test

Logical Domains 1.2 管理ガイド

第 3 章 ソフトウェアのインストールおよび有効化

この章では、Logical Domains (LDoms) 1.2 ソフトウェアを有効にするために必要なさまざまなソフトウェアコンポーネントをインストールまたはアップグレードする方法について説明します。LDoms ソフトウェアを使用するには、次のコンポーネントが必要です。

Logical Domains Manager をインストールまたはアップグレードする前に、Solaris OS およびシステムファームウェアが、使用しているサーバーでインストールまたはアップグレードされている必要があります。システムですでに Logical Domains ソフトウェアを使用している場合、「Logical Domains をすでに使用しているシステムのアップグレード」 を参照してください。そうでない場合は、「新しいシステムへの Logical Domains ソフトウェアのインストール」 を参照してください。

この章の内容は次のとおりです。

Logical Domains をすでに使用しているシステムのアップグレード

この節では、Logical Domains ソフトウェアをすでに使用しているシステムで Solaris OS、ファームウェア、および Logical Domains Manager コンポーネントをアップグレードするプロセスについて説明します。

Solaris OS のアップグレード

使用しているシステムですでに Logical Domain ソフトウェアが構成されている場合は、その制御ドメインをアップグレードする必要があります。Logical Domains 1.2 ソフトウェアのすべての機能を使用可能にする場合は、その他の既存のドメインもアップグレードする必要があります。

このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS、および各種ドメインに必須および推奨されるパッチを調べるには、『Logical Domains 1.2 リリースノート』「必須のソフトウェアとパッチ」 を参照してください。Solaris OS をアップグレードする詳細な手順については、Solaris 10 のインストールマニュアルを参照してください。

制御ドメインで Solaris OS をアップグレードする場合、この節に示すとおり、Logical Domains の自動保存構成データおよび制約データベースファイルを保存および復元する必要があります。

自動保存構成ディレクトリの保存および復元

制御ドメインでオペレーティングシステムをアップグレードするたびに、Logical Domains の自動保存構成データを保存および復元する必要があります。このデータは、/var/opt/SUNWldm/autosave-autosave-name ディレクトリに格納されています。

tar または cpio コマンドを使用して、ディレクトリのすべての内容を保存および復元できます。

注 –

各自動保存ディレクトリには、関連する構成の前回の SP 構成更新のタイムスタンプが含まれています。自動保存ファイルを復元すると、タイムスタンプが同期しなくなることがあります。この場合、復元された自動保存構成は、以前の状態 ([newer] または最新) で表示されます。

自動保存構成の詳細は、「Logical Domains 構成の管理」 を参照してください。

Procedure自動保存ディレクトリを保存および復元する

この手順は、自動保存ディレクトリを保存および復元する方法を示します。

  1. 自動保存ディレクトリを保存します。


    # cd /
# tar -cvf autosave.tar var/opt/SUNWldm/autosave-*

  2. (省略可能) クリーンな復元操作を行えるように、既存の自動保存ディレクトリを削除します。

    自動保存ディレクトリには、以前の構成によって残されたファイルなどの不要なファイルが含まれていることがあります。このようなファイルは、SP にダウンロードされた構成を破壊することがあります。このような場合、この例に示すとおり、復元操作の前に自動保存ディレクトリを削除します。


    # cd /
# rm -rf var/opt/SUNWldm/autosave-*

  3. 自動保存ディレクトリを復元します。

    これらのコマンドは、/var/opt/SUNWldm ディレクトリ内のファイルおよびディレクトリを復元します。


    # cd /
# tar -xvf autosave.tar

Logical Domains の制約データベースファイルの保存および復元

制御ドメインでオペレーティングシステムをアップグレードするたびに、/var/opt/SUNWldm/ldom-db.xml で参照できる Logical Domains の制約データベースファイルを保存および復元する必要があります。

注 –

また、ディスクスワップなど、制御ドメインのファイルデータを破損するその他の操作を行うときは、/var/opt/SUNWldm/ldom-db.xml ファイルも保存および復元します。

Live Upgrade を使用する場合の Logical Domains の制約データベースファイルの保持

制御ドメインで Live Upgrade を使用する場合は、/etc/lu/synclist ファイルに次の行を追加することを検討してください。


/var/opt/SUNWldm/ldom-db.xml     OVERWRITE

これによって、データベースがアクティブなブート環境から新しいブート環境に自動的にコピーされます。/etc/lu/synclist と、ブート環境間でのファイルの同期については、『Solaris 10 5/09 Installation Guide: Solaris Live Upgrade and Upgrade Planning』「Synchronizing Files Between Boot Environments」 を参照してください。

Solaris 10 5/08 OS より前の Solaris 10 OS からのアップグレード

制御ドメインで Solaris 10 5/08 OS より前のバージョンの Solaris 10 OS (またはパッチ 127127-11 が適用されていない Solaris 10 OS) からのアップグレードを行う場合、およびボリュームマネージャーのボリュームが仮想ディスクとしてエクスポートされている場合は、Logical Domain Manager をアップグレードしたあとに、options=slice を指定して仮想ディスクバックエンドを再エクスポートする必要があります。詳細は、「ボリュームのエクスポートおよび下位互換性」 を参照してください。

Logical Domains Manager およびシステムファームウェアのアップグレード

この節では、Logical Domains 1.2 ソフトウェアにアップグレードする方法について説明します。

まず、Logical Domains Manager および Solaris Security Toolkit を制御ドメインにダウンロードします。「Logical Domains Manager および Solaris Security Toolkit のダウンロード」 を参照してください。

次に、プラットフォーム上で動作している制御ドメイン以外のすべてのドメインを停止します。

Procedureプラットフォーム上で動作している制御ドメイン以外のすべてのドメインを停止する

  1. 各ドメインで ok プロンプトに移行します。

  2. 制御ドメインから各ドメインに対して stop-domain サブコマンドを実行します。


    primary# ldm stop-domain ldom

  3. 制御ドメインから各ドメインに対して unbind-domain サブコマンドを実行します。


    primary# ldm unbind-domain ldom

Logical Domains 1.2 ソフトウェアへのアップグレード

この節では、Logical Domains 1.2 ソフトウェアにアップグレードする方法について説明します。

既存の LDoms 1.0 の設定を Logical Domains 1.2 ソフトウェアで使用する場合は、「LDoms 1.0 ソフトウェアからアップグレードする」 に示す手順を実行してください。既存の LDoms 1.0 の設定は、Logical Domains 1.2 ソフトウェアでは機能しません

LDoms 1.0.1、1.0.2、1.0.3、または 1.1 ソフトウェアからアップグレードする場合、「LDoms 1.0.x または 1.1 からアップグレードする」 に示す手順を実行してください。既存の LDoms 1.0.1、1.0.2、1.0.3、および 1.1 の設定は、Logical Domains 1.2 ソフトウェアでも機能します

ProcedureLDoms 1.0 ソフトウェアからアップグレードする

既存の Logical Domains 1.0 の設定は Logical Domains 1.2 ソフトウェアでは機能しません。そのため、Logical Domains 1.0 の設定を保存してから、Logical Domains 1.2 ソフトウェアで使用できるようにその設定をアップグレードする必要があります。次の手順では、ldm add-domain コマンドに XML 制約ファイルおよび -i オプションを使用して、構成を保存および再構築する方法について説明します。

基本的な処理は、各ドメインの制約情報を XML ファイルに保存することです。アップグレード後に、この XML ファイルを Logical Domains Manager に対して再実行して、必要な設定を再構築できます。

この節に示す手順は、制御ドメインではなく、ゲストドメインに対して有効です。制御 (primary) ドメインの制約を XML ファイルに保存することはできますが、それを ldm add-domain -i コマンドに指定することはできません。ただし、XML ファイルのリソース制約を使用して、primary ドメインを再構成する CLI コマンドを作成することはできます。ldm list-constraints -x primary コマンドの標準的な XML 出力を、primary ドメインの再構成に必要な CLI コマンドに変換する方法については、「制御ドメインの再構築」 を参照してください。

次に示す方法では、実際のバインドは保持されず、それらのバインドを作成するために使用した制約だけが保持されます。つまり、この手順を行うと、ドメインは同じ仮想リソースを持ちますが、同じ物理リソースにバインドされるとはかぎりません。

  1. 各ドメインで、ドメインの制約を含む XML ファイルを作成します。


    # ldm list-constraints -x ldom > ldom.xml

  2. サービスプロセッサに格納されている論理ドメイン構成をすべて一覧表示します。


    # ldm list-config

  3. サービスプロセッサに格納されているそれぞれの論理ドメイン構成を削除します。


    # ldm rm-config config-name

  4. Logical Domains Manager デーモン (ldmd) を無効にします。


    # svcadm disable ldmd

  5. Logical Domains Manager パッケージ (SUNWldm) を削除します。


    # pkgrm SUNWldm

  6. Solaris Security Toolkit パッケージ (SUNWjass) を削除します。


    # pkgrm SUNWjass

  7. システムのファームウェアをフラッシュ更新します。

    手順全体については、「システムファームウェアをアップグレードする」 または 「FTP サーバーを使用せずに、システムファームウェアをアップグレードする」 を参照してください。

  8. Solaris Security Toolkit および Logical Domains Manager を再インストールします。

    「Logical Domains Manager および Solaris Security Toolkit のインストール」 を参照してください。

  9. primary ドメインを手動で再構成します。

    手順については、「制御ドメインを設定する」 を参照してください。

  10. 手順 1 で作成した各ゲストドメインの XML ファイルに対して、次のコマンドを実行します。


    # ldm add-domain -i ldom.xml
# ldm bind-domain ldom
# ldm start-domain ldom

ProcedureLDoms 1.0.x または 1.1 からアップグレードする

  1. システムのファームウェアをフラッシュ更新します。

    手順全体については、「システムファームウェアをアップグレードする」 または 「FTP サーバーを使用せずに、システムファームウェアをアップグレードする」 を参照してください。

  2. Logical Domains Manager デーモン (ldmd) を無効にします。


    # svcadm disable ldmd

  3. 古い SUNWldm パッケージを削除します。


    # pkgrm SUNWldm

  4. 新しい SUNWldm パッケージを追加します。

    -d オプションの指定は、パッケージが現在のディレクトリに存在することを前提としています。


    # pkgadd -Gd . SUNWldm

  5. ldm list コマンドを使用して、Logical Domains Manager デーモンが実行中であることを確認します。

    ldm list コマンドを実行すると、システム上で現在定義されているすべてのドメインが一覧表示されます。特に、primary ドメインが表示され、状態が active になっているはずです。次のサンプル出力は、システム上に primary ドメインのみが定義されていることを示します。


    # ldm list
NAME             STATE    FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active   ---c-   SP      32    3264M    0.3%  19d 9m

新しいシステムへの Logical Domains ソフトウェアのインストール

Logical Domains ソフトウェアをサポートする Sun プラットフォームは、Solaris 10 OS がプリインストールされた状態で出荷されます。初期設定では Logical Domains ソフトウェアは有効になっていません。また、プラットフォームは、1 つのオペレーティングシステムのみをホストする単一のシステムとして表示されます。Solaris OS、システムファームウェア、および Logical Domains Manager をインストールすると、Solaris OS の元のシステムおよびインスタンスが制御ドメインになります。プラットフォームのこの最初のドメインには、primary という名前が付けられます。この名前を変更したり、このドメインを削除したりすることはできません。このドメインから、Solaris OS のさまざまなインスタンスをホストする複数のドメインを持つようにプラットフォームを再構成できます。

Solaris OS のアップグレード

新しいシステムでは、インストールポリシーに一致するように OS を再インストールする必要がある場合があります。この場合、『Logical Domains 1.2 リリースノート』「必須および推奨される Solaris OS」 を参照して、このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS を調べてください。Solaris OS をインストールする詳細な手順については、使用している Solaris 10 OS のインストールマニュアルを参照してください。インストール内容は、使用しているシステムの要件に合わせて調整できます。

システムがすでにインストールされている場合は、このバージョンの Logical Domains ソフトウェアを使用するために必要な適切な Solaris 10 OS にアップグレードする必要があります。このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS、および必須パッチと推奨されるパッチを調べるには、『Logical Domains 1.2 リリースノート』「必須のソフトウェアとパッチ」 を参照してください。Solaris OS をアップグレードするための手順全体は、「Solaris 10 5/09 Release and Installation Collection」を参照してください。

システムファームウェアのアップグレード

Procedureシステムファームウェアをアップグレードする

使用しているプラットフォームのシステムファームウェアは、SunSolve サイトから入手できます。

サポートされるサーバーで必要なシステムファームウェアについては、『Logical Domains 1.2 リリースノート』「システムファームウェアの必須パッチ」 を参照してください。

この手順では、サービスプロセッサで flashupdate コマンドを使用してシステムファームウェアをアップグレードする方法について説明します。

サポートされるサーバーのシステムファームウェアのインストールおよび更新については、そのサーバーの管理マニュアルまたはプロダクトノートを参照してください。

  1. サービスプロセッサに接続されたシリアルまたはネットワークのいずれかの管理ポートを使用して、ホストサーバーを停止して電源を切ります。


    # shutdown -i5 -g0 -y

  2. 使用しているサーバーに応じて、flashupdate コマンドを使用してシステムファームウェアをアップグレードします。

    ファームウェアをアップグレードする方法の詳細は、プラットフォームのマニュアルを参照してください。

    次に、flashupdate コマンドのサンプルを示します。


    sc> flashupdate -s IP-address -f path/Sun_System_Firmware-
x_x_x_build_nn-server-name.bin
username: your-userid
password: your-password

    各表記の意味は次のとおりです。

    • IP-address は、使用している FTP サーバーの IP アドレスです。

    • path は、システムファームウェアイメージを入手できる SunSolvesm 内の場所または独自のディレクトリです。

    • x_x_x は、システムファームウェアのバージョン番号です。

    • nn は、このリリースに適用されるビルド番号です。

    • server-name は、使用しているサーバーの名前です。たとえば、Sun FireTM T2000 サーバーの server-name は、Sun_Fire_T2000 です。

  3. サービスプロセッサをリセットします。


    sc> resetsc -y

  4. ホストサーバーの電源を入れて起動します。


    sc> poweron -c
ok boot disk

ProcedureFTP サーバーを使用せずに、システムファームウェアをアップグレードする

サービスプロセッサにファームウェアをアップロードするためのローカル FTP サーバーにアクセスできない場合は、sysfwdownload ユーティリティーを使用できます。このユーティリティーは、システムファームウェアアップグレードパッケージとともに SunSolve サイトで提供されています。

http://sunsolve.sun.com

  1. Solaris OS 内で次のコマンドを実行します。


    # cd firmware_location
# sysfwdownload system_firmware_file

  2. Solaris OS インスタンスを停止します。


    # shutdown -i5 -g0 -y

  3. システムの電源を切り、ファームウェアを更新します。


    sc> poweroff -fy
sc> flashupdate -s 127.0.0.1

  4. サービスプロセッサをリセットしてシステムの電源を入れます。


    sc> resetsc -y
sc> poweron

Logical Domains Manager および Solaris Security Toolkit のダウンロード

Procedureソフトウェアをダウンロードする

  1. Sun のソフトウェアダウンロードサイトから zip ファイル (LDoms_Manager-1_2.zip) をダウンロードします。

    ソフトウェアは、http://www.sun.com/ldoms から入手できます。

  2. zip ファイルを解凍します。


    $ unzip LDoms_Manager-1_2.zip

    Logical Domains Manager および Solaris Security Toolkit は、同じ zip ファイル内に含まれています。ファイルの構造およびファイルの内容の詳細は、『Logical Domains 1.2 リリースノート』「LDoms 1.2 ソフトウェアの場所」 を参照してください。

Logical Domains Manager および Solaris Security Toolkit のインストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアをインストールするには、次の 3 つの方法があります。

注 –

Logical Domains および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これは、ほかのパッケージとともに自動的にはインストールされません。LDoms MIB のインストールおよび使用法の詳細は、『Logical Domains (LDoms) MIB 1.0.1 Administration Guide』 を参照してください。

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの自動インストール

install-ldm インストールスクリプトを使用する場合、スクリプトの実行方法を指定する選択肢がいくつかあります。それぞれの選択肢について、次の手順で説明します。

Procedure特別なオプションを指定せずにインストールする

  1. オプションを指定せずに install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。


    # Install/install-ldm

    1. 1 つ以上のパッケージがすでにインストールされている場合は、次のメッセージが表示されます。


      # Install/install-ldm
ERROR: One or more packages are already installed: SUNWldm SUNWjass.
If packages SUNWldm.v and SUNWjass are factory pre-installed, run
install-ldm -p to perform post-install actions.  Otherwise remove the
package(s) and restart install-ldm.

      インストール後の処理のみを実行する場合は、「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 に進みます。

    2. 処理が正常に実行されると、次の例のようなメッセージが表示されます。

    • 例 3–1 は、次のデフォルトのセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

      a) Hardened Solaris configuration for LDoms (recommended)

    • 例 3–2 は、次のセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

      c) Your custom-defined Solaris security configuration profile

      選択肢として表示されるドライバは、名前が -secure.driver で終わるドライバです。名前が -secure.driver で終わらない、カスタマイズしたドライバを書き込む場合は、install-ldm -d オプションでカスタマイズしたドライバを指定する必要があります。「カスタマイズされた強化ドライバとともにインストールする」 を参照してください。

例 3–1 LDoms 用に強化された Solaris 構成の場合の出力


# Install/install-ldm
Welcome to the LDoms installer.
 
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Toolkit.
 
Select a security profile from this list:
 
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
 
Enter a, b, or c [a]: a
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u'  command.
 
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
Executing driver, ldm_control-secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070208142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.
例 3–2 カスタマイズされた構成プロファイルを選択した場合の出力


# Install/install-ldm
Welcome to the LDoms installer.
 
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Toolkit.
 
Select a security profile from this list:
 
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
 
Enter a, b, or c [a]: c
Choose a Solaris Security Toolkit .driver configuration profile from
this list
1) ldm_control-secure.driver
2) secure.driver
3) server-secure.driver
4) suncluster3x-secure.driver
5) sunfire_15k_sc-secure.driver
 
Enter a number 1 to 5: 2
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Is this OK (yes/no)? [no] y
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u' command.
 
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d secure.driver
Executing driver, secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070102142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

Procedureカスタマイズされた強化ドライバとともにインストールする

  1. Solaris Security Toolkit のカスタマイズされた強化ドライバ (たとえば、server-secure-myname.driver) を指定するには、-d オプションを指定して install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。


    # Install/install-ldm -d server-secure-myname.driver

    処理が正常に実行されると、次の例のようなメッセージが表示されます。

例 3–3 install-ldm -d スクリプトが正常に実行された場合の出力


# Install/install-ldm -d server-secure.driver
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver server-secure-myname.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d server-secure-myname.driver
Executing driver, server-secure-myname.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20061114143128/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

Procedureインストールし、システムを強化しない

  1. Solaris Security Toolkit ドライバを使用してシステムを強化しないことを指定するには、-d none オプションを指定して install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。


    # Install/install-ldm -d none

    処理が正常に実行されると、次の例のようなメッセージが表示されます。

例 3–4 install-ldm -d none スクリプトが正常に実行された場合の出力


# Install/install-ldm -d none
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Solaris Security Toolkit was not applied. Bypassing the use of the
Solaris Security Toolkit is not recommended and should only be
performed when alternative hardening steps are to be taken.

ProcedureLogical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する

SUNWldm および SUNWjass パッケージがサーバーにプリインストールされており、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理を行う必要がある場合は、このオプションを使用できます。

  1. システムを強化するために ldmd の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行するには、-p オプションを指定して install-ldm インストールスクリプトを実行します。


    # Install/install-ldm -p
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
Please wait. . .
/opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
Solaris Security Toolkit hardening executed successfully; log file
var/opt/SUNWjass/run/20070515140944/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

JumpStart を使用した Logical Domains Manager 1.2 および Solaris Security Toolkit 4.2 ソフトウェアのインストール

JumpStart の使用法の詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

注意 – 注意 –

ネットワークインストール中は、仮想コンソールから接続を解除しないでください。

ProcedureJumpStart サーバーを設定する

  1. 『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』 を参照してください。

    次の手順を実行します。

    1. 『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』「Task Map: Preparing Custom JumpStart Installations」 を参照してください。

    2. 「ネットワーク上のシステム用のプロファイルサーバーの作成」の手順に従って、ネットワークに接続されたシステムを設定します。

    3. rules ファイルの作成」の手順に従って、rules ファイルを作成します。

  2. rules ファイルの妥当性を検査する」の手順に従って、rules ファイルの妥当性検査を行います。

    Solaris Security Toolkit では、プロファイルおよび終了スクリプトが提供されています。プロファイルおよび終了スクリプトの詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。

ProcedureJumpStart ソフトウェアを使用してインストールする

  1. Solaris Security Toolkit パッケージ (SUNWjass) をダウンロードしたディレクトリに移動します。


    # cd /path-to-download

  2. SUNWjass をインストールして、JumpStart (jumpstart) ディレクトリ構造を作成します。


    # pkgadd -R /jumpstart -d . SUNWjass

  3. テキストエディタを使用して、ネットワーク環境を反映するように /jumpstart/opt/SUNWjass/Sysidcfg/Solaris_10/sysidcfg ファイルを変更します。

  4. /jumpstart/opt/SUNWjass/Drivers/user.init.SAMPLE ファイルを /jumpstart/opt/SUNWjass/Drivers/user.init ファイルにコピーします。


    # cp user.init.SAMPLE user.init

  5. パスを反映するように user.init ファイルを編集します。

  6. JumpStart のインストール中に Solaris Security Toolkit パッケージ (SUNWjass) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにこのパッケージを配置する必要があります。次に例を示します。


    # cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWjass /jumpstart/opt/SUNWjass/Packages

  7. JumpStart のインストール中に Logical Domains Manager パッケージ (SUNWldm.v) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにダウンロード領域からこのパッケージを配置する必要があります。次に例を示します。


    # cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWldm.v /jumpstart/opt/SUNWjass/Packages

  8. マルチホーム JumpStart サーバーで問題が発生した場合は、user.init ファイル内の JASS_PACKAGE_MOUNT および JASS_PATCH_MOUNT に関する 2 つのエントリを、JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。詳細は、user.init.SAMPLE ファイル内のコメントを参照してください。

  9. Logical Domains Manager 制御ドメインの基本ドライバとして ldm_control-secure.driver を使用します。

    使用するドライバを変更する方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 の第 4 章を参照してください。ldm_control-secure.driver に対応する Solaris Security Toolkit のメインドライバは、secure.driver です。

  10. ldm_control-secure.driver への変更が完了したら、rules ファイルに適切なエントリを作成します。

    • LDoms 制御ドメインを最小化する場合は、rules ファイル内の minimal-ldm-control.profile を次のように指定します。


      hostname imbulu - Profiles/minimal-ldm_control.profile
Drivers/ldm_control-secure-abc.driver
      注 –

      LDoms および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これらは、ほかのパッケージとともに自動的にはインストールされません。

    • LDoms 制御ドメインを最小化しない場合は、エントリは次のようになるはずです。


      hostname imbulu - Profiles/oem.profile Drivers/ldm_control-secure-abc.driver

  11. JumpStart のインストール中の強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager を再起動する必要があります。


    # svcadm enable svc:/ldoms/ldmd:default

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの手動インストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアを手動でインストールするには、次の手順を実行します。

ProcedureLogical Domains Manager (LDoms) 1.2 ソフトウェアを手動でインストールする

始める前に

Sun のソフトウェアダウンロードサイトから、Logical Domains Manager 1.2 ソフトウェアの SUNWldm パッケージをダウンロードします。具体的な手順については、「ソフトウェアをダウンロードする」 を参照してください。

  1. pkgadd(1M) コマンドを使用して、SUNWldm.v パッケージをインストールします。-G オプションを使用して大域ゾーンのみにパッケージをインストールするよう指定し、-d オプションを使用して SUNWldm.v パッケージを含むディレクトリのパスを指定します。


    # pkgadd -Gd . SUNWldm.v

  2. 対話型プロンプトのすべての質問に対して、y (はい) と答えます。

  3. pkginfo(1) コマンドを使用して、Logical Domains Manager 1.2 ソフトウェア用の SUNWldm パッケージがインストールされていることを確認します。

    バージョン (REV) 情報の例を次に示します。


    # pkginfo -l SUNWldm | grep VERSION
VERSION=1.2,REV=2007.08.23.10.20

Procedure(省略可能) Solaris Security Toolkit 4.2 ソフトウェアを手動でインストールする

システムをセキュリティー保護するには、SUNWjass パッケージをダウンロードしてインストールします。必須パッチ (122608-03 および 125672-01) は、SUNWjass パッケージに含まれています。ソフトウェアのダウンロードに関する詳細は、「ソフトウェアをダウンロードする」 を参照してください。

Logical Domains Manager ソフトウェアを使用する場合のセキュリティーに関する考慮事項の詳細は、このドキュメントの 第 2 章セキュリティー を参照してください。さらに詳細を確認するには、次の URL で Solaris Security Toolkit 4.2 のドキュメントを参照できます。

http://docs.sun.com

  1. pkgadd(1M) コマンドを使用して、SUNWjass パッケージをインストールします。


    # pkgadd -d . SUNWjass

  2. pkginfo(1) コマンドを使用して、Solaris Security Toolkit 4.2 ソフトウェアの SUNWjass パッケージがインストールされていることを確認します。


    # pkginfo -l SUNWjass | grep VERSION
VERSION: 4.2.0

Procedure(省略可能) 制御ドメインを手動で強化する

Solaris Security Toolkit 4.2 パッケージがすでにインストールされている場合にかぎり、この手順を実行してください。

注 –

Solaris Security Toolkit を使用して制御ドメインを強化すると、多くのシステムサービスが無効になり、ネットワークアクセスに一定の制限が生じます。詳細は、「関連マニュアル」 を参照して、Solaris Security Toolkit 4.2 のドキュメントで確認してください。

  1. ldm_control-secure.driver を使用して強化します。


    # /opt/SUNWjass/bin/jass-execute -d ldm_control-secure.driver

    システムを強化するために、ほかのドライバを使用できます。また、ドライバをカスタマイズして、使用している環境のセキュリティーを調整することもできます。ドライバとそのカスタマイズ方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。

  2. 対話型プロンプトのすべての質問に対して、y (はい) と答えます。

  3. 強化を有効にするため、サーバーを停止してから再起動します。


    # /usr/sbin/shutdown -y -g0 -i6

Procedure強化の妥当性検査を行う

  1. Logical Domains 強化ドライバ (ldom_control-secure.driver) によって、強化が適切に適用されたかどうかを確認します。

    別のドライバについて確認する場合は、次のコマンド例のドライバ名を置き換えてください。


    # /opt/SUNWjass/bin/jass-execute -a ldom_control-secure.driver

Procedure強化を取り消す

  1. Solaris Security Toolkit によって適用された構成の変更を取り消します。


    # /opt/SUNWjass/bin/jass-execute -u

    Solaris Security Toolkit によって、どの強化の実行を取り消すかが尋ねられます。

  2. 取り消す強化の実行を選択します。

  3. 構成の強化の取り消しが行われるように、システムを再起動します。


    # /usr/sbin/shutdown -y -g0 -i6
    注 –

    JumpStart のインストール中に実行された強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager デーモン (ldmd) および仮想ネットワーク端末サーバーデーモン (vntsd) を再起動する必要があります。


    # svcadm enable svc:/ldoms/ldmd:default

Logical Domains Manager デーモンの有効化

install-ldm インストールスクリプトを使用すると、Logical Domains Manager デーモン (ldmd) が自動的に有効になります。SUNWldm パッケージをインストールした場合も、ldmd デーモンは自動的に有効になります。このデーモンが有効になると、論理ドメインを作成、変更、および制御できます。

ProcedureLogical Domains Manager デーモンを有効にする

ldmd デーモンが無効になっている場合、次の手順に従ってこのデーモンを有効にします。

  1. svcadm(1M) コマンドを使用して、Logical Domains Manager デーモンの ldmd を有効にします。


    # svcadm enable ldmd

  2. ldm list コマンドを使用して、Logical Domains Manager デーモンが実行中であることを確認します。

    ldm list コマンドを実行すると、システム上で現在定義されているすべてのドメインが一覧表示されます。特に、primary ドメインが表示され、状態が active になっているはずです。次のサンプル出力は、システム上に primary ドメインのみが定義されていることを示します。


    # /opt/SUNWldm/bin/ldm list
NAME             STATE    FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active   ---c-   SP      32    3264M    0.3%  19d 9m

ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

Logical Domains Manager 用に変更された Solaris OS の役割に基づくアクセス制御 (RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。

Logical Domains Manager の承認には、次の 2 つのレベルがあります。

Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。

ユーザー承認の管理

Procedureユーザーの承認を追加する

必要に応じて次の手順を使用して、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。

  1. ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。

    注 –

    ユーザーの Logical Domains Manager 承認を追加するには、そのユーザーに対してローカル (非 LDAP) アカウントを作成する必要があります。詳細は、「Solaris 10 System Administrator Collection」を参照してください。

  2. ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。

    ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 2–1 を参照してください。

    • usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。


      # usermod -A solaris.ldoms.read username

    • usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。


      # usermod -A solaris.ldoms.write username

Procedureユーザーのすべての承認を削除する

  1. ローカルユーザーアカウントのすべての承認を削除します (使用できる唯一のオプション)。


    # usermod -A `` username

ユーザープロファイルの管理

SUNWldm パッケージによって、/etc/security/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。2 つの LDoms 固有のプロファイルは次のとおりです。

次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。

Procedureユーザーのプロファイルを追加する

  1. ローカルユーザーアカウントに管理プロファイル (たとえば、LDoms Management) を追加します。


    # usermod -P “LDoms Management” username

Procedureユーザーのすべてのプロファイルを削除する

  1. ローカルユーザーアカウントのすべてのプロファイルを削除します (使用できる唯一のオプション)。


    # usermod -P `` username

ユーザーへの役割の割り当て

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。

Procedure役割を作成し、ユーザーにその役割を割り当てる

  1. 役割を作成します。


    # roleadd -A solaris.ldoms.read ldm_read

  2. 役割にパスワードを割り当てます。


    # passwd ldm_read

  3. ユーザー (たとえば user_1) に役割を割り当てます。


    # useradd -R ldm_read user_1

  4. ユーザー (user_1) にパスワードを割り当てます。


    # passwd user_1

  5. ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。


    # su user_1

  6. プロンプトが表示されたら、ユーザーのパスワードを入力します。

  7. ユーザー ID を確認して、ldm_read 役割にアクセスします。


    $ id
uid=nn(user_1) gid=nn(<group name>)
$ roles
ldm_read

  8. 読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。


    # su ldm_read

  9. プロンプトが表示されたら、ユーザーのパスワードを入力します。

  10. id コマンドを入力してユーザーを表示します。


    $ id
uid=nn(ldm_read) gid=nn(<group name>)

出荷時デフォルト構成と Logical Domains の無効化

プラットフォームが 1 つのオペレーティングシステムのみをホストする単一のシステムとして表示される初期構成は、出荷時デフォルト構成と呼ばれます。論理ドメインを無効にする場合には、他のドメインに割り当てられている可能性のあるすべてのリソース (CPU、メモリー、I/O) にシステムが再びアクセスできるように、この構成の復元も必要になる場合があります。

この節では、すべてのゲストドメインを削除し、Logical Domains のすべての構成を削除し、構成を出荷時のデフォルトに戻す方法について説明します。

Procedureすべてのゲスト論理ドメインを削除する

  1. サービスプロセッサに格納されている論理ドメイン構成をすべて一覧表示します。


    primary# ldm list-config

  2. factory-default 構成を除き、以前にサービスプロセッサ (SP) に保存されたすべての構成 (config-name) を削除します。

    各構成に対して次のコマンドを使用します。


    primary# ldm rm-config config-name

    以前に SP に保存されたすべての構成を削除すると、factory-default ドメインは、制御ドメイン (primary) が再起動されるときに使用される次のドメインになります。

  3. --a オプションを使用して、すべてのドメインを停止します。


    primary# ldm stop-domain -a

  4. primary ドメインを除き、すべてのドメインのバインドを解除します。


    primary# ldm unbind-domain ldom
    注 –

    分割 PCI 構成では、制御ドメインが必要とするサービスを I/O ドメインが提供している場合、その I/O ドメインのバインドを解除できないことがあります。この場合は、この手順をスキップします。

Procedure出荷時デフォルト構成を復元する

  1. 出荷時デフォルト構成を選択します。


    primary# ldm set-config factory-default

  2. 制御ドメインを停止します。


    primary# shutdown -i1 -g0 -y

  3. factory-default 構成が読み込まれるように、システムの電源を切ってすぐに入れ直します。


    sc> poweroff
sc> poweron

ProcedureLogical Domains Manager を無効にする

  1. 制御ドメインから Logical Domains Manager を無効にします。


    primary# svcadm disable ldmd
    注 –

    Logical Domains Manager を無効にしても動作中のドメインは停止しませんが、新しいドメインの作成、既存のドメインの構成の変更、またはドメインの状態の監視を行う機能は無効になります。

    注意 – 注意 –

    Logical Domains Manager を無効にすると、エラー報告、電源管理など、一部のサービスが無効になります。エラー報告については、factory-default 構成の場合は、単独のドメインを再起動してエラーの報告を復元することはできます。ただし、電源管理の場合にはこの方法は使用できません。また、一部のシステム管理または監視ツールは、Logical Domains Manager に依存しています。

ProcedureLogical Domains Manager を削除する

出荷時デフォルト構成を復元して Logical Domains Manager を無効にしたあとで、Logical Domains Manager ソフトウェアを削除できます。

  1. Logical Domains Manager ソフトウェアを削除します。


    primary# pkgrm SUNWldm
    注 –

    出荷時デフォルト構成を復元する前に Logical Domains Manager を削除する場合は、次の手順に示すように、サービスプロセッサから出荷時デフォルト構成を復元できます。

Procedureサービスプロセッサから出荷時デフォルト構成を復元する

出荷時デフォルト構成を復元する前に Logical Domains Manager を削除する場合は、サービスプロセッサから出荷時デフォルト構成を復元できます。

  1. サービスプロセッサから出荷時デフォルト構成を復元します。


    sc> bootmode config=”factory-default”

  2. システムの電源を切ってすぐに入れ直し、出荷時デフォルト構成を読み込みます。