ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
Trusted Extensions でのファイルの共有とマウント
Trusted Extensions で NFS マウントされたディレクトリへのアクセス
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
Trusted Extensions の NFS マウントは Oracle Solaris マウントと似ています。その相違点は、Trusted Extensions にラベル付きゾーンをマウントする場合のゾーンルートパス名の使用と MAC ポリシーの実施によって生じます。
Trusted Extensions の NFS 共有は、大域ゾーンの Oracle Solaris 共有に似ています。ただし、マルチレベルシステムでのラベル付きゾーンからのファイルの共有は Trusted Extensions に特有のものです。
大域ゾーンの共有とマウント – Trusted Extensions システムの大域ゾーンのファイルの共有とマウントは、Oracle Solaris OS の手順とほとんど同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。ファイルの共有については、dfstab ファイルが使用されます。
ラベル付きゾーンのマウント – Trusted Extensions のラベル付きゾーンのファイルのマウントは、Oracle Solaris OS の非大域ゾーンのファイルのマウントとほとんど同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。Trusted Extensions では、各ラベル付きゾーンに対して、一意の automount_home_label 構成ファイルが存在します。
ラベル付きゾーンでの共有 – ラベル付きゾーンのファイルは、ゾーンのラベルにあるが、大域ゾーンにのみ表示される dfstabファイルを使用することによって、ゾーンのラベルで共有することができます。したがって、ファイルを共有するためにラベル付きゾーンを構成することは、大域ゾーンの大域ゾーン管理者によって実行されます。この構成ファイルは、そのラベル付きゾーンからは表示できません。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。
どのファイルをマウントできるかには、ラベルが影響します。ファイルは特定のラベルで共有されてマウントされます。Trusted Extensions クライアントが NFS マウントされたファイルに書き込みできるためには、そのファイルが読み取り/書き込み権付きでマウントされ、かつクライアントと同じラベルにある必要があります。2 つの Trusted Extensions ホスト間でファイルをマウントする場合は、サーバーとクライアントに、互換性のある cipso というタイプのリモートホストテンプレートがなければなりません。Trusted Extensions ホストとラベルなしホストの間でファイルをマウントする場合は、tnrhdb ファイルでラベルなしホストに指定されたシングルラベルにあるファイルをマウントすることができます。LOFS でマウントされたファイルは、表示できますが修正することはできません。NFS マウントについては、「 Trusted Extensions で NFS マウントされたディレクトリへのアクセス」を参照してください。
どのディレクトリおよびファイルを表示できるかにも、ラベルが影響します。デフォルトでは、下位レベルのオブジェクトはユーザーの環境で利用できます。したがって、デフォルト構成の場合、一般ユーザーはそのユーザーの現在のレベルより下位レベルのゾーンにあるファイルを表示することができます。たとえば、ユーザーは上位レベルのラベルから下位レベルのホームディレクトリを表示することができます。詳細は、「Trusted Extensions でのホームディレクトリの作成」を参照してください。
サイトのセキュリティーによって下位レベルのオブジェクトの表示が禁止されている場合、管理者はユーザーに対して下位レベルのディレクトリを非表示にすることができます。詳細は、「下位ファイルのマウントを無効にする」を参照してください。
Trusted Extensions のマウントポリシーが MAC をオーバーライドすることはありません。下位ラベルで表示されるマウント済みファイルは、上位ラベルのプロセスで変更できません。この MAC ポリシーは大域ゾーンでも有効です。大域ゾーン ADMIN_HIGH プロセスは、PUBLIC ファイルまたは ADMIN_LOW ファイルなど、下位ラベルの NFS マウントされたファイルを変更することはできません。MAC ポリシーはデフォルト構成を強制し、一般ユーザーからは不可視です。一般ユーザーは、MAC アクセスできない限りオブジェクトを表示できません。