ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
Trusted Extensions での遠隔システムの管理方式
Trusted Extensions での遠隔システムの構成および管理 (作業マップ)
遠隔 Trusted Extensions システムの遠隔管理を有効にする
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
遠隔管理を有効にしたあと、遠隔システムをリブートして Trusted Extensions を有効にする前に、仮想ネットワークコンピューティング (VNC) または ssh プロトコルを使用してシステムを構成できます。
|
注 - セキュリティーポリシーを確認して、サイトで許可されている遠隔管理の方法を判定します。
この手順では、ある Oracle Solaris 遠隔システム上でホストベースの認証を有効にしたあと、そのシステムに Trusted Extensions 機能を追加します。遠隔システムは ssh サーバーです。
始める前に
遠隔システムに Oracle Solaris がインストールされており、そのシステムにアクセスできます。
手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ホストに基づく認証を Secure Shell に設定する方法」を参照してください。
注 - cat コマンドは使用しないでください。ssh 接続経由で公開鍵をコピー&ペーストします。ssh クライアントが Oracle Solaris システムでない場合は、プラットフォームの手順に従って、ホストベースの認証で ssh クライアントを構成します。
この手順が完了すると、root 役割になれるユーザーアカウントが両方のシステム上に存在しています。これらのアカウントには同じ UID、GID、および役割割り当てが割り当てられています。また、生成された公開/非公開鍵ペアと共有公開鍵も存在しています。
# vi /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
あとの手順で、root ログインを特定のシステムとユーザーに制限します。
注 - 管理者は root 役割になるので、遠隔 root ログインを禁止するログインポリシーを引き下げる必要はありません。
# svcadm restart ssh
# cd # vi .shosts client-host username
この .shosts ファイルは、公開/非公開鍵が共有されている状態で、client-host システム上の username がサーバー上の root 役割になれるようにします。
# vi /etc/pam.conf ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # # other account requisite pam_roles.so.1 # Enable remote role assumption other account requisite pam_roles.so.1 allow_remote ...
このポリシーは、client-host システム上の username がサーバー上で役割になれるようにします。
# vi /etc/pam.conf # Default definition for Account management # Used when service name is not explicitly mentioned for account management # # other account requisite pam_roles.so.1 # Enable remote role assumption other account requisite pam_roles.so.1 allow_remote # other account required pam_unix_account.so.1 # other account required pam_tsol_account.so.1 # Enable unlabeled access to TX system other account required pam_tsol_account.so.1 allow_unlabeled
# cp /etc/pam.conf /etc/pam.conf.site
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
例 12-1 遠隔管理のための CIPSO ホストタイプの割り当て
この例では、管理者は Trusted Extensions システムを使用して遠隔 Trusted Extensions ホストを構成します。管理者はそのために、各システム上で tncfg コマンドを使用して、ピアシステムのホストタイプを定義します。
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
ラベルなしシステムも遠隔 Trusted Extensions ホストを構成できるので、管理者は遠隔システムの pam.conf ファイル内に allow_unlabeled オプションを残します。
注意事項
管理者が新しいリリースの Oracle Solaris OS にアップグレードしても、新しい pam.conf ファイルはインストールされません。アップグレード時の preserve=true ファイルアクションの説明については、pkg(5) のマニュアルページを参照してください。
仮想ネットワークコンピューティング (Virtual Network Computing、VNC) テクノロジは、クライアントを遠隔サーバーに接続し、クライアントのウィンドウに遠隔サーバーのデスクトップを表示します。Xvnc は UNIX バージョンの VNC であり、標準 X サーバーをベースにしています。Trusted Extensions では、どのプラットフォーム上のクライアントでも、Trusted Extensions が実行されている Xvnc サーバーに接続して、Xvnc サーバーにログインし、マルチレベルデスクトップ上で表示して作業できます。
詳細は、Xvnc(1) および vncconfig(1) のマニュアルページを参照してください。
始める前に
Xvnc サーバーとして使用されるこのシステム上で、Trusted Extensions のインストールと構成が完了しています。このシステムの大域ゾーンは固定 IP アドレスを持ちます。つまりこのゾーンでは、netcfg(1M) のマニュアルページで説明されている自動ネットワーク構成プロファイルは使用されていません。
このシステムは、VNC クライアントをホスト名か IP アドレスで認識します。具体的には、admin_low セキュリティーテンプレート内で、このサーバーの VNC クライアントになれるシステムが、明示的に特定されるかワイルドカードを使用して特定されます。接続を安全に構成する方法の詳細については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
現在、将来の Trusted Extensions Xvnc サーバーのコンソールの GNOME セッションで実行している場合は、デスクトップ共有を有効にする必要はありません。
将来の Trusted Extensions Xvnc サーバーの大域ゾーンで root 役割になっています。
# packagemanager &
パッケージマネージャー GUI で「vnc」を検索し、使用可能なサーバーから選択します。オプションの 1 つとして、TigerVNC X11/VNC サーバーソフトウェアがあります。
GNOME ディスプレイマネージャー (gdm) のカスタム構成ファイルを変更します。/etc/gdm/custom.conf ファイルの [xdmcp] 見出しの下に、Enable=true と入力します。
[xdmcp] Enable=true
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
# svcadm enable xvnc-inetd
# svcadm restart gdm
デスクトップマネージャーが再起動するまで約 1 分間待ちます。これで、VNC クライアントが接続可能となります。
# svcs | grep vnc
クライアントシステムでは、ソフトウェアを選択できます。Oracle Solaris リポジトリの VNC ソフトウェアを使用できます。
% /usr/bin/vncviewer Xvnc-server-hostname
コマンドのオプションについては、vncviewer(1) のマニュアルページを参照してください。
ログイン手順に進みます。残りの手順については、『Trusted Extensions ユーザーガイド』の「Trusted Extensions へのログイン」を参照してください。
この手順を実行すると、コマンド行と txzonemgr GUI を使用して遠隔 Trusted Extensions システムを管理できます。
始める前に
「遠隔 Trusted Extensions システムの遠隔管理を有効にする」の説明に従って、ローカルシステム上と遠隔システム上でユーザー、役割、および役割割り当てがまったく同様に定義されています。
desktop $ xhost + remote-sys
ssh コマンドを使用してログインします。
desktop $ ssh -X -l identical-username remote-sys Password: Type the user's password remote-sys $
-X オプションは GUI の表示を可能にします。
たとえば、root の役割になります。
remote-sys $ su - root Password: Type the root password
大域ゾーンにいます。これで、この端末ウィンドウを使用してコマンド行から遠隔システムを管理できるようになりました。画面上に GUI が表示されます。例については、例 12-2 を参照してください。
例 12-2 遠隔システムでのラベル付きゾーンの設定
この例では、管理者が txzonemgr GUI を使用して、ラベル付きデスクトップシステムからラベル付き遠隔システム上のラベル付きゾーンを設定します。Oracle Solaris と同様に、管理者は ssh コマンドに -X オプションを使用して、デスクトップシステムへの X サーバーのアクセスを許可します。ユーザー jandoe は両方のシステムで同じように定義されているので、役割 remoterole になることができます。
TXdesk1 $ xhost + TXnohead4
TXdesk1 $ ssh -X -l jandoe TXnohead4 Password: Ins1PwD1 TXnohead4 $
管理者は大域ゾーンに到達するために、jandoe アカウントを使用して役割 remoterole になります。この役割は、両方のシステムで同じように定義されています。
TXnohead4 # su - remoterole Password: abcd1EFG
同じ端末で、管理者は remoterole 役割とlして txzonemgr GUI を起動します。
TXnohead4 $ /usr/sbin/txzonemgr &
Labeled Zone Manager は遠隔システム上で実行され、ローカルシステム上に表示されます。
例 12-3 遠隔ラベル付きゾーンへのログイン
管理者は、遠隔システム上の PUBLIC ラベルの構成ファイルを変更する必要があります。
管理者には 2 つの選択肢が用意されています。
大域ゾーンに遠隔ログインして遠隔大域ゾーンを表示したあと、PUBLIC ラベルに切り替え、端末ウィンドウを開き、ファイルを編集します。
PUBLIC 端末ウィンドウから ssh コマンドを使用して PUBLIC ゾーンに遠隔ログインしたあと、ファイルを編集します。
遠隔システムですべてのゾーンに対して 1 つのネームサービスデーモン (nscd) が実行されていて、なおかつその遠隔システムでファイルネームサービスが使用されている場合、遠隔ゾーンのパスワードは、そのゾーンが最後にブートされたときに有効だったパスワードになります。遠隔 PUBLIC ゾーンのパスワードを変更しても、変更後にそのゾーンをブートしなければ、元のパスワードでアクセスが許可されます。
注意事項
-X オプションが機能しない場合は、パッケージをインストールしなければいけない可能性があります。xauth バイナリがインストールされていないと、X11 転送が無効になります。このバイナリを読み込むコマンドを次に示します: pkg install pkg:/x11/session/xauth