Trusted Extensions での遠隔システムの構成および管理 (作業マップ)

遠隔管理を有効にしたあと、遠隔システムをリブートして Trusted Extensions を有効にする前に、仮想ネットワークコンピューティング (VNC) または ssh プロトコルを使用してシステムを構成できます。

作業	説明	参照先
Trusted Extensions システムの遠隔管理を有効にします。	指定された `ssh` クライアントからの Trusted Extensions システムの管理を有効にします。	「遠隔 Trusted Extensions システムの遠隔管理を有効にする」
仮想ネットワークコンピューティング (Virtual Network Computing、VNC) を有効にします。	任意のクライアントから、遠隔 Trusted Extensions システムで Xvnc サーバーを使用して、クライアントにサーバーのマルチレベルセッションを表示します。	「遠隔アクセス用に Xvnc で Trusted Extensions システムを構成する」
Trusted Extensions システムに遠隔でログインします。	遠隔システム上の役割になってそのシステムを管理します。	「遠隔 Trusted Extensions システムにログインして管理する」

注 - セキュリティーポリシーを確認して、サイトで許可されている遠隔管理の方法を判定します。

遠隔 Trusted Extensions システムの遠隔管理を有効にする

この手順では、ある Oracle Solaris 遠隔システム上でホストベースの認証を有効にしたあと、そのシステムに Trusted Extensions 機能を追加します。遠隔システムは ssh サーバーです。

始める前に

遠隔システムに Oracle Solaris がインストールされており、そのシステムにアクセスできます。

両方のシステムでホストベースの認証を有効にします。
手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ホストに基づく認証を Secure Shell に設定する方法」を参照してください。

注 - cat コマンドは使用しないでください。ssh 接続経由で公開鍵をコピー＆ペーストします。ssh クライアントが Oracle Solaris システムでない場合は、プラットフォームの手順に従って、ホストベースの認証で ssh クライアントを構成します。

この手順が完了すると、root 役割になれるユーザーアカウントが両方のシステム上に存在しています。これらのアカウントには同じ UID、GID、および役割割り当てが割り当てられています。また、生成された公開/非公開鍵ペアと共有公開鍵も存在しています。
ssh サーバーで、ssh ポリシーを引き下げて root が遠隔ログインを行えるようにします。
```
# vi /etc/ssh/sshd_config
## Permit remote login by root
PermitRootLogin yes
```
あとの手順で、root ログインを特定のシステムとユーザーに制限します。

注 - 管理者は root 役割になるので、遠隔 root ログインを禁止するログインポリシーを引き下げる必要はありません。
ssh サーバーで ssh サービスを再起動します。
```
# svcadm restart ssh
```
ssh サーバーの root のホームディレクトリ内で、ホストベースの認証のためのホストとユーザーを指定します。
```
# cd
# vi .shosts
client-host username
```
この .shosts ファイルは、公開/非公開鍵が共有されている状態で、client-host システム上の username がサーバー上の root 役割になれるようにします。

ssh サーバーで 2 つの PAM ポリシーを引き下げます。

役割による遠隔ログインを許可します。

# vi /etc/pam.conf
...
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
# other   account requisite    pam_roles.so.1
# Enable remote role assumption
other account requisite pam_roles.so.1 allow_remote
...

このポリシーは、client-host システム上の username がサーバー上で役割になれるようにします。

ラベルなしホストから Trusted Extensions 遠隔システムへの接続を許可します。

# vi /etc/pam.conf
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
# other   account requisite    pam_roles.so.1
# Enable remote role assumption
other   account requisite    pam_roles.so.1   allow_remote
#
other   account required     pam_unix_account.so.1
# other   account required     pam_tsol_account.so.1
# Enable unlabeled access to TX system
other account required pam_tsol_account.so.1 allow_unlabeled

変更済みの pam.conf ファイルを pam.conf.site にコピーします。
```
# cp /etc/pam.conf /etc/pam.conf.site
```

この構成をテストします。
1. 遠隔システムで新しい端末を開きます。
2. client-host 上の username が所有するウィンドウ内で、遠隔システム上の root 役割になります。
```
% ssh -l root remote-system
```
構成が正しく機能することがわかったら、遠隔システムで Trusted Extensions を有効にし、リブートします。
```
# svcadm enable -s labeld
# /usr/sbin/reboot
```

例 12-1 遠隔管理のための CIPSO ホストタイプの割り当て

この例では、管理者は Trusted Extensions システムを使用して遠隔 Trusted Extensions ホストを構成します。管理者はそのために、各システム上で tncfg コマンドを使用して、ピアシステムのホストタイプを定義します。

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host

client-host # tncfg -t cipso add host=192.168.1.22 Remote system

ラベルなしシステムも遠隔 Trusted Extensions ホストを構成できるので、管理者は遠隔システムの pam.conf ファイル内に allow_unlabeled オプションを残します。

注意事項

管理者が新しいリリースの Oracle Solaris OS にアップグレードしても、新しい pam.conf ファイルはインストールされません。アップグレード時の preserve=true ファイルアクションの説明については、pkg(5) のマニュアルページを参照してください。

遠隔アクセス用に Xvnc で Trusted Extensions システムを構成する

仮想ネットワークコンピューティング (Virtual Network Computing、VNC) テクノロジは、クライアントを遠隔サーバーに接続し、クライアントのウィンドウに遠隔サーバーのデスクトップを表示します。Xvnc は UNIX バージョンの VNC であり、標準 X サーバーをベースにしています。Trusted Extensions では、どのプラットフォーム上のクライアントでも、Trusted Extensions が実行されている Xvnc サーバーに接続して、Xvnc サーバーにログインし、マルチレベルデスクトップ上で表示して作業できます。

詳細は、Xvnc(1) および vncconfig(1) のマニュアルページを参照してください。

始める前に

Xvnc サーバーとして使用されるこのシステム上で、Trusted Extensions のインストールと構成が完了しています。このシステムの大域ゾーンは固定 IP アドレスを持ちます。つまりこのゾーンでは、netcfg(1M) のマニュアルページで説明されている自動ネットワーク構成プロファイルは使用されていません。

このシステムは、VNC クライアントをホスト名か IP アドレスで認識します。具体的には、admin_low セキュリティーテンプレート内で、このサーバーの VNC クライアントになれるシステムが、明示的に特定されるかワイルドカードを使用して特定されます。接続を安全に構成する方法の詳細については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。

現在、将来の Trusted Extensions Xvnc サーバーのコンソールの GNOME セッションで実行している場合は、デスクトップ共有を有効にする必要はありません。

将来の Trusted Extensions Xvnc サーバーの大域ゾーンで root 役割になっています。

Xvnc ソフトウェアを読み込むか更新します。
```
# packagemanager &
```
パッケージマネージャー GUI で「vnc」を検索し、使用可能なサーバーから選択します。オプションの 1 つとして、TigerVNC X11/VNC サーバーソフトウェアがあります。
X ディスプレイマネージャーの制御プロトコルを有効にします。
GNOME ディスプレイマネージャー (gdm) のカスタム構成ファイルを変更します。/etc/gdm/custom.conf ファイルの [xdmcp] 見出しの下に、Enable=true と入力します。
```
[xdmcp]
Enable=true
```
/etc/gdm/Xsession ファイルの 27 行目あたりに、次の行を挿入します。
```
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
```
Xvnc サーバーのサービスを有効にします。
```
# svcadm enable xvnc-inetd
```
このサーバー上のアクティブな GNOME セッションをすべてログアウトさせます。
```
# svcadm restart gdm
```
デスクトップマネージャーが再起動するまで約 1 分間待ちます。これで、VNC クライアントが接続可能となります。
Xvnc ソフトウェアが有効になっていることを確認します。
```
# svcs | grep vnc
```
この Xvnc サーバーの VNC クライアントすべてに対して、VNC クライアントソフトウェアをインストールします。
クライアントシステムでは、ソフトウェアを選択できます。Oracle Solaris リポジトリの VNC ソフトウェアを使用できます。
Xvnc サーバーのワークスペースを VNC クライアント上で表示するには、次の手順を実行します。
1. クライアントの端末ウィンドウで、サーバーに接続します。
```
% /usr/bin/vncviewer Xvnc-server-hostname
```
  コマンドのオプションについては、vncviewer(1) のマニュアルページを参照してください。
2. 表示されるウィンドウで、ユーザー名とパスワードを入力します。
  ログイン手順に進みます。残りの手順については、『Trusted Extensions ユーザーガイド』の「Trusted Extensions へのログイン」を参照してください。

遠隔 Trusted Extensions システムにログインして管理する

この手順を実行すると、コマンド行と txzonemgr GUI を使用して遠隔 Trusted Extensions システムを管理できます。

始める前に

「遠隔 Trusted Extensions システムの遠隔管理を有効にする」の説明に従って、ローカルシステム上と遠隔システム上でユーザー、役割、および役割割り当てがまったく同様に定義されています。

デスクトップシステムで、遠隔システムからのプロセスが表示されるようにします。
```
desktop $ xhost + remote-sys
```
両方のシステムで同じ名前が付けられたユーザーになっている必要があります。
端末ウィンドウから遠隔システムにログインします。
ssh コマンドを使用してログインします。
```
desktop $ ssh -X -l identical-username remote-sys
Password: Type the user's password
remote-sys $
```
-X オプションは GUI の表示を可能にします。
同じ端末ウィンドウで、両方のシステムでまったく同様に定義された役割になります。
たとえば、root の役割になります。
```
remote-sys $ su - root
Password: Type the root password
```
大域ゾーンにいます。これで、この端末ウィンドウを使用してコマンド行から遠隔システムを管理できるようになりました。画面上に GUI が表示されます。例については、例 12-2 を参照してください。

例 12-2 遠隔システムでのラベル付きゾーンの設定

この例では、管理者が txzonemgr GUI を使用して、ラベル付きデスクトップシステムからラベル付き遠隔システム上のラベル付きゾーンを設定します。Oracle Solaris と同様に、管理者は ssh コマンドに -X オプションを使用して、デスクトップシステムへの X サーバーのアクセスを許可します。ユーザー jandoe は両方のシステムで同じように定義されているので、役割 remoterole になることができます。

TXdesk1 $ xhost + TXnohead4

TXdesk1 $ ssh -X -l jandoe TXnohead4
Password: Ins1PwD1
TXnohead4 $

管理者は大域ゾーンに到達するために、jandoe アカウントを使用して役割 remoterole になります。この役割は、両方のシステムで同じように定義されています。

TXnohead4 # su - remoterole
Password: abcd1EFG

同じ端末で、管理者は remoterole 役割とｌして txzonemgr GUI を起動します。

TXnohead4 $ /usr/sbin/txzonemgr &

Labeled Zone Manager は遠隔システム上で実行され、ローカルシステム上に表示されます。

例 12-3 遠隔ラベル付きゾーンへのログイン

管理者は、遠隔システム上の PUBLIC ラベルの構成ファイルを変更する必要があります。

管理者には 2 つの選択肢が用意されています。

大域ゾーンに遠隔ログインして遠隔大域ゾーンを表示したあと、PUBLIC ラベルに切り替え、端末ウィンドウを開き、ファイルを編集します。
PUBLIC 端末ウィンドウから ssh コマンドを使用して PUBLIC ゾーンに遠隔ログインしたあと、ファイルを編集します。

遠隔システムですべてのゾーンに対して 1 つのネームサービスデーモン (nscd) が実行されていて、なおかつその遠隔システムでファイルネームサービスが使用されている場合、遠隔ゾーンのパスワードは、そのゾーンが最後にブートされたときに有効だったパスワードになります。遠隔 PUBLIC ゾーンのパスワードを変更しても、変更後にそのゾーンをブートしなければ、元のパスワードでアクセスが許可されます。

注意事項

-X オプションが機能しない場合は、パッケージをインストールしなければいけない可能性があります。xauth バイナリがインストールされていないと、X11 転送が無効になります。このバイナリを読み込むコマンドを次に示します: pkg install pkg:/x11/session/xauth

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語)