ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルで遠隔ホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーが遠隔ホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions の構成をカスタマイズするには、次の作業マップの手順を実行します。デフォルトの構成をインストールするには、「ラベル付きゾーンの作成」に進みます。
|
エンコーディングファイルは、通信する相手の Trusted Extensions ホストと互換性がなければなりません。
注 - Trusted Extensions はデフォルトの label_encodings ファイルをインストールします。このデフォルトファイルは、デモンストレーションとして便利です。ただし、実際の使用に適しているとは限りません。デフォルトファイルを使用する場合、この手順は省略できます。
エンコーディングファイルに慣れている場合、次に示す手順を使用します。
エンコーディングファイルに慣れていない場合、要件、手順、および例について『Trusted Extensions Label Administration』を参照してください。
注意 - 続行する前に、ラベルを正しくインストールしてください。正しくインストールしていないと構成できません。 |
始める前に
セキュリティー管理者です。セキュリティー管理者は、label_encodings ファイルの編集、検査、および保守を担当します。label_encodings ファイルを編集する場合、ファイルが書き込み可能であることを確認してください。詳細は、label_encodings(4) のマニュアルページを参照してください。
label_encodings ファイルを編集するには、root 役割になる必要があります。
ポータブルメディアからコピーするには、「Trusted Extensions でポータブルメディアからファイルをコピーする」を参照してください。
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
コマンドによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として、『Trusted Extensions Label Administration』の第 3 章「Creating a Label Encodings File (Tasks)」を参照してください。
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings
注意 - 続行するには、label_encodings ファイルがエンコーディングの検査テストに合格しなければなりません。 |
例 4-1 コマンド行での label_encodings 構文の検査
この例では、管理者がコマンド行を使用していくつかの label_encodings ファイルをテストします。
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2
業務管理で label_encodings2 ファイルを使用することを決めたら、管理者はファイルの意味解析を実行します。
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ...
管理者は自分の記録用に意味解析のコピーを出力したのち、このファイルを /etc/security/tsol ディレクトリに移動します。
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.10 label_encodings
最後に、管理者は label_encodings ファイルが会社ファイルであることを確認します。
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010
次の手順
ラベル付きゾーンを作成する前にシステムをリブートする必要があります。
注意 - txzonemgr スクリプトは IPv6 アドレスの構文をサポートしません。したがって、IPv6 ホストを Trusted Extensions ネットワークに追加するには tncfg コマンドを使用します。たとえば、「トラステッドネットワーク代替メカニズム」 and 例 16-11を参照してください。 |
CIPSO オプションは、パケットの IPv6 Option Type フィールドで使用する IANA (Internet Assigned Numbers Authority) 番号を持ちません。この手順で設定するエントリは、このオプションの番号を IANA が割り当てるまでローカルネットワークで使用する番号を提供します。この番号が定義されていないと、Trusted Extensions は IPv6 ネットワークを無効にします。
Trusted Extensions で IPv6 ネットワークを有効にするには、/etc/system ファイルにエントリを追加してください。
始める前に
大域ゾーンで root 役割になっています。
set ip:ip6opt_ls = 0x0a
注意事項
起動中に IPv6 の構成が正しくないことを示すエラーメッセージが表示されたら、エントリを修正します。
エントリのスペルが正しいことを確認します。
/etc/system ファイルに正しいエントリを追加したあとにシステムがリブートされたことを確認します。
すでに IPv6 が有効になっている Oracle Solaris システムに Trusted Extensions を追加して、/etc/system に IP エントリを追加できなかった場合、次のエラーメッセージが表示されます。 t_optmgmt: System error: Cannot assign requested address time-stamp
次の手順
ラベル付きゾーンを作成する前にシステムをリブートする必要があります。
Trusted Extensions で構成されたシステムとの間の通信はすべて、ある単一の CIPSO 解釈ドメイン (DOI) のラベル付け規則に従う必要があります。各メッセージ内で使用される DOI は、CIPSO IP Option ヘッダーの整数値によって識別されます。デフォルトで、Trusted Extensions の DOI は 1 になっています。
サイトで 1 の DOI が使用されない場合は、すべてのセキュリティーテンプレートで doi 値を変更する必要があります。
始める前に
大域ゾーンで root 役割になっています。
# tncfg -t cipso set doi=n # tncfg -t admin_low set doi=n
注 - すべてのセキュリティーテンプレートで DOI 値を指定する必要があります。
参照
次の手順
LDAP を使用する予定の場合は、第 5 章Trusted Extensions のための LDAP の構成 (手順)に進みます。ラベル付きゾーンを作成する前に LDAP を構成する必要があります。
それ以外の場合は、「ラベル付きゾーンの作成」に進みます。