Oracle Solaris Trusted Extensions 構成ガイド

Trusted Extensions でのホームディレクトリの作成

Trusted Extensions では、ユーザーは、ユーザーが作業するすべてのラベルでホームディレクトリにアクセスする必要があります。すべてのホームディレクトリをユーザーに使用可能にするには、マルチレベルのホームディレクトリサーバーを作成し、そのサーバー上でオートマウンタを実行し、ホームディレクトリをエクスポートする必要があります。クライアントサイドでは、ユーザーごとにすべてのゾーンのホームディレクトリを検索するスクリプトを実行したり、ホームディレクトリサーバーにユーザーログインしたりできます。

ProcedureTrusted Extensions でホームディレクトリサーバーを作成する

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。

  1. Trusted Extensions ソフトウェアを使用して、ホームディレクトリサーバーをインストールして構成します。

    • ゾーンのクローンを作成する場合、空のホームディレクトリがある Solaris ZFS スナップショットを必ず使用してください。

    • ユーザーはログインできるすべてのラベルのホームディレクトリが必要なので、ユーザーがログインできるすべてのゾーンを作成します。たとえば、デフォルトの label_encodings ファイルを使用する場合、PUBLIC ラベルのゾーンを作成します。

  2. Solaris ZFS ではなく UFS を使用する場合、NFS サーバーが自身の機能を果たすようにします。

    1. 大域ゾーンで、nsswitch.conf ファイルの automount エントリを変更します。

      トラステッドエディタを使って /etc/nsswitch.conf ファイルを編集します。手順については、『Oracle Solaris Trusted Extensions 管理の手順』「Trusted Extensions の管理ファイルを編集する」を参照してください。


      automount: files
    2. 大域ゾーンで automount コマンドを実行します。

  3. ラベル付きゾーンごとに、『Oracle Solaris Trusted Extensions 管理の手順』「ラベル付きゾーンでファイルを NFS マウントする」の自動マウント手順に従います。そのあと、この手順に戻ります。

  4. ホームディレクトリが作成されていることを確認します。

    1. ホームディレクトリサーバーからログアウトします。

    2. 一般ユーザーとしてホームディレクトリサーバーにログインします。

    3. ログインゾーンで端末を開きます。

    4. 端末ウィンドウで、ユーザーのホームディレクトリが存在することを確認します。

    5. ユーザーが作業できるすべてのゾーンにワークスペースを作成します。

    6. 各ゾーンで端末ウィンドウを開き、ユーザーのホームディレクトリが存在することを確認します。

  5. ホームディレクトリサーバーからログアウトします。

ProcedureTrusted Extensions でユーザーがホームディレクトリにアクセスできるようにする

最初にユーザーはホームディレクトリサーバーにログインして、その他のシステムと共有できるホームディレクトリを作成します。すべてのラベルでホームディレクトリを作成するには、各ユーザーはすべてのラベルでホームディレクトリサーバーにログインする必要があります。

あるいは、管理者は、ユーザーが最初にログインする前に、各ユーザーのホームシステムにホームディレクトリのマウントポイントを作成するスクリプトを作成しておくこともできます。このスクリプトは、ユーザーが作業できるすべてのラベルでマウントポイントを作成します。

始める前に

Trusted Extensions ドメインのホームディレクトリサーバーが構成されました。

  1. サーバーへの直接ログインを許可するか、スクリプトを実行するかを選択します。

    • ユーザーがホームディレクトリサーバーに直接ログインできるようにします。

      1. 各ユーザーに、ホームディレクトリサーバーにログインするように指示します。

        正常にログインできたユーザーは、ログアウトしてください。

      2. 各ユーザーに、再びログインして、今度は異なるログインラベルを選択するように指示します。

        ユーザーは、ラベルビルダーを使用して異なるログインラベルを選択します。正常にログインできたユーザーは、ログアウトしてください。

      3. 使用できるすべてのラベルに対してログインプロセスを繰り返すよう、各ユーザーに指示します。

      4. 通常のワークステーションからログインするよう、ユーザーに指示します。

        ユーザーのデフォルトラベルのホームディレクトリが使用可能です。ユーザーがセッションのラベルを変更するか、異なるラベルでワークスペースを追加すると、そのラベルのユーザーのホームディレクトリがマウントされます。

    • すべてのユーザーのホームディレクトリマウントポイントを作成するためのスクリプトを作成し、そのスクリプトを実行します。


      #!/bin/sh
      #
      for zoneroot in `/usr/sbin/zoneadm list -p | cut -d ":" -f4` ; do
      	if [ $zoneroot != / ]; then
      		prefix=$zoneroot/root/export
      	
      		for j in `getent passwd|tr ' ' _` ; do
      			uid=`echo $j|cut -d ":" -f3`
      			if [ $uid -ge 100 ]; then
      				gid=`echo $j|cut -d ":" -f4`
      				homedir=`echo $j|cut -d ":" -f6`
      				mkdir -m 711 -p $prefix$homedir
      				chown $uid:$gid $prefix$homedir
      			fi
      		done
      	fi
      done
      1. 大域ゾーンから、NFS サーバーでスクリプトを実行します。

      2. 次に、ユーザーがログインするすべてのマルチレベルデスクトップでスクリプトを実行します。