第 3 章 管理ツールの概観

この章では、Trusted Solaris 環境で使用するツールの概要を説明します。ここでは特に、ツールの使用方法とツールを使って操作するデータベースについて概説します。

• 「管理ツールを使用する : 概要」

• 「ファイルマネージャを使用する」

• 「デバイス割り当てマネージャを使用する」

• 「アプリケーションマネージャを使用する」

• 「コマンド行ツールを使用する」

• 「「Solstice アプリケーション (Solstice_Apps)」フォルダ」

• 「「システム管理 (System_Admin)」フォルダ」

• 「コマンド行ツール一覧」

管理ツールを使用する : 概要

Trusted Solaris 環境のグラフィカル管理ツールは、次の図に示すように、フロントパネルとアプリケーションマネージャから起動できます。

図 3-1 管理ツールの起動方法

ファイルマネージャを使用する

ファイルマネージャのアイコンは、フロントパネルの左側に表示されます。どのユーザーも、ファイルマネージャを使って、自分の所有するファイルやディレクトリを表示したり、操作することができます。基本的なファイルマネージャの操作については、標準 Solaris のマニュアルを参照してください。

特権を持つユーザーは、ファイルとディレクトリのラベルに関する特定の操作を実行できます。詳細については、『Trusted Solaris ユーザーズガイド』の第 5 章、「ファイルとディレクトリの管理」を参照してください。

管理者は、ファイルやディレクトリの特権とラベルを変更できます。これについては、「ファイルマネージャを使用して特権とラベルを変更する」を参照してください。

デバイス割り当てマネージャを使用する

デバイス割り当てマネージャのアイコンには、「トラステッド・デスクトップ (Trusted Desktop)」サブパネル (図 3-1)、あるいはトラステッドパスメニューの「デバイスを割り当てる (Allocate Device)」メニューオプションからアクセスできます。デバイス割り当てマネージャについては、「デバイス割り当てマネージャを使用してデバイスを管理する」を参照してください。

アプリケーションマネージャを使用する

アプリケーションマネージャのアイコンは、フロントパネルの右側に表示されています。Trusted Solaris のアプリケーションマネージャを使用すると、標準 Solaris と同様、アプリケーションをフォルダから起動できます。Trusted Solaris 環境では、主要なグラフィカルツールはアプリケーションマネージャの「Solstice アプリケーション (Solstice_Apps)」フォルダに収められています。「システム管理 (System_Admin)」フォルダには、システムデータベースにリンクする特殊なテキストエディタがあります。

コマンド行ツールを使用する

コマンド行ツールは、システム管理者かセキュリティ管理者であれば、端末エミュレータから直接使用できます。スーパーユーザーの場合は、まず pfsh と入力してスーパーユーザー用のプロファイルシェルに入った後、必要なシェルの種類を入力する必要があります(sh、csh、ksh など)。使用できるコマンドは、役割に割り当てられたプロファイルによって異なります。

「Solstice アプリケーション (Solstice_Apps)」フォルダ

アプリケーションマネージャのフォルダには、主要な Trusted Solaris のグラフィカルツールが収められています。次の図は、「Solstice アプリケーション (Solstice_Apps)」フォルダの内容がすべて表示された画面を示しています。なお、これらのツールのサブセットには、セキュリティ上、セキュリティ管理者とシステム管理者しかアクセスできません。

図 3-2 Solstice アプリケーションのフォルダ

システム管理者が使用する「Solstice アプリケーション (Solstice_Apps)」フォルダのツール

次の図は、システム管理者が使用できる「Solstice アプリケーション (Solstice_Apps)」フォルダのツールを示しています。

図 3-3 システム管理者が使用できる Solstice アプリケーション

「Solstice アプリケーション (Solstice_Apps)」フォルダにあるアプリケーションのうち、システム管理者が使用できるものは次のとおりです。特に記述のないものは、標準 Solaris のアプリケーションと同じ機能を備えています。

• データーベースマネージャ - システム管理者は、以下のデータベースを編集することができる

  • Aliases

  • Bootparams - Trusted Solaris 環境での細かい変更を保持する

  • Ethers

  • Group

  • Hosts

  • Locale

  • Netgroup

  • Netmasks

  • Networks

  • Protocols

  • RPC

  • Services

  • Timezone

  • Tnidb - Trusted Solaris 特有のデータベースで、ネットワークインタフェースに関する情報を保持する。ローカルホスト上で管理される。「tnidb データベース」を参照

• ホストマネージャ

• グループマネージャ - システム管理者が、グループを管理するために使用する。グループはデータベースマネージャで管理することもできる。どちらの場合も、ローカルとネットワークのすべてのグループに、そのネットワーク固有のグループ ID (GID) が設定されていなくてはならない。GID が固有のものであるかどうかは、管理者が手動で確認する。グループを削除するには、まず、システム管理者が、削除する GID を持つすべてのオブジェクトがシステムから削除されているかどうか、または、他のグループに割り当てられているかどうかを確認する。さらに、そのグループを一次グループとするユーザーが別のグループに割り当てられていることも確認する必要がある (監査上の理由により、削除されたグループのグループ名や GID は再利用できない)

• ユーザーマネージャ - システム管理者は、ユーザーや役割のアカウント情報を保持する tsoluser データベースを編集することができる。システム管理者が編集できる情報は、識別情報とホームディレクトリ情報に限定される。第 4 章「ユーザーの管理」を参照

セキュリティ管理者が使用する「Solstice アプリケーション (Solstice_Apps)」フォルダのツール

次の図は、セキュリティ管理者役割のユーザーが使用できる「Solstice アプリケーション (Solstice_Apps)」フォルダのツールを示しています。

図 3-4 セキュリティ管理者が使用できる Solstice アプリケーション

「Solstice アプリケーション (Solstice_Apps)」フォルダにあるアプリケーションのうち、セキュリティ管理者が使用できるものは次のとおりです。特に記述のないものは、標準 Solaris のアプリケーションと同じ機能を備えています。

• データーベースマネージャ - セキュリティ管理者は、以下のデータベースを編集することができる

  • Auto_home (セキュリティ管理者専用)

  • Tnrhdb - Trusted Solaris 特有のデータベースで、リモートホストに関するネットワーク情報を保持する (セキュリティ管理者専用)。「tnrhdb データベース」を参照

  • Tnrhtp - Trusted Solaris 特有のデータベースで、リモートホストに適用されるネットワークセキュリティテンプレートを保持する (セキュリティ管理者専用) 。「tnrhtp データベース」を参照

• プリンタマネージャ

• プロファイルマネージャ - 実行プロファイルの情報を保持する tsolprof(4) データベースを編集するためのアプリケーション。「プロファイルマネージャの使用法」を参照

• シリアルマネージャ

• ユーザーマネージャ - セキュリティ管理者は、ユーザーや役割のアカウント情報を保持する tsoluser データベースを編集することができる。セキュリティ管理者が編集できる情報は、パスワード、ラベル、プロファイル、役割、アイドルディレクトリなどの情報に限定される。第 4 章「ユーザーの管理」を参照

「システム管理 (System_Admin)」フォルダ

「システム管理 (System_Admin)」フォルダには、細かいシステム管理作業を実行するための特殊なアクションが格納されています。セキュリティに影響を与えるアクションは、セキュリティ管理者しか実行できません。反対に、セキュリティに関係のないアクションは、システム管理者しか実行できません。

上記のアクションのほとんどが、デフォルトで、特別な vi エディタの adminvi(1M) をシステムデータベースのどれかに適用します。dtpad エディタでも代用できます。これらの特殊なファイルアクションには制約があり、別名でファイルを保存したり、新規ファイルを作成したり、これを使ってシェルに戻ることはできません。このような制約によって、システムが認識しないデータベースのコピーが誤って作成されないようになっています。エディタは、必須アクセス制御とローカルセキュリティポリシーにも準拠しています。

システム管理者が使用する「システム管理 (System_Admin)」フォルダのツール

システム管理者は、「システム管理 (System_Admin)」フォルダ内の次のアクションを実行できます (図 3-5)。

• 「TN ファイルの検査 (Check TN Files)」 - ローカルの tnrhdb ファイルと tnrhtp ファイルの整合性を検査する。

• 「TN NIS+ テーブルの検査 (Check TN NIS+ Tables)」 - NIS+ の tnrhdb テーブルと tnrhtp テーブルの整合性を検査する。

• 「ネーム・サービス・スイッチ (Name Service Switch)」 - /etc/nsswitch.conf ファイルを編集し、ネームサービスの検索順を定義する。

• 「本日のメッセージの設定 (Set Daily Message)」 - その日のメッセージを設定するための /etc/motd ファイルを編集する。

• 「デフォルトの経路の設定 (Set Default Routes)」 - /etc/defaultrouter ファイルを編集し、標準的な静的ルーティングを設定する。

• 「DNS サーバの設定 (Set DNS Servers)」 - ネームサーバールーチン用の構成ファイル /etc/resolv.conf を編集する。

• 「メール・オプションの設定 (Set Mail Options)」 - メール環境を定義するための /etc/sendmail.cf ファイルを編集する。

• 「マウント・ポイントの設定 (Set Mount Points)」 - 基本のマウント属性を指定するための /etc/vfstab ファイルを編集する。

• 「Tsol ゲートウェイの設定 (Set Tsol Gateways)」 - 静的ルーティングの経路を指定する。

• 「ファイルシステムの共有 (Share Filesystems)」 - 複数のネットワーク間で資源を共有するためのコマンドを保持する etc/dfs/dfstab ファイルを編集する。

• 「テーブル属性の表示 (View Table Attributes)」 - 端末エミュレータを開き、指定した NIS+ テーブルに niscat コマンドを -o オプションとともに適用する。

• 「テーブル内容の表示 (View Table Contents)」 - 端末エミュレータを開き、指定した NIS+ テーブルに niscat コマンドを適用する。

図 3-5 システム管理者用「システム管理 (System_Admin)」フォルダ画面

セキュリティ管理者が使用する「システム管理 (System_Admin)」フォルダのツール

セキュリティ管理者は、「システム管理 (System_Admin)」フォルダ内の次のアクションを実行できます (図 3-6)。

• 「割り当て可能なデバイスの追加 (Add Allocatable Device)」 - 割り当て可能なデバイスをシステムのデータベースに追加する。

• 「管理用エディタ (Admin Editor)」 - ユーザーが指定したファイルに、特殊な dtpad テキストエディタを直接適用する。

• 「監査クラス (Audit Classes)」 - /etc/security/audit_class ファイルを編集する。

• 「監査の制御 (Audit Control)」 - /etc/security/audit_control ファイルを編集する。

• 「イベントの監査 (Audit Events)」 - /etc/security/audit_events ファイルを編集する。

• 「監査の開始 (Audit Startup)」 - /etc/security/audit_startup ファイルを編集する。

• 「ユーザーの監査 (Audit Users)」 - /etc/security/audit_user ファイルを編集する。

• 「エンコーディングの検査 (Check Encodings)」 - 指定したラベルエンコーディングファイルの構文をチェックし、その結果をウィンドウに表示する。

• 「TN ファイルの検査 (Check TN Files)」 - ローカルの tnrhdb ファイルと tnrhtp ファイルの整合性を検査する。

• 「TN NIS+ テーブルの検査 (Check TN NIS+ Tables)」 - NIS+ の tnrhdb テーブルと tnrhtp テーブルの整合性を検査する。

• 「選択構成の確認 (Configure Selection Confirmation)」 - データの移動時に、昇格または降格ポリシーを指定する。

• 「NIS+クライアントの作成 (Create NIS+ Client)」 - ホストを NIS+ クライアントに指定する。

• 「NIS+ サーバの作成 (Create NIS+ Server)」 - ホストを NIS+ サーバーに指定する。

• 「エンコーディングの編集 (Edit Encodings)」 - 指定したラベルエンコーディングファイルを編集し、ファイルを保存した直後に「Check Encodings」アクションを自動的に実行する。

• 「NIS+ テーブルの生成 (Populate NIS+ Tables)」 - ファイルから NIS+ テーブルを生成する。

• 「マウント属性の設定 (Set Mount Attributes)」 - セキュリティ関連のマウント属性を指定するための /etc/vfstab_adjunct ファイルを編集する。

• 「テーブル内容の表示 (View Table Contents)」 - 端末エミュレータを開き、指定した NIS+ テーブルに niscat コマンドを適用する。

図 3-6 セキュリティ管理者用「システム管理 (System_Admin)」フォルダ画面

コマンド行ツール一覧

次の表の一覧は、管理者が使用できる Trusted Solaris 環境特有のコマンド、あるいは Trusted Solaris 環境用に修正されたコマンドです。これらのコマンドの詳細情報については、それぞれのマニュアルページを参照してください。

表 3-1 ユーザーおよび管理者コマンド

adminvi(1M)	getlabel(1)	pfsh(1M)	tar(1)
adornfc(1)	getmldadorn(1)	plabel(1)	testfpriv(1)
allocate(1M)	getsldname(1)	ppriv(1)	tnchkdb(1M)
atohexlabel(1M)	hextoalabel(1M)	pprivtest(1)	tnctl(1M)
chk_encodings(1M)	ipcrm(1)	route(1M)	tnd(1M)
deallocate(1M)	ipcs(1)	rpc.getpeerinfod(1M)	tninfo(1M)
device_clean(1M)	list_devices(1M)	runpd(1M)	tokmapctl(1M)
devpolicy(1M)	mldpwd(1)	setfacl(1)	tokmapd(1M)
dminfo(1M)	mldrealpath(1)	setfattrflag(1)	uname(1)
getfacl(1)	netstat(1M)	setfpriv(1)	writeaudit(1M)
getfattrflag(1)	newsecfs(1M)	setfsattr(1M)
getfpriv(1)	pattr(1)	setlabel(1)
getfsattr(1M)	pclear(1)	sysh(1M)

各コマンドを定義するプロファイルについては、『Trusted Solaris 管理の手順』の付録 B を参照してください。