Oracle Solaris Trusted Extensions 構成ガイド

作業マップ: Trusted Extensions の構成

セキュリティー保護された構成プロセスを実現するには、早い段階で役割を作成してください。役割によってシステムを構成する際のタスクの順序を、次の作業マップに示します。

1. 大域ゾーンを構成します。
	タスク	参照先
	ハードウェア設定を変更する際にパスワードの入力を求めることによって、マシンハードウェアを保護します。	『System Administration Guide: Security Services』の「Controlling Access to System Hardware」
	ラベルを設定します。ラベルはサイトに合わせて設定する必要があります。デフォルトの `label_encodings` ファイルを使用する場合、このタスクは省略できます。	「ラベルエンコーディングファイルを検査およびインストールする」
	IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように `/etc/system` ファイルを変更します。	「Trusted Extensions で IPv6 ネットワーキングを有効にする」
	ネットワークノードの CIPSO 解釈ドメイン (DOI) が `1` でない場合は、`/etc/system` ファイル内でその DOI を指定します。	「解釈ドメインの構成」
	ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。	「ゾーンのクローンを作成するために ZFS プールを作成する」
	ラベル付きの環境をアクティブにするために起動します。ログインすると、大域ゾーンになります。システムの `label_encodings` ファイルによって必須アクセス制御 (MAC) を実施します。	「Trusted Extensions を再起動してログインする」
	Solaris 管理コンソールを初期化します。この GUI は、いくつかあるほかのタスクの中で、ゾーンにラベルを付けるために使用します。	「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」
	セキュリティー管理者役割およびローカルに使用するその他の役割を作成します。これらの役割は Solaris OS の場合と同様に作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

ローカルファイルを使用してシステムの管理を行っている場合は、次の一連の手順を省略します。

2. ネームサービスを構成します。
	タスク	参照先
	ファイルを使用して Trusted Extensions を管理する場合、次のタスクを省略できます。	ファイルのネームサービスには、何も構成する必要はありません。
	既存の Sun Java System Directory Server (LDAP サーバー) がある場合、そのサーバーに Trusted Extensions データベースを追加します。次に、最初の Trusted Extensions システムを LDAP サーバーのプロキシにします。 LDAP サーバーがない場合、最初のシステムをサーバーとして構成します。	第 5 章Trusted Extensions のための LDAP の構成 (手順)
	Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。	「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」
	LDAP サーバーでもプロキシサーバーでもないシステムの場合、それを LDAP クライアントにします。	「Trusted Extensions で大域ゾーンを LDAP クライアントにする」
	LDAP スコープで、セキュリティー管理者役割および使用するつもりであるその他の役割を作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

3. ラベル付きゾーンを作成します。
	タスク	参照先
	`txzonemgr` コマンドを実行します。ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。次に、残りのゾーンをコピーするか、そのゾーンのクローンを作成します。	「ラベル付きゾーンの作成」
	あるいは、Trusted CDE アクションを使用します。	付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストール
	(省略可能) すべてのゾーンが正常にカスタマイズされたあとで、ゾーン固有のネットワークアドレスおよびデフォルトのルーティングをラベル付きゾーンに追加します。	「ネットワークインタフェースをラベル付きゾーンに追加し、ルーティングする」

使用する環境によっては、次のタスクが必要になる場合があります。

4. システムの設定を完了します。
	タスク	参照先
	ラベルを必要とする追加の遠隔ホスト、1 つ以上のマルチレベルのポート、または異なる制御メッセージポリシーを特定します。	『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」
	マルチレベルのホームディレクトリサーバーを作成し、インストールされたゾーンを自動マウントします。	「Trusted Extensions でのホームディレクトリの作成」
	ユーザーによるシステムへのログインを有効にする前に、監査の設定、ファイルシステムのマウント、およびその他のタスクを実行します。	『Oracle Solaris Trusted Extensions 管理の手順』
	NIS 環境から LDAP サーバーにユーザーを追加します。	「LDAP サーバーに NIS ユーザーを追加する」
	ホストとそのラベル付きゾーンを LDAP サーバーに追加します。	『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」

© 2010, Oracle Corporation and/or its affiliates