Trusted NFS のマウント方法の概要
Trusted Solaris 環境でファイルシステムをマウントする方法は、標準 Solaris システムの場合とほとんど同じです。標準的なマウント情報はクライアントの vfstab ファイルに、共有情報はサーバーの dfstab ファイルに入力します。また、 mount(1M) コマンドで、動的にマウントの設定を行うこともできます。
Trusted Solaris 環境のマウント設定で特に異なる点は、次のとおりです。
-
vfstab(4) ファイルの機能を補う特別ファイル、vfstab_adjunct を使用する
この特別ファイルには、ファイルシステムに適用されるセキュリティ属性が格納されます。
-
サーバーの tnrhdb ファイルに、クライアントに適用するテンプレートを格納する
2 台の Trusted Solaris ホスト (sun_tsol) 間のマウントを設定する場合は、Trusted Solaris ホストのテンプレートを使用します。Trusted Solaris ホストとラベルなしホスト間のマウントを設定する場合は、デフォルトにより、データはすべて、tnrhdb ファイルでラベルなしホスト用に指定されている単一の機密ラベルで転送されます。ただし、vfstab_adjunct ファイルを使用するか、mount コマンドに -S オプションを付けて実行すれば、マウント時にラベルなしで異なるセキュリティ属性を指定することもできます。マウントは、Trusted Solaris ホスト、TSIX ホスト、ラベルなしホスト間でしか実行されません。
-
サーバーとクライアント間の物理接続が、認可チェックに合格している (「Trusted Solaris のルーティング」を参照)
-
UID が 0 で、mount(1M) コマンドを実行できる
mount コマンドを実行できるのは、mount コマンドが含まれており、実効 UID が 0 に指定され、ADMIN_LOW で実行される実行プロファイルを持った役割またはユーザーアカウントだけです。mount コマンドには次の特権が必要です。sys_mount、file_dac_read、file_dac_write、file_dac_search、file_mac_read、file_mac_write、file_mac_search、net_privaddr、proc_setsl、proc_setil (情報ラベルが構成されている場合)、proc_setclr、sys_trans_label。以上の特権については、priv_desc(4) を参照してください。また、マウント関連のコマンドについては、「Trusted Solaris でのファイルシステムのマウント」、マウント方法については、『Trusted Solaris 管理の手順』の第 11 章「ファイルおよびファイルシステムの管理」を参照してください。
マウントするセキュリティ属性の指定
vfstab_adjunct ファイルと -S オプションを付けた mount コマンドを使用すると、マウント時にセキュリティ属性を指定できます。
指定できるセキュリティ属性には次のものがあります。
-
アクセス ACL - マウントされたファイルシステムのディレクトリとファイルにデフォルトで適用されるアクセス制御リスト
-
デフォルト ACL - マウントされたファイルシステムの新規ディレクトリとファイルに適用される ACL
-
UID - ファイルの所有者
-
GID - 所有者が属するグループ
-
機密ラベル - ファイルの機密ラベル
-
強制された特権 - マウントされたファイルシステムの実行可能ファイルに適用される強制された特権のセット
-
許容された特権 - マウントされたファイルシステムの実行可能ファイルに適用される許容された特権のセット
-
ラベル範囲 - マウントされたファイルシステムのディレクトリとファイルに適用される機密ラベルの範囲
-
あらかじめ設定されている監査属性
- © 2010, Oracle Corporation and/or its affiliates