第 1 章 Sun Enterprise 10000 上の Trusted Solaris 7

この章では、Enterprise^TM 10000 での Trusted Solaris 7 オペレーティング環境のインストール、構成、および使用について概要を説明します。サポートされるソフトウェア構成、および Solaris 7 と Trusted Solaris 7 の機能的な違いを説明し、サポートされる構成の具体例を 2 つ示します。

Sun Enterprise 10000 用 Trusted Solaris SSP およびドメインソフトウェア

Sun Enterprise 10000 上の Trusted Solaris 7 に推奨する構成は、SSP とドメインで Trusted Solaris 7 オペレーティング環境を実行することです。SSP とドメインに Trusted Solaris 環境と Solaris 環境の両方を使用する異機種環境を実行することも可能です。

Trusted Solaris オペレーティング環境は、Solaris 7 8/99 リリースをベースとしています。Trusted Solaris 7 は Solaris 7 8/99 リリースと同様、動的再構成 (DR、Dynamic Reconfiguration) をサポートしますが、IDN (InterDomain Networking) はサポートしません。

Sun Enterprise 10000 用 Trusted Solaris 7 ソフトウェア

Trusted Solaris 版の SSP 3.1.1 (以降、Trusted Solaris SSP 3.1.1 とする) は、Trusted Solaris 版の AP 2.2 (以降 Trusted Solaris AP 2.2 とする) と同様に、Trusted Solaris 7 Supplemental Software CD で提供されます。SSP で Trusted Solaris 7 オペレーティング環境を実行する予定の場合は、Trusted Solaris SSP 3.1.1 と Trusted Solaris AP 2.2 をインストールする必要があります。Trusted Solaris 7 オペレーティング環境を実行するドメインでは、Trusted Solaris AP 2.2 を使用する必要があります。

Solaris 7 ソフトウェア環境

SSP で Solaris 7 ソフトウェアを実行する予定の場合、その SSP では Solaris SSP 3.1.1 および AP 2.2 を使用する必要があります。ドメインで Solaris 7 ソフトウェアを実行する予定の場合、そのドメインでは Solaris AP 2.2 を使用する必要があります。

Sun Enterprise 10000 での Solaris 7 のインストールおよび構成との相違

Trusted Solaris のインストールに精通している管理者にとっては、Trusted Solaris SSP と Trusted Solaris ドメインのインストール作業は、トラステッドパッケージ付きの Trusted Solaris 7 環境をインストールする作業を拡張したものと考えることができます。Sun Enterprise 10000 への Solaris ソフトウェアのインストールに精通している管理者なら、Solaris と Trusted Solaris 環境の相違を理解していれば問題ありません。

Trusted Solaris 管理役割が Solaris ユーザーの代わりになる

Trusted Solaris 環境には、スーパーユーザーはいません。スーパーユーザーの作業は、管理役割で分担されます。Trusted Solaris の管理役割は、プロファイルシェル (pfsh(1M) という特殊なシェルで処理されます。役割が直接ログインすることはありません。セキュリティ管理者によって役割を割り当てられたユーザーが、これらの「役割になり」ます。役割は、他の Trusted Solaris ワークステーション上の同じ役割から、リモートでのみログイン可能です。役割についての詳細は、『Trusted Solaris 管理の手順』の「特定の役割への移行と役割ワークスペースでの作業」を参照してください。

SSP ユーザーと SSP 役割

Solaris SSP 3.1.1 における ssp ユーザーは、Trusted Solaris SSP 3.1.1 では ssp 役割に置き換えられています。ssp ユーザーが Solaris 環境で実行するコマンドは、Trusted Solaris 環境では ssp 役割によって実行されます。ssp 役割はプロファイルシェル (pfsh) を使用して実行されます。他のシェルで実行するよう変更してはなりません。

ssp 役割のホームディレクトリ (/export/home/ssp) は、インストール時にマルチレベルディレクトリ (MLD) として作成されます。ssp 役割はラベル admin_low で実行され、そのファイルはラベル admin_low の SLD (シングルラベルディレクトリ) に格納されます。Trusted Solaris 環境および概念については、『Trusted Solaris 管理の概要』を参照してください。

スーパーユーザー (root) と root 役割

Solaris のスーパーユーザー (root) は、Trusted Solaris では root 役割に置き換えられます。Trusted Solaris SSP 3.1.1 と Trusted Solaris AP 2.2 では、Solaris 環境のスーパーユーザーが実行するコマンドは、Trusted Solaris 環境の root 役割によって実行されます。root 役割はプロファイルシェル (pfsh) を使用して実行されます。他のシェルで実行するよう変更してはなりません。

Trusted Solaris ソフトウェアによる SSP ローカルアクセスおよびリモートアクセス

SSP コンソールへの Trusted Solaris アクセスは、Trusted Solaris 役割による制約があるため、Solaris アクセスとは異なります。

SSP ローカルアクセス

Solaris SSP コンソールには、ssp ユーザーが直接ログインできます。Trusted Solaris SSP コンソールには、管理者はまず ssp 役割になれるユーザーとしてログインし、その後、その役割になります。

Solaris SSP コンソールでは、スーパーユーザーは直接ログインすることもでき、su(1M) コマンドを使用してスーパーユーザーになることもできます。Trusted Solaris SSP コンソールでは、root 役割になれる管理者がまず一般ユーザーとしてログインし、それから役割になります。

SSP リモートアクセス

Solaris SSP 上の ssp ユーザーにリモートでアクセスするには、SSP に rlogin(1) または telnet(1) を実行し、それから ssp ユーザーとしてログインします。また、SSP に CDE リモートログインを実行し、それから ssp ユーザーとして CDE ログインすることもできます。

Trusted Solaris SSP 上の ssp 役割にリモートでアクセスするには、次の方法があります。

• 他の Trusted Solaris ワークステーション上でssp 役割になります。その ssp 役割で、SSP に rlogin(1) を実行します。この方法は ssp 役割をもつ Trusted Solaris SSP からしか使えません。

• 他の Trusted Solaris ワークステーションから、SSP に CDE リモートログインを実行します。この SSP がローカル Trusted Solaris ワークステーション上のリモートホストになります。次に、ssp 役割になれるユーザーとして SSP に CDE ログインを実行し、ssp 役割になります。この方法では、ローカル Trusted Solaris ワークステーションに ssp 役割がある必要はありません。この方法を使用して、どのローカル Trusted Solaris ワークステーションからでも Trusted Solaris SSP にリモートでアクセスできます。

これらの方法は、Trusted Solaris SSP 上の root 役割にアクセスする場合にも使えます。リモート管理についての詳細は、『Trusted Solaris 管理の手順』の「リモート管理オプション」を参照してください。

Trusted Solaris ソフトウェアによるドメインアクセス

Solaris および Trusted Solaris ドメインは、SSP コンソールまたは他のワークステーションからアクセスできます。

SSP コンソールから

Solaris ドメインには、netcon(1M) セッションからログインできます。Trusted Solaris ではコマンド行によるログインがサポートされていないため、netcon セッションから Trusted Solaris ドメインにログインすることはできません。ただし、netcon ウィンドウはドメインのコンソールメッセージを受信するので、OBP (OpenBoot^TM PROM) コマンド用に使用することはできます。

SSP コンソールから Trusted Solaris ドメインにログインするには、次の方法があります。

• Solaris SSP コンソールから、Trusted Solaris ドメインに一般ユーザーとして rlogin(1) を実行できます。ただし、Solaris SSP コンソールから Trusted Solaris ドメイン上の root 役割にアクセスすることはできません。

• Trusted Solaris SSP コンソールのユーザーワークスペースから、Trusted Solaris ドメインに一般ユーザーとして rlogin を実行できます。管理作業を行うには、Trusted Solaris SSP コンソールで管理役割になり、次にその役割として Trusted Solaris ドメインに rlogin を実行します。

他のワークステーションから

Solaris ワークステーションから Solaris ドメインに rlogin を実行できます。Solaris ワークステーションから Trusted Solaris ドメインに一般ユーザーとして rlogin(1) を実行できます。管理役割にはアクセスできないため、Solaris ワークステーションから Trusted Solaris ドメインでの管理作業を行うことはできません。

Trusted Solaris ワークステーションから Trusted Solaris ドメインにログインするには、次の方法があります。

• Trusted Solaris ワークステーションのユーザーワークスペースから、Trusted Solaris ドメインに一般ユーザーとして rlogin を実行できます。Trusted Solaris ワークステーションの管理役割 (たとえば、root 役割) から、その役割としてドメインに rlogin を実行できます。Trusted Solaris SSP が使用できない場合、この方法を使用して Trusted Solaris ドメインにアクセスできます。

• 他の Trusted Solaris ワークステーションから、Trusted Solaris ドメインに CDE リモートログインを実行することもできます。この Trusted Solaris ドメインがローカル Trusted Solaris ワークステーション上のリモートホストになります。ドメインに一般ユーザーとして CDE ログインし、それから役割になれます。この方法は、予備の Trusted Solaris ワークステーションが使用できる場合に便利です。Trusted Solaris SSP を使用してこの操作を行うのは一般に望ましくありません。その SSP は SSP 作業に使用できなくなるからです。

インストールオプションの削減

Trusted Solaris 7 のインストールでは、Solaris 7 インストール用ソフトウェアで提供されている次のオプションが完全にはサポートされません。

• Solaris^TM Web Start。Trusted Solaris SSP 3.1.1 は CD-ROM からインストールします。

• アップグレード。Solaris オペレーティング環境を Trusted Solaris 7 オペレーティング環境にアップグレードすることはできません。対応する Solaris バージョンから Trusted Solaris 3.1.1 または Trusted Solaris AP 2.2 にアップグレードすることはできません。

• SSP のバックアップ。Trusted Solaris 3.1.1 では、対応する Solaris バージョンと同様、Solaris SSP 3.1 または 3.1.1 の ssp_backup コマンドで作成したバックアップファイルから ssp_restore コマンドを使用して SSP 環境を復元できます。

• NIS。Trusted Solaris 7 は NIS ではなく NIS+ ネームサービスをサポートします。

Trusted Solaris のインストール

Trusted Solaris SSP 3.1.1 ソフトウェアを SSP ワークステーションにインストールする前に、そのワークステーションに Trusted Solaris 7 オペレーティング環境をインストールして構成する必要があります。

Trusted Solaris SSP のインストール

SSP への Trusted Solaris 7 オペレーティング環境のインストールは、NIS+ クライアントワークステーションまたは NIS+ マスターサーバーへの Trusted Solaris 7 のインストールと同じです。詳細は、『Trusted Solaris のインストールと構成』を参照してください。

SSP に Trusted Solaris オペレーティング環境をインストールし構成した後、Trusted Solaris SSP 3.1.1 ソフトウェアをインストールできます。詳細は、第 3 章「Trusted Solaris SSP 3.1.1 のインストールと構成」を参照してください。

Trusted Solaris SSP 3.1.1 をインストールした後、Trusted Solaris AP 2.2 ソフトウェアをインストールできます。詳細は、第 5 章「Sun Enterprise 10000 サーバー上の Trusted Solaris Alternate Pathing 2.2」を参照してください。

Trusted Solaris ドメインのインストール

ドメインへの Trusted Solaris オペレーティング環境のインストールは、Trusted Solaris SSP をネットインストールサーバーとして使用して行うことができます。詳細は、第 4 章「Sun Enterprise 10000 ドメイン上の Trusted Solaris 7」を参照してください。

ドメインに Trusted Solaris オペレーティング環境をインストールし構成した後、Trusted Solaris AP 2.2 ソフトウェアをインストールできます。詳細は、第 5 章「Sun Enterprise 10000 サーバー上の Trusted Solaris Alternate Pathing 2.2」を参照してください。

Trusted Solaris 7 を実行する Sun Enterprise 10000 システムの作成

次に、Sun Enterprise 10000 上で推奨される Trusted Solaris 7 構成を作成する例を示します。

• 「ドメインのない新規の Sun Enterprise 10000 サーバー」

• 「ドメインのある既存の Sun Enterprise 10000 サーバー」

---

注 -

これらの例では、概略を説明しています。サイトおよびサイトのセキュリティ要件に最適で詳細な計画をサイトごとに立案してください。

---

ドメインのない新規の Sun Enterprise 10000 サーバー

1. SSP に Trusted Solaris 7 オペレーティング環境と Trusted Solaris SSP 3.1.1 をインストールします。代替パス指定が必要な場合は、Trusted Solaris AP 2.2 をインストールします。

2. 各ドメインを作成し、それぞれに Trusted Solaris 7 オペレーティング環境をインストールします。代替パス指定が必要な場合は、Trusted Solaris AP 2.2 をインストールします。

ドメインのある既存の Sun Enterprise 10000 サーバー

1. 現在の SSP 環境をバックアップします。

2. 予備の SSP に、Trusted Solaris 7 オペレーティング環境と Trusted Solaris SSP 3.1.1 をインストールします。代替パス指定が必要な場合は、Trusted Solaris AP 2.2 をインストールします。予備の SSP で SSP 環境を復元し、予備の SSP がメイン SSP と同期をとるようにします。

3. SSP を切り替えて、メイン SSP が Trusted Solaris 7、Trusted Solaris SSP 3.1.1、および Trusted Solaris AP 2.2 を実行するようにします。

4. 予備の SSP に、Trusted Solaris 7 オペレーティング環境と Trusted Solaris SSP 3.1.1 をインストールします。代替パス指定が必要な場合は、Trusted Solaris AP 2.2 をインストールします。予備の SSP 環境を復元して、メイン SSP と同期をとるようにします。

5. 各ドメインを Solaris ソフトウェアから Trusted Solaris 7 に変換するため、各ドメインに Trusted Solaris 7 オペレーティング環境をインストールします。代替パス指定が必要な場合は、Trusted Solaris AP 2.2 をインストールします。