その他の Trusted Extensions 構成タスク
次の 2 つのタスクでは、構成ファイルの正確なコピーをサイトのすべての Trusted Extensions システムに転送することができます。最後のタスクでは、Trusted Extensions のカスタマイズを Solaris システムから削除できます。
Trusted Extensions でファイルをポータブルメディアにコピーする方法
ポータブルメディアにコピーする場合、情報と同じ機密ラベルをメディアに付けます。
注 –
Trusted Extensions の構成時に、スーパーユーザーまたは同等の役割が管理ファイルをポータブルメディアにコピーしたり、ポータブルメディアからコピーしたりします。このメディアには Trusted Path のラベルを付けます。
始める前に
管理ファイルをコピーするには、スーパーユーザーになるか、大域ゾーンで役割になります。
-
適切なデバイスを割り当てます。
デバイス割り当てマネージャーを使用し、何も記録されていないメディアを挿入します。詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
-
Solaris Trusted Extensions (CDE) では、「ファイルマネージャー」にポータブルメディアの内容が表示されます。
-
Solaris Trusted Extensions (JDS) では、「ファイルブラウザ」に内容が表示されます。
以下の手順では、この GUI を指すのに「ファイルブラウザ」と記述します。
-
-
別のファイルブラウザを開きます。
-
コピーするファイルがあるフォルダに移動します。
たとえば、ファイルを /export/clientfiles フォルダにコピーしてあるとします。
-
各ファイルに対して次の操作を実行します。
-
デバイスの割り当てを解除します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
-
ポータブルメディアのファイルブラウザで、「ファイル」メニューから「取り出し」を選択します。
注 –コピーしたファイルの機密ラベルを示した物理的なラベルを、メディアに必ず貼り付けてください。
例 4–9 構成ファイルをすべてのシステムで同一にする
システム管理者は、同じ設定ですべてのマシンを確実に構成しようと思っています。そのためには、最初に構成するマシンで、再起動によって削除されないディレクトリを作成します。そのディレクトリに、管理者はすべてのシステムで同一のファイルまたはほとんど同じファイルを配置します。
たとえば、LDAP スコープ用に Solaris 管理コンソール が使用する Trusted Extensions ツールボックス /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx をコピーします。tnrhtp ファイルの遠隔ホストテンプレートをカスタマイズしてあり、DNS サーバーのリストおよび監査構成ファイルがあります。サイト向けに policy.conf ファイルも変更しました。これらのファイルを永続ディレクトリにコピーします。
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles |
デバイス割り当てマネージャーを使用して大域ゾーンでフロッピーディスクを割り当て、ファイルをフロッピーディスクに転送します。ADMIN_HIGH のラベルを付けた別のフロッピーディスクに、サイト用の label_encodings ファイルを転送します。
システムにファイルをコピーする場合、システムの /etc/security/audit_control ファイルの dir: のエントリを変更します。
Trusted Extensions でポータブルメディアからファイルをコピーする方法
ファイルを置き換える前に、元の Trusted Extensions ファイルの名前を変更しておくと安全です。システムを構成する際に、root 役割が管理ファイルの名前の変更およびコピーを行います。
始める前に
管理ファイルをコピーするには、スーパーユーザーになるか、大域ゾーンで役割になります。
-
適切なデバイスを割り当てます。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
-
Solaris Trusted Extensions (CDE) では、「ファイルマネージャー」にポータブルメディアの内容が表示されます。
-
Solaris Trusted Extensions (JDS) では、「ファイルブラウザ」に内容が表示されます。
以下の手順では、この GUI を指すのに「ファイルブラウザ」と記述します。
-
-
管理ファイルを含むメディアを挿入します。
-
システムに同じ名前のファイルがある場合、元のファイルを新しい名前でコピーします。
たとえば、元のファイルの名前の後ろに .orig を追加します。
# cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig
-
ファイルブラウザを開きます。
-
/etc/security/tsol などのコピー先ディレクトリに移動します。
-
コピーするそれぞれのファイルに対して、次の操作を実行します。
-
デバイスの割り当てを解除します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
-
プロンプトが表示されたら、メディアを取り出します。
例 4–10 Trusted Extensions で監査構成ファイルを読み込む
この例では、システムにまだ役割が構成されていません。root ユーザーは、構成ファイルをポータブルメディアにコピーする必要があります。メディアの内容は、その他のシステムにコピーされます。これらのファイルは、Trusted Extensions ソフトウェアで構成される各システムにコピーされることになります。
root ユーザーは、デバイス割り当てマネージャーで floppy_0 デバイスを割り当てて、マウントのクエリーに対して yes と答えます。次に、root ユーザーは、構成ファイルが含まれたフロッピーディスクを挿入し、ディスクにコピーします。このフロッピーディスクには、Trusted Path というラベルが付けられています。
メディアから読み込むには、root ユーザーが受信ホストのデバイスを割り当てて、内容をダウンロードします。
構成ファイルがテープ上にある場合、root ユーザーは mag_0 デバイスを割り当てます。構成ファイルが CD-ROM 上にある場合、root ユーザーは cdrom_0 デバイスを割り当てます。
Trusted Extensions をシステムから削除する
Trusted Extensions を Solaris システムから削除するには、特定の手順を実行して、Solaris システムに対する Trusted Extensions のカスタマイズを削除します。
-
Solaris OS の場合と同様に、ラベル付きゾーンのデータで残しておくものを保存します。
-
Trusted Extensions サービスを無効化します。
# svcadm disable labeld
-
bsmunconv コマンドを実行します。
このコマンドの結果については、bsmunconv(1M) のマニュアルページを参照してください。
-
(省略可能) システムを再起動します。
-
システムを構成します。
さまざまなサービスを Solaris システム用に構成する必要があります。その候補として、監査、基本的なネットワーキング、ネームサービス、およびファイルシステムのマウントがあります。
- © 2010, Oracle Corporation and/or its affiliates