ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
Trusted Extensions でのファイルの共有とマウント
Trusted Extensions で NFS マウントされたディレクトリへのアクセス
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
次のタスクマップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。
|
この役割には、Media Backup 権利プロファイルが含まれます。
大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump
小規模バックアップの場合は、/usr/sbin/tar cT
これらのいずれかのコマンドを呼び出すスクリプト
たとえば、Budtool バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore
小規模な復元の場合は、/usr/sbin/tar xT
これらのいずれかのコマンドを呼び出すスクリプト
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
注意 - ラベルが維持されるのはこれらのコマンドのみです。 |
Oracle Solaris OS と同様に、Solaris 管理コンソール のマウントおよび共有ツールを使用して、大域ゾーンのファイルを共有し、マウントします。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。
始める前に
ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。
詳細については、『Trusted Extensions User’s Guide』の「How to Add a Workspace at a Particular Label」を参照してください。
ディレクトリを共有するゾーンごとに、次の手順を繰り返します。
# mkdir -p /zone/zone-name/etc/dfs
詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
# /zone/zone-name/etc/dfs/dfstab
エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。
share -F nfs -o ro /viewdir/viewfiles
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
# showmount -e
例 11-2 PUBLIC ラベルで /export/share ディレクトリを共有する
PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。
最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab
このファイルに、管理者は次のエントリを追加します。
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs
管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。
# zoneadm -z public ready
ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。
Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。
ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。
シングルラベルホストからファイルを読み書き可能な状態でマウントするには、リモートホストの割り当てラベルはファイルがマウントされているゾーンと同じである必要があります。
上位ゾーンによってマウントされるファイルは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。
Trusted Extensions では、Oracle Solaris OS と同じマウントインタフェースを使用しています。
ブート時にファイルをマウントするには、ラベル付きゾーンで /etc/vfstab ファイルを使用します。
ファイルを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。自動マウントマップが LDAP にある場合、LDAP コマンドを使用して管理します。
始める前に
クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Trusted Extensions User’s Guide』の「How to Add a Workspace at a Particular Label」を参照してください。
ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11-3 を参照してください。
ラベル付きゾーンで、マウントを vfstab ファイルに追加します。
例については、例 11-6 を参照してください。
例については、例 11-7 を参照してください。
例 11-3 mount コマンドを使用してラベル付きゾーンでファイルをマウントする
この例では、システム管理者が public ゾーンからリモートファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs
PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。
# mount -F nfs public-sys:/publicdocs /opt/publicdocs
remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。
例 11-4 vfstab ファイルを修正してラベル付きゾーンにファイルを読み書き可能な状態でマウントする
この例では、 public ゾーンのブート時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つのリモートファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw
マルチレベルシステムのラベル付きリモートゾーンのファイルにアクセスする場合、vfstab エントリがリモートシステムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。単一ラベルシステムのパスは Oracle Solaris システムで使用されるパスと同じです。
PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall
例 11-5 vfstab ファイルを修正してラベル付きゾーンで下位レベルファイルをマウントする
この例では、システム管理者は public ゾーンのリモートファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro
ラベル付きのリモートゾーンのファイルにアクセスする場合、vfstab エントリがリモートシステムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。
Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。
INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall
例 11-6 LDAP を使用して管理されているネットワークでラベル付きホームディレクトリをマウントする
この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。
最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。
最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。
Oracle Solaris OS と同様に、/etc/auto_home_zone-name ファイルの +auto_home_public エントリはオートマウンタに LDAP エントリを指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。
例 11-7 ファイルを使用して管理されるシステムで下位レベルのホームディレクトリをマウントする
この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLIC、INTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。
このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。
最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/&
次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public
このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。
最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。
始める前に
マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。
適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。
そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、リモートファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。