ラベル付きゾーンの作成

txzonemgr スクリプトを使用すると、ラベル付きゾーンを構成する次のタスクをすべて順に実行できます。

txzonemgr の手順を使用するには、Trusted Extensions の Solaris 10 8/07 リリース以降を実行している必要があります。または、Solaris 10 11/06 リリースのすべてのパッチをインストールしてください。

Solaris 10 11/06 リリースを現在のパッチを適用しないで実行している場合、付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストールの手順を使用してラベル付きゾーンを構成します。

この節の手順で、最大 2 つの IP アドレスに割り当てられているシステム上にラベル付きゾーンを構成します。その他の設定については、「作業マップ: Trusted Extensions の準備と有効化」の構成オプションを参照してください。

txzonemgr スクリプトを実行する

このスクリプトで、ラベル付きゾーンを適切に構成、インストール、初期化、および起動するタスクを順に実行します。このスクリプトでは、各ゾーンに名前を付けてその名前とラベルを関連付け、パッケージをインストールして仮想 OS を作成し、ゾーンを起動してそのゾーンでサービスを開始します。このスクリプトには、ゾーンのコピーおよびゾーンのクローン作成のタスクが含まれています。また、ゾーンの停止、ゾーンの状態の変更、ゾーン固有のネットワークインタフェースの追加もできます。

このスクリプトによって動的に決定されるメニューが提示され、現在の状況に有効な選択のみが表示されます。たとえば、ゾーンのステータスを設定する場合には、ゾーンをインストールするためのメニュー項目は表示されません。完了済みのタスクはリストに表示されません。

始める前に

スーパーユーザーになります。

ゾーンのクローンを作成する場合は、ゾーンのクローン作成の準備を完了しておきます。独自のセキュリティーテンプレートを使用する場合は、そのテンプレートを作成しておきます。

1. 端末ウィンドウを大域ゾーンで開きます。

2. txzonemgr スクリプトを実行します。

   # /usr/sbin/txzonemgr

   このスクリプトで、「Labeled Zone Manager」ダイアログボックスが開きます。この「zenity」ダイアログボックスで、インストールの現在の状態に応じて、適切なタスクを実行するよう求められます。

   タスクを実行するには、メニュー項目を選択してから、Return キーを押すかまたは「了解」をクリックします。テキストの入力を求められた場合は、テキストを入力してから Return キーを押すかまたは「了解」をクリックします。

   ---

   ヒント –

   ゾーン完了の現在の状態を表示するには、Labeled Zone Manager の「Return to Main Menu」をクリックします。

   ---

Trusted Extensions でネットワークインタフェースを構成する

DHCP を使用するようにシステムを構成する場合、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。

Solaris 10 10/08 リリースから、各ラベル付きゾーンが独自のサブネットにあるシステムを構成する場合は、この手順を省略して、「ゾーンに名前およびラベルを付ける」に進むことができます。ゾーンのインストールとカスタマイズを終えたら、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」で各ラベル付きゾーンのネットワークインタフェースを追加します。

このタスクで、ネットワーキングを大域ゾーンで構成します。all-zones インタフェースを 1 つだけ作成する必要があります。all-zones インタフェースは、ラベル付きゾーンと大域ゾーンで共有されます。この共有インタフェースは、ラベル付きゾーンと大域ゾーンの間のトラフィックの経路制御に使用されます。このインタフェースを構成するには、次のいずれかを実行します。

• 物理インタフェースから論理インタフェースを作成した後、物理インタフェースを共有します。

  この構成が、管理者にとって、もっとも簡単です。システムが 2 つの IP アドレスを割り当てられている場合に、この構成を選択します。この手順では、論理インタフェースは大域ゾーンの固有アドレスとなり、物理インタフェースは大域ゾーンとラベル付きゾーン間で共有されます。

• 物理インタフェースを共有します

  システムが 1 つの IP アドレスを割り当てられている場合に、この構成を選択します。この構成では、大域ゾーンとラベル付きゾーン間で物理インタフェースが共有されます。

• 仮想ネットワークインタフェース vni0 を共有します

  DHCP を構成する場合や、各サブネットワークのラベルが異なっている場合に、この構成を選択します。手順例については、OpenSolaris Community: Security Web ページの Trusted Extensions 節にあるノートパソコンに関する指示を参照してください。

  Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。そのため、vni0 共有インタフェースを作成する必要はありません。

ゾーン固有のネットワークインタフェースを追加するには、インタフェースを追加する前に、ゾーンの作成を終了して確認します。手順については、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」を参照してください。

始める前に

大域ゾーンでスーパーユーザーになります。

Labeled Zone Manager が表示されています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。

1. 「Labeled Zone Manager」で、「Manage Network Interfaces」を選択して、「了解」をクリックします。

   インタフェースのリストが表示されます。

   ---

   注 –

   この例では、物理インタフェースにホスト名と IP アドレスがインストール時に割り当てられています。

   ---

2. 物理インタフェースを選択します。

   インタフェースが 1 つあるシステムには、次のようなメニューが表示されます。参考のために注記を追加しています。

   vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface

   1. eri0 インタフェースを選択します。

   2. 「了解」をクリックします。

3. このネットワークインタフェースに適したタスクを選択します。

   次の、3 つのオプションが提示されます。

   View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing

   • システムが 1 つの IP アドレスを持つ場合は、手順 4 に進みます。

   • システムが 2 つの IP アドレスを持つ場合は、手順 5 に進みます。

4. 1 つの IP アドレスを持つシステムでは、物理インタフェースを共有します。

   この構成では、ホストの IP アドレスがすべてのゾーンに適用されます。したがって、ホストのアドレスは all-zones アドレスです。このホストをマルチレベルサーバーとして使用することはできません。たとえば、ユーザーはこのシステムからのファイルを共有することはできません。このシステムは、LDAP プロキシサーバー、NFS ホームディレクトリサーバー、プリンタサーバーとすることはできません。

   1. 「Share」を選択して「了解」をクリックします。

   2. 共有インタフェースが表示されたダイアログボックスで、「了解」をクリックします。

      eri0 all-zones 10.10.9.8 cipso Up

      物理インタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。「ゾーンに名前およびラベルを付ける」に進みます。

5. 2 つの IP アドレスを持つシステムでは、論理インタフェースを作成します。

   その後、物理インタフェースを共有します。

   これはもっともシンプルな Trusted Extensions ネットワーク構成です。 この構成では、メインの IP アドレスはほかのシステムがこのシステム上の任意のゾーンに到達するために使用し、論理インタフェースは大域ゾーンに固有とすることができます。大域ゾーンはマルチレベルサーバーとして使用できます。

   1. 「Create Logical Interface」を選択して「了解」をクリックします。

      新しい論理インタフェースの作成を確認するダイアログボックスを閉じます。

   2. 「Set IP address」を選択して「了解」をクリックします。

   3. プロンプトで論理インタフェースのホスト名を指定し、「了解」をクリックします。

      たとえば、論理インタフェースのホスト名として machine1-services を指定します。この名前は、このホストがマルチレベルサービスを提供することを示しています。

   4. プロンプトで論理インタフェースの IP アドレスを指定し、「了解」をクリックします。

      たとえば、論理インタフェースの IP アドレスとして 10.10.9.2 を指定します。

   5. 論理インタフェースをもう一度選択して、「了解」をクリックします。

   6. 「Bring Up」を選択して「了解」をクリックします。

      インタフェースが Up として表示されます。

      eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   7. 物理インタフェースを共有します。

      1. 物理インタフェースを選択して「了解」をクリックします。

      2. 「Share」を選択して「了解」をクリックします。

         eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   少なくとも 1 つのインタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。

例 4–3 共有論理インタフェースがあるシステムでの /etc/hosts ファイルの表示

大域ゾーンに一意のインタフェースがあり、ラベル付きゾーンが別のインタフェースを大域ゾーンと共有するシステムでは、/etc/hosts ファイルは次のようになります。

# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services 

デフォルト構成では、tnrhdb ファイルは次のようになります。

# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

all-zones インタフェースが tnrhdb ファイル内にない場合、インタフェースはデフォルトの cipso になります。

例 4–4 IP アドレスが 1 つある Trusted Extensions システムでの共有インタフェースの表示

この例では、管理者がシステムをマルチレベルサーバーとして使用する計画はありません。IP アドレスを節約するため、すべてのラベル付きゾーンと IP アドレスを共有するように大域ゾーンが構成されます。

管理者は、システムの hme0 インタフェースとして「Share」を選択します。このソフトウェアにより、すべてのゾーンに論理 NIC があるよう設定されます。これらの論理 NIC は、大域ゾーンで 1 つの物理的な NIC を共有します。

管理者は ifconfig -a コマンドを実行して、ネットワークインタフェース 192.168.0.11 にある物理インタフェース hme0 が共有されることを確認します。all-zones の値が表示されます。

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         all-zones
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

管理者は /etc/hostname.hme0 ファイルの内容も調べます。

192.168.0.11 all-zones

ゾーンに名前およびラベルを付ける

label_encodings ファイル中のラベルごとにゾーンを作成する必要はありませんが、作成することもできます。管理 GUI により、このシステムで GUI 用に作成されたゾーンを持つことのできるラベルが列挙されます。

始める前に

大域ゾーンでスーパーユーザーになります。「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。ネットワークインタフェースを大域ゾーンに構成しています。

必要なセキュリティーテプレートを作成しています。セキュリティーテンプレートで、属性の中で特に、ネットワークインタフェースに割り当てることができるラベル範囲を定義します。デフォルトのセキュリティーテンプレートでも必要性は満たされることはあります。

• セキュリティーテンプレートの概要については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。

• Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。

1. 「Labeled Zone Manager」で、「Create a new zone」をクリックして、「了解」をクリックします。

   プロンプトで名前の入力を求められます。

   1. ゾーンの名前を入力します。

      ---

      ヒント –

      ゾーンのラベルに似た名前をゾーンに付けます。たとえば、ラベルが CONFIDENTIAL: RESTRICTED であるゾーンには、restricted という名前を付けます。

      ---

      たとえば、デフォルトの label_encodings ファイルには次のラベルが含まれています。

      PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL

      ラベルごとにゾーンを 1 つ作成できますが、次のゾーンを作成することを検討してください。

      • すべてのユーザーのシステムでは、PUBLIC ラベルに 1 つのゾーン、および CONFIDENTIAL ラベルに 3 つのゾーンを作成します。

      • 開発者用のシステムでは、SANDBOX: PLAYGROUND ラベルにゾーンを 1 つ作成します。SANDBOX: PLAYGROUND は開発者用の不連続ラベルとして定義され、開発者が使用するシステムにのみ、このラベルにゾーンが必要です。

      • MAX LABEL ラベルにはゾーンを作成しないでください。これは認可上限として定義されます。

   2. 「了解 (OK)」をクリックします。

      ダイアログボックスでは、タスクのリストの上に zone-name :configured が表示されます。

2. ゾーンにラベルを付けるには、次のいずれかを選択します。

   • カスタマイズした label_encodings ファイルを使用している場合、トラステッドネットワークゾーンツールを使用してゾーンにラベルを付けます。

     1. トラステッドネットワークゾーンツールを Solaris 管理コンソールで開きます。

        1. Solaris 管理コンソールを起動します。

           # /usr/sbin/smc &

        2. ローカルシステムの Trusted Extensions ツールボックスを開きます。

           1. 「コンソール」->「ツールボックスを開く」を選択します。

           2. 「このコンピュータ (this-host: Scope=Files, Policy=TSOL)」という名前のツールボックスを選択します。

           3. 「開く」をクリックします。

        3. 「システムの構成」にある「コンピュータとネットワーク」に移動します。

           求められたらパスワードを入力します。

        4. トラステッドネットワークゾーンツールをダブルクリックします。

     2. ゾーンごとに、適切なラベルとゾーン名を関連付けます。

        1. 「アクション」->「ゾーン構成の追加」を選択します。

           ダイアログボックスに、割り当てられているラベルがないゾーンの名前が表示されます。

        2. ゾーン名を確認してから「編集」をクリックします。

        3. ラベルビルダーで、ゾーン名に該当するラベルをクリックします。

           間違ったラベルをクリックした場合、そのラベルをもう一度クリックして選択を解除し、正しいラベルをクリックします。

        4. 割り当てを保存します。

           「トラステッドネットワークゾーンのプロパティー」ダイアログボックスで「了解」をクリックします。

        必要なゾーンがすべてパネルに表示されたら終了です。あるいは、「ゾーン構成の追加」メニュー項目をクリックすると、ゾーン名の値がないダイアログボックスが開かれます。

   • デフォルトの label_encodings ファイルを使用している場合、Labeled Zone Manager を使用します。

     「Select Label」メニュー項目をクリックして「了解」をクリックし、使用可能なラベルのリストを表示します。

     1. ゾーンのラベルを選択します。

        public という名前のゾーンの場合、リストから PUBLIC ラベルを選択します。

     2. 「了解 (OK)」をクリックします。

        タスクのリストが表示されます。

ラベル付きゾーンをインストールする

始める前に

大域ゾーンでスーパーユーザーになります。ゾーンが構成されており、割り当て済みのネットワークインタフェースがあります。

「Labeled Zone Manager」ダイアログボックスが表示され、zone-name:configured というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。

1. Labeled Zone Manager から「Install」を選択して「了解」をクリックします。

   ---

   注意 –

   このプロセスが終了するまでしばらく時間がかかります。このタスクの実行中は、ほかのタスクを実行しないでください。

   ---

   システムで、大域ゾーンから非大域ゾーンにパッケージがコピーされます。このタスクによって、ラベル付きの仮想オペレーティングシステムがゾーンにインストールされます。この例を続行するため、このタスクで public ゾーンがインストールされます。GUI に次のような出力が表示されます。

   # Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation.

   ---

   注 –

   cannot create ZFS dataset zone/zonename: dataset already exists のようなメッセージは、情報メッセージです。ゾーンは既存のデータセットを使用します。

   ---

   インストールが完了すると、ホストの名前の入力を 要求するプロンプトが表示されます。名前が表示されます。

2. そのホストの名前をそのまま使用します。

   ダイアログボックスでは、タスクのリストの上に zone-name:installed が表示されます。

注意事項

次のような警告が表示されます。 「Installation of these packages generated errors: SUNW pkgname」が表示された場合、インストールログを読み、パッケージのインストールを終了します。

ラベル付きゾーンを起動する

始める前に

大域ゾーンでスーパーユーザーになります。ゾーンがインストールされており、割り当て済みのネットワークインタフェースがあります。

「Labeled Zone Manager」ダイアログボックスが表示され、 zone-name:installed というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。

1. 「Labeled Zone Manager」で「Zone Console」を選択して「了解」をクリックします。

   現在のラベル付きゾーンに、別のコンソールウィンドウが表示されます。

2. 「Boot」を選択します。

   「ゾーン端末コンソール」は、ゾーン起動の進捗を追跡します。ゾーンを最初から作成する場合は、次のようなメッセージがコンソールに表示されます。

   [Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting]

   ---

   注意 –

   このタスクの実行中は、ほかのタスクを実行しないでください。

   ---

   4 つのデフォルトのゾーンが構成されて起動されると、Labeled Zone Manager では次のようにゾーンが表示されます。

   

注意事項

場合によっては、エラーメッセージが表示されてゾーンが再起動しないことがあります。ゾーン端末コンソールで Return キーを押します。再起動するために y の入力を求めるプロンプトが表示されたら、y を入力して Return キーを押します。ゾーンが再起動されます。

次の手順

このゾーンが別のゾーンからコピーされたかまたはクローン作成された場合は、「ゾーンのステータスを確認する」に進みます。

このゾーンが最初のゾーンである場合は、「ラベル付きゾーンをカスタマイズする」に進みます。

ゾーンのステータスを確認する

X サーバーが大域ゾーンで実行されます。それぞれのラベル付きゾーンがこの X サーバーを使用するには、大域ゾーンに接続できなければなりません。そのため、ゾーンネットワークが機能しなければ、ゾーンを使用することはできません。背景の説明については、「マルチレベルアクセスの計画」を参照してください。

1. ゾーンが完全に起動されていることを確認します。

   1. zone-name: ゾーン端末コンソールで、root としてログインします。

      hostname console login: root Password: Type root password

   2. ゾーン端末コンソールで、クリティカルサービスが実行されていることを確認します。

      # svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ...

      sendmail および print サービスは、クリティカルサービスではありません。

   3. ゾーンに妥当な IP アドレスがあることを確認します。

      # ifconfig -a

      たとえば、次の出力には hme0 インタフェースの IP アドレスが表示されます。

      # ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

   4. (省略可能) ゾーンが大域ゾーンと通信できることを確認します。

      1. DISPLAY 変数が X サーバーをポイントするよう設定します。

         # DISPLAY=global-zone-hostname:n.n # export DISPLAY

      2. 端末ウィンドウから GUI を表示します。

         たとえば、クロックを表示します。

         # /usr/openwin/bin/xclock

         ゾーンのラベルでクロックが表示されない場合は、 ゾーンのネットワーキングが正しく構成されていません。デバックに関する提案事項は、「ラベル付きゾーンが X サーバーにアクセスできない」を参照してください。

      3. GUI を閉じて続行します。

2. 大域ゾーンから、ラベル付きゾーンのステータスを確認します。

   # zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared

次の手順

これでラベル付きゾーンの構成は完了です。ゾーン固有のネットワークインタフェースをゾーンに追加するか、ラベル付きゾーンごとにデフォルトルーティングを確立するには、「ネットワークインタフェースをラベル付きゾーンに追加し、ルーティングする」に進みます。そうでない場合は、「Trusted Extensions での役割とユーザーの作成」に進みます。

ラベル付きゾーンをカスタマイズする

ゾーンのクローンを作成する、またはゾーンをコピーする場合、この手順によって、ゾーンがほかのゾーンのテンプレートになるように構成されます。さらに、この手順によって、使用するテンプレートから作成されていないゾーンを構成します。

始める前に

大域ゾーンでスーパーユーザーになります。「ゾーンのステータスを確認する」を完了しておきます。

1. ゾーン端末コンソールで、ラベル付きゾーンで不要なサービスを無効にします。

   このゾーンをコピーまたはクローンを作成する場合、無効にしたサービスは新しいゾーンで無効にされます。システムでオンラインであるサービスは、そのゾーンのサービスマニフェストによって異なります。netservices limited コマンドを使用して、ラベル付きゾーンで必要としないサービスをオフにします。

   1. 多数の不要なサービスを削除します。

      # netservices limited

   2. そのほかのサービスを一覧にします。

      # svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ...

   3. グラフィカルログインを無効にします。

      # svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default

   サービス管理フレームワークの詳細は、smf(5) のマニュアルページを参照してください。

2. 「Labeled Zone Manager」で「Halt」を選択してゾーンを停止します。

3. 続行する前に、ゾーンがシャットダウンされていることを確認します。

   zone-name: ゾーン端末コンソールで、次のメッセージによって、ゾーンがシャットダウンされていることが示されます。

   [ NOTICE: Zone halted]

   このゾーンをコピーまたはそのクローンを作成するのではない場合、この最初のゾーンを作成したのと同じ方法で残りのゾーンを作成します。そのほかの場合は、次の手順に進みます。

4. このゾーンをほかのゾーンのテンプレートとして使用する場合、次のとおりに実行します。

   1. auto_home_zone-name ファイルを削除します。

      大域ゾーンの端末ウィンドウで、zone-name ゾーンからこのファイルを削除します。

      # cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name

      たとえば、public ゾーンがほかのゾーンのクローン作成元テンプレートである場合、auto_home_public ファイルを次のように削除します。

      # cd /zone/public/root/etc # rm auto_home_public

   2. このゾーンのクローンを作成する場合、次の手順で ZFS スナップショットを作成してから、「Trusted Extensions でゾーンのコピーまたはクローンを行う」に進みます。

   3. このゾーンをコピーする場合は、手順 6 を完了してから「Trusted Extensions でゾーンのコピーまたはクローンを行う」に進みます。

5. その他のゾーンのクローンを作成するためのゾーンテンプレートを作成するには、「Create Snapshot」を選択して「了解」をクリックします。

   ---

   注意 –

   スナップショットのゾーンは、ZFS ファイルシステム内になければなりません。「ゾーンのクローンを作成するために ZFS プールを作成する」でゾーンに ZFS ファイルシステムが作成されます。

   ---

6. カスタマイズしたゾーンがまだ使用できることを確認するには、「Labeled Zone Manager」から「Boot」を選択します。

   ゾーン端末コンソールは、ゾーン起動の進捗を追跡します。次のようなメッセージがコンソールに表示されます。

   [Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename

   ログインプロンプトに対して Return キーを押します。root としてログインできます。

Trusted Extensions でゾーンのコピーまたはクローンを行う

始める前に

「ラベル付きゾーンをカスタマイズする」を完了しておきます。

「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。

1. ゾーンを作成します。

   詳細は、「ゾーンに名前およびラベルを付ける」を参照してください。

2. 次の方法のいずれかを選択して、ゾーン作成ストラテジを続行します。

   新規のゾーンごとに次の手順を繰り返します。

   • ラベルを付けたゾーンをコピーします。

     1. 「Labeled Zone Manager」から「コピー」を選択して「了解」をクリックします。

     2. ゾーンテンプレートを選択して「了解」をクリックします。

        ウィンドウにコピーのプロセスが表示されます。プロセスが完了すると、ゾーンがインストールされます。

        「Labeled Zone Manager」に「zone-name :configured」と表示された場合は、次の手順に進みます。それ以外の場合は、手順 e に進みます。

     3. メニュー項目「Select another zone」を選択して「了解」をクリックします。

     4. 新規にインストールされたゾーンを選択して、「了解」をクリックします。

     5. 「ラベル付きゾーンを起動する」を完了します。

     6. 「ゾーンのステータスを確認する」を完了します。

   • ラベルを付けたゾーンのクローンを作成します。

     1. 「Labeled Zone Manager」で「クローン」を選択して「了解」をクリックします。

     2. リストから ZFS スナップショットを選択して「了解」をクリックします。

        たとえば、public からスナップショットを作成した場合は、zone/public@snapshot を選択します。

        クローン作成のプロセスが完了すると、ゾーンがインストールされます。手順 c に進みます。

     3. ゾーンコンソールを開き、ゾーンを起動します。

        手順については、「ラベル付きゾーンを起動する」を参照してください。

     4. 「ゾーンのステータスを確認する」を完了します。

次の手順

• すべてのゾーンに対して 「ゾーンのステータスを確認する」を完了していて、各ゾーンをそれぞれ別の物理ネットワークに配置する場合は、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」に進みます。

• まだ役割を作成していない場合は、「Trusted Extensions での役割とユーザーの作成」に進みます。

• すでに役割を作成済みの場合は、「Trusted Extensions でのホームディレクトリの作成」に進みます。