| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する
トラステッドネットワークのトラブルシューティング (作業マップ)
Trusted Extensions ネットワークをデバッグする
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions システムは、そのシステム上でほかのホストのセキュリティー属性が定義されたあとではじめて、それらのホストに接続できるようになります。遠隔ホストのセキュリティー属性は互いに似ている可能性があるため、Trusted Extensions には、ホストの追加先として使用可能なセキュリティーテンプレートが用意されています。
次の作業マップでは、セキュリティーテンプレートを追加したり、それらを遠隔ホストに適用したりする場合に使用可能なタスクについて説明します。
|
セキュリティーテンプレートの一覧と各テンプレートの内容を表示できます。この手順で示す例は、デフォルトのセキュリティーテンプレートです。
# tncfg list cipso admin_low
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
この cipso セキュリティーテンプレートの 127.0.0.1/32 エントリにより、このシステムがラベル付きとして識別されます。ピアが host_type cipso の遠隔ホストテンプレートにこのシステムを割り当てた場合、その 2 つのシステムはラベル付きパケットを交換できます。
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
この admin_low セキュリティーテンプレートの 0.0.0.0/0 エントリは、セキュリティーテンプレートに明示的に割り当てられていないすべてのホストがこのシステムに接続できるようにします。これらのホストはラベルなしとして認識されます。
このエントリの利点は、サーバーやゲートウェイなど、ブート時にこのシステムで必要となるすべてのホストを検出できることです。
このエントリの欠点は、このシステムのネットワーク上の任意のホストがこのシステムに接続できることです。このシステムに接続できるホストを制限するには、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
使用可能なセキュリティーテンプレートを表示するには、「セキュリティーテンプレートを表示する」の手順に従います。
ホスト、またはホストのグループのラベル範囲を制限します。
ADMIN_LOW 以外のラベルのシングルラベルホストを作成します。
ADMIN_LOW でないラベルなしホストにデフォルトのラベルを要求します。
複数の個別のラベルを認識するホストを作成します。
1 以外の DOI を使用します。
次の手順
デフォルトのセキュリティーテンプレートにホストを追加する場合は、「セキュリティーテンプレートにホストを追加する」に進みます。
それ以外の場合は、「セキュリティーテンプレートを作成する」に進みます。
始める前に
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー値を修正できます。セキュリティー管理者役割には、これらの権利プロファイルが含まれています。
PUBLIC などのラベルでは、ラベル文字列、0x0002-08-08 などの 16 進値のどちらも、ラベル値として使用できます。tncfg コマンドはどちらの形式も受け入れます。
# atohexlabel "confidential : internal use only" 0x0004-08-48
詳細は、「ラベルの 16 進値を求める」を参照してください。
サポートの目的上、デフォルトのセキュリティーテンプレートは削除しないでください。これらのテンプレートは、コピーして変更できます。そして、これらのテンプレートに割り当てられたホストを削除したりホストを追加したりできます。例については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
tncfg -t コマンドには、新しいテンプレートを作成するための方法が 3 つ用意されています。
tncfg コマンドを対話モードで使用します。info サブコマンドは、デフォルトで提供された値を表示します。Tab キーを使用すると、部分的なプロパティーや値が補完されます。
# tncfg -t newunlabeled tncfg:newtemplate> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set m<Tab> set max_label=" set min_label=" tncfg:newunlabeled> set ma<Tab> tncfg:newunlabeled> set max_label=ADMIN_LOW ...
セキュリティーテンプレートの完全な属性リストをコマンド行で指定することもできます。複数の set サブコマンドはセミコロンで区切ります。省略されたプロパティーではデフォルト値が使用されます。
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
既存のセキュリティーテンプレートに割り当てられているホストは、新しいテンプレートにコピーされません。
# tncfg -f unlab_1 -f template-file tncfg: unlab1> set host_type=unlabeled ... # tncfg -f template-file
インポート用のソーステンプレートの作成例については、tncfg(1M) のマニュアルページを参照してください。
例 16-1 1 つのラベルでパケットを処理するゲートウェイ用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者はラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを定義します。
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、例 16-7 を参照してください。
例 16-2 ラベル付きパケットの経路指定を行うラベルなしルーター用のセキュリティーテンプレートの作成
IP ルーターは、明示的にラベルをサポートしていない場合でも、CIPSO ラベルの付いたメッセージを転送できます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。
セキュリティー管理者はテンプレートを新規に作成します。
# tncfg -t unl_public tncfg:unl_public> set host_type=unlabeled tncfg:unl_public> set doi=1 tncfg:unl_public> set def_label="PUBLIC" tncfg:unl_public> set min_label=ADMIN_LOW tncfg:unl_public> set max_label=ADMIN_HIGH tncfg:unl_public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにルーターを追加します。追加方法については、例 16-8 を参照してください。
例 16-3 制限されたラベル範囲を持つゲートウェイ用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者はパケットを狭いラベル範囲に制限するゲートウェイを作成します。管理者はセキュリティーテンプレートを作成し、そのセキュリティーテンプレートにあとでゲートウェイホストを割り当てます。
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、例 16-9 を参照してください。
例 16-4 不連続なラベルを持つセキュリティーテンプレートの作成
この例では、セキュリティー管理者は confidential : internal use only と confidential : restricted の 2 つのラベルのみを認識するセキュリティーテンプレートを作成します。その他のトラフィックはすべて拒否されます。
まず、管理者は注意しながらラベルを正確に入力します。ソフトウェアは、ラベルで大文字と小文字のどちらが使用されていても、また短縮名が使用されていてもラベルを認識しますが、空白が不正確なラベルは認識しません。たとえば、ラベル confidential :restricted は有効なラベルではありません。
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
例 16-5 ラベル PUBLIC でのラベルなしセキュリティーテンプレートの作成
この例では、セキュリティー管理者は PUBLIC ラベルのパケットのみを送受信できるホスト用のシングルラベルテンプレートを作成します。このテンプレートは、Trusted Extensions システムが PUBLIC ラベルでマウントする必要のあるファイルシステムを含むホストに割り当てることができます。
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにホストを追加します。追加方法については、例 16-13 を参照してください。
例 16-6 開発者用のラベル付きセキュリティーテンプレートの作成
この例では、セキュリティー管理者は cipso_sandbox テンプレートを作成します。このセキュリティーテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。開発者のテストがほかのラベル付きホストに影響を与えることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> exit
ホストやホストのグループをシステムの /etc/hosts ファイルに追加すると、それらのホストはシステムに認識されます。セキュリティーテンプレートに追加できるのは、既知のホストだけです。
始める前に
大域ゾーンで root 役割になっています。
# vi /etc/hosts ... 192.168.111.121 ahost
# vi /etc/hosts ... 192.168.111.0 111-network
次の手順
「セキュリティーテンプレートにホストを追加する」に進みます。
始める前に
次のことが必要になります。
セキュリティーテンプレートが存在している必要があります。手順については、「セキュリティーテンプレートを作成する」を参照してください。
IP アドレスが /etc/hosts ファイル内に存在しているか、DNS で解決可能である必要があります。
hosts ファイルについては、「システムの既知のネットワークにホストを追加する」を参照してください。
DNS については、『Oracle Solaris Administration: Naming and Directory Services』の第 3 章「Managing DNS (Tasks)」を参照してください。
ラベルのエンドポイントが一致する必要があります。規則については、「Trusted Extensions の経路指定の概要」を参照してください。
大域ゾーンでセキュリティー管理者役割になります。
たとえば、IP アドレス 192.168.1.2 を追加します。
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:
# tncfg -t cipso tncfg:cipso> add host=192.168.1.22 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exit
たとえば、cipso テンプレートに追加されたアドレス 192.168.1.2 を次に示します。
tncfg:cipso> info ... host=192.168.1.2/32
接頭辞長 /32 は、このアドレスが厳密なアドレスであることを示しています。
tncfg:cipso> commit tncfg:cipso> exit
ホストのエントリを削除する場合は、例 16-11 を参照してください。
例 16-7 1 つのラベルでパケットを処理するゲートウェイの作成
例 16-1 では管理者が、ラベル PUBLIC のパケットのみを通過させることのできるゲートウェイを定義したセキュリティーテンプレートを作成します。この例では、セキュリティー管理者はゲートウェイホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。
次に、管理者は gateway-1 ホストをセキュリティーテンプレートに追加します。
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
システムはすぐに、gateway-1 経由で public パケットの送受信を行えます。
例 16-8 ラベル付きパケットの経路指定を行うラベルなしルーターの作成
例 16-2 では、管理者がルーター用のセキュリティーテンプレートを作成します。この例では、管理者はルーターの IP アドレスが解決可能であることを確認します。
# arp 192.168.131.82 router-1.example.com (192.168.131.82) at 0:0:0:2:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを示します。
次に、管理者はルーターをセキュリティーテンプレートに追加します。
# tncfg -t unl_public tncfg:unl_public> add host=192.168.131.82 tncfg:unl_public> exit
システムはすぐに、router-1 経由ですべてのラベルのパケットの送受信を行えます。
例 16-9 制限されたラベル範囲を持つゲートウェイの作成
例 16-3 では、管理者は制限されたラベル範囲を持つセキュリティーテンプレートを作成します。この例では、セキュリティー管理者はゲートウェイホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを示します。
次に、管理者はゲートウェイをセキュリティーテンプレートに追加します。
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
システムはすぐに、ラベル internal または restricted の付いたパケットの送受信を gateway-ir 経由で行えます。
例 16-10 開発者用のラベル付きホストの作成
例 16-6 では、管理者は cipso_sandbox セキュリティーテンプレートを作成します。この例では、セキュリティー管理者は 2 つのホストをテンプレートに追加します。
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
196.168.129.102 システムと 196.168.129.129 システムを使用する開発者は、 SANDBOX ラベルで相互に通信できます。
例 16-11 セキュリティーテンプレートからのいくつかのホストの削除
この例では、セキュリティー管理者は cipso セキュリティーテンプレートからいくつかのホストを削除します。管理者は、info サブコマンドを使用してホストを表示したあと、remove と入力し、4 つの host= エントリをコピー&ペーストします。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
管理者は、ホストを削除したあとで変更をコミットし、セキュリティーテンプレートを終了します。
tncfg:cipso> commit tncfg:cipso> exit #
始める前に
要件については、「セキュリティーテンプレートにホストを追加する」を参照してください
たとえば、2 つのサブネットを cipso テンプレートに追加したあと、このセキュリティーテンプレートを表示します。
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
接頭辞長 /24 は、.0 で終わるこのアドレスがサブネットであることを示しています。
注 - 別のテンプレートに以前追加されたホスト範囲を追加する場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
次の例の接頭辞長は、192.168.113.0 から 192.168.113.127 までのアドレス範囲をカバーしています。このアドレスには、192.168.113.100 が含まれます。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
次の例の接頭辞長は、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までの連続する IPv6 アドレスをカバーしています。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
エントリを間違って入力した場合は、次のようなメッセージが表示されます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
「トラステッドネットワーク代替メカニズム」で説明したように、以前の割り当てがこの明示的な割り当てで上書きされることが、Trusted Extensions の代替メカニズムによって保証されます。
例 16-12 不連続なラベルのホストの作成
例 16-4 では、管理者は 2 つのラベルを認識するセキュリティーテンプレートを作成します。この例では、セキュリティー管理者は各ホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを示します。
次に、管理者は接頭辞長を使用して、IP アドレスの範囲をセキュリティーテンプレートに割り当てます。
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24
例 16-13 ラベル PUBLIC でのラベルなしサブネットワークの作成
例 16-5 では、管理者はシングルラベルの PUBLIC ホストを定義するセキュリティーテンプレートを作成します。この例で、セキュリティー管理者はあるサブネットワークを PUBLIC ラベルに割り当てます。トラステッドシステム上のユーザーは、このサブネットワーク内のファイルシステムをラベル PUBLIC でマウントできます。
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
このサブネットワークにはラベル PUBLIC ですぐに到達できます。
この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールすると、admin_low デフォルトセキュリティーテンプレート内にネットワーク上のすべてのホストが定義されています。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルのトラステッドネットワーク値は、ブート時のネットワーク接続に使用されます。デフォルトでは、cipso テンプレートで提供されない各ホストは admin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各遠隔ホスト (0.0.0.0/0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ブート時に接続されるすべてのホストは、/etc/hosts ファイル内に存在している必要があります。
ブート時に接続する必要のあるすべてのラベルなしホストを含めます。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
0.0.0.0/0 の割り当てを削除します。
起動時に接続する必要のある各ラベル付きホストを追加します。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行しているオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
ブート時に接続する必要のあるラベル付きホストの範囲を含めます。
サンプルデータベースについては、例 16-15 を参照してください。
例 16-14 IP アドレス 0.0.0.0/0 のラベルの変更
この例では、管理者は公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0/0 ホストエントリを削除し、ラベルなし public テンプレートに 0.0.0.0/0 ホストエントリを追加します。システムは、別のセキュリティーテンプレートに明示的に割り当てられていないすべてのホストを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exit
例 16-15 ブート時に接続するコンピュータの列挙
この例では、管理者は 2 つのネットワークインタフェースを備えた Trusted Extensions システムのトラステッドネットワークを構成します。システムは、ほかのネットワークおよびルーターと通信します。遠隔ホストは、3 つのテンプレート cipso、admin_low、public のいずれかに割り当てられます。次のコマンドには注釈を付けています。
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
管理者は、ブート時に接続するホストを指定し終わると、admin_low テンプレートから 0.0.0.0/0 エントリを削除します。
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit
例 16-16 ホストアドレス 0.0.0.0/32 を有効な初期アドレスにする
この例では、セキュリティー管理者は潜在的なクライアントからの初期接続要求を受け入れるようにアプリケーションサーバーを構成します。
管理者は、サーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
admin_low の最終的な構成は、次のようになります。
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
0.0.0.0/32 エントリは、アプリケーションのクライアントのみがアプリケーションサーバーに到達できるようにします。
|
