この章では、Logical Domains (LDoms) 1.2 ソフトウェアを有効にするために必要なさまざまなソフトウェアコンポーネントをインストールまたはアップグレードする方法について説明します。LDoms ソフトウェアを使用するには、次のコンポーネントが必要です。
サポートされるプラットフォーム。サポートされるプラットフォームの一覧については、『Logical Domains 1.2 リリースノート』の「サポートされるプラットフォーム」 を参照してください。
『Logical Domains 1.2 リリースノート』の「必須のソフトウェアとパッチ」で推奨されるすべてのパッチが適用された、Solaris 10 10/08 OS 以上のオペレーティングシステムが動作している制御ドメイン。「Solaris OS のアップグレード」 を参照してください。
使用している Sun UltraSPARC T1 プラットフォームのシステムファームウェア version 6.7.x、または使用している Sun UltraSPARC T2 または T2 Plus プラットフォーム以上のシステムファームウェア version 7.2.x。「システムファームウェアのアップグレード」 を参照してください。
制御ドメインにインストールされて有効になっている Logical Domains 1.2 ソフトウェア。「Logical Domains Manager および Solaris Security Toolkit のインストール」 を参照してください。
(省略可能) Solaris Security Toolkit 4.2 ソフトウェア。「Logical Domains Manager および Solaris Security Toolkit のインストール」 を参照してください。
(省略可能) Logical Domains Management Information Base (MIB) ソフトウェアパッケージ。LDoms MIB の使用法の詳細は、『Logical Domains (LDoms) MIB 1.0.1 Administration Guide』 を参照してください。
Logical Domains Manager をインストールまたはアップグレードする前に、Solaris OS およびシステムファームウェアが、使用しているサーバーでインストールまたはアップグレードされている必要があります。システムですでに Logical Domains ソフトウェアを使用している場合、「Logical Domains をすでに使用しているシステムのアップグレード」 を参照してください。そうでない場合は、「新しいシステムへの Logical Domains ソフトウェアのインストール」 を参照してください。
この章の内容は次のとおりです。
この節では、Logical Domains ソフトウェアをすでに使用しているシステムで Solaris OS、ファームウェア、および Logical Domains Manager コンポーネントをアップグレードするプロセスについて説明します。
使用しているシステムですでに Logical Domain ソフトウェアが構成されている場合は、その制御ドメインをアップグレードする必要があります。Logical Domains 1.2 ソフトウェアのすべての機能を使用可能にする場合は、その他の既存のドメインもアップグレードする必要があります。
このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS、および各種ドメインに必須および推奨されるパッチを調べるには、『Logical Domains 1.2 リリースノート』の「必須のソフトウェアとパッチ」 を参照してください。Solaris OS をアップグレードする詳細な手順については、Solaris 10 のインストールマニュアルを参照してください。
制御ドメインで Solaris OS をアップグレードする場合、この節に示すとおり、Logical Domains の自動保存構成データおよび制約データベースファイルを保存および復元する必要があります。
制御ドメインでオペレーティングシステムをアップグレードするたびに、Logical Domains の自動保存構成データを保存および復元する必要があります。このデータは、/var/opt/SUNWldm/autosave-autosave-name ディレクトリに格納されています。
tar または cpio コマンドを使用して、ディレクトリのすべての内容を保存および復元できます。
各自動保存ディレクトリには、関連する構成の前回の SP 構成更新のタイムスタンプが含まれています。自動保存ファイルを復元すると、タイムスタンプが同期しなくなることがあります。この場合、復元された自動保存構成は、以前の状態 ([newer] または最新) で表示されます。
自動保存構成の詳細は、「Logical Domains 構成の管理」 を参照してください。
この手順は、自動保存ディレクトリを保存および復元する方法を示します。
自動保存ディレクトリを保存します。
# cd / # tar -cvf autosave.tar var/opt/SUNWldm/autosave-* |
(省略可能) クリーンな復元操作を行えるように、既存の自動保存ディレクトリを削除します。
自動保存ディレクトリには、以前の構成によって残されたファイルなどの不要なファイルが含まれていることがあります。このようなファイルは、SP にダウンロードされた構成を破壊することがあります。このような場合、この例に示すとおり、復元操作の前に自動保存ディレクトリを削除します。
# cd / # rm -rf var/opt/SUNWldm/autosave-* |
自動保存ディレクトリを復元します。
これらのコマンドは、/var/opt/SUNWldm ディレクトリ内のファイルおよびディレクトリを復元します。
# cd / # tar -xvf autosave.tar |
制御ドメインでオペレーティングシステムをアップグレードするたびに、/var/opt/SUNWldm/ldom-db.xml で参照できる Logical Domains の制約データベースファイルを保存および復元する必要があります。
また、ディスクスワップなど、制御ドメインのファイルデータを破損するその他の操作を行うときは、/var/opt/SUNWldm/ldom-db.xml ファイルも保存および復元します。
制御ドメインで Live Upgrade を使用する場合は、/etc/lu/synclist ファイルに次の行を追加することを検討してください。
/var/opt/SUNWldm/ldom-db.xml OVERWRITE |
これによって、データベースがアクティブなブート環境から新しいブート環境に自動的にコピーされます。/etc/lu/synclist と、ブート環境間でのファイルの同期については、『Solaris 10 5/09 Installation Guide: Solaris Live Upgrade and Upgrade Planning』の「Synchronizing Files Between Boot Environments」 を参照してください。
制御ドメインで Solaris 10 5/08 OS より前のバージョンの Solaris 10 OS (またはパッチ 127127-11 が適用されていない Solaris 10 OS) からのアップグレードを行う場合、およびボリュームマネージャーのボリュームが仮想ディスクとしてエクスポートされている場合は、Logical Domain Manager をアップグレードしたあとに、options=slice を指定して仮想ディスクバックエンドを再エクスポートする必要があります。詳細は、「ボリュームのエクスポートおよび下位互換性」 を参照してください。
この節では、Logical Domains 1.2 ソフトウェアにアップグレードする方法について説明します。
まず、Logical Domains Manager および Solaris Security Toolkit を制御ドメインにダウンロードします。「Logical Domains Manager および Solaris Security Toolkit のダウンロード」 を参照してください。
次に、プラットフォーム上で動作している制御ドメイン以外のすべてのドメインを停止します。
各ドメインで ok プロンプトに移行します。
制御ドメインから各ドメインに対して stop-domain サブコマンドを実行します。
primary# ldm stop-domain ldom |
制御ドメインから各ドメインに対して unbind-domain サブコマンドを実行します。
primary# ldm unbind-domain ldom |
この節では、Logical Domains 1.2 ソフトウェアにアップグレードする方法について説明します。
既存の LDoms 1.0 の設定を Logical Domains 1.2 ソフトウェアで使用する場合は、「LDoms 1.0 ソフトウェアからアップグレードする」 に示す手順を実行してください。既存の LDoms 1.0 の設定は、Logical Domains 1.2 ソフトウェアでは機能しません。
LDoms 1.0.1、1.0.2、1.0.3、または 1.1 ソフトウェアからアップグレードする場合、「LDoms 1.0.x または 1.1 からアップグレードする」 に示す手順を実行してください。既存の LDoms 1.0.1、1.0.2、1.0.3、および 1.1 の設定は、Logical Domains 1.2 ソフトウェアでも機能します。
既存の Logical Domains 1.0 の設定は Logical Domains 1.2 ソフトウェアでは機能しません。そのため、Logical Domains 1.0 の設定を保存してから、Logical Domains 1.2 ソフトウェアで使用できるようにその設定をアップグレードする必要があります。次の手順では、ldm add-domain コマンドに XML 制約ファイルおよび -i オプションを使用して、構成を保存および再構築する方法について説明します。
基本的な処理は、各ドメインの制約情報を XML ファイルに保存することです。アップグレード後に、この XML ファイルを Logical Domains Manager に対して再実行して、必要な設定を再構築できます。
この節に示す手順は、制御ドメインではなく、ゲストドメインに対して有効です。制御 (primary) ドメインの制約を XML ファイルに保存することはできますが、それを ldm add-domain -i コマンドに指定することはできません。ただし、XML ファイルのリソース制約を使用して、primary ドメインを再構成する CLI コマンドを作成することはできます。ldm list-constraints -x primary コマンドの標準的な XML 出力を、primary ドメインの再構成に必要な CLI コマンドに変換する方法については、「制御ドメインの再構築」 を参照してください。
次に示す方法では、実際のバインドは保持されず、それらのバインドを作成するために使用した制約だけが保持されます。つまり、この手順を行うと、ドメインは同じ仮想リソースを持ちますが、同じ物理リソースにバインドされるとはかぎりません。
各ドメインで、ドメインの制約を含む XML ファイルを作成します。
# ldm list-constraints -x ldom > ldom.xml |
サービスプロセッサに格納されている論理ドメイン構成をすべて一覧表示します。
# ldm list-config |
サービスプロセッサに格納されているそれぞれの論理ドメイン構成を削除します。
# ldm rm-config config-name |
Logical Domains Manager デーモン (ldmd) を無効にします。
# svcadm disable ldmd |
Logical Domains Manager パッケージ (SUNWldm) を削除します。
# pkgrm SUNWldm |
Solaris Security Toolkit パッケージ (SUNWjass) を削除します。
# pkgrm SUNWjass |
システムのファームウェアをフラッシュ更新します。
手順全体については、「システムファームウェアをアップグレードする」 または 「FTP サーバーを使用せずに、システムファームウェアをアップグレードする」 を参照してください。
Solaris Security Toolkit および Logical Domains Manager を再インストールします。
「Logical Domains Manager および Solaris Security Toolkit のインストール」 を参照してください。
primary ドメインを手動で再構成します。
手順については、「制御ドメインを設定する」 を参照してください。
手順 1 で作成した各ゲストドメインの XML ファイルに対して、次のコマンドを実行します。
# ldm add-domain -i ldom.xml # ldm bind-domain ldom # ldm start-domain ldom |
システムのファームウェアをフラッシュ更新します。
手順全体については、「システムファームウェアをアップグレードする」 または 「FTP サーバーを使用せずに、システムファームウェアをアップグレードする」 を参照してください。
Logical Domains Manager デーモン (ldmd) を無効にします。
# svcadm disable ldmd |
古い SUNWldm パッケージを削除します。
# pkgrm SUNWldm |
新しい SUNWldm パッケージを追加します。
-d オプションの指定は、パッケージが現在のディレクトリに存在することを前提としています。
# pkgadd -Gd . SUNWldm |
ldm list コマンドを使用して、Logical Domains Manager デーモンが実行中であることを確認します。
ldm list コマンドを実行すると、システム上で現在定義されているすべてのドメインが一覧表示されます。特に、primary ドメインが表示され、状態が active になっているはずです。次のサンプル出力は、システム上に primary ドメインのみが定義されていることを示します。
# ldm list NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active ---c- SP 32 3264M 0.3% 19d 9m |
Logical Domains ソフトウェアをサポートする Sun プラットフォームは、Solaris 10 OS がプリインストールされた状態で出荷されます。初期設定では Logical Domains ソフトウェアは有効になっていません。また、プラットフォームは、1 つのオペレーティングシステムのみをホストする単一のシステムとして表示されます。Solaris OS、システムファームウェア、および Logical Domains Manager をインストールすると、Solaris OS の元のシステムおよびインスタンスが制御ドメインになります。プラットフォームのこの最初のドメインには、primary という名前が付けられます。この名前を変更したり、このドメインを削除したりすることはできません。このドメインから、Solaris OS のさまざまなインスタンスをホストする複数のドメインを持つようにプラットフォームを再構成できます。
新しいシステムでは、インストールポリシーに一致するように OS を再インストールする必要がある場合があります。この場合、『Logical Domains 1.2 リリースノート』の「必須および推奨される Solaris OS」 を参照して、このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS を調べてください。Solaris OS をインストールする詳細な手順については、使用している Solaris 10 OS のインストールマニュアルを参照してください。インストール内容は、使用しているシステムの要件に合わせて調整できます。
システムがすでにインストールされている場合は、このバージョンの Logical Domains ソフトウェアを使用するために必要な適切な Solaris 10 OS にアップグレードする必要があります。このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS、および必須パッチと推奨されるパッチを調べるには、『Logical Domains 1.2 リリースノート』の「必須のソフトウェアとパッチ」 を参照してください。Solaris OS をアップグレードするための手順全体は、「Solaris 10 5/09 Release and Installation Collection」を参照してください。
使用しているプラットフォームのシステムファームウェアは、SunSolve サイトから入手できます。
サポートされるサーバーで必要なシステムファームウェアについては、『Logical Domains 1.2 リリースノート』の「システムファームウェアの必須パッチ」 を参照してください。
この手順では、サービスプロセッサで flashupdate コマンドを使用してシステムファームウェアをアップグレードする方法について説明します。
ローカル FTP サーバーへアクセスできない場合は、「FTP サーバーを使用せずに、システムファームウェアをアップグレードする」 を参照してください。
制御ドメインからシステムファームウェアを更新する場合は、使用しているシステムファームウェアのリリースノートを参照してください。
サポートされるサーバーのシステムファームウェアのインストールおよび更新については、そのサーバーの管理マニュアルまたはプロダクトノートを参照してください。
サービスプロセッサに接続されたシリアルまたはネットワークのいずれかの管理ポートを使用して、ホストサーバーを停止して電源を切ります。
# shutdown -i5 -g0 -y |
使用しているサーバーに応じて、flashupdate コマンドを使用してシステムファームウェアをアップグレードします。
ファームウェアをアップグレードする方法の詳細は、プラットフォームのマニュアルを参照してください。
次に、flashupdate コマンドのサンプルを示します。
sc> flashupdate -s IP-address -f path/Sun_System_Firmware- x_x_x_build_nn-server-name.bin username: your-userid password: your-password |
各表記の意味は次のとおりです。
IP-address は、使用している FTP サーバーの IP アドレスです。
path は、システムファームウェアイメージを入手できる SunSolvesm 内の場所または独自のディレクトリです。
x_x_x は、システムファームウェアのバージョン番号です。
nn は、このリリースに適用されるビルド番号です。
server-name は、使用しているサーバーの名前です。たとえば、Sun FireTM T2000 サーバーの server-name は、Sun_Fire_T2000 です。
サービスプロセッサをリセットします。
sc> resetsc -y |
ホストサーバーの電源を入れて起動します。
sc> poweron -c ok boot disk |
サービスプロセッサにファームウェアをアップロードするためのローカル FTP サーバーにアクセスできない場合は、sysfwdownload ユーティリティーを使用できます。このユーティリティーは、システムファームウェアアップグレードパッケージとともに SunSolve サイトで提供されています。
Solaris OS 内で次のコマンドを実行します。
# cd firmware_location # sysfwdownload system_firmware_file |
Solaris OS インスタンスを停止します。
# shutdown -i5 -g0 -y |
システムの電源を切り、ファームウェアを更新します。
sc> poweroff -fy sc> flashupdate -s 127.0.0.1 |
サービスプロセッサをリセットしてシステムの電源を入れます。
sc> resetsc -y sc> poweron |
Sun のソフトウェアダウンロードサイトから zip ファイル (LDoms_Manager-1_2.zip) をダウンロードします。
ソフトウェアは、http://www.sun.com/ldoms から入手できます。
zip ファイルを解凍します。
$ unzip LDoms_Manager-1_2.zip |
Logical Domains Manager および Solaris Security Toolkit は、同じ zip ファイル内に含まれています。ファイルの構造およびファイルの内容の詳細は、『Logical Domains 1.2 リリースノート』の「LDoms 1.2 ソフトウェアの場所」 を参照してください。
Logical Domains Manager および Solaris Security Toolkit ソフトウェアをインストールするには、次の 3 つの方法があります。
インストールスクリプトを使用してパッケージおよびパッチをインストールします。この方法では、Logical Domains Manager および Solaris Security Toolkit ソフトウェアの両方が自動的にはインストールされます。「Logical Domains Manager および Solaris Security Toolkit ソフトウェアの自動インストール」 を参照してください。
JumpStart を使用してパッケージをインストールします。「JumpStart を使用した Logical Domains Manager 1.2 および Solaris Security Toolkit 4.2 ソフトウェアのインストール」 を参照してください。
各パッケージを手動でインストールします。「Logical Domains Manager および Solaris Security Toolkit ソフトウェアの手動インストール」 を参照してください。
Logical Domains および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これは、ほかのパッケージとともに自動的にはインストールされません。LDoms MIB のインストールおよび使用法の詳細は、『Logical Domains (LDoms) MIB 1.0.1 Administration Guide』 を参照してください。
install-ldm インストールスクリプトを使用する場合、スクリプトの実行方法を指定する選択肢がいくつかあります。それぞれの選択肢について、次の手順で説明します。
オプションを指定せずに install-ldm スクリプトを使用すると、自動的に次の処理を行います。
Solaris OS リリースが Solaris 10 5/09 OS 以上であることを確認します。
パッケージのサブディレクトリである SUNWldm/ および SUNWjass/ が存在することを確認します。
前提条件となる Solaris Logical Domains ドライバパッケージの SUNWldomr および SUNWldomu が存在することを確認します。
SUNWldm および SUNWjass パッケージがインストールされていないことを確認します。
インストール中に、スクリプトが SUNWjass の以前のバージョンを検出した場合は、これを削除する必要があります。使用している Solaris OS のこれまでの強化を元に戻す必要はありません。
Logical Domains Manager 1.2 ソフトウェア (SUNWldm パッケージ) をインストールします。
必須パッチを含む Solaris Security Toolkit 4.2 ソフトウェア (SUNWjass パッケージ) をインストールします。
すべてのパッケージがインストールされていることを確認します。
Logical Domains Manager デーモン ldmd を有効にします。
Solaris Security Toolkit の ldm_control-secure.driver、または -secure.driver で終わるその他のドライバのうち選択したものを使用して、制御ドメインで Solaris OS を強化します。
オプション -d を指定して install-ldm スクリプトを使用すると、-secure.driver で終わるドライバ以外の Solaris Security Toolkit ドライバを指定できます。このオプションは、指定する Solaris Security Toolkit のカスタマイズされたドライバ (たとえば、server-secure-myname.driver) を使用して、前の選択肢で示したすべての機能を自動的に実行し、制御ドメインで Solaris OS を強化します。
オプション -d と none を指定して install-ldm スクリプトを使用すると、Solaris Security Toolkit を使用して制御ドメインで動作している Solaris OS を強化しないことを指定します。このオプションは、前の選択肢で示した強化以外のすべての機能を自動的に実行します。Solaris Security Toolkit の使用を省略することはお勧めしません。別の処理を使用して制御ドメインを強化する場合にかぎり、この使用を省略するようにしてください。
オプション -p を指定して install-ldm スクリプトを使用すると、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行することを指定します。たとえば、SUNWldm および SUNWjass パッケージがサーバーにプリインストールされている場合に、このオプションを使用します。「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 を参照してください。
オプションを指定せずに install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm |
1 つ以上のパッケージがすでにインストールされている場合は、次のメッセージが表示されます。
# Install/install-ldm ERROR: One or more packages are already installed: SUNWldm SUNWjass. If packages SUNWldm.v and SUNWjass are factory pre-installed, run install-ldm -p to perform post-install actions. Otherwise remove the package(s) and restart install-ldm. |
インストール後の処理のみを実行する場合は、「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 に進みます。
処理が正常に実行されると、次の例のようなメッセージが表示されます。
例 3–1 は、次のデフォルトのセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。
a) Hardened Solaris configuration for LDoms (recommended)
例 3–2 は、次のセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。
c) Your custom-defined Solaris security configuration profile
選択肢として表示されるドライバは、名前が -secure.driver で終わるドライバです。名前が -secure.driver で終わらない、カスタマイズしたドライバを書き込む場合は、install-ldm -d オプションでカスタマイズしたドライバを指定する必要があります。「カスタマイズされた強化ドライバとともにインストールする」 を参照してください。
# Install/install-ldm Welcome to the LDoms installer. You are about to install the domain manager package that will enable you to create, destroy and control other domains on your system. Given the capabilities of the domain manager, you can now change the security configuration of this Solaris instance using the Solaris Security Toolkit. Select a security profile from this list: a) Hardened Solaris configuration for LDoms (recommended) b) Standard Solaris configuration c) Your custom-defined Solaris security configuration profile Enter a, b, or c [a]: a The changes made by selecting this option can be undone through the Solaris Security Toolkit's undo feature. This can be done with the `/opt/SUNWjass/bin/jass-execute -u' command. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver Executing driver, ldm_control-secure.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20070208142843/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
# Install/install-ldm Welcome to the LDoms installer. You are about to install the domain manager package that will enable you to create, destroy and control other domains on your system. Given the capabilities of the domain manager, you can now change the security configuration of this Solaris instance using the Solaris Security Toolkit. Select a security profile from this list: a) Hardened Solaris configuration for LDoms (recommended) b) Standard Solaris configuration c) Your custom-defined Solaris security configuration profile Enter a, b, or c [a]: c Choose a Solaris Security Toolkit .driver configuration profile from this list 1) ldm_control-secure.driver 2) secure.driver 3) server-secure.driver 4) suncluster3x-secure.driver 5) sunfire_15k_sc-secure.driver Enter a number 1 to 5: 2 The driver you selected may not perform all the LDoms-specific operations specified in the LDoms Administration Guide. Is this OK (yes/no)? [no] y The changes made by selecting this option can be undone through the Solaris Security Toolkit's undo feature. This can be done with the `/opt/SUNWjass/bin/jass-execute -u' command. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d secure.driver Executing driver, secure.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20070102142843/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
Solaris Security Toolkit のカスタマイズされた強化ドライバ (たとえば、server-secure-myname.driver) を指定するには、-d オプションを指定して install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d server-secure-myname.driver |
処理が正常に実行されると、次の例のようなメッセージが表示されます。
# Install/install-ldm -d server-secure.driver The driver you selected may not perform all the LDoms-specific operations specified in the LDoms Administration Guide. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver server-secure-myname.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d server-secure-myname.driver Executing driver, server-secure-myname.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20061114143128/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
Solaris Security Toolkit ドライバを使用してシステムを強化しないことを指定するには、-d none オプションを指定して install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d none |
処理が正常に実行されると、次の例のようなメッセージが表示されます。
# Install/install-ldm -d none Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Solaris Security Toolkit was not applied. Bypassing the use of the Solaris Security Toolkit is not recommended and should only be performed when alternative hardening steps are to be taken. |
SUNWldm および SUNWjass パッケージがサーバーにプリインストールされており、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理を行う必要がある場合は、このオプションを使用できます。
システムを強化するために ldmd の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行するには、-p オプションを指定して install-ldm インストールスクリプトを実行します。
# Install/install-ldm -p Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver Solaris Security Toolkit hardening executed successfully; log file var/opt/SUNWjass/run/20070515140944/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
JumpStart の使用法の詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。
ネットワークインストール中は、仮想コンソールから接続を解除しないでください。
JumpStart サーバーがすでに設定されている場合は、この管理ガイドの「JumpStart ソフトウェアを使用してインストールする」に進んでください。
JumpStart サーバーがまだ設定されていない場合は、これを設定する必要があります。
この手順の詳細は、『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』 を参照してください。
『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』 を参照してください。
次の手順を実行します。
「rules ファイルの妥当性を検査する」の手順に従って、rules ファイルの妥当性検査を行います。
Solaris Security Toolkit では、プロファイルおよび終了スクリプトが提供されています。プロファイルおよび終了スクリプトの詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。
Solaris Security Toolkit パッケージ (SUNWjass) をダウンロードしたディレクトリに移動します。
# cd /path-to-download |
SUNWjass をインストールして、JumpStart (jumpstart) ディレクトリ構造を作成します。
# pkgadd -R /jumpstart -d . SUNWjass |
テキストエディタを使用して、ネットワーク環境を反映するように /jumpstart/opt/SUNWjass/Sysidcfg/Solaris_10/sysidcfg ファイルを変更します。
/jumpstart/opt/SUNWjass/Drivers/user.init.SAMPLE ファイルを /jumpstart/opt/SUNWjass/Drivers/user.init ファイルにコピーします。
# cp user.init.SAMPLE user.init |
パスを反映するように user.init ファイルを編集します。
JumpStart のインストール中に Solaris Security Toolkit パッケージ (SUNWjass) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにこのパッケージを配置する必要があります。次に例を示します。
# cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWjass /jumpstart/opt/SUNWjass/Packages |
JumpStart のインストール中に Logical Domains Manager パッケージ (SUNWldm.v) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにダウンロード領域からこのパッケージを配置する必要があります。次に例を示します。
# cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWldm.v /jumpstart/opt/SUNWjass/Packages |
マルチホーム JumpStart サーバーで問題が発生した場合は、user.init ファイル内の JASS_PACKAGE_MOUNT および JASS_PATCH_MOUNT に関する 2 つのエントリを、JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。詳細は、user.init.SAMPLE ファイル内のコメントを参照してください。
Logical Domains Manager 制御ドメインの基本ドライバとして ldm_control-secure.driver を使用します。
使用するドライバを変更する方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 の第 4 章を参照してください。ldm_control-secure.driver に対応する Solaris Security Toolkit のメインドライバは、secure.driver です。
ldm_control-secure.driver への変更が完了したら、rules ファイルに適切なエントリを作成します。
LDoms 制御ドメインを最小化する場合は、rules ファイル内の minimal-ldm-control.profile を次のように指定します。
hostname imbulu - Profiles/minimal-ldm_control.profile Drivers/ldm_control-secure-abc.driver |
LDoms および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これらは、ほかのパッケージとともに自動的にはインストールされません。
LDoms 制御ドメインを最小化しない場合は、エントリは次のようになるはずです。
hostname imbulu - Profiles/oem.profile Drivers/ldm_control-secure-abc.driver |
JumpStart のインストール中の強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager を再起動する必要があります。
# svcadm enable svc:/ldoms/ldmd:default |
Logical Domains Manager および Solaris Security Toolkit ソフトウェアを手動でインストールするには、次の手順を実行します。
Sun のソフトウェアダウンロードサイトから、Logical Domains Manager 1.2 ソフトウェアの SUNWldm パッケージをダウンロードします。具体的な手順については、「ソフトウェアをダウンロードする」 を参照してください。
pkgadd(1M) コマンドを使用して、SUNWldm.v パッケージをインストールします。-G オプションを使用して大域ゾーンのみにパッケージをインストールするよう指定し、-d オプションを使用して SUNWldm.v パッケージを含むディレクトリのパスを指定します。
# pkgadd -Gd . SUNWldm.v |
対話型プロンプトのすべての質問に対して、y (はい) と答えます。
pkginfo(1) コマンドを使用して、Logical Domains Manager 1.2 ソフトウェア用の SUNWldm パッケージがインストールされていることを確認します。
バージョン (REV) 情報の例を次に示します。
# pkginfo -l SUNWldm | grep VERSION VERSION=1.2,REV=2007.08.23.10.20 |
システムをセキュリティー保護するには、SUNWjass パッケージをダウンロードしてインストールします。必須パッチ (122608-03 および 125672-01) は、SUNWjass パッケージに含まれています。ソフトウェアのダウンロードに関する詳細は、「ソフトウェアをダウンロードする」 を参照してください。
Logical Domains Manager ソフトウェアを使用する場合のセキュリティーに関する考慮事項の詳細は、このドキュメントの 第 2 章セキュリティー を参照してください。さらに詳細を確認するには、次の URL で Solaris Security Toolkit 4.2 のドキュメントを参照できます。
pkgadd(1M) コマンドを使用して、SUNWjass パッケージをインストールします。
# pkgadd -d . SUNWjass |
pkginfo(1) コマンドを使用して、Solaris Security Toolkit 4.2 ソフトウェアの SUNWjass パッケージがインストールされていることを確認します。
# pkginfo -l SUNWjass | grep VERSION
|
Solaris Security Toolkit 4.2 パッケージがすでにインストールされている場合にかぎり、この手順を実行してください。
Solaris Security Toolkit を使用して制御ドメインを強化すると、多くのシステムサービスが無効になり、ネットワークアクセスに一定の制限が生じます。詳細は、「関連マニュアル」 を参照して、Solaris Security Toolkit 4.2 のドキュメントで確認してください。
ldm_control-secure.driver を使用して強化します。
# /opt/SUNWjass/bin/jass-execute -d ldm_control-secure.driver |
システムを強化するために、ほかのドライバを使用できます。また、ドライバをカスタマイズして、使用している環境のセキュリティーを調整することもできます。ドライバとそのカスタマイズ方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。
対話型プロンプトのすべての質問に対して、y (はい) と答えます。
強化を有効にするため、サーバーを停止してから再起動します。
# /usr/sbin/shutdown -y -g0 -i6 |
Logical Domains 強化ドライバ (ldom_control-secure.driver) によって、強化が適切に適用されたかどうかを確認します。
別のドライバについて確認する場合は、次のコマンド例のドライバ名を置き換えてください。
# /opt/SUNWjass/bin/jass-execute -a ldom_control-secure.driver |
Solaris Security Toolkit によって適用された構成の変更を取り消します。
# /opt/SUNWjass/bin/jass-execute -u |
Solaris Security Toolkit によって、どの強化の実行を取り消すかが尋ねられます。
取り消す強化の実行を選択します。
構成の強化の取り消しが行われるように、システムを再起動します。
# /usr/sbin/shutdown -y -g0 -i6 |
JumpStart のインストール中に実行された強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager デーモン (ldmd) および仮想ネットワーク端末サーバーデーモン (vntsd) を再起動する必要があります。
# svcadm enable svc:/ldoms/ldmd:default |
install-ldm インストールスクリプトを使用すると、Logical Domains Manager デーモン (ldmd) が自動的に有効になります。SUNWldm パッケージをインストールした場合も、ldmd デーモンは自動的に有効になります。このデーモンが有効になると、論理ドメインを作成、変更、および制御できます。
ldmd デーモンが無効になっている場合、次の手順に従ってこのデーモンを有効にします。
svcadm(1M) コマンドを使用して、Logical Domains Manager デーモンの ldmd を有効にします。
# svcadm enable ldmd |
ldm list コマンドを使用して、Logical Domains Manager デーモンが実行中であることを確認します。
ldm list コマンドを実行すると、システム上で現在定義されているすべてのドメインが一覧表示されます。特に、primary ドメインが表示され、状態が active になっているはずです。次のサンプル出力は、システム上に primary ドメインのみが定義されていることを示します。
# /opt/SUNWldm/bin/ldm list NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active ---c- SP 32 3264M 0.3% 19d 9m |
Logical Domains Manager 用に変更された Solaris OS の役割に基づくアクセス制御 (RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。
Logical Domains Manager の承認には、次の 2 つのレベルがあります。
読み取り - 構成を表示できますが、変更できません。
読み取りおよび書き込み - 構成を表示および変更できます。
Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。
solaris.ldoms.:::LDoms Administration::
Solaris.ldoms.grant:::Delegate Ldoms Configuration::
Solaris.ldoms.read:::View Ldoms Configuration::
Solaris.ldoms.write:::Manage Ldoms Configuration::
必要に応じて次の手順を使用して、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。
ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。
ユーザーの Logical Domains Manager 承認を追加するには、そのユーザーに対してローカル (非 LDAP) アカウントを作成する必要があります。詳細は、「Solaris 10 System Administrator Collection」を参照してください。
ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。
ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 2–1 を参照してください。
usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。
# usermod -A solaris.ldoms.read username |
usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。
# usermod -A solaris.ldoms.write username |
SUNWldm パッケージによって、/etc/security/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。2 つの LDoms 固有のプロファイルは次のとおりです。
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。
この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。
役割を作成します。
# roleadd -A solaris.ldoms.read ldm_read |
役割にパスワードを割り当てます。
# passwd ldm_read |
ユーザー (たとえば user_1) に役割を割り当てます。
# useradd -R ldm_read user_1 |
ユーザー (user_1) にパスワードを割り当てます。
# passwd user_1 |
ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。
# su user_1 |
プロンプトが表示されたら、ユーザーのパスワードを入力します。
ユーザー ID を確認して、ldm_read 役割にアクセスします。
$ id uid=nn(user_1) gid=nn(<group name>) $ roles ldm_read |
読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。
# su ldm_read |
プロンプトが表示されたら、ユーザーのパスワードを入力します。
id コマンドを入力してユーザーを表示します。
$ id uid=nn(ldm_read) gid=nn(<group name>) |
プラットフォームが 1 つのオペレーティングシステムのみをホストする単一のシステムとして表示される初期構成は、出荷時デフォルト構成と呼ばれます。論理ドメインを無効にする場合には、他のドメインに割り当てられている可能性のあるすべてのリソース (CPU、メモリー、I/O) にシステムが再びアクセスできるように、この構成の復元も必要になる場合があります。
この節では、すべてのゲストドメインを削除し、Logical Domains のすべての構成を削除し、構成を出荷時のデフォルトに戻す方法について説明します。
サービスプロセッサに格納されている論理ドメイン構成をすべて一覧表示します。
primary# ldm list-config |
factory-default 構成を除き、以前にサービスプロセッサ (SP) に保存されたすべての構成 (config-name) を削除します。
各構成に対して次のコマンドを使用します。
primary# ldm rm-config config-name |
以前に SP に保存されたすべての構成を削除すると、factory-default ドメインは、制御ドメイン (primary) が再起動されるときに使用される次のドメインになります。
--a オプションを使用して、すべてのドメインを停止します。
primary# ldm stop-domain -a |
primary ドメインを除き、すべてのドメインのバインドを解除します。
primary# ldm unbind-domain ldom |
分割 PCI 構成では、制御ドメインが必要とするサービスを I/O ドメインが提供している場合、その I/O ドメインのバインドを解除できないことがあります。この場合は、この手順をスキップします。
出荷時デフォルト構成を選択します。
primary# ldm set-config factory-default |
制御ドメインを停止します。
primary# shutdown -i1 -g0 -y |
factory-default 構成が読み込まれるように、システムの電源を切ってすぐに入れ直します。
sc> poweroff sc> poweron |
制御ドメインから Logical Domains Manager を無効にします。
primary# svcadm disable ldmd |
Logical Domains Manager を無効にしても動作中のドメインは停止しませんが、新しいドメインの作成、既存のドメインの構成の変更、またはドメインの状態の監視を行う機能は無効になります。
Logical Domains Manager を無効にすると、エラー報告、電源管理など、一部のサービスが無効になります。エラー報告については、factory-default 構成の場合は、単独のドメインを再起動してエラーの報告を復元することはできます。ただし、電源管理の場合にはこの方法は使用できません。また、一部のシステム管理または監視ツールは、Logical Domains Manager に依存しています。
出荷時デフォルト構成を復元して Logical Domains Manager を無効にしたあとで、Logical Domains Manager ソフトウェアを削除できます。
Logical Domains Manager ソフトウェアを削除します。
primary# pkgrm SUNWldm |
出荷時デフォルト構成を復元する前に Logical Domains Manager を削除する場合は、次の手順に示すように、サービスプロセッサから出荷時デフォルト構成を復元できます。
出荷時デフォルト構成を復元する前に Logical Domains Manager を削除する場合は、サービスプロセッサから出荷時デフォルト構成を復元できます。