Trusted Extensions でネットワークインタフェースを構成する

DHCP を使用するようにシステムを構成する場合、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。

Solaris 10 10/08 リリースから、各ラベル付きゾーンが独自のサブネットにあるシステムを構成する場合は、この手順を省略して、「ゾーンに名前およびラベルを付ける」に進むことができます。ゾーンのインストールとカスタマイズを終えたら、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」で各ラベル付きゾーンのネットワークインタフェースを追加します。

このタスクで、ネットワーキングを大域ゾーンで構成します。all-zones インタフェースを 1 つだけ作成する必要があります。all-zones インタフェースは、ラベル付きゾーンと大域ゾーンで共有されます。この共有インタフェースは、ラベル付きゾーンと大域ゾーンの間のトラフィックの経路制御に使用されます。このインタフェースを構成するには、次のいずれかを実行します。

• 物理インタフェースから論理インタフェースを作成した後、物理インタフェースを共有します。

  この構成が、管理者にとって、もっとも簡単です。システムが 2 つの IP アドレスを割り当てられている場合に、この構成を選択します。この手順では、論理インタフェースは大域ゾーンの固有アドレスとなり、物理インタフェースは大域ゾーンとラベル付きゾーン間で共有されます。

• 物理インタフェースを共有します

  システムが 1 つの IP アドレスを割り当てられている場合に、この構成を選択します。この構成では、大域ゾーンとラベル付きゾーン間で物理インタフェースが共有されます。

• 仮想ネットワークインタフェース vni0 を共有します

  DHCP を構成する場合や、各サブネットワークのラベルが異なっている場合に、この構成を選択します。手順例については、OpenSolaris Community: Security Web ページの Trusted Extensions 節にあるノートパソコンに関する指示を参照してください。

  Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。そのため、vni0 共有インタフェースを作成する必要はありません。

ゾーン固有のネットワークインタフェースを追加するには、インタフェースを追加する前に、ゾーンの作成を終了して確認します。手順については、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」を参照してください。

始める前に

大域ゾーンでスーパーユーザーになります。

Labeled Zone Manager が表示されています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。

1. 「Labeled Zone Manager」で、「Manage Network Interfaces」を選択して、「了解」をクリックします。

   インタフェースのリストが表示されます。

   ---

   注 –

   この例では、物理インタフェースにホスト名と IP アドレスがインストール時に割り当てられています。

   ---

2. 物理インタフェースを選択します。

   インタフェースが 1 つあるシステムには、次のようなメニューが表示されます。参考のために注記を追加しています。

   vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface

   1. eri0 インタフェースを選択します。

   2. 「了解」をクリックします。

3. このネットワークインタフェースに適したタスクを選択します。

   次の、3 つのオプションが提示されます。

   View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing

   • システムが 1 つの IP アドレスを持つ場合は、手順 4 に進みます。

   • システムが 2 つの IP アドレスを持つ場合は、手順 5 に進みます。

4. 1 つの IP アドレスを持つシステムでは、物理インタフェースを共有します。

   この構成では、ホストの IP アドレスがすべてのゾーンに適用されます。したがって、ホストのアドレスは all-zones アドレスです。このホストをマルチレベルサーバーとして使用することはできません。たとえば、ユーザーはこのシステムからのファイルを共有することはできません。このシステムは、LDAP プロキシサーバー、NFS ホームディレクトリサーバー、プリンタサーバーとすることはできません。

   1. 「Share」を選択して「了解」をクリックします。

   2. 共有インタフェースが表示されたダイアログボックスで、「了解」をクリックします。

      eri0 all-zones 10.10.9.8 cipso Up

      物理インタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。「ゾーンに名前およびラベルを付ける」に進みます。

5. 2 つの IP アドレスを持つシステムでは、論理インタフェースを作成します。

   その後、物理インタフェースを共有します。

   これはもっともシンプルな Trusted Extensions ネットワーク構成です。 この構成では、メインの IP アドレスはほかのシステムがこのシステム上の任意のゾーンに到達するために使用し、論理インタフェースは大域ゾーンに固有とすることができます。大域ゾーンはマルチレベルサーバーとして使用できます。

   1. 「Create Logical Interface」を選択して「了解」をクリックします。

      新しい論理インタフェースの作成を確認するダイアログボックスを閉じます。

   2. 「Set IP address」を選択して「了解」をクリックします。

   3. プロンプトで論理インタフェースのホスト名を指定し、「了解」をクリックします。

      たとえば、論理インタフェースのホスト名として machine1-services を指定します。この名前は、このホストがマルチレベルサービスを提供することを示しています。

   4. プロンプトで論理インタフェースの IP アドレスを指定し、「了解」をクリックします。

      たとえば、論理インタフェースの IP アドレスとして 10.10.9.2 を指定します。

   5. 論理インタフェースをもう一度選択して、「了解」をクリックします。

   6. 「Bring Up」を選択して「了解」をクリックします。

      インタフェースが Up として表示されます。

      eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   7. 物理インタフェースを共有します。

      1. 物理インタフェースを選択して「了解」をクリックします。

      2. 「Share」を選択して「了解」をクリックします。

         eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   少なくとも 1 つのインタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。

例 4–3 共有論理インタフェースがあるシステムでの /etc/hosts ファイルの表示

大域ゾーンに一意のインタフェースがあり、ラベル付きゾーンが別のインタフェースを大域ゾーンと共有するシステムでは、/etc/hosts ファイルは次のようになります。

# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services 

デフォルト構成では、tnrhdb ファイルは次のようになります。

# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

all-zones インタフェースが tnrhdb ファイル内にない場合、インタフェースはデフォルトの cipso になります。

例 4–4 IP アドレスが 1 つある Trusted Extensions システムでの共有インタフェースの表示

この例では、管理者がシステムをマルチレベルサーバーとして使用する計画はありません。IP アドレスを節約するため、すべてのラベル付きゾーンと IP アドレスを共有するように大域ゾーンが構成されます。

管理者は、システムの hme0 インタフェースとして「Share」を選択します。このソフトウェアにより、すべてのゾーンに論理 NIC があるよう設定されます。これらの論理 NIC は、大域ゾーンで 1 つの物理的な NIC を共有します。

管理者は ifconfig -a コマンドを実行して、ネットワークインタフェース 192.168.0.11 にある物理インタフェース hme0 が共有されることを確認します。all-zones の値が表示されます。

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         all-zones
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

管理者は /etc/hostname.hme0 ファイルの内容も調べます。

192.168.0.11 all-zones