このセクションでは、Oracle Solaris 10 Trusted Extensions 上で Sun Ray Software を使用するときに場合によって実行する必要のあるすべての手順について説明します。詳細は、『Oracle Solaris 10 8/11 Trusted Extensions 管理の手順』を参照してください。
Oracle Solaris 10 では、Oracle Solaris の単一インスタンス内で複数の仮想化オペレーティングシステム環境の共存を実現するためにゾーンを使用しており、システム上のほかのアクティビティーと分離してプロセスを実行できるため、セキュリティーや制御を高めることができます。Sun Ray Software は、大域ゾーンでのみサポートされます。
Sun Ray 環境に応じて、ADMIN_LOW (大域ゾーン) から root として次の手順を実行します。
この手順は、プライベートネットワーク上で Sun Ray サーバーが構成される場合に必要です。詳細については、19章代替ネットワークの構成を参照してください。
Solaris Management Console (SMC) のセキュリティーテンプレートを使用して、cipso
テンプレートを Sun Ray サーバーに割り当てます。ネットワーク上のその他すべての Sun Ray デバイスに admin_low
ラベルを割り当てます。admin_low
テンプレートは、utadm コマンドで使用する予定の IP アドレス範囲に割り当てられます。
完了すると /etc/security/tsol/tnrhdb
ファイルには次のエントリが含まれるはずです。
192.168.128.1:cipso 192.168.128.0:admin_low
ADMIN_LOW (大域ゾーン) から root になります。
Solaris Management Console (SMC) を起動します。
# smc &
次のように選択します。
SMC で、「管理ツール」 > 「ホスト名を選択: スコープ = ファイル、ポリシー = TSOL」
を選択します。
「システム構成」 > 「コンピュータとネットワーク」 > 「セキュリティーテンプレート」 > 「cipso」
を選択します。
メニューバーから、「操作」 > 「プロパティー」 > 「テンプレートに割り当てられたホスト」
を選択します。
「ホスト
」を選択し、Sun Ray インターコネクトの IP アドレスを入力します
(たとえば 192.168.128.1)。
「追加
」、「OK
」の順にクリックします。
「システム構成」 > 「コンピュータとネットワーク」 > 「セキュリティーファミリ」 > 「admin_low」
を選択します。
メニューバーから、「操作」 > 「プロパティー」 > 「テンプレートに割り当てられたホスト」
を選択します。
「ワイルドカード
」を選択します。
Sun Ray インターコネクトネットワークの IP アドレス (192.168.128.0) を入力します。
「追加
」、「OK
」の順にクリックします。
フェイルオーバーグループ内のすべての Sun Ray サーバーに cipso
ラベルを割り当てます。
「システム構成」 > 「コンピュータとネットワーク」 > 「セキュリティーファミリ」 > 「cipso」
を選択します。
メニューバーから、「操作」 > 「プロパティー」 > 「テンプレートに割り当てられたホスト」
を選択します。
「ホスト」
を選択し、Sun Ray サーバーの IP アドレスを入力します
「追加
」、「OK
」の順にクリックします。
Sun Ray サーバーをリブートします。
# /usr/sbin/reboot
共有マルチレベルポートを Sun Ray サービスの大域ゾーンに追加して、ラベル付きゾーンからアクセスできるようにする必要があります。
ADMIN_LOW (大域ゾーン) から root になります。
Solaris Management Console (SMC) を起動します。
# smc &
「管理ツール」に移動します。
「ホスト名: スコープ = ファイル、ポリシー = TSOL
」を選択します。
「システム構成」 > 「コンピュータとネットワーク」 > 「信頼できるネットワークゾーン」 > 「global」
を選択します。
メニューバーから、「操作」 > 「プロパティー」
を選択します。
「共有 IP アドレスのマルチレベルポート
」で「追加
」をクリックします。
「ポート番号
」として「7007」を追加し、「プロトコル
」として「TCP
」を選択し、「OK
」をクリックします。
ポート 4120、7010、および 7015 に対して前の手順を繰り返します。
次のコマンドを実行してネットワークサービスを再起動します。
# svcadm restart svc:/network/tnctl
次のコマンドを実行して、これらのポートが共有ポートとして一覧表示されることを検証します。
# /usr/sbin/tninfo -m global
Sun Ray サーバーをリブートします。
# /usr/sbin/reboot
/etc/security/tsol/tnzonecfg
のデフォルトのエントリでは、3 つのディスプレイ (6001 - 6003) を使用できます。要件に従って、使用可能な X サーバーポートの数を増やします。
ADMIN_LOW (大域ゾーン) から root になります。
Solaris Management Console (SMC) を起動します。
# smc &
「管理ツール」に移動します。
「ホスト名: スコープ = ファイル、ポリシー = TSOL」
オプションを選択します。
「システム構成」 > 「コンピュータとネットワーク」 > 「信頼できるネットワークゾーン」 > 「global」
を選択します。
メニューバーから、「操作」 > 「プロパティー」
を選択します。
「ゾーンの IP アドレスのマルチレベルポート
」で、「6000-6003/tcp
」を選択します。
「削除
」をクリックします。
「追加」 > 「ポート範囲の指定を有効にする」
を選択します。
「ポート範囲の開始番号
」に「6000
」、「ポート範囲の終了番号
」に「6050
」(50 ディスプレイの場合) と入力します。
「プロトコル」
として「TCP」
を選択します。
「OK」
をクリックします。
Sun Ray サーバーをリブートします。
# /usr/sbin/reboot
この手順では、Oracle Solaris Trusted Extensions で Windows Connector を構成する方法について説明します。
Windows Connector が Oracle Solaris Trusted Extensions サーバーで正しく機能するには、Windows ターミナルサーバーが希望のレベルで使用できる必要があります。
スーパーユーザーとして、Sun Ray サーバーでシェルウィンドウを開きます。
ユーザー環境設定が進められている場合に発生する可能性があるエラーを避けるため、次のコマンドを使用します。
% su - root
public
テンプレートから Windows システムを使用できるようにします。
Solaris Management Console を起動します。
# smc &
「管理ツール」で次のように選択します。
「ホスト名: スコープ = ファイル、ポリシー = TSOL
」を選択します。
「システム構成」 > 「コンピュータとネットワーク」 > 「セキュリティーテンプレート」 > 「public」
を選択します。
「操作」 > 「プロパティー」 > 「テンプレートに割り当てられたホスト」
を選択します。
「ホスト」
を選択します。
Windows システムの IP アドレスを入力します (たとえば 10.6.100.100)。
「追加」
をクリックします。
「OK」
をクリックします。
ポート 7014 を uttscpd デーモンの共有マルチレベルポートとして構成します。
Solaris Management Console が実行していない場合は起動します。
# smc &
「ホスト名: スコープ = ファイル、ポリシー = TSOL
」を選択します。
「システム構成」 > 「コンピュータとネットワーク」 > 「信頼できるネットワークゾーン」 > 「global」
を選択します。
「操作」 > 「プロパティー」
を選択します。
「共有 IP アドレスのマルチレベルポート」
で「追加」
をクリックし、ポートを有効にします。
「ポート番号」
として「7014」を追加し、「プロトコル」
として「TCP」
を選択し、「OK」
をクリックします。
ネットワークサービスを再起動します。
# svcadm restart svc:/network/tnctl
このポートが共有ポートとして一覧表示されることを検証します。
# /usr/sbin/tninfo -m global
ローカルゾーンごとに uttscpd デーモンのエントリを作成します。
構成時に、/etc/services
ファイルで SRWC プロキシデーモンのエントリが大域ゾーンに自動的に作成されます。対応するエントリをローカルゾーンに作成する必要があります。
これらのエントリは手動で作成することも、大域ゾーンの /etc/services
ファイルを読み取りアクセス用にローカルゾーンにループバックマウントして作成することもできます。
このエントリを手動で作成するには、次のエントリをローカルゾーンファイルに挿入します。
uttscpd 7014/tcp # SRWC proxy daemon
ローカルゾーンごとに /etc/opt/SUNWuttsc
ディレクトリをループバックマウントします。次の例は、public
というローカルゾーンのためにこれを行う方法を示しています。
# zoneadm -z public halt # zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/etc/opt/SUNWuttsc zonecfg:public:fs> set special=/etc/opt/SUNWuttsc zonecfg:public:fs> set type=lofs zonecfg:public:fs> end # zoneadm -z public boot
(オプション) TLS ピア検証が動作するように、信頼できるようにする CA 証明書が各ローカルゾーンの /etc/sfw/openssl/certs
フォルダで利用できるようにします。
Sun Ray サーバーをリブートします。
# /usr/sbin/reboot