セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「管理用エディタ (Admin Editor)」アクションを実行して /etc/security/tsol/boot/tnrhdb ファイルを開き、編集します。
必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。
デフォルトエントリの例を次に示します。
0.0.0.0:tsol |
ワイルドカードエントリを削除するか、定義し直します。
次に、ラベルなしホストタイプが割り当てられている、デフォルトの unlab テンプレートを使用して、定義し直したワイルドカードエントリを示します。
0.0.0.0:unlab |
ワイルドカードエントリを削除した場合、次の手順に進みます。ワイルドカードエントリを定義し直した場合、手順 7 に進みます。
ワイルドカードエントリを変更するには、現在のホストがブート時に通信する必要があるすべてのホストのエントリを作成します。
NIS+ クライアントの場合、NIS+ マスター用のエントリを作成します。
構成中のホストの IP アドレスごとにエントリを作成します。
次に、2 つのインタフェースを持つルーターであるホスト用のエントリを示します。
127.150.113.111:tsol 127.150.113.112:tsol |
構成中のホストのループバックアドレス用のエントリを作成します。
127.0.0.1:tsol |
構成中のホストがルーターでない場合、ホストがルーターを見つけるための 1 つまたは複数のエントリを作成します。
次のいずれかを行います。
次の例に、NIS+ クライアント用のエントリを示します。ホストの IP アドレスは 129.96.22.29、NIS+ マスターの IP アドレスは 129.96.22.40、ループバック IP アドレスは 127.0.0.1、そして、ネットワークの IP アドレスは 129.96.22.0 です (ルーターを見つけるために使われる)。
129.96.22.29:tsol 129.96.22.40:tsol 127.0.0.1:tsol 129.96.22.0:tsol |
ファイルを上書き保存し、閉じます。
:wq |
必要に応じて、tnrhdb ファイルのエントリのために必要なテンプレートがあれば追加します。
「管理用エディタ (Admin Editor)」アクションを実行して /etc/security/tsol/boot/tnrhtp ファイルを開き、編集します。
たとえば、tnrhdb(4) 内に指定されているいずれかのホストのホストタイプがラベルなしの場合、次に示すように、host_type=unlabeled を含むテンプレートを追加します。
unlab:unlabeled; def_label=0x000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000[0x1000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000]; def_cl=0x00000000000000000000000000000000000000000000000000000000000000000000; def_uid=empty; def_gid=empty; forced_privs=empty; min_sl=0x00000000000000000000000000000000000000000000000000000000000000000000; max_sl=0x7fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff; def_audit_auid=3; def_audit_mask=0x00 00000000000000; def_audit_termid=0x0000000000000000; def_audit_asid=0; |
デフォルトの unlab テンプレートを使う場合は、def_label フィールドの機密ラベル部分を、必ずユーザー認可範囲内に収まるようなラベルに変更してください。デフォルトのテンプレートの機密ラベルは ADMIN_LOW
であり、通常のユーザーはこのラベルでは作業できません。情報ラベル部分は ADMIN_LOW
に固定されています。
ファイルを上書き保存し、閉じます。
:wq |
セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
アプリケーションマネージャの「Soltice アプリケーション (Solstice_Apps)」フォルダを開きます。
必要に応じて、「管理アプリケーションを起動するには」を参照してください。
データベースマネージャ (Database_Manager) アイコンをダブルクリックし、データベースマネージャの「読み込み (Load)」リストを開きます。
次の例は、「Soltice アプリケーション (Solstice_Apps)」フォルダで選択されたデータベースマネージャを示しています。
データベースマネージャの「読み込み (Load)」リストの「ネームサービス (Naming Service)」メニューから、ネームサービスを選択します。
デフォルトでは、次の例に示すように NIS+ ネームサービスが選択されており、NIS+ のドメイン名が「ドメイン名 (Domain)」テキストエントリフィールドに表示されるようになっています。
NIS+ を使っている場合でも、tnidb は常に、「ネーミングサービス (Naming Service)」を「なし (None)」に設定して変更したローカルファイルであることを念頭に置いてください。これに対して、tnrhdb と tnrhtp は、「ネーミングサービス (Naming Service)」を「NIS+」または「なし (None)」に設定して変更できます。スタンドアロンの Trusted Solaris システムを NIS+ なしで構成する場合、上記 3 つのファイルはすべて「ネーミングサービス」を「なし (None)」に設定して変更します。これらのファイルのための nsswitch.conf(4) エントリが、ローカルファイルと NIS+ ファイルの両方に加えられた変更を反映する検索シーケンスになっていることを確認してください。
ネームサービスを「なし (None)」にした場合で、リモートホストのデータベースを構成する場合は、「ホスト名 (Host)」テキストエントリフィールドにそのホスト名を入力します。
編集するトラステッドネットワークデータベースの名前をダブルクリックします。または強調表示してから「了解 (OK)」をクリックします。
必要に応じて、「tnrhtp に新規テンプレートを作成するには」、「tnrhdb で単一のホストにテンプレートを割り当てるには」、「tnrhdb でホストのグループにテンプレートを割り当てるには」、「ワイルドカードを使用して、別に指定されていないすべてのホストの tnrhdb エントリを作成するには」、「ホストテンプレートまたはネットワークインタフェースエントリに認可範囲を 設定するには」、「ネットワークインタフェースを構成するには」、「tnidb で新規エントリを追加する、または既存エントリを変更するには」、または 「ルーティングの IP ラベルを設定するには」に進んでください。
セキュリティ管理者役割になって、ADMIN_LOW
ワークスペースに移動し、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。フィールドの定義に関しては、tnrhtp(4) のマニュアルページも参照してください。「各ホストタイプに設定可能なセキュリティ属性」に述べたように、すべてのフィールドが各テンプレートにあるわけではありません。
「ネームサービス (Naming Service)」オプションメニューをクリックし、さらに「なし (None)」または「NIS+」をクリックします。
データベースマネージャの「読み込み (Load)」リストの Tnrhtp を強調表示し、「編集 (Edit)」メニューから「追加 (Add)」を選択します。
テンプレートマネージャの「追加 (Add)」ダイアログが 次の図のように表示されます。
「テンプレート名 (Template Name)」に入力します。
「ホストタイプ (Host Type)」オプションメニューのボタンをクリックし、メニューの中から希望するホストタイプをクリックして選択します。
以降の手順を進めていくときに、必ずしもすべてのホストタイプですべてのフィールドが使用できるわけではないことに注意してください。
「最下位 SL (Minimum SL)」ボタンをクリックし、ラベルビルダーを使用して、希望する最下位機密ラベルを指定します。
ラベルを認識するホストでは、このフィールドは、ホストの認可範囲の下限を設定するのに使われます。ラベルなしおよび RIPSO ホストタイプの場合は、このフィールドは、ホストがゲートウェイのときのトラステッドルーティングに使われます。
「最上位 SL (Maximum SL)」ボタンをクリックし、ラベルビルダーを使用して、希望する最上位機密ラベルを指定します。
ラベルを認識するホストでは、このフィールドは、ホストの認可範囲の上限を設定するのに使われます。ラベルなしおよび RIPSO ホストタイプの場合は、このフィールドは、ホストがゲートウェイのときのトラステッドルーティングに使われます。
希望するユーザー ID を入力するか、「Def!」をクリックして、空のデフォルト値を設定します。
ラベルなしのホストの場合、ここでユーザー ID を指定しないときは、各ローカルホストの Tnidb にユーザー ID を指定してください。
希望するグループ ID を入力するか、「Def!」をクリックして、空のデフォルト値を設定します。
ラベルなしのホストの場合、ここでグループ ID を指定しないときは、各ローカルホストの Tnidb にグループ ID を指定してください。
「ラベル (Label)」ボタンをクリックし、ラベルビルダーを使用して、希望するデフォルトの機密ラベルを指定します。
「認可上限 (Clearance)」ボタンをクリックし、認可上限ビルダーを使って、希望するデフォルトの認可上限ラベルを指定します。
希望する強制された特権を選択します。
希望する許可された特権を選択します。
希望する監査特性を選択します。
(省略可能) トラステッドルーティングの IP ラベルフィールドを指定します。
どのラベルを入力したらよいのかわらない場合は、「トラステッドルーティングの設定」を参照してください。
セキュリティ管理者役割になり ADMIN_LOW
ワークスペースに移動して、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。フィールドの定義については、tnrhdb(4) のマニュアルページも参照してください。
「ネームサービス (Naming Service)」オプションメニューをクリックし、さらに「なし (None)」または「NIS+」を指定します。
データベースマネージャの「読み込み (Load)」リストで Tnrhdb を強調表示し、「編集 (Edit)」メニューから「追加 (Add)」を選択します。
ホストの IP アドレスを、「IP アドレス (IP Address)」フィールドに入力します。
「テンプレート名 (Template Name)」オプションメニューボタンをクリックし、次の図に示すように希望のテンプレート名を選択します。
「了解 (OK)」をクリックして、変更を保存し、「データベースマネージャ: 追加 (Database Manager: Add)」ダイアログボックスを閉じます。
次の例は、IP アドレス (192.110.120.6) で識別されるホストで、テンプレート tsol_1 が割り当てられています。
tnrhdb データベースに新たに追加されたエントリの様子を次の図に示します。
セキュリティ管理者役割になり ADMIN_LOW
ワークスペースに移動して、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
Tnrhtp データベースで割り当てるテンプレートを決定します。
データベースマネージャの「読み込み (Load)」リストで Tnrhdb を強調表示し、「編集 (Edit)」メニューから「追加 (Add)」を選択します。
ネットワークの IP アドレスを入力します。
「テンプレート名 (Template Name)」オプションメニューボタンをクリックして、次の図に示すように、希望するテンプレート名をクリックして選択します。
「了解 (OK)」をクリックして、変更を保存し、ダイアログボックスを閉じます。
次の図に、ネットワークエントリを示します。
次の例に、tnrhdb(4) ファイル内にある、デフォルトの tsol テンプレートを持つネットワーク 192.168.254.0 用の新しいエントリと、IP アドレスが 192.168.254.1 であり、tsol_1 テンプレートを持ったホスト用のエントリを示します。結果として、IP アドレスが 192.168.254.1 のホストは、tsol_1 テンプレートを使い、このネットワーク中の他のホストはすべて tsol テンプレートを使います。
ホストが接続されているネットワークのエントリを作成して、明示的または暗黙的にすべてのホストを一覧表示し、ワイルドカードを使用しなければ、そこに表示されたホストだけがシステムと通信を行えるような、制御された設定が可能になります。
変更が終わったら、「ファイル (File)」をクリックしてメニューを表示し、「終了 (Exit)」オプションをクリックしてデータベースマネージャの「Tnrhdb データベース (Tnrhdb Database)」ダイアログボックスを閉じます。
セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動して、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
必要に応じて新しいテンプレートを作成します。
これには、「tnrhtp に新規テンプレートを作成するには」を参照してください。次の図はラベルなしホストタイプを指定するワイルドカードテンプレートを示します。
データベースマネージャの「読み込み (Load)」リストで Tnrhdb を強調表示し、「編集 (Edit)」メニューから「追加 (Add)」を選択します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
ワイルドカードの IP アドレス 0.0.0.0 とテンプレート名を、表示されたダイアログボックスに入力します。
「テンプレート名 (Template Name)」メニューをクリックして表示し、一覧からテンプレート名を選択します。
次の図では、ワイルドカードテンプレートを 0.0.0.0 のワイルドカードエントリに割り当てています。
修正が終わったら、「了解 (OK)」ボタンをクリックします。
次の図は、ワイルドカード IP アドレスの新しいエントリを示したもので、wildcard というテンプレートに対応しています。この新しいワイルドカードエントリは、未指定のホストをすべてデフォルトエントリに割り当てます。
ワイルドカードエントリを使用すると、どのホストでもシステムとの通信が許可されます。
変更が終わったら、「ファイル (File)」をクリックして、メニューを表示し、 「終了 (Exit)」を選択してデータベースマネージャの「Tnrhdb データベース (Tnrhdb Database)」ダイアログボックスを閉じます。
セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
/var/tsol ディレクトリに移動します。
キャッシュファイル tnrhtp_c と tnrhdb_c を削除します。
リブートします。
セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動して、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
各ホストには、そのホスト固有のネットワークインタフェースの属性を指定する個別の tnidb ファイルが存在します。データベースマネージャの tnidb 用の読み込み一覧において、「ネーミングサービス (Naming Service)」メニューにある唯一のオプションは「なし (None)」です。
1 台以上のホストに割り当てられたテンプレートのホスト認可範囲を設定するには、Tnrhtp を変更し、「最下位 SL (Minimum SL)」と「最上位 SL (Maximum SL)」を指定します。
現在のホスト上の複数のインタフェースのネットワーク認可範囲を設定するには、次の手順を実行します。
新しいインタフェースを追加する場合、インタフェースに付属するマニュアルのハードウェアおよびソフトウェアのインストール手順に従い、ネットワークインタフェースカードを挿入します。
インタフェースインストールプログラムは、hostname.device_abbreviation という新しいデバイスファイルを /etc にインストールします。
ホストに複数のネットワークインタフェースがある場合は、Solaris の『TCP/IP とデータ通信』の説明に従って、ルーターまたはマルチホームホストとして構成します。
新しいネットワークインタフェースの名前がまだ Tnidb データベースに設定されていない場合は、「tnidb で新規エントリを追加する、または既存エントリを変更するには」の手順説明に従って、名前を追加します。
次の図は、デフォルトのネットワークインタフェース名を示しています。
サイトのセキュリティポリシーによって、ホストのインタフェースのデフォルト設定を変更しなければならない場合は、「tnidb で新規エントリを追加する、または既存エントリを変更するには」の手順説明に従ってエントリを変更します。
各フィールドのデフォルト設定は、次の表のとおりです。デフォルトのままでよい場合は、tnidb(4) ファイルを変更する必要はありません。
表 10-4 tnidb のデフォルト設定最下位 SL (Minimum SL) | 最上位 SL (Maximum SL) | ラベル (デフォルト) (Label) | 認可上限 (Clearance) | ユーザー ID (User ID) | グループ ID (Group ID) | 強制された特権 (Forced Privileges) |
---|---|---|---|---|---|---|
ADMIN_LOW | ADMIN_HIGH | ADMIN_LOW | ADMIN_HIGH | nobody | nobody | empty |
セキュリティ管理者役割になり ADMIN_LOW
ワークスペースに移動して、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
必要に応じて、インタフェースを設定します。
必要に応じて、「ネットワークインタフェースを構成するには」を参照してください。
インタフェース名がデフォルトのリストになければ、それを追加し、希望する属性を指定します。
インタフェース名がデフォルトリストにあれば、そのデフォルトの設定を変更します。
インタフェース名のリストにデフォルトのリストがない場合は、それを追加し、希望の属性を指定します。
転送ホストでセキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「管理用エディタ (Admin Editor)」アクションを実行して /etc/system ファイルを開き、編集します。
必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。
tsol_admin_high_to_cipso= フラグを 1 に設定するコマンド行を追加します。
set tsolsys:tsol_admin_high_to_cipso=1 |
カーネルのデフォルト設定は、system ファイルには表示されませんが、0 に設定されています。
ファイルを上書き保存し、閉じます。
:wq |
システム管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「デフォルトの経路の設定 (Set Default Routes)」アクションを実行して、ルーターのホスト名が入った /etc/defaultrouter エントリを作成します。
必要に応じて、「管理アクションを起動するには」を参照してください。また、構文および /etc/defaultrouter ファイルの使用方法については、 route(1M) のマニュアルページを参照してください。次の例は、merlot というデフォルトルーターのエントリを示しています。
merlot |
ローカルファイルの /etc/hosts に、このゲートウェイのエントリがあることを確認します。
129.150.113.36 merlot |
ローカルファイルの /etc/security/tsol/tnrhdb に、このゲートウェイのエントリがあることを確認します。
129.150.113.36:tsol |
ファイルを上書き保存し、閉じます。
:wq |
tnrhdb ファイルに追加したホストがあれば、tnctl(1M) コマンドを実行し、トラステッドネットワーキングキャッシュを更新します。
$ tnctl -h merlot |
システム管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「Tsol ゲートウェイの設定 (Set Tsol Gateways)」アクションを実行して /etc/tsolgateways ファイルを開き、編集します。
必要に応じて、「管理アクションを起動するには」を参照してください。また、構文および /etc/tsolgateways ファイルの使用方法については、tsolgateways(4) および route(1M) のマニュアルページを参照してください。なお、tsolgateways コマンドの拡張メトリックには、route コマンドと同じ構文が使用されます。
必要に応じて、1 つまたは複数のデフォルトエントリを設定します。
ここでは、129.150.113.36 という特定のゲートウェイアドレスを使用して、最初のエントリにデフォルトルートを設定しています。このエントリは、ホストにもパケットの送信先にも特定のルートが定義されていない場合に使用されます。
default 129.150.113.36 1 |
必要に応じて、1 つまたは複数のネットワークエントリを設定します。
下の例の 2 行目には、標準メトリックを使用してネットワークエントリを設定しています。3 行目では、拡張メトリックを使用しており、ラベル範囲を PUBLIC から INTERNAL に指定しています。
default 129.150.113.36 1 net 129.150.102.0 gateway-101 1 net 129.150.101.0 gateway-102 -m metric=2,min_sl="PUBLIC",max_sl="INTERNAL" |
必要に応じて、1 つまたは複数のホストエントリを設定します。
下の例の4 行目では、trusted というゲートウェイホスト用に拡張メトリックを使用してホストエントリを設定し、ラベル範囲を「PUBLIC」から「PUBLIC」に指定しています。
default 129.150.113.36 1 net 129.150.102.0 gateway-101 1 net 129.150.101.0 gateway-102 -m metric=2,min_sl="PUBLIC",max_sl="INTERNAL" host 129.150.101.3 trusted -m metric=2,min_sl="PUBLIC",max_sl="PUBLIC" |
ローカルファイルの /etc/hosts または NIS+ の hosts.org_dir テーブルに、宛先ホストおよびゲートウェイのエントリが設定されていることを確認します。
129.150.113.36 merlot |
ローカルファイルの /etc/security/tsol/tnrhdb に、宛先ホスト、ネットワークおよびゲートウェイのエントリが設定されていることを確認します。
29.150.113.36:tsol1 |
ファイルを上書き保存し、閉じます。
:wq |
Tnrhtp テンプレートを設定し、それを送信側ホスト、メッセージが経由する各トラステッドゲートウェイ、宛先ホストにそれぞれ割り当てるには、以下の手順を実行します。
セキュリティ管理者役割になり、データベースマネージャを起動します。
必要に応じて、「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。
データベース名 Tnrhtp をダブルクリックし (次の図を参照)、その後の図に示すようなデータベースマネージャを開きます。
テンプレート名をダブルクリックし、テンプレートマネージャを開きます。
次の図では、tsol_2 テンプレートが選択されています。
任意のフィールドを変更します。
ゲートウェイのテンプレートでは、ホストタイプとして RIPSO、CIPSO、Trusted Solaris 、TSIX のいずれかを使用できます。
CIPSO ラベルを使用する場合は次の手順に、RIPSO ラベルを使用する場合は手順 6 に進みます。
データの実際の機密ラベルから取得される CIPSO ラベルを使用するには、CIPSO DOI を指定します。
現在定義されている CIPSO DOI は 1 だけです。送信側ホスト、各ゲートウェイ、宛先ホストに、みな同じ CIPSO DOI が指定されていることを確認します。
RIPSO ラベルを使用するには、「RIPSO 送信クラス (RIPSO Send Class)」メニューから格付けを 1 つ選択し、次に「RIPSO 送信 PAF (RIPSO Send PAF)」メニューからサポートされている保護許可フラグを必要なだけ (選択しなくても構いません) 選択します。最後に「RIPSO 戻り PAF (RIPSO Return PAF)」メニューからサポートされている RIPSO エラーを 1 つ選択します。
送信側ホスト、各ゲートウェイ、宛先ホストには、同じ RIPSO ラベルと RIPSO エラーが指定されていることを確認します。
「了解 (OK)」をクリックして変更内容を適用させ、テンプレートマネージャを終了します。
アプリケーションマネージャの「システム管理 (System_Admin)」フォルダから「デフォルトの経路の設定 (Set Default Routes)」アクションを実行し、/etc/defaultrouter ファイルを開きます。
/etc/defaultrouter ファイルに、1 エントリにつき 1 行ずつ、名前または IP アドレスを使用してゲートウェイを一覧入力します。これにはホストの IP アドレスまたは名前を使用します。
ホスト名を使用する場合は、ローカルファイルの /etc/inet/hosts に、そのホストを IP アドレスと共に指定したエントリもなければなりません。
次の例は、ホスト名を使用して、/etc/defaultrouter ファイルにゲートウェイを入力したものです。
routeman |
次の例では、routeman という名の同じゲートウェイを、IP アドレスを使用して /etc/defaultrouter ファイルに入力しています。
127.13.104.10 |
:wq |
転送ホストとは、1 台以上の非 Trusted Solaris 7 または 2.5.1 ゲートウェイをトンネリングさせることにより、相手側の Trusted Solaris 7 または 2.5.1 ホストにルートの拡張メトリックを伝達できるように設定された Trusted Solaris 7 または 2.5.1 ルーターをいいます。
転送ホストでセキュリティ管理役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「管理用エディタ (Admin Editor)」アクションを実行して /etc/security/tsol/tunnel ファイルを開き、編集します。
必要に応じて「管理用エディタアクションを使用してファイルを編集するには」を参照してください。
1 行に 1 つずつ、宛先 (サブ) ネットワークの IP アドレスを入力します。
必要に応じて次の例を参照してください。
129.299.36.0 |
ファイルを上書き保存し、閉じます。
:wq |
拡張メトリックを使用した双方向ルーティングを設定するには、リモートゲートウェイで前の手順を繰り返し、ローカルネットワークの IP アドレスを指定します。