ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
Trusted Extensions ネットワークでの LDAP の構成 (タスクマップ)
Trusted Extensions システムでの LDAP プロキシサーバーの構成 (タスクマップ)
Trusted Extensions システムでの Oracle Directory Server Enterprise Edition の構成
LDAP 用に Directory Server の情報を収集する
Oracle Directory Server Enterprise Edition をインストールする
Directory Server 用の LDAP クライアントの作成
Oracle Directory Server Enterprise Edition のログを構成する
Oracle Directory Server Enterprise Edition のマルチレベルポートを構成する
Oracle Directory Server Enterprise Edition にデータを入力する
既存の Oracle Directory Server Enterprise Edition のための Trusted Extensions プロキシの作成
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次の手順では、既存の Trusted Extensions Directory Server 用の LDAP クライアントを作成します。
この手順では、LDAP クライアント上で大域ゾーンの LDAP ネームサービス構成を確立します。
txzonemgr スクリプトを使用します。
注 - あるユーザーが各ラベル付きゾーン内でネームサーバーを設定することを計画している場合、各ラベル付きゾーンへの LDAP クライアント接続を確立する責任はそのユーザーにあります。
始める前に
Oracle Directory Server Enterprise Edition つまり Directory Server が存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、このクライアントシステムがサーバーと通信できなければなりません。したがって、Directory Server によってセキュリティーテンプレートがこのクライアントに割り当てられている必要があります。明示的な割り当ては不要であり、ワイルドカード割り当てで十分です。
大域ゾーンで root 役割になっている必要があります。
LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files ldap config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files dns ldap" # svccfg -s name-service/switch:default refresh
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files ldap config/host astring files dns ldap config/netgroup astring ldap config/printer astring "user files ldap"
Trusted Extensions データベースはデフォルトの構成 files ldap を使用しているため、表示されません。
# txzonemgr &
Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name
Proceed to create LDAP Client?
ユーザーが確認すると、txzonemgr スクリプトは ldapclient init コマンドを実行します。
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured
# ldapclient list
出力表示は次のようになります。
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number
エラーが発生した場合は、手順 2 から手順 4 までをやり直します。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name
このエラーを修正するには、LDAP サーバーを確認する必要があります。