Oracle Solaris Trusted Extensions 構成ガイド

第 2 章 Trusted Extensions の構成ロードマップ

この章では、Trusted Extensions ソフトウェアの有効化および構成を行うための作業について説明します。

作業マップ: Trusted Extensions 用 Solaris システムの準備

Trusted Extensions 用 Solaris OS が、使用する Trusted Extensions の機能をサポートしていることを確認します。次の作業マップで説明する 2 つのタスクのいずれかを完了します。

作業	参照先
Trusted Extensions のために既存またはアップグレード済みの Solaris インストールを準備します。	「インストール済み Solaris システムを Trusted Extensions 用に準備する」
Trusted Extensions の機能を考慮して Solaris OS をインストールします。	「Solaris システムをインストールして Trusted Extensions をサポートする」

作業マップ: Trusted Extensions の準備と有効化

Trusted Extensions システムを構成する前にその準備を整えるには、次の作業マップで説明するタスクを完了してください。

作業	参照先
Solaris システムの準備を完了します。	「作業マップ: Trusted Extensions 用 Solaris システムの準備」
システムをバックアップします。	Trusted Solaris 8 シテムの場合、使用しているリリースのマニュアルにある説明に従って、システムをバックアップします。ラベル付きバックアップは、それぞれ、同じラベルを持つゾーンに復元できます。
システムをバックアップします。	Solaris システムの場合は、『Solaris のシステム管理 (基本編)』を参照してください。
システムおよび Trusted Extensions ネットワークに関する情報を収集し、必要な事項を決定します。	「Trusted Extensions の有効化前の情報収集と決定事項」
Trusted Extensions を有効にします。	「Trusted Extensions の有効化」
システムを構成します。	モニター付きのシステムの場合、「作業マップ: Trusted Extensions の構成」を参照してください。
	ヘッドレスシステムの場合、「Trusted Extensions でのヘッドレスシステムの構成 (作業マップ)」を参照してください。
	Sun Ray については、『Sun Ray Server Software 4.1 Installation and Configuration Guide for the Solaris Operating System 』を参照してください。Sun Ray 5 リリースについては、Sun Ray Server 4.2 および Sun Ray Connector 2.2 マニュアルの Web サイトを参照してください。このサーバーとクライアントは、合わせて Sun Ray 5 パッケージを構成しています。初期クライアントサーバー通信を設定するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。
	ノートパソコンの場合、OpenSolaris Community: Security Web ページを参照してください。「Trusted Extensions」をクリックします。「Trusted Extensions」ページの「Laptop Configurations」にある「`Laptop instructions`」をクリックします。
	ネットワークが大域ゾーンと通信しないようにするため、`vni0` インタフェースを構成します。例については、「`Laptop instructions`」を参照してください。 Solaris 10 10/08 リリースから、`vni0` インタフェースを構成する必要はありません。デフォルトでは、`lo0` インタフェースは `all-zones` インタフェースです。Trusted Extensions で DHCP を使用する場合、ノートパソコンに関するほかの手順も参照してください。

作業マップ: Trusted Extensions の構成

セキュリティー保護された構成プロセスを実現するには、早い段階で役割を作成してください。役割によってシステムを構成する際のタスクの順序を、次の作業マップに示します。

1. 大域ゾーンを構成します。
	タスク	参照先
	ハードウェア設定を変更する際にパスワードの入力を求めることによって、マシンハードウェアを保護します。	『System Administration Guide: Security Services』の「Controlling Access to System Hardware」
	ラベルを設定します。ラベルはサイトに合わせて設定する必要があります。デフォルトの `label_encodings` ファイルを使用する場合、このタスクは省略できます。	「ラベルエンコーディングファイルを検査およびインストールする」
	IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように `/etc/system` ファイルを変更します。	「Trusted Extensions で IPv6 ネットワーキングを有効にする」
	ネットワークノードの CIPSO 解釈ドメイン (DOI) が `1` でない場合は、`/etc/system` ファイル内でその DOI を指定します。	「解釈ドメインの構成」
	ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。	「ゾーンのクローンを作成するために ZFS プールを作成する」
	ラベル付きの環境をアクティブにするために起動します。ログインすると、大域ゾーンになります。システムの `label_encodings` ファイルによって必須アクセス制御 (MAC) を実施します。	「Trusted Extensions を再起動してログインする」
	Solaris 管理コンソールを初期化します。この GUI は、いくつかあるほかのタスクの中で、ゾーンにラベルを付けるために使用します。	「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」
	セキュリティー管理者役割およびローカルに使用するその他の役割を作成します。これらの役割は Solaris OS の場合と同様に作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

ローカルファイルを使用してシステムの管理を行っている場合は、次の一連の手順を省略します。

2. ネームサービスを構成します。
	タスク	参照先
	ファイルを使用して Trusted Extensions を管理する場合、次のタスクを省略できます。	ファイルのネームサービスには、何も構成する必要はありません。
	既存の Sun Java System Directory Server (LDAP サーバー) がある場合、そのサーバーに Trusted Extensions データベースを追加します。次に、最初の Trusted Extensions システムを LDAP サーバーのプロキシにします。 LDAP サーバーがない場合、最初のシステムをサーバーとして構成します。	第 5 章Trusted Extensions のための LDAP の構成 (手順)
	Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。	「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」
	LDAP サーバーでもプロキシサーバーでもないシステムの場合、それを LDAP クライアントにします。	「Trusted Extensions で大域ゾーンを LDAP クライアントにする」
	LDAP スコープで、セキュリティー管理者役割および使用するつもりであるその他の役割を作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

3. ラベル付きゾーンを作成します。
	タスク	参照先
	`txzonemgr` コマンドを実行します。ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。次に、残りのゾーンをコピーするか、そのゾーンのクローンを作成します。	「ラベル付きゾーンの作成」
	あるいは、Trusted CDE アクションを使用します。	付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストール
	(省略可能) すべてのゾーンが正常にカスタマイズされたあとで、ゾーン固有のネットワークアドレスおよびデフォルトのルーティングをラベル付きゾーンに追加します。	「ネットワークインタフェースをラベル付きゾーンに追加し、ルーティングする」

使用する環境によっては、次のタスクが必要になる場合があります。

4. システムの設定を完了します。
	タスク	参照先
	ラベルを必要とする追加の遠隔ホスト、1 つ以上のマルチレベルのポート、または異なる制御メッセージポリシーを特定します。	『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」
	マルチレベルのホームディレクトリサーバーを作成し、インストールされたゾーンを自動マウントします。	「Trusted Extensions でのホームディレクトリの作成」
	ユーザーによるシステムへのログインを有効にする前に、監査の設定、ファイルシステムのマウント、およびその他のタスクを実行します。	『Oracle Solaris Trusted Extensions 管理の手順』
	NIS 環境から LDAP サーバーにユーザーを追加します。	「LDAP サーバーに NIS ユーザーを追加する」
	ホストとそのラベル付きゾーンを LDAP サーバーに追加します。	『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」