ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
Trusted Extensions で IPv6 ネットワークを有効化する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルで遠隔ホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーが遠隔ホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
この節の手順では、ラベル付きゾーンを構成します。2 つのラベル付きゾーンを自動的に作成することも、ゾーンを手動で作成することもできます。
注 - LDAP を使用する予定の場合は、第 5 章Trusted Extensions のための LDAP の構成 (手順)に進みます。ラベル付きゾーンを作成する前に LDAP を構成する必要があります。
|
この手順では、2 つのラベル付きゾーンを備えた正常に動作する Trusted Extensions システムを作成します。このシステムのセキュリティーテンプレートには遠隔ホストが割り当てられていないため、このシステムはどの遠隔ホストとも通信できません。
始める前に
「Trusted Extensions にログインする」を完了しています。root 役割になっています。
# man txzonemgr
# /usr/sbin/txzonemgr -c
このコマンドは、Oracle Solaris OS と Trusted Extensions ソフトウェアをあるゾーンにコピーし、そのゾーンのスナップショットを作成し、元のゾーンにラベルを付けたあと、そのスナップショットを使用して 2 番目のラベル付きゾーンを作成します。ゾーンがブートされます。
最初のラベル付きゾーンは、label_encodings ファイル内の Default User Sensitivity Label の値に基づいています。
2 番目のラベル付きゾーンは、label_encodings ファイル内の Default User Clearance の値に基づいています。
この手順は 20 分程度かかる可能性があります。このスクリプトでは、ゾーンをインストールするために、大域ゾーンの root パスワードがラベル付きゾーン用として使用されます。
次の手順
Trusted Extensions 構成を使用するには、「2 つのゾーンワークスペースにラベルを割り当てる」に進みます。
label_encodings ファイル中のラベルごとにゾーンを作成する必要はありませんが、作成することもできます。管理 GUI により、このシステムで GUI 用に作成されたゾーンを持つことのできるラベルが列挙されます。この手順では、2 つのラベル付きゾーンを作成します。Trusted Extensions の label_encodings ファイルを使用している場合は、デフォルトの Trusted Extensions 構成を作成します。
始める前に
「Trusted Extensions にログインする」を完了しています。root 役割になっています。
ゾーンはまだ 1 つも作成していません。
# txzonemgr &
このスクリプトで、「Labeled Zone Manager」ダイアログボックスが開きます。この「zenity」ダイアログボックスで、構成の現在の状態に応じて、適切なタスクを実行するよう求められます。
タスクを実行するには、メニュー項目を選択してから、Return キーを押すかまたは「了解」をクリックします。テキストの入力を求められた場合は、テキストを入力してから Return キーを押すかまたは「了解」をクリックします。
ヒント - ゾーン完了の現在の状態を表示するには、Labeled Zone Manager の「Return to Main Menu」をクリックします。あるいは、「取消し」ボタンをクリックしてもかまいません。
最初のラベル付きゾーンは、label_encodings ファイル内の Default User Sensitivity Label の値に基づいています。
2 番目のラベル付きゾーンは、label_encodings ファイル内の Default User Clearance の値に基づいています
public ゾーンで排他的 IP スタックが使用されている場合や、そのゾーンが DNS で定義された IP アドレスを持つ場合は、DNS で定義されたホスト名を使用します。それ以外の場合は、システムの名前を使用します。
root パスワードはシステムのインストール時に設定されました。このプロンプトに対して入力すると、処理が失敗します。
次に、svcs -x コマンドを実行し、すべてのサービスが構成されていることを確認します。メッセージが何も表示されなければ、すべてのサービスが構成されています。
プロンプトで exit と入力し、ゾーンのコンソールから「ウィンドウを閉じる」を選択します。
別のウィンドウで 2 番目のゾーンのインストールが完了します。このゾーンはスナップショットから構築されるため、すぐに構築が終了します。
# svcs -x #
メッセージが何も表示されなければ、すべてのサービスが構成されています。Labeled Zone Manager が表示されています。
「リブート」を選択したあと、「取消し」ボタンをクリックしてメイン画面に戻ります。すべてのゾーンが実行されています。ラベルなしのスナップショットは実行されていません。
プロンプトに従います。GUI がゾーンの作成手順を案内します。
このゾーンの作成とブートが完了したら、大域ゾーンに戻ってゾーンをさらに作成できます。これらのゾーンはスナップショットから作成されます。
例 4-2 別のラベル付きゾーンの作成
この例では、管理者が、デフォルトの label_encodings ファイルから制限されたゾーンを 1 つ作成します。
まず、管理者が txzonemgr スクリプトを対話モードで開きます。
# txzonemgr &
次に、管理者は大域ゾーンに移動し、restricted という名前のゾーンを作成します。
Create a new zone:restricted
次に、管理者は正しいラベルを適用します。
Select label:CNF : RESTRICTED
管理者はリストから、「クローン」オプションを選択したあと、新しいゾーンのテンプレートとして「snapshot」を選択します。
restricted ゾーンが使用可能になったあと、管理者は「ブート」をクリックしてこの 2 番目のゾーンをブートします。
restricted ゾーンにアクセスできるように、管理者は label_encodings ファイル内の Default User Clearance の値を CNF RESTRICTED に変更します。
この手順では、2 つのラベル付きワークスペースを作成し、各ラベル付きワークスペース内でラベル付きウィンドウを開きます。このタスクが完了すると、ネットワーク機能を持たない正常に動作する Trusted Extensions システムが作成されます。
始める前に
「デフォルトの Trusted Extensions システムを作成する」、「ラベル付きゾーンを対話形式で作成する」のいずれかを完了しています。
初期ユーザーです。
PUBLIC ワークスペースのラベルは Default User Sensitivity Label に対応しています。
PUBLIC ワークスペースにアクセスします。
ウィンドウには PUBLIC というラベルが表示されます。
サイト固有の label_encodings ファイルを使用する場合は、Default User Clearance の値からワークスペースを作成することになります。
INTERNAL ワークスペースに入ります。
ウィンドウには CONFIDENTIAL : INTERNAL USE ONLY というラベルが表示されます。
システムを使用する準備が整いました。ユーザーは 2 つのユーザーワークスペースと 1 つの役割ワークスペースを持ちます。この構成では、ラベル付きゾーンは、大域ゾーンと同じ IP アドレスを使用してほかのシステムとの通信を行います。それが可能なのは、デフォルトでこの IP アドレスが all-zones インタフェースとして共有されるからです。
次の手順
Trusted Extensions システムでほかのシステムとの通信を行う予定の場合は、「Trusted Extensions でのネットワークインタフェースの構成」に進みます。