| Solaris Security Toolkit 4.2 管理マニュアル |    
|
| Solaris Security Toolkit 4.2 管理マニュアル |
|
第5章 |
|
この章では、Solaris Security Toolkit ソフトウェアを使用するための JumpStart サーバーの構成と管理について説明します。JumpStart テクノロジは、ネットワークベースで Solaris OS をインストールするための Sun のメカニズムであり、インストール中に Solaris Security Toolkit ソフトウェアを実行することができます。
Solaris Security Toolkit の JumpStart モードは JumpStart テクノロジに基づいており、バージョン 2.1 以降の Solaris OS 製品で使用できます。JumpStart テクノロジでは、Solaris OS とシステムソフトウェアのインストールを完全に自動化して複雑な処理を管理するため、システムの妥当性と標準化が促進されます。JumpStart テクノロジは、システムの迅速なインストールと配備に関する要件に適合するための手段です。
JumpStart テクノロジには、特にシステムのセキュリティー上の利点があります。JumpStart テクノロジを Solaris Security Toolkit ソフトウェアで使用すると、Solaris OS の自動インストール中にシステムを安全な状態に保つことができます。これにより、システムのインストール時にシステムのセキュリティーの標準化とセキュリティー対策が行えます。JumpStart ベースのインストールを容易にし、Solaris Security Toolkit によるセキュリティー強化をサポートするモジュールが含まれている JumpStart Enterprise Toolkit (JET) は、次の Sun ソフトウェアダウンロードサイトで入手できます。
JumpStart テクノロジについての詳細は、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。
JumpStart 環境で使用するには、/opt/SUNWjass 内 (pkg ダウンロードの場合) の Solaris Security Toolkit ソースを JumpStart サーバーの基本ディレクトリにインストールします。デフォルトのディレクトリは、JumpStart サーバー上の /jumpstart です。Solaris Security Toolkit ソースをコピーすると、JASS_HOME_DIR が JumpStart サーバーのベースディレクトリになります。
この節の説明は、JumpStart テクノロジを理解していること、および既存の JumpStart 環境があることを前提にしています。
Solaris Security Toolkit ソフトウェアと JumpStart アーキテクチャーの統合は、簡単な手順で行えます。
|
1. Solaris Security Toolkit のソースを JumpStart サーバーのルートディレクトリにインストールします。
Solaris Security Toolkit は、次の例に示すように JASS_REPOSITORY (この場合は /jumpstart) にインストールされます。
一般に、Solaris Security Toolkit ソフトウェアは、JumpStart サーバーの SI_CONFIG_DIR にインストールされ、このディレクトリは通常 JASS_HOME_DIR にもなります。
2. Solaris 2.5.1 OS の sysidcfg ファイルに変更を加えると、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 ディレクトリ内のファイルが変更されます。
Solaris 2.5.1 OS では、SI_CONFIG_DIR 内の sysidcfg ファイルのみサポートされ、ほかのサブディレクトリ内のこのファイルはサポートされません。したがって、このバージョンの Solaris を使用している場合は、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 内のsysidcfg ファイルを直接使用できません。この制限事項に対処するために、Solaris Security Toolkit ソフトウェアには、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg ファイルにリンクした SI_CONFIG_DIR/sysidcfg が用意されています。
3. 以下のコマンドを使用して、JASS_HOME_DIR/Drivers/user.init.SAMPLE を JASS_HOME_DIR/Drivers/user.init にコピーします。
4. JumpStart のインストール時に Solaris Security Toolkit パッケージを対象システムにインストールする場合は、user.init ファイルに定義されている JASS_PACKAGE_MOUNT ディレクトリにこのパッケージを置く必要があります。次に例を示します。
5. マルチホーム JumpStart サーバーで問題が発生した場合は、JASS_PACKAGE_MOUNT と JASS_PATCH_MOUNT の 2 つの項目を JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。
6. Solaris Security Toolkit ソフトウェアを SI_CONFIG_DIR のサブディレクトリ (SI_CONFIG_DIR/path/to/JASS など) にインストールする場合は、以下の行を user.init ファイルに追加します。
if [ -z "${JASS_HOME_DIR}" ]; then if [ "${JASS_STANDALONE}" = 0 ]; then JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS" fi fi export JASS_HOME_DIR |
7. Solaris Security Toolkit ドライバ (たとえば、デフォルトの secure.driver) を選択または作成します。
|
注意 - Solaris Security Toolkit ソフトウェアに含まれるオリジナルのスクリプトを変更しないでください。Solaris Security Toolkit ソフトウェアの新しいリリースに効率的に移行するには、オリジナルファイルとカスタムファイルを別々に保管します。 |
8. ドライバが完了したら、rules ファイル内に正しい項目を作成します。
Solaris Security Toolkit ソフトウェアを既存の JumpStart 環境に正常に移行するには、もう 1 つ別の変更が必要な場合もあります。
9. Solaris Security Toolkit ソフトウェアの sysidcfg ファイルを使用して JumpStart クライアントのインストールを自動化する場合は、そのファイルの適合性を確認します。
sysidcfg ファイルの解析中に JumpStart サーバーでエラーが検出されると、ファイルの内容がすべて無視されます。
この節で説明する構成手順をすべて完了したあとは、JumpStart テクノロジを使用してクライアント上に Solaris OS をインストールできるようになり、インストール処理中に OS の強化または最小化を正常に行うことができます。
JumpStart プロファイルテンプレートは、JumpStart モードでのみ使用されるファイルです。プロファイルの必須項目およびオプションの内容については、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。
JumpStart プロファイルテンプレートを、個々のサイトを変更する際のサンプルとして使用します。プロファイルを確認し、当該環境でどのような変更を行うかを決定します。
プロファイルのコピーを作成し、サイトに合わせて変更します。Solaris Security Toolkit ソフトウェアへのアップデートによって変更内容が上書きされることがあるため、オリジナルのプロファイルを変更しないでください。
Solaris Security Toolkit ソフトウェアには、以下の JumpStart プロファイルがあります。
この JumpStart プロファイルは、最小の Solaris OS クラスタである SUNWCreq をインストールします。ディスクのパーティションにルートパーティションとスワップパーティションを含めるように指定されることを除き、構成の変更は行われません。
この JumpStart プロファイルは、End User Solaris OS クラスタである SUNWCuser と、プロセスアカウントが適切に機能するために必要な 2 つの Solaris OS パッケージをインストールします。また、ルートパーティションとスワップパーティションのみ含めるようにディスクパーティションが定義されます。
この JumpStart プロファイルは、Developer Solaris OS クラスタである SUNWCprog と、プロセスアカウントが適切に機能するために必要な 2 つの Solaris OS パッケージをインストールします。core.profile 定義と同様、ほかに行われる構成定義は、Solaris OS クラスタに加え、ルートとスワップを含めるディスクパーティション化のみです。
この JumpStart プロファイルは、Entire Distribution Solaris OS クラスタである SUNWCall をインストールします。他のプロファイルと同様、ルートパーティションとスワップパーティションを含めるようにディスクパーティションが定義されます。
この JumpStart プロファイルは、OEM Solaris OS クラスタである SUNWCXall をインストールします。このクラスタは Entire Distribution クラスタのスーパーセットで、OEM から提供されるソフトウェアをインストールします。
|
注 - これらのプロファイルの使用は、Solaris OS バージョン 8 または 9 が稼働しているシステム上だけにとどめてください。 |
次のプロファイルは、すべて Sun BluePrints OnLine 掲載記事『Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems』に基づいています。以下の JumpStart プロファイルは、記事に記載されているプロファイルと同じです。
JumpStart ソフトウェアを使用してネットワークベースのクライアントインストールができるようにサーバーを構成するには、add-client スクリプトと rm-client スクリプトを使用します。これらのスクリプトは、JASS_HOME_DIR/bin ディレクトリに置かれています。JumpStart モードは、JumpStart サーバーの rules ファイルに挿入される Solaris Security Toolkit ドライバによって制御されます。
JumpStart モードを使用するように環境が構成されていない場合は、JumpStart サーバーと環境の構成を参照してください。
SPARC ベースシステムの場合、add-client コマンドを実行すると Solaris Security Toolkit に必要な JumpStart クライアントと構成情報がインストールされます。このコマンドは JumpStart サーバーから実行されます。
DHCP (Dynamic Host Configuration Protocol) クライアントを必要とする x86/x64 システムの場合、Solaris (インストール) メディアに付属の add_install_client スクリプトを使用する必要があります。
JumpStart サーバーからクライアントを簡単に追加するには、Solaris Security Toolkit ソフトウェアに付属するこのスクリプトを使用します。このコマンドとオプションについては以下の段落で説明しますが、基本的な JumpStart テクノロジについては説明しません。JumpStart テクノロジについての詳細は、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。
add-client スクリプトは add_install_client コマンドのラッパーであり、次の引数を受け付けます。
表 5-1 に、add-client コマンドの有効な入力を示します。
デフォルトを使用して JumpStart クライアント eng1 を追加するには、次のように指定します。
Solaris 9 OS (12/03) と -s sysidcfg オプションを使用して JumpStart クライアント eng1 を JumpStart サーバー jumpserve1 に追加するには、次のように指定します。
# /opt/SUNWjass/bin/add-client -c eng1 -i jumpserve1 -m sun4u -o Solaris_9_2003-12 -s Hosts/alpha cleaning up preexisting install client "eng1" removing eng1 from bootparams updating /etc/bootparams |
JumpStart サーバーからクライアントを簡単に削除するには、Solaris Security Toolkit ソフトウェアに付属するこのスクリプトを使用します。このコマンドとオプションについては以下の段落で説明しますが、基本的な JumpStart テクノロジについては説明しません。JumpStart テクノロジについての詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。
rm-client スクリプトは add-client と同様、rm_install_client のラッパーです。
ここで、client は JumpStart クライアントの解釈可能なホスト名です。
表 5-2 に、rm-client コマンドの有効な入力を示します。
JumpStart クライアント eng1 を削除するには、次の rm-client コマンドを使用します。
| Solaris Security Toolkit 4.2 管理マニュアル | 819-3789-10 |
|
Copyright© 2005, Sun Microsystems, Inc. All rights reserved.
JumpStart モード用に