ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
サイト固有のセキュリティーテンプレートが必要かどうかを判断する
マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次の作業マップでは、Trusted Extensions ネットワークのデバッグを支援するタスクについて説明します。
|
システムが期待どおりにほかのシステムと通信しない場合は、この手順を使います。
始める前に
ネットワーク属性値をチェックできる役割で、大域ゾーンにいる必要があります。セキュリティー管理者役割とシステム管理者役割が、これらの値をチェックできます。
システムのインタフェースを表示するには、Labeled Zone Manager GUI または ipadm コマンドを使用します。
# txzonemgr &
「ネットワークインタフェースの構成」を選択し、ゾーンの「Status」列の値が「Up」になっていることを確認します。
# ipadm show-addr ... ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/_a dhcp down 10.131.132.133/23 net0:0/_a dhcp down 10.131.132.175/23
net0 インタフェースの値が ok になっているはずです。ipadm コマンドの詳細については、ipadm(1M) のマニュアルページを参照してください。
期待どおりに通信していない 2 つのホストをデバッグする場合、Trusted Extensions と Oracle Solaris のデバッグ用のツールを使用できます。たとえば、snoop や netstat など Oracle Solaris のネットワークデバッグコマンドを使用できます。詳細は、snoop(1M) および netstat(1M) のマニュアルページを参照してください。Trusted Extensions に固有のコマンドについては、付録 D Trusted Extensions マニュアルページのリストを参照してください。
ラベル付きゾーンを接続するときの問題については、「ゾーンの管理 (作業マップ)」 を参照してください。
NFS マウントのデバッグについては、「Trusted Extensions でマウントの失敗をトラブルシューティングする」を参照してください。
始める前に
ネットワーク属性値をチェックできる役割で、大域ゾーンにいる必要があります。セキュリティー管理者役割またはシステム管理者役割が、これらの値をチェックできます。ファイルを編集できるのは、root 役割だけです。
# svccfg -s name-service/switch listprop config config/value_authorization astring solaris.smf.value.name-service.switch config/default astring ldap ... config/tnrhtp astring "files ldap" config/tnrhdb astring "files ldap"
# svccfg -s name-service/switch setprop config/tnrhtp="files ldap" # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
# svcadm restart name-service/switch
コマンド行を使用してネットワーク情報が正しいことを確認します。各ホストの割り当てがネットワーク上のほかのホストの割り当てと一致していることを確認します。必要な表示形式に応じて tncfg コマンド、tninfo コマンド、txzonemgr GUI のいずれかを使用します。
tninfo -t コマンドは、ラベルを文字列形式と 16 進形式で表示します。
$ tninfo -t template-name template: template-name host_type: one of CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
tncfg -t コマンドは、ラベルを文字列形式で表示し、割り当てられているホストを一覧表示します。
$ tncfg -t template info name=<template-name> host_type=<one of cipso or unlabeled> doi=1 min_label=<minimum-label> max_label=<maximum-label> host=127.0.0.1/32 /** Localhost **/ host=192.168.1.2/32 /** LDAP server **/ host=192.168.1.22/32 /** Gateway to LDAP server **/ host=192.168.113.0/24 /** Additional network **/ host=192.168.113.100/25 /** Additional network **/ host=2001:a08:3903:200::0/56/** Additional network **/
tninfo -h コマンドは、指定されたホストの IP アドレスと、そのホストに割り当てられたセキュリティーテンプレートの名前を表示します。
$ tninfo -h hostname IP Address: IP-address Template: template-name
tncfg get host= コマンドは、指定されたホストを定義するセキュリティーテンプレートの名前を表示します。
$ tncfg get host=hostname|IP-address[/prefix] template-name
tncfg -z コマンドは、MLP を 1 行に 1 つずつ一覧表示します。
$ tncfg -z zone-name info [mlp_private | mlp_shared] mlp_private=<port/protocol-that-is-specific-to-this-zone-only> mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>
tninfo -m コマンドは、1 行目にプライベート MLP を、2 行目に共有 MLP をそれぞれ表示します。各 MLP はセミコロンで区切られます。
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
MLP を GUI で表示するには、txzonemgr コマンドを使用します。ゾーンをダブルクリックしたあと、「マルチレベルポートを構成」を選択します。
たとえば次の出力は、テンプレート名 internal_cipso が未定義であることを示しています。
# tnchkdb checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... tnchkdb: unknown template name: internal_cipso at line 49 tnchkdb: unknown template name: internal_cipso at line 50 tnchkdb: unknown template name: internal_cipso at line 51 checking /etc/security/tsol/tnzonecfg ...
このエラーから、internal_cipso セキュリティーテンプレートの作成や割り当てを行うときに、tncfg コマンドや txzonemgr コマンドが使用されなかったことがわかります。
修復するには、tnrhdb ファイルを元のファイルで置き換えたあと、tncfg コマンドを使用してセキュリティーテンプレートの作成や割り当てを行います。
起動時に、キャッシュにデータベース情報が生成されます。SMF サービス name-service/switch によって、カーネルへのデータ設定時にローカルデータベースと LDAP データベースのどちらが使用されるかが決まります。
$ route get [ip] -secattr sl=label,doi=integer
詳細は、route(1M) のマニュアルページを参照してください。
$ snoop -v
-v オプションを使用すると、ラベル情報などパケットヘッダーの詳細が表示されます。このコマンドでは多くの情報が表示されるため、コマンドで調べられるパケットを制限できます。詳細は、snoop(1M) のマニュアルページを参照してください。
$ netstat -aR
-aR オプションを使用すると、ソケットの拡張セキュリティー属性が表示されます。
$ netstat -rR
-rR オプションを使用すると、経路指定テーブルのエントリが表示されます。詳細は、netstat(1M) のマニュアルページを参照してください。
LDAP サーバーでクライアントエントリの構成が誤っていると、クライアントがサーバーと通信できない場合があります。同様に、クライアント上のファイルの構成が誤っていると通信できない場合があります。クライアントサーバー間の通信問題をデバッグするときは、次のエントリとファイルを確認します。
始める前に
LDAP クライアント上の大域ゾーンで、セキュリティー管理者役割である必要があります。
# tncfg get host=LDAP-server # tncfg get host=gateway-to-LDAP-server
# tninfo -h LDAP-server # tninfo -h gateway-to-LDAP-server
# route get LDAP-server
間違ったテンプレート割り当てが見つかった場合は、ホストを正しいテンプレートに追加します。
使用しているシステム、システム上のラベル付きゾーンのインタフェース、LDAP サーバーへのゲートウェイ、および LDAP サーバーがファイルに一覧表示されている必要があります。さらに多くのエントリがある可能性があります。
重複しているエントリを捜します。ほかのシステムのラベル付きゾーンであるエントリを削除します。たとえば、Lserver が LDAP サーバーの名前であり、LServer-zones がラベル付きゾーンの共有インタフェースである場合、/etc/hosts ファイルから LServer-zones を削除します。
# svccfg -s dns/client listprop config config application config/value_authorization astring solaris.smf.value.name-service.dns.switch config/nameserver astring 192.168.8.25 192.168.122.7
# svccfg -s dns/client setprop config/search = astring: example1.domain.com # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35 # svccfg -s dns/client:default refresh # svccfg -s dns/client:default validate # svcadm enable dns/client # svcadm refresh name-service/switch # nslookup some-system Server: 192.168.135.35 Address: 192.168.135.35#53 Name: some-system.example1.domain.com Address: 10.138.8.22 Name: some-system.example1.domain.com Address: 10.138.8.23
次の出力では、tnrhdb および tnrhtp エントリが表示されていません。したがって、これらのデータベースではデフォルトの files ldap ネームサービスがこの順番で使用されます。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
# zoneadm list zone1 zone2 , , , # zoneadm -z zone1 halt # zoneadm -z zone2 halt . . . # reboot
代わりに txzonemgr GUI を使用してラベル付きゾーンを停止してもかまいません。