativa de uso da porta 389 sem o bit SUID definido
Você está tentando iniciar um DSA com a porta 389, e o bit SUID não está definido. É exibida uma mensagem de erro informando que a porta não pode iniciar o DSA. A seguinte mensagem será gravada no arquivo de log de alarmes:
** ALARM **: DSA_E1990 Cannot register SNMP address