| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
Trusted Extensions ネットワークでの LDAP の構成 (タスクマップ)
Trusted Extensions システムでの LDAP プロキシサーバーの構成 (タスクマップ)
Trusted Extensions システムでの Oracle Directory Server Enterprise Edition の構成
LDAP 用に Directory Server の情報を収集する
Oracle Directory Server Enterprise Edition をインストールする
Directory Server 用の LDAP クライアントの作成
Oracle Directory Server Enterprise Edition のログを構成する
既存の Oracle Directory Server Enterprise Edition のための Trusted Extensions プロキシの作成
Trusted Extensions LDAP クライアントの作成
Trusted Extensions で大域ゾーンを LDAP クライアントにする
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
LDAP ネームサービスは、Trusted Extensions の対応ネームサービスです。サイトで LDAP ネームサービスがまだ実行されていない場合、Trusted Extensions が構成されているシステムで Oracle Directory Server Enterprise Edition (Directory Server) を構成します。
サイトですでに Directory Server が実行されている場合、Trusted Extensions データベースをサーバーに追加する必要があります。Directory Server にアクセスするために、Trusted Extensions システムで LDAP プロキシを設定します。
各項目は、システムインストールウィザードに表示される順序で記載されています。
| ||||||||||||||||||||||||||||||||
Directory Server のパッケージは Oracle web site for Sun Software Products から入手できます。
始める前に
大域ゾーンを含む Trusted Extensions システムで作業しています。システムにラベル付きゾーンはありません。大域ゾーンで root 役割になっている必要があります。
Trusted Extensions LDAP サーバーは、pam_unix を使用して LDAP リポジトリに対する認証を行うクライアントのために構成されています。pam_unix を使用する場合、パスワード操作と、その結果としてのパスワードポリシーは、クライアントによって決定されます。すなわち、LDAP サーバーによって設定されたポリシーは使用されません。クライアントで設定できるパスワードパラメータについては、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「パスワード情報の管理」を参照してください。pam_unix の詳細については、pam.conf(4) のマニュアルページを参照してください。
注 - LDAP クライアントで pam_ldap を使用する構成は、Trusted Extensions では評価されていません。
FQDN とは「完全指定のドメイン名 (Fully Qualified Domain Name )」のことです。この名前は、次のようにホスト名と管理ドメインの組み合わせになります。
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
プラットフォームに適した最新のソフトウェアを選択します。
「LDAP 用に Directory Server の情報を収集する」からの情報を使って質問に答えます。質問、デフォルト値、推奨される回答の詳細な一覧については、『Oracle Solaris Administration: Naming and Directory Services』の第 11 章「Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks)」と『Oracle Solaris Administration: Naming and Directory Services』の第 12 章「Setting Up LDAP Clients (Tasks)」を参照してください。
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Directory Server 用の SMF サービスのテンプレートが、Oracle Directory Server Enterprise Edition パッケージ内に含まれています。
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
dsadm コマンドについては、dsadm(1M) のマニュアルページを参照してください。
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
dpadm コマンドについては、dpadm(1M) のマニュアルページを参照してください。
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
注意事項
LDAP 構成の問題を解決する方針については、『Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業』の第 13 章「LDAP のトラブルシューティング (リファレンス)」を参照してください。
このクライアントを使用して、LDAP 用の Directory Server にデータを入力します。このタスクは、Directory Server にデータを入力する前に実行する必要があります。
一時的に Trusted Extensions Directory Server 上にクライアントを作成してからサーバー上のクライアントを移動することも、独立したクライアントを作成することもできます。
始める前に
大域ゾーンで root 役割になっています。
Trusted Extensions Directory Server を使用することも、別個のシステムに Trusted Extensions を追加することもできます。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"
この例では、LDAP クライアントは example-domain.com ドメイン内にあります。サーバーの IP アドレスは 192.168.5.5 です。
# ldapclient init -a domainName=example-domain.com -a profileName=default \
> -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
> -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
System successfully configured# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
enableShadowUpdate パラメータについては、『Oracle Solaris Administration: Naming and Directory Services』の「enableShadowUpdate Switch」と、ldapclient(1M) のマニュアルページを参照してください。
この手順では次の 3 種類のログを構成します。 アクセスログ、監査ログ、およびエラーログです。次のデフォルト設定は変更されません。
すべてのログが有効化およびバッファリングされます。
各ログは対応する /export/home/ds/instances/your-instance/logs/LOG_TYPE ディレクトリ内に配置されます。
イベントはログレベル 256 でロギングされます。
ログは 600 ファイルアクセス権で保護されます。
アクセスログは毎日ローテーションされます。
エラーログは毎週ローテーションされます。
この手順の設定は次の要件を満たします。
監査ログは毎日ローテーションされます。
3 か月よりも古いログファイルは期限切れになります。
すべてのログファイルで最大 20,000M バイトのディスク容量を使用します。
各ファイル最大 500M バイトの、最大 100 のログファイルが保持されます。
ディスク容量の空きが 500M バイトを下回ると古いログから削除されます。
エラーログでは追加情報が収集されます。
始める前に
大域ゾーンで root 役割になっている必要があります。
アクセスの LOG_TYPE は ACCESS です。ログを構成するための構文は、次のとおりです。
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
監査ログのローテーション間隔は、デフォルトで 1 週間です。
この構成では、エラーログで追加データが収集されるように指定します。
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
ログごとに次の構成を行うことも可能です。
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
dsconf コマンドについては、dsconf(1M) のマニュアルページを参照してください。
Trusted Extensions で作業するには、Directory Server のサーバーポートを大域ゾーンのマルチレベルポート (MLP) として構成する必要があります。
始める前に
大域ゾーンで root 役割になっている必要があります。
# /usr/sbin/txzonemgr &
ポート番号は 389 です。
ポート番号は 389 です。
ラベル構成、ユーザー、およびリモートシステムに関する Trusted Extensions データを保持するために、複数の LDAP データベースが作成および変更されています。この手順では、Directory Server データベースに Trusted Extensions 情報を取り込みます。
始める前に
大域ゾーンで root 役割になっている必要があります。シャドウ更新が有効になっている LDAP クライアントで作業しています。前提条件については、「Directory Server 用の LDAP クライアントの作成」を参照してください。
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
 | 注意 - *attr ファイルはコピーしないでください。代わりに、ユーザー、役割、および権利プロファイルを LDAP リポジトリに追加するコマンドで、-S ldap オプションを使用します。これらのコマンドは、user_attr、auth_attr、exec_attr、および prof_attr データベース用のエントリを追加します。詳細は、user_attr(4) および useradd(1M) のマニュアルページを参照してください。 |
# cp /zone/public/root/etc/auto_home_public /setup/files # cp /zone/internal/root/etc/auto_home_internal /setup/files # cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files # cp /zone/restricted/root/etc/auto_home_restricted /setup/files
次の自動マップのリストで、各ペアの最初の行はファイルの名前を示します。2 行めはファイルの内容を示します。ゾーン名は、Trusted Extensions ソフトウェアに含まれているデフォルトの label_encodings ファイルからのラベルを特定します。
ここに示された行のゾーン名を実際のゾーン名に置き換えてください。
myNFSserver でホームディレクトリの NFS サーバーを特定します。
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
たとえば、次のコマンドでは、ステージング領域の hosts ファイルからサーバーにデータが入力されます。
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
大域ゾーンで ldapclient uninit コマンドを実行します。詳細出力を使用して、そのシステムが LDAP クライアントではなくなっていることを確認します。
# ldapclient -v uninit
詳細については、ldapclient(1M) のマニュアルページを参照してください。
手順については、「ホストおよびネットワークへのラベル付け (タスク)」を参照してください。
|