トラステッドネットワークデータベースにおけるエントリの作成

tnrhdb ファイルでホストやネットワークにテンプレートを割り当てる前に、セキュリティ管理者は次のことを行っておく必要があります。

• tnrhtp(4) ファイルの既存のテンプレートを確認する

  データベースマネージャから Tnrhtp データベースを起動し、順番にそれぞれのテンプレートを選択して、その内容をテンプレートマネージャの「変更 (Modify)」ダイアログボックスに表示します。

• サイトの必要性に応じて、既存のテンプレートを変更するか、新しいテンプレートを作成する

• 各ホストとネットワークに使用するテンプレートを決定する

tnrhdb オプションを使用して、閉鎖型または開放型ネットワーク構成を実現する

トラステッドネットワークは、次の 2 種類のネットワーク構成をサポートします。

• あらゆるホストとの通信を許可する開放型ネットワーク構成

• 指定されたホストとネットワークに限り通信を許可する閉鎖的制御型ネットワーク構成

他のホストおよびネットワークとの通信を、開放型または閉鎖型のどちらにするかは、それぞれのサイトで決定します。

階層型代替機構

階層型代替アルゴリズムは、マニュアルページにも書かれているように、トラステッドネットワークソフトウェアが tnrhdb(4) データベースのホストのエントリを検索する際に使用します。トラステッドネットワークソフトウェアは、そのホスト固有のエントリが見つからなかった場合は、代わりにクラス C と一致するネットワークエントリを検索し、次にクラス B のエントリ、その次にクラス A のエントリと検索していきます。どのエントリも見つからない場合は、最後にワイルドカードエントリ (IP アドレス 0.0.0.0) を検索します。tnrhdb データベースに、そのホストの IP アドレスと一致するエントリがなければ、そのホストとの通信は許可されません。この代替メカニズムは、開放型ネットワーク構成でも制御型ネットワーク構成でも、注意して使用することができます。

ワイルドカードを使用した開放型ネットワーク構成

セキュリティ管理者役割は、「ワイルドカードエントリ」を作成してデフォルトの属性セットを指定し、それをネットワークデータベースにエントリが検出されなかったホストに割り当てます。ワイルドカードエントリに割り当てられたテンプレートは、「テンプレートの設定」の項で説明しているように、セキュリティ管理者が他のテンプレートとともに tnrhtp(4) データベースに構成します。

閉鎖的制御型のネットワーク構成

ホストとの通信は、トラステッドネットワークソフトウェアが、tnrhdb データベースのエントリにそのホストの IP アドレスを検出できない限り許可されません。通信を厳格に制限するには、セキュリティ管理者役割はネットワークエントリを指定する際に、ワイルドカードを使わずに個々のエントリを指定します。

テンプレートの設定

セキュリティ管理者役割がホストにテンプレートを対応付ける方法には何種類かあります。これらの方法については、次の手順を参照してください。

• 「tnrhdb で単一のホストにテンプレートを割り当てるには」

• 「tnrhdb でホストのグループにテンプレートを割り当てるには」

• 「ワイルドカードを使用して、別に指定されていないすべてのホストの tnrhdb エントリを作成するには」

以下の例では、tsol_1、tsol、および wildcard (ワイルドカード) のテンプレートが tnrhtp ファイルに設定されているものと仮定します。