test

Trusted Solaris 管理の概要

Trusted Solaris 特有のネットワークコマンド

この項で説明する次のネットワークコマンドは、Trusted Solaris 特有のものです。

tnd コマンド、tokmapd コマンドは、それぞれトラステッドネットワークデーモンとトークンマッピングデーモンを呼び出します。トークンマッピングデーモンは、TSIX ホストとの通信が必要な場合に使用します。tnctl コマンドは、ネットワーキング情報をカーネルのキャッシュに読み込みます。この情報は、tninfo コマンドでチェックすることができます。また、tnchkdb コマンドでネットワーク構成データベースの障害を検査し、tokmapctl コマンドで TSIX トークンマッピングの障害を追跡することができます。

tnchkdb

tnchkdb(1M) コマンドは、tnrhdbtnrhtptnidb の各データベースの形式に含まれるエラーをチェックします。データベースを変更または作成するたびにこのコマンドを実行します。

tnctl

tnctl(1M) コマンドを使用すると、Trusted Solaris ネットワークデーモンの制御パラメータを構成できます。このパラメータはデバッグ、カーネルインタフェースキャッシュの更新、カーネルリモートホストキャッシュの更新、カーネルテンプレートキャッシュの更新などに使用します。

tnctl コマンドは、トラステッドパスメニューから実行します。また、カーネルキャッシュを更新するには、sys_net_config 特権の継承が必要です。

tnd

tnd(1M) (トラステッドネットワークデーモン) コマンドは、トラステッドネットワークデータベースが読み込まれているカーネルを初期化したり、必要に応じてデータベースを再度読み込む際に使用します。トラステッドネットワークデーモンは、ブート処理のはじめに起動し、tnrhdbtnrhtptnidb データベースをカーネルに読み込みます。

tnd コマンドを実行するには、トラステッドパスメニューを使用し、net_privaddr、net_mac_read、sys_net_config の各特権を継承する必要があります。また、rc スクリプトから起動し、機密ラベル ADMIN_LOW で実行しなくてはなりません。

-d オプションを使用すると、tnd のデバッグ機能が有効になり、デバッグ情報をログファイルに記録できます。ネットワークのデバッグに使用されるデフォルトのログファイルは/var/tsol/tndlog です。このファイルには、デバッグメッセージごとに 1 レコードずつ格納されます。デバッグメッセージには、デバッグ情報と時間が記録されます。

デフォルトでは、デバッグ機能が有効になっていないと、tndlog ファイルが作成されません。tndlog ファイルは、tnd コマンドの -d オプションのほか、tnctl コマンドでも作成できます。

tninfo

tninfo(1M) コマンドを使用すると、ホスト情報 (-h)、テンプレート情報 (-t)、カーネルレベルのネットワーク情報と統計 (-k) を印刷できます。カーネルにキャッシングされている情報が正しいかどうかをチェックするために使用します。tninfo コマンドは、機密ラベル ADMIN_HIGH で、実効 UID を 0 にして実行しなくてはなりません。こうした制約は、file_mac_read、sys_trans_label、file_dac_read の各特権で無効にできます。tninfo の実行可能ファイルは、機密ラベル ADMIN_LOW で管理します。ADMIN_LOW には、アクセス権ビット 555、所有者、スーパーユーザー、sys グループが指定されています。 

# tninfo
==================
kernel statistics
==================
fails host accreditation: 1496
fails interface accreditation: 0
number of seccom structures allocated: 29020
deallocated but memory not yet reclaimed: 28885
memory reclaimed: 28885

tokmapd

tokmapd(1M) (トークンマッピングデーモン) コマンドは、SATMP トークンマッピングプロトコルを実装し、トラステッドネットワーク外に転送される情報のラベル付けを行います。情報には、属性値を示すトークンによってラベルが付けられます。tokmapd は、トークンと属性値対応付けを行うコマンドで、カーネルや他のホストのトークンマッピングサーバーからのトークンマッピング要求を受け入れます。デバッグ用のオプションも多数用意されています。

tokmapd コマンドは、トラステッドパスメニューから実行します。このとき、net_privaddr、proc_setclr、proc_setsl の各特権の継承と、機密ラベル ADMIN_HIGH が必要です。

tokmapctl

tokmapctl(1M) コマンドは、tokmapd の処理に制御要求と構成要求を送信するインタフェースの役目をします。このコマンドは、トラステッドパスから実行します。このとき、net_privaddr 特権と net_mac_read 特権の継承と、機密ラベル ADMIN_HIGH が必要です。