Utilisation des ports 1 à 1024
Sur un système UNIX, les ports 1 à 1 024 sont réservés aux services TCP standard. Pendant l’installation, vous pouvez autoriser DXserver à écouter les ports 1 à 1 024. La valeur par défaut pour cette option est Non, pour limiter les ports pouvant être utilisés et améliorer la sécurité. L'installation à partir de packages DEB et RPM sur Linux ne permet également pas l'utilisation des ports 1 à 1 024.
cad140fr
Sur un système UNIX, les ports 1 à 1 024 sont réservés aux services TCP standard. Pendant l’installation, vous pouvez autoriser DXserver à écouter les ports 1 à 1 024. La valeur par défaut pour cette option est Non, pour limiter les ports pouvant être utilisés et améliorer la sécurité. L'installation à partir de packages DEB et RPM sur Linux ne permet également pas l'utilisation des ports 1 à 1 024.
Dans les versions précédentes de CA Directory, un administrateur souhaitant utiliser les ports 1 à 1 024 devez effectuer les configurations suivantes lors de l'installation pour permettre au DSA d’écouter sur ces ports :
- Définir le bit setuid sur le binaire dxserver (mode 4750)
- Définir le propriétaire du binaire dxserver sur l’utilisateur root.
Si vous voulez que DXserver effectue ses écoutes sur ces ports, utilisez l'une des techniques suivantes en fonction de la version d'Unix :
- Sur les systèmes Linux, la fonctionnalitécap_net_bind_serviceest affectée aux fichiers binaires. Pour plus d’informations sur cette fonctionnalité, reportez-vous à la page capabilities(7) de Linux man.
- Sur les systèmes Solaris, un nouveau profil de droits CADirectorydxserverProfileest créé pour le DXserver. Ce profil accorde les droitsnet_privaddrau fichier binaire et le profil créé est affecté à l'utilisateur CA Directory.
- Sur tous les systèmes Unix, le propriétaire des fichiers binaires doit être root et l'indicateur setuid doit être défini. Si vous devez autoriser DXserver à utiliser les ports 1 à 1 024, effectuez manuellement cette configuration si vous ne l'avez pas fait pendant l’installation.
(Linux)
Procédez comme suit :
- Connectez-vous en tant qu’utilisateur root.
- Pour utiliser la fonctionnalité Linux, utilisez la commande suivante :setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
Procédez comme suit :
- Connectez-vous en tant qu’utilisateur root.
- Exécutez la commande suivante pour créer un profil de droits :profiles -p profile_nameprofiles:profile_name> set desc=”Profile description”profiles:profile_name> add cmd=”$DXHOME/bin/binary”profiles:profile_name:binary> add privs="basic,net_privaddr"profiles:profile_name:binary> endprofiles:profile_name> exit
- Utilisez la commande suivante pour ajouter ce profil de droits à l’utilisateur d'annuaire :usermod -K profiles+=profile_name $DXUSER
Remarque :
Sur les systèmes Solaris, un shell de profil doit être utilisé pour créer et démarrer le DSA qui utilise un port de la plage 1 à 1 024 :pfexec dxnewdsa test 389 pfexec dxserver start test
(Autres systèmes Unix)
Procédez comme suit :
- Connectez-vous en tant qu’utilisateur root.
- Accédez à $DXHOME/bin.
- Utilisez les commandes suivantes pour remplacer le propriétaire et le bit SUID pour le binaire avec les ports 1 à 1 024 :chown root binary chmod 4750 binaryLes binaires peuvent être dxadmind ou dxserver.
Exemple : tentative d'utilisation du port 389 sans bit SUID défini
Vous tentez de démarrer un DSA sur le port 389 et le bit SUID n’est pas défini. Un message d’erreur indiquant que le port ne peut pas démarrer le DSA s’affiche. Le message suivant est inscrit dans le fichier journal d’alarme :
** ALARM **: DSA_E1990 Cannot register SNMP address