Uso de los puertos del 1 al 1024

En un sistema UNIX, los puertos 1-1024 están reservados para su uso por los servicios TCP estándares. Durante la instalación, se puede permitir a DXserver que escuche en los puertos del 1 al 1024. El valor predeterminado para esta opción es No, lo que restringe los puertos que se pueden utilizar, para mejorar la seguridad. La instalación desde los paquetes RPM y DEB en Linux tampoco permite la utilización de los puertos 1-1024.
cad140es
En un sistema UNIX, los puertos 1-1024 están reservados para su uso por los servicios TCP estándares. Durante la instalación, se puede permitir a DXserver que escuche en los puertos del 1 al 1024. El valor predeterminado para esta opción es No, lo que restringe los puertos que se pueden utilizar, para mejorar la seguridad. La instalación desde los paquetes RPM y DEB en Linux tampoco permite la utilización de los puertos 1-1024.
En versiones anteriores de CA Directory, un administrador que deseaba usar uno de los puertos 1-1024 necesitaba que la instalación tuviera los siguientes valores de configuración para permitir que los agentes de sistema de directorio pudieran realizar la escucha en estos puertos:
  • El bit de setuid está establecido en el binario dxserver (modo 4750)
  • El propietario del binario dxserver se cambia al usuario root
Si se desea que DXserver realice la escucha en estos puertos, utilice una de estas técnicas en función de la versión de Unix:
  • En sistemas Linux, la función 
    cap_net_bind_service
    se asigna a los archivos binarios. Para obtener más información sobre esta función, consulte la página man de Linux sobre las funciones (7).
  • En sistemas Solaris, se crea un nuevo perfil de derechos llamado 
    CADirectorydxserverProfile
    para DXserver. Este perfil concede el privilegio
    net_privaddr
    al archivo binario y se asigna el perfil creado al usuario del directorio.
  • En otros sistemas Unix, el propietario de los archivos binarios debe ser el usuario root y se debe establecer el indicador setuid. Si se debe permitir que DXserver utilice los puertos <= 1024, establezca esta configuración manualmente si no se ha establecido durante la instalación.
(Linux)
Lleve a cabo los pasos siguientes:
  1. Inicie sesión como root.
  2. Para utilizar la función de Linux, utilice el siguiente comando:
    setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
Lleve a cabo los pasos siguientes:
  1. Inicie sesión como root.
  2. Utilice el siguiente comando para crear un perfil de derechos:
    profiles -p profile_name
    profiles:profile_name> set desc=”Profile description”
    profiles:profile_name> add cmd=”$DXHOME/bin/binary”
    profiles:profile_name:binary> add privs="basic,net_privaddr"
    profiles:profile_name:binary> end
    profiles:profile_name> exit
  3. Utilice el siguiente comando para agregar este perfil de derechos al usuario del directorio:
    usermod -K profiles+=profile_name $DXUSER
Nota
: En sistemas Solaris, se debe utilizar un shell de perfil para crear e iniciar un nuevo agente de sistema de directorio que utilice un puerto dentro del intervalo 1-1024:
pfexec dxnewdsa test 389 pfexec dxserver start test
(Otros sistemas Unix)
Lleve a cabo los pasos siguientes:
  1. Inicie sesión como root.
  2. Cambie a $DXHOME/bin.
  3. Utilice los comandos siguientes para cambiar el propietario y el bit SUID para el archivo binario con puertos <= 1024:
    chown root binary chmod 4750 binary
    Donde el archivo binario puede ser dxadmind o dxserver.
Ejemplo: Intento de utilizar el puerto 389 sin el bit SUID establecido
Se está intentando iniciar un agente de sistema de directorio con el puerto 389 y no se ha establecido el bit SUID. Se muestra un mensaje de error que indica que el puerto no puede iniciar el agente de sistema de directorio. El siguiente mensaje se escribe en el archivo de registro de alarmas:
** ALARM **: DSA_E1990 Cannot register SNMP address