test

Oracle Solaris Trusted Extensions 構成ガイド

Trusted Extensions の構成のトラブルシューティング

Trusted Extensions では、ラベル付きゾーンが大域ゾーンを使って X サーバーと通信します。したがって、ラベル付きゾーンには大域ゾーンへの使用可能なルートが必要です。また、Solaris のインストール中に選択したオプションによっては、Trusted Extensions が大域ゾーンへのインタフェースを使用できなくなる可能性があります。

Trusted Extensions の有効化後に netservices limited が実行された

説明:

ユーザーは、Trusted Extensions の有効化前に netservices limited コマンドを実行すべきところを、有効化後にこのコマンドを大域ゾーンで実行しました。そのため、ラベル付きゾーンは大域ゾーン内の X サーバーに接続できません。

回避方法:

次のコマンドを実行して、Trusted Extensions がゾーン間で通信するために必要なサービスを開きます。


# svccfg -s x11-server setprop options/tcp_listen = true
# svcadm enable svc:/network/rpc/rstat:default

ラベル付きゾーンでコンソールウィンドウが開かない

説明:

ラベル付きゾーンでコンソールウィンドウを開こうとすると、次のようなエラーがダイアログボックスに表示されます。


Action:DttermConsole,*,*,*,0 [Error]
Action not authorized.
回避方法:

次の 2 行が、/etc/security/exec_attr ファイルの各ゾーンエントリに存在することを確認します。


All Actions:solaris:act:::*;*;*;*;*:
All:solaris:act:::*;*;*;*;*:

これらの行が存在しない場合は、これらのエントリを追加した Trusted Extensions パッケージがラベル付きゾーンにインストールされていません。この場合は、ラベル付きゾーンをもう一度作成してください。手順については、「ラベル付きゾーンの作成」を参照してください。

ラベル付きゾーンが X サーバーにアクセスできない

説明:

ラベル付きゾーンが X サーバーにアクセスできない場合は、次のようなメッセージが表示されます。

  • Action failed. Reconnect to Solaris Zone?

  • No route available

  • Cannot reach globalzone-hostname:0

原因:

ラベル付きゾーンが X サーバーにアクセスできない理由として次のものが考えられます。

  • ゾーンが初期化されていないため、sysidcfg プロセスの完了を待機している。

  • ラベル付きゾーンのホスト名が、大域ゾーンで実行中のネームサービスに認識されない。

  • all-zones として指定されているインタフェースがない。

  • ラベル付きゾーンのネットワークインタフェースがダウンしている。

  • LDAP 名の検索が失敗する。

  • NFS マウントが機能しない。

回避に向けての手順:

    次の手順を実行してください。

  1. ゾーンにログインします。

    zlogin コマンドまたは「ゾーン端末コンソール」アクションを使用できます。


    # zlogin -z zone-name

    スーパーユーザーとしてログインできない場合は、zlogin -S コマンドを使用して認証を省略してください。

  2. ゾーンが実行中であることを確認します。


    # zoneadm list

    ゾーンの状態が running であれば、少なくとも 1 つのプロセスがゾーンで実行されています。

  3. ラベル付きゾーンが X サーバーにアクセスするのを妨害しているすべての問題を解決します。

    • sysidcfg プロセスを完了することによってゾーンを初期化します。

      sysidcfg プログラムを対話式で実行します。ゾーン端末コンソール、または zlogin コマンドを実行した端末ウィンドウでプロンプトに答えます。

      sysidcfg プロセスを非対話式に実行するには、次のいずれかの方法があります。

      • /usr/sbin/txzonemgr スクリプトに対して初期化項目を指定します。

        初期化項目により、sysidcfg の質問にデフォルト値を入力できるようになります。

      • 独自の sysidcfg スクリプトを記述します。

        詳細は、sysidcfg(4) のマニュアルページを参照してください。

    • ゾーンから X サーバーにアクセスできることを確認します。

      ラベル付きゾーンにログインします。DISPLAY 変数が X サーバーをポイントするように設定し、ウィンドウを開きます。


      # DISPLAY=global-zone-hostname:n.n
# export DISPLAY
# /usr/openwin/bin/xclock

      ラベル付きウィンドウが表示されない場合は、このラベル付きゾーンに対してゾーンネットワークが適切に構成されていません。

      注 –

      Solaris 10 5/09 以降のリリースの Trusted CDE を実行している場合は、「Trusted CDE でローカルゾーンを大域ゾーンルーティングに解決する」を参照してください。

    • ネームサービスを使ってゾーンのホスト名を構成します。

      ゾーンのローカル /etc/hosts ファイルは使用しません。代わりに、同等の情報を大域ゾーンまたは LDAP サーバーに指定する必要があります。この情報には、ゾーンに割り当てられたホスト名の IP アドレスを含める必要があります。

    • all-zones として指定されているインタフェースがない。

      すべてのゾーンに大域ゾーンと同じサブネット上の IP アドレスがある場合を除き、all-zones (共有) インタフェースを構成する必要のある場合があります。このように構成することによって、ラベル付きゾーンが大域ゾーンの X サーバーに接続できるようになります。大域ゾーンの X サーバーへのリモート接続を制限するには、vni0all-zones アドレスとして使用します。

      all-zones インタフェースを構成しない場合は、それぞれのゾーンに大域ゾーンの X サーバーへのルートを指定する必要があります。これらのルートは大域ゾーン内で構成しなければなりません。

    • ラベル付きゾーンのネットワークインタフェースがダウンしている。


      # ifconfig -a

      ifconfig コマンドを使用して、ラベル付きゾーンのネットワークインタフェースが UPRUNNING の両方の状態であることを確認します。

    • LDAP 名の検索が失敗する。

      ldaplist コマンドを使用して、各ゾーンが LDAP サーバーまたは LDAP プロキシサーバーと通信できることを確認します。LDAP サーバー上で、ゾーンが tnrhdb データベースに記載されていることを確認します。

    • NFS マウントが機能しない。

      スーパーユーザーとして、ゾーンで automount を再起動します。または、crontab エントリを追加して、automount コマンドを 5 分ごとに実行します。