ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)

次のタスクマップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。

タスク	説明	参照先
ファイルをバックアップします。	バックアップすることによってデータを保護します。	「Trusted Extensions でファイルをバックアップする」
データを復元します。	バックアップからデータを復元します。	「Trusted Extensions でファイルを復元する」
ラベル付きゾーンのディレクトリの内容を共有します。	ラベル付きディレクトリの内容をユーザー間で共有できるようにします。	「ラベル付きゾーンのディレクトリを共有する」
ラベル付きゾーンで共有されたディレクトリの内容をマウントします。	ディレクトリの内容を読み取り/書き込みにのために同じラベルのゾーンにマウントできるようにします。上位レベルのゾーンが共有ディレクトリをマウントする場合、ディレクトリは読み取り専用でマウントされます。	「ラベル付きゾーンでファイルを NFS マウントする」
ホームディレクトリのマウントポイントを作成します。	各ラベルで全ユーザー用のマウントポイントを作成します。このタスクによって、ユーザーは NFS ホームディレクトリサーバーではないシステム上のホームディレクトリにアクセスできるようになります。	『Trusted Extensions Configuration Guide』の「Enable Users to Access Their Home Directories in Trusted Extensions」
上位のラベルで作業中のユーザーに対して下位レベルの情報を非表示にします。	上位レベルのウィンドウから下位レベルの情報を表示できないようにします。	「下位ファイルのマウントを無効にする」
ファイルシステムのマウントに関する問題をトラブルシューティングします。	ファイルシステムのマウントに関する問題を解決します。	「Trusted Extensions でマウントの失敗をトラブルシューティングする」

Trusted Extensions でファイルをバックアップする

オペレータ役割になります。
この役割には、Media Backup 権利プロファイルが含まれます。
次のいずれかのバックアップ方法を使用します。
- 大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump
- 小規模バックアップの場合は、/usr/sbin/tar cT
- これらのいずれかのコマンドを呼び出すスクリプト
  
  たとえば、Budtool バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

Trusted Extensions でファイルを復元する

ルートになります。
次のいずれかの方法を使用します。
- 大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore
- 小規模な復元の場合は、/usr/sbin/tar xT
- これらのいずれかのコマンドを呼び出すスクリプト
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

注意 - ラベルが維持されるのはこれらのコマンドのみです。

ラベル付きゾーンのディレクトリを共有する

Oracle Solaris OS と同様に、Solaris 管理コンソールのマウントおよび共有ツールを使用して、大域ゾーンのファイルを共有し、マウントします。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。

注意 - 共有ファイルシステムに、占有的な名前は使用しないでください。共有ファイルシステムの名前は、どのユーザーにも表示されます。

始める前に

ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。

共有しようとしているディレクトリのラベルで、ワークスペースを作成します。
詳細については、『Trusted Extensions User’s Guide』の「How to Add a Workspace at a Particular Label」を参照してください。
そのゾーンのラベルで dfstab ファイルを作成します。
ディレクトリを共有するゾーンごとに、次の手順を繰り返します。
1. そのゾーンに /etc/dfs ディレクトリを作成します。
```
# mkdir -p /zone/zone-name/etc/dfs
```
2. トラステッドエディタを開きます。
  詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
3. エディタに dfstab ファイルのフルパス名を入力します。
```
# /zone/zone-name/etc/dfs/dfstab
```
4. エントリを追加して、そのゾーンのディレクトリを共有します。
  エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。
```
share -F nfs -o ro /viewdir/viewfiles
```
各ゾーンについて、ゾーンを起動してディレクトリを共有します。
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
- ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインしないようにする場合は、ゾーンの状態を ready に設定します。
```
# zoneadm -z zone-name ready
```
- ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインすることを許可する場合は、ゾーンをブートします。
```
# zoneadm -z zone-name boot
```
- ゾーンがすでに実行中の場合は、ゾーンをリブートします。
```
# zoneadm -z zone-name reboot
```
システムから共有されているディレクトリを表示します。
```
# showmount -e
```
エクスポートされたファイルをクライアントがマウントできるようにする方法は、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。

例 11-2 PUBLIC ラベルで /export/share ディレクトリを共有する

PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。

最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。

# mkdir -p /zone/public/etc/dfs
# /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab

このファイルに、管理者は次のエントリを追加します。

## Sharing PUBLIC user manuals
share -F nfs -o ro /export/appdocs

管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。

# zoneadm -z public ready

ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。

ラベル付きゾーンでファイルを NFS マウントする

Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。

ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。

シングルラベルホストからファイルを読み書き可能な状態でマウントするには、リモートホストの割り当てラベルはファイルがマウントされているゾーンと同じである必要があります。
上位ゾーンによってマウントされるファイルは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。

Trusted Extensions では、Oracle Solaris OS と同じマウントインタフェースを使用しています。

ブート時にファイルをマウントするには、ラベル付きゾーンで /etc/vfstab ファイルを使用します。
ファイルを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。自動マウントマップが LDAP にある場合、LDAP コマンドを使用して管理します。

始める前に

クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。

ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Trusted Extensions User’s Guide』の「How to Add a Workspace at a Particular Label」を参照してください。
- ファイルを動的にマウントします。
  ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11-3 を参照してください。
- ゾーンのブート時にファイルをマウントします。
  ラベル付きゾーンで、マウントを vfstab ファイルに追加します。
  ラベル付きゾーンのブート時にファイルをマウントする例については、例 11-4 および例 11-5 を参照してください。
- LDAP で管理されるシステムに対してホームディレクトリをマウントします。
  1. すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。
  2. 次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。
  例については、例 11-6 を参照してください。
- ファイルで管理されるシステムに対してホームディレクトリをマウントします。
  1. /export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。
  2. 新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。
  3. 手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。
  例については、例 11-7 を参照してください。

例 11-3 mount コマンドを使用してラベル付きゾーンでファイルをマウントする

この例では、システム管理者が public ゾーンからリモートファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。

# zonename
public
# mount -F nfs remote-sys:/zone/public/root/opt/docs  /opt/docs

PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。

# mount -F nfs public-sys:/publicdocs  /opt/publicdocs

remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。

例 11-4 vfstab ファイルを修正してラベル付きゾーンにファイルを読み書き可能な状態でマウントする

この例では、 public ゾーンのブート時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つのリモートファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。

## Writable books directories at PUBLIC
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  rw
public-sys:/publicdocs    - /opt/publicdocs  nfs no yes rw

マルチレベルシステムのラベル付きリモートゾーンのファイルにアクセスする場合、vfstab エントリがリモートシステムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。単一ラベルシステムのパスは Oracle Solaris システムで使用されるパスと同じです。

PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。

# mountall

例 11-5 vfstab ファイルを修正してラベル付きゾーンで下位レベルファイルをマウントする

この例では、システム管理者は public ゾーンのリモートファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。

## Readable books directory at PUBLIC
## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  ro

ラベル付きのリモートゾーンのファイルにアクセスする場合、vfstab エントリがリモートシステムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。

Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。

INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。

# mountall

例 11-6 LDAP を使用して管理されているネットワークでラベル付きホームディレクトリをマウントする

この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。

最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。

## auto_home_global file
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

## auto_home_internal file
## Mount the home directory from the internal zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

## auto_home_public
## Mount the home directory from the public zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。

最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。

Oracle Solaris OS と同様に、/etc/auto_home_zone-name ファイルの +auto_home_public エントリはオートマウンタに LDAP エントリを指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。

例 11-7 ファイルを使用して管理されるシステムで下位レベルのホームディレクトリをマウントする

この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLIC、INTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。

このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。

最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。

## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
*      homedir-server:/export/home/&

次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。

## /etc/auto_home_public file in the public zone
## Use /export/home/auto_home_public for the user entries
## +auto_home_public
+ /export/home/auto_home_public

このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。

最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。

## /etc/auto_home_public file in the internal zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

## /etc/auto_home_public file in the needtoknow zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。

## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。

Trusted Extensions でマウントの失敗をトラブルシューティングする

始める前に

マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。

NFS サーバーのセキュリティー属性を確認します。
適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
1. NFS サーバーの IP アドレスが、セキュリティーテンプレートの 1 つで割り当てられたホストであることを確認します。
  このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。
2. テンプレートが NFS サーバーに割り当てるラベルを確認します。
  そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。
現在のゾーンのラベルを確認します。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、リモートファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
古いバージョンの Trusted Solaris ソフトウェアを実行している NFS サーバーからファイルシステムをマウントするには、次のようにします。
- Trusted Solaris 1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
- Trusted Solaris 2.5.1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
- Trusted Solaris 8 NFS サーバーの場合は、mount コマンドで vers=3 および proto=udp オプションを使用します。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語)