トラステッドネットワークデータベース
セキュリティ管理者役割は、次の図に示すようなデータベースマネージャを使用して、トラステッドネットワークデータベースである tnrhdb(4)、tnrhtp(4)、tnidb(4) にエントリを作成します。各データベースの役割は以下のとおりです。
図 10-1 データベースマネージャの「読み込み (Load)」リストで選択された Tnidb
-
tnrhtp ファイルは、さまざまなホストタイプに適用するセキュリティ属性のセットが定義されたテンプレートを保持する
-
tnrhdb ファイルは、tnrhtp ファイルからホストとネットワークにテンプレートを割り当てる
-
tnidb ファイルは、ネットワークインタフェースに適用するセキュリティ属性を割り当てる
tnidb ファイルに指定された値は、個々のホストやネットワークの tnrhtp および tnrhdb に指定された属性とともに参照され、インタフェースを経由する通信に適用されるセキュリティ属性が確定します (これらの詳細については 「着信メッセージにおける MAC の実施」、および 「トラステッドネットワークデータベースの属性に関する優先規則」を参照してください)。
データベースマネージャを使用できるようにするには、その前にネームサービスを選択しなければなりません。これには次の 2 つの選択肢があります。
-
NIS+
-
なし (None)
データベースマネージャの起動方法とネームサービスの選択方法については、必要に応じて、「「Solstice アプリケーション (Solstice_Apps)」アプリケーションフォルダ内の管理ツールの使用」を参照してください。
tnidb ファイルの値はローカルホストのネットワークインタフェースに適用されるため、tnidb ファイルは常に /etc/security/tsol のローカルファイルとして保持されます。
tnrhdb および tnrhtp ファイルは通常、NIS+ テーブルとして管理されます。ただし、スタンドアロン型 Trusted Solaris ホストの場合は、ネームサービスを使用しないように構成されることもあり、このようなホストでは、両ファイルは /etc/security/tsol に保持されます。
trusted network データベースからの情報は /var/tsol の下にあるカーネルキャッシュファイルに書き込まれます。データベースマネージャを使用して変更を行い、ネーミングサービスを選択しない場合、ローカルホスト上のカーネルキャッシュは自動的に更新されます。NIS+ ネーミングサービスを選択している場合、NIS+ クライアントが NIS+ マスターから trusted network データベースの変更を引き出すまでに最大 30 分かかる可能性があります。
注 -
キャッシュファイルのエントリは変更できますが、削除できません。エントリを削除する唯一の方法は、カーネルキャッシュファイルを削除してリブートすることです。この手順については、「キャッシュされている Trusted Network データベース内のエントリを削除するには」を参照してください。リブート後、tnd(1M) によって新しいキャッシュファイルが作成されます。
Trusted Solaris 版のネームサービススイッチファイル nsswitch.conf(4) には tnrhtp と tnrhdb 用のエントリが含まれています。これらのエントリはサイトの構成に合わせて変更する必要があります。次に、デフォルトの設定を示します。
# TSOL tnrhtp: nisplus files tnrhdb: nisplus files |
これらのエントリを変更するには、管理役割になり「ネーム・サービス・スイッチ (Name Service Switch)」アクションを実行します (「ネーム・サービス・スイッチ (Name Service Switch)」アクションのアクセス方法に関しては必要に応じて「管理アクションを起動するには」を参照してください)。なお、正しいファイル属性 (所有者、グループ、モード、ラベル) を維持するために、このファイルは直接編集しないようにしてください。
- © 2010, Oracle Corporation and/or its affiliates