Sun Java System Directory Server にデータを入力する

ラベル構成、ユーザー、および遠隔システムに関する Trusted Extensions データを保持するために、複数の LDAP データベースが作成および変更されています。この手順では、Directory Server データベースに Trusted Extensions 情報を取り込みます。

始める前に

シャドウ更新が有効になっている LDAP クライアントからデータベースにデータを入力する必要があります。前提条件については、「Directory Server 用の LDAP クライアントの作成」を参照してください。

サイトセキュリティーで責務分離が必要な場合は、ディレクトリサーバーにデータを設定する前に、次の手順を実行します。

• 「責務分離を実施する権利プロファイルを作成する」

• 「Trusted Extensions でセキュリティー管理者役割を作成する」

• 「制限されたシステム管理者役割を作成する」

1. ネームサービスデータベースにデータを入力するために使用するファイルのステージング領域を作成します。

   # mkdir -p /setup/files

2. サンプルの /etc ファイルをステージング領域にコピーします。

   # cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files

   Solaris 10 11/06 リリースをパッチを適用しないで実行している場合、ipnodes ファイルをコピーします。

   # cd /etc/inet # cp ipnodes /setup/files

3. /setup/files/auto_master ファイルから +auto_master エントリを削除します。

4. ?:::::? エントリを /setup/files/auth_attr ファイルから削除します。

5. /setup/files/prof_attr ファイルから :::: エントリを削除します。

6. ステージング領域にゾーン自動マップを作成します。

   次の自動マップのリストで、各ペアの最初の行はファイルの名前を示します。2 行めはファイルの内容を示します。ゾーン名は、Trusted Extensions ソフトウェアに含まれているデフォルトの label_encodings ファイルからのラベルを特定します。

   • ここに示された行のゾーン名を実際のゾーン名に置き換えてください。

   • myNFSserver でホームディレクトリの NFS サーバーを特定します。

   /setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&

7. ネットワーク上のすべてのシステムを /setup/files/tnrhdb ファイルに追加します。

   ここではワイルドカードは使用できません。通信を行うすべてのシステムの IP アドレスは、ラベル付きゾーンの IP アドレスも含めてこのファイル内に存在する必要があります。

   1. トラステッドエディタを開き、/setup/files/tnrhdb を編集します。

   2. Trusted Extensions ドメインのラベル付きシステムのすべての IP アドレスを追加します。

      ラベル付きシステムのタイプは cipso です。また、ラベル付きシステムのセキュリティーテンプレートの名前も cipso です。したがって、デフォルト構成では cipso エントリは次のようになります。

      192.168.25.2:cipso

      ---

      注 –

      このリストには、大域ゾーンおよびラベル付きゾーンの IP アドレスが含まれます。

      ---

   3. ドメインが通信できるラベルなしシステムをすべて追加します。

      ラベルなしシステムのタイプは unlabeled です。ラベルなしシステムのセキュリティーテンプレートの名前は admin_low です。したがって、デフォルト構成ではラベルなしシステムのエントリは次のようになります。

      192.168.35.2:admin_low

   4. ファイルを保存し、エディタを終了します。

   5. ファイルの構文を検査します。

      # tnchkdb -h /setup/files/tnrhdb

   6. エラーを修正してから作業を続行します。

8. /setup/files/tnrhdb ファイルを /etc/security/tsol/tnrhdb ファイルにコピーします。

9. ldapaddent コマンドを使用して、ステージング領域のすべてのファイルを利用して Directory Server にデータを入力します。

   たとえば、次のコマンドでは、ステージング領域の hosts ファイルからサーバーにデータが入力されます。

   # /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts

10. Trusted Extensions Directory Server で ldapclient コマンドを実行する場合は、システム上のクライアントを無効にします。

    大域ゾーンで ldapclient uninit コマンドを実行します。詳細出力を使用して、そのシステムが LDAP クライアントではなくなっていることを確認します。

    # ldapclient -v uninit

    詳細については、ldapclient(1M) のマニュアルページを参照してください。