rlogin または ssh コマンドを使用してヘッドレスシステムを管理する必要がある場合のみ、この手順に従ってください。
構成エラーは遠隔でデバッグできます。
ローカルファイルを使用して遠隔システムを管理している場合、「Trusted Extensions での root による遠隔ログインを有効にする」を完了しておきます。次に、root ユーザーとして、次のタスクを両方のシステム上で実行します。
両方のシステム上で、互いのシステムをラベル付きシステムとして認識します。
デスクトップシステムおよびヘッドレスシステムは、同じセキュリティーテンプレートを使用して互いに相手を特定する必要があります。手順については、『Oracle Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
一時ラベルを割り当てるには、例 6–1 を参照してください。
両方のシステム上で、同一のユーザーと役割を作成します。
両方のシステム上で、名前と ID を同じにして、役割をユーザーに割り当てます。ユーザーと役割を作成するには、「Trusted Extensions での役割とユーザーの作成」を参照してください。
遠隔の Solaris 管理コンソール にアクセスするには、両方のシステム上で次の手順を実行します。
互いのシステムのホスト名および IP アドレスを /etc/hosts ファイルに追加します。
# /usr/dt/bin/trusted_edit /etc/hosts |
127.0.0.1 localhost 192.168.66.66 local-system-name loghost 192.168.66.12 remote-system-name |
遠隔役割の引き受けを許可するには、pam.conf ファイルを変更して PAM ポリシーを緩和します。
/etc/pam.conf ファイルを /etc/pam.conf.orig にコピーします。
# cp /etc/pam.conf /etc/pam.conf.orig |
トラステッドエディタで、pam.conf ファイルを開きます。
# /usr/dt/bin/trusted_edit /etc/pam.conf |
デフォルトエントリをアカウントの管理にコピーします。
互いのコピーされたエントリで、other を smcconsole に変更します。
コピーされた pam_roles.so.1 エントリに、allow_remote を追加します。
Tab キーを使用してフィールドを移動します。このセクションは次のようになります。
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1 |
ファイルを保存し、エディタを終了します。
(省略可能) ファイルを /etc/pam.conf.site にコピーします。
# cp /etc/pam.conf /etc/pam.conf.site |
システムを新しいリリースにアップグレードする場合、変更内容を /etc/pam.conf.site から pam.conf ファイルにコピーするべきかどうかを評価してください。
この例では、管理者は、ホストタイプの定義が設定される前に遠隔 Trusted Extensions システムの構成を開始します。管理者はそのために、次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを一時的に定義します。
remote-TX# tnctl -h desktop-TX:cipso |
その後、管理者は、Trusted Extensions が構成されていないデスクトップシステムから遠隔 Trusted Extensions システムにアクセスします。この場合、管理者は次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを ADMIN_LOW ラベルで動作するラベルなしシステムとして一時的に定義します。
remote-TX# tnctl -h desktop-TX:admin_low |