ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
Trusted Extensions でのファイルの共有とマウント
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (作業マップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
NFS マウントされた低いレベルのディレクトリが高いレベルのゾーン内のユーザーに表示されるようにするには、次の準備が必要になります。
サーバーの構成 – NFS サーバー上で、共有プロパティーを設定することで ZFS ファイルシステムをエクスポートします。手順については、「ラベル付きゾーンのファイルシステムを共有する」を参照してください。
クライアント構成 – 初期ゾーン構成中に使用されるゾーン構成ファイルで、net_mac_aware 特権を指定する必要があります。そのため、下位ホームディレクトリの表示をすべて許可されているユーザーは、最小ゾーンを除く各ゾーンで net_mac_aware 特権を持っている必要があります。例については、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。
Trusted Extensions で、ホームディレクトリは特別な存在です。ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、「Trusted Extensions のオートマウンタに対する変更」を参照してください。
ホームディレクトリは、ユーザーの作成時に作成されます。ただし、そのホームディレクトリは、ホームディレクトリサーバーの大域ゾーン内に作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。
注 - ユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、「Trusted Extensions システムからユーザーアカウントを削除する」を参照してください。
ただし、遠隔 NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリを作成するには、「各 NFS サーバーにログインすることでユーザーがすべてのラベルで遠隔ホームディレクトリにアクセスできるようにする」を参照してください。
Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofs が auto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。
+auto_home_global * -fstype=lofs :/export/home/&
下位レベルのゾーンのマウントを許可するゾーンが起動すると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/zone-name/export/home 以下に読み取り専用でマウントされます。auto_home_zone-name マップにより、/zone パスが、/zone/zone-name/home/username への lofs 再マウントのソースディレクトリとして指定されます。
たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-level マップにおける auto_home_public エントリは、次のようになります。
+auto_home_public * public-zone-IP-address:/export/home/&
txzonemgr スクリプトは、この PUBLIC エントリを大域ゾーンの auto_master ファイル内で設定します。
+auto_master /net -hosts -nosuid,nobrowse /home auto_home -nobrowse /zone/public/home auto_home_public -nobrowse
ホームディレクトリが参照され、その名前が auto_home_zone-name マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。
マップが、一致するループバックマウント指定を検出する
ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する
オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。