Logical Domains 1.2 管理ガイド

新しいシステムへの Logical Domains ソフトウェアのインストール

Logical Domains ソフトウェアをサポートする Sun プラットフォームは、Solaris 10 OS がプリインストールされた状態で出荷されます。初期設定では Logical Domains ソフトウェアは有効になっていません。また、プラットフォームは、1 つのオペレーティングシステムのみをホストする単一のシステムとして表示されます。Solaris OS、システムファームウェア、および Logical Domains Manager をインストールすると、Solaris OS の元のシステムおよびインスタンスが制御ドメインになります。プラットフォームのこの最初のドメインには、primary という名前が付けられます。この名前を変更したり、このドメインを削除したりすることはできません。このドメインから、Solaris OS のさまざまなインスタンスをホストする複数のドメインを持つようにプラットフォームを再構成できます。

Solaris OS のアップグレード

新しいシステムでは、インストールポリシーに一致するように OS を再インストールする必要がある場合があります。この場合、『Logical Domains 1.2 リリースノート』「必須および推奨される Solaris OS」 を参照して、このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS を調べてください。Solaris OS をインストールする詳細な手順については、使用している Solaris 10 OS のインストールマニュアルを参照してください。インストール内容は、使用しているシステムの要件に合わせて調整できます。

システムがすでにインストールされている場合は、このバージョンの Logical Domains ソフトウェアを使用するために必要な適切な Solaris 10 OS にアップグレードする必要があります。このバージョンの Logical Domains ソフトウェアで使用する必要のある Solaris 10 OS、および必須パッチと推奨されるパッチを調べるには、『Logical Domains 1.2 リリースノート』「必須のソフトウェアとパッチ」 を参照してください。Solaris OS をアップグレードするための手順全体は、「Solaris 10 5/09 Release and Installation Collection」を参照してください。



使用しているプラットフォームのシステムファームウェアは、SunSolve サイトから入手できます。

サポートされるサーバーで必要なシステムファームウェアについては、『Logical Domains 1.2 リリースノート』「システムファームウェアの必須パッチ」 を参照してください。

この手順では、サービスプロセッサで flashupdate コマンドを使用してシステムファームウェアをアップグレードする方法について説明します。


  1. サービスプロセッサに接続されたシリアルまたはネットワークのいずれかの管理ポートを使用して、ホストサーバーを停止して電源を切ります。

    # shutdown -i5 -g0 -y
  2. 使用しているサーバーに応じて、flashupdate コマンドを使用してシステムファームウェアをアップグレードします。


    次に、flashupdate コマンドのサンプルを示します。

    sc> flashupdate -s IP-address -f path/Sun_System_Firmware-
    username: your-userid
    password: your-password


    • IP-address は、使用している FTP サーバーの IP アドレスです。

    • path は、システムファームウェアイメージを入手できる SunSolvesm 内の場所または独自のディレクトリです。

    • x_x_x は、システムファームウェアのバージョン番号です。

    • nn は、このリリースに適用されるビルド番号です。

    • server-name は、使用しているサーバーの名前です。たとえば、Sun FireTM T2000 サーバーの server-name は、Sun_Fire_T2000 です。

  3. サービスプロセッサをリセットします。

    sc> resetsc -y
  4. ホストサーバーの電源を入れて起動します。

    sc> poweron -c
    ok boot disk

ProcedureFTP サーバーを使用せずに、システムファームウェアをアップグレードする

サービスプロセッサにファームウェアをアップロードするためのローカル FTP サーバーにアクセスできない場合は、sysfwdownload ユーティリティーを使用できます。このユーティリティーは、システムファームウェアアップグレードパッケージとともに SunSolve サイトで提供されています。


  1. Solaris OS 内で次のコマンドを実行します。

    # cd firmware_location
    # sysfwdownload system_firmware_file
  2. Solaris OS インスタンスを停止します。

    # shutdown -i5 -g0 -y
  3. システムの電源を切り、ファームウェアを更新します。

    sc> poweroff -fy
    sc> flashupdate -s
  4. サービスプロセッサをリセットしてシステムの電源を入れます。

    sc> resetsc -y
    sc> poweron

Logical Domains Manager および Solaris Security Toolkit のダウンロード


  1. Sun のソフトウェアダウンロードサイトから zip ファイル (LDoms_Manager-1_2.zip) をダウンロードします。

    ソフトウェアは、http://www.sun.com/ldoms から入手できます。

  2. zip ファイルを解凍します。

    $ unzip LDoms_Manager-1_2.zip

    Logical Domains Manager および Solaris Security Toolkit は、同じ zip ファイル内に含まれています。ファイルの構造およびファイルの内容の詳細は、『Logical Domains 1.2 リリースノート』「LDoms 1.2 ソフトウェアの場所」 を参照してください。

Logical Domains Manager および Solaris Security Toolkit のインストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアをインストールするには、次の 3 つの方法があります。

注 –

Logical Domains および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これは、ほかのパッケージとともに自動的にはインストールされません。LDoms MIB のインストールおよび使用法の詳細は、『Logical Domains (LDoms) MIB 1.0.1 Administration Guide』 を参照してください。

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの自動インストール

install-ldm インストールスクリプトを使用する場合、スクリプトの実行方法を指定する選択肢がいくつかあります。それぞれの選択肢について、次の手順で説明します。


  1. オプションを指定せずに install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。

    # Install/install-ldm
    1. 1 つ以上のパッケージがすでにインストールされている場合は、次のメッセージが表示されます。

      # Install/install-ldm
      ERROR: One or more packages are already installed: SUNWldm SUNWjass.
      If packages SUNWldm.v and SUNWjass are factory pre-installed, run
      install-ldm -p to perform post-install actions.  Otherwise remove the
      package(s) and restart install-ldm.

      インストール後の処理のみを実行する場合は、「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 に進みます。

    2. 処理が正常に実行されると、次の例のようなメッセージが表示されます。

    • 例 3–1 は、次のデフォルトのセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

      a) Hardened Solaris configuration for LDoms (recommended)

    • 例 3–2 は、次のセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

      c) Your custom-defined Solaris security configuration profile

      選択肢として表示されるドライバは、名前が -secure.driver で終わるドライバです。名前が -secure.driver で終わらない、カスタマイズしたドライバを書き込む場合は、install-ldm -d オプションでカスタマイズしたドライバを指定する必要があります。「カスタマイズされた強化ドライバとともにインストールする」 を参照してください。

例 3–1 LDoms 用に強化された Solaris 構成の場合の出力

# Install/install-ldm
Welcome to the LDoms installer.
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Select a security profile from this list:
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
Enter a, b, or c [a]: a
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u'  command.
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWjass> was successful. 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
Executing driver, ldm_control-secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070208142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

例 3–2 カスタマイズされた構成プロファイルを選択した場合の出力

# Install/install-ldm
Welcome to the LDoms installer.
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Select a security profile from this list:
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
Enter a, b, or c [a]: c
Choose a Solaris Security Toolkit .driver configuration profile from
this list
1) ldm_control-secure.driver
2) secure.driver
3) server-secure.driver
4) suncluster3x-secure.driver
5) sunfire_15k_sc-secure.driver
Enter a number 1 to 5: 2
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Is this OK (yes/no)? [no] y
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u' command.
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWjass> was successful. 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d secure.driver
Executing driver, secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070102142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.


  1. Solaris Security Toolkit のカスタマイズされた強化ドライバ (たとえば、server-secure-myname.driver) を指定するには、-d オプションを指定して install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。

    # Install/install-ldm -d server-secure-myname.driver


例 3–3 install-ldm -d スクリプトが正常に実行された場合の出力

# Install/install-ldm -d server-secure.driver
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWjass> was successful. 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver server-secure-myname.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d server-secure-myname.driver
Executing driver, server-secure-myname.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20061114143128/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.


  1. Solaris Security Toolkit ドライバを使用してシステムを強化しないことを指定するには、-d none オプションを指定して install-ldm インストールスクリプトを実行します。

    インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。

    # Install/install-ldm -d none


例 3–4 install-ldm -d none スクリプトが正常に実行された場合の出力

# Install/install-ldm -d none
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Installation of <SUNWjass> was successful. 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Solaris Security Toolkit was not applied. Bypassing the use of the
Solaris Security Toolkit is not recommended and should only be
performed when alternative hardening steps are to be taken.

ProcedureLogical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する

SUNWldm および SUNWjass パッケージがサーバーにプリインストールされており、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理を行う必要がある場合は、このオプションを使用できます。

  1. システムを強化するために ldmd の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行するには、-p オプションを指定して install-ldm インストールスクリプトを実行します。

    # Install/install-ldm -p
    Verifying that all packages are fully installed.  OK.
    Enabling services: svc:/ldoms/ldmd:default
    Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
    Please wait. . .
    /opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
    Solaris Security Toolkit hardening executed successfully; log file
    var/opt/SUNWjass/run/20070515140944/jass-install-log.txt.  It will not
    take effect until the next reboot.  Before rebooting, make sure SSH or
    the serial line is setup for use after the reboot.

JumpStart を使用した Logical Domains Manager 1.2 および Solaris Security Toolkit 4.2 ソフトウェアのインストール

JumpStart の使用法の詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

注意 – 注意 –


ProcedureJumpStart サーバーを設定する

  1. 『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』 を参照してください。


    1. 『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』「Task Map: Preparing Custom JumpStart Installations」 を参照してください。

    2. 「ネットワーク上のシステム用のプロファイルサーバーの作成」の手順に従って、ネットワークに接続されたシステムを設定します。

    3. rules ファイルの作成」の手順に従って、rules ファイルを作成します。

  2. rules ファイルの妥当性を検査する」の手順に従って、rules ファイルの妥当性検査を行います。

    Solaris Security Toolkit では、プロファイルおよび終了スクリプトが提供されています。プロファイルおよび終了スクリプトの詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。

ProcedureJumpStart ソフトウェアを使用してインストールする

  1. Solaris Security Toolkit パッケージ (SUNWjass) をダウンロードしたディレクトリに移動します。

    # cd /path-to-download
  2. SUNWjass をインストールして、JumpStart (jumpstart) ディレクトリ構造を作成します。

    # pkgadd -R /jumpstart -d . SUNWjass
  3. テキストエディタを使用して、ネットワーク環境を反映するように /jumpstart/opt/SUNWjass/Sysidcfg/Solaris_10/sysidcfg ファイルを変更します。

  4. /jumpstart/opt/SUNWjass/Drivers/user.init.SAMPLE ファイルを /jumpstart/opt/SUNWjass/Drivers/user.init ファイルにコピーします。

    # cp user.init.SAMPLE user.init
  5. パスを反映するように user.init ファイルを編集します。

  6. JumpStart のインストール中に Solaris Security Toolkit パッケージ (SUNWjass) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにこのパッケージを配置する必要があります。次に例を示します。

    # cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWjass /jumpstart/opt/SUNWjass/Packages
  7. JumpStart のインストール中に Logical Domains Manager パッケージ (SUNWldm.v) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにダウンロード領域からこのパッケージを配置する必要があります。次に例を示します。

    # cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWldm.v /jumpstart/opt/SUNWjass/Packages
  8. マルチホーム JumpStart サーバーで問題が発生した場合は、user.init ファイル内の JASS_PACKAGE_MOUNT および JASS_PATCH_MOUNT に関する 2 つのエントリを、JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。詳細は、user.init.SAMPLE ファイル内のコメントを参照してください。

  9. Logical Domains Manager 制御ドメインの基本ドライバとして ldm_control-secure.driver を使用します。

    使用するドライバを変更する方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 の第 4 章を参照してください。ldm_control-secure.driver に対応する Solaris Security Toolkit のメインドライバは、secure.driver です。

  10. ldm_control-secure.driver への変更が完了したら、rules ファイルに適切なエントリを作成します。

    • LDoms 制御ドメインを最小化する場合は、rules ファイル内の minimal-ldm-control.profile を次のように指定します。

      hostname imbulu - Profiles/minimal-ldm_control.profile

      注 –

      LDoms および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これらは、ほかのパッケージとともに自動的にはインストールされません。

    • LDoms 制御ドメインを最小化しない場合は、エントリは次のようになるはずです。

      hostname imbulu - Profiles/oem.profile Drivers/ldm_control-secure-abc.driver
  11. JumpStart のインストール中の強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager を再起動する必要があります。

    # svcadm enable svc:/ldoms/ldmd:default

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの手動インストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアを手動でインストールするには、次の手順を実行します。

ProcedureLogical Domains Manager (LDoms) 1.2 ソフトウェアを手動でインストールする


Sun のソフトウェアダウンロードサイトから、Logical Domains Manager 1.2 ソフトウェアの SUNWldm パッケージをダウンロードします。具体的な手順については、「ソフトウェアをダウンロードする」 を参照してください。

  1. pkgadd(1M) コマンドを使用して、SUNWldm.v パッケージをインストールします。-G オプションを使用して大域ゾーンのみにパッケージをインストールするよう指定し、-d オプションを使用して SUNWldm.v パッケージを含むディレクトリのパスを指定します。

    # pkgadd -Gd . SUNWldm.v
  2. 対話型プロンプトのすべての質問に対して、y (はい) と答えます。

  3. pkginfo(1) コマンドを使用して、Logical Domains Manager 1.2 ソフトウェア用の SUNWldm パッケージがインストールされていることを確認します。

    バージョン (REV) 情報の例を次に示します。

    # pkginfo -l SUNWldm | grep VERSION

Procedure(省略可能) Solaris Security Toolkit 4.2 ソフトウェアを手動でインストールする

システムをセキュリティー保護するには、SUNWjass パッケージをダウンロードしてインストールします。必須パッチ (122608-03 および 125672-01) は、SUNWjass パッケージに含まれています。ソフトウェアのダウンロードに関する詳細は、「ソフトウェアをダウンロードする」 を参照してください。

Logical Domains Manager ソフトウェアを使用する場合のセキュリティーに関する考慮事項の詳細は、このドキュメントの 第 2 章セキュリティー を参照してください。さらに詳細を確認するには、次の URL で Solaris Security Toolkit 4.2 のドキュメントを参照できます。


  1. pkgadd(1M) コマンドを使用して、SUNWjass パッケージをインストールします。

    # pkgadd -d . SUNWjass
  2. pkginfo(1) コマンドを使用して、Solaris Security Toolkit 4.2 ソフトウェアの SUNWjass パッケージがインストールされていることを確認します。

    # pkginfo -l SUNWjass | grep VERSION
    VERSION: 4.2.0

Procedure(省略可能) 制御ドメインを手動で強化する

Solaris Security Toolkit 4.2 パッケージがすでにインストールされている場合にかぎり、この手順を実行してください。

注 –

Solaris Security Toolkit を使用して制御ドメインを強化すると、多くのシステムサービスが無効になり、ネットワークアクセスに一定の制限が生じます。詳細は、「関連マニュアル」 を参照して、Solaris Security Toolkit 4.2 のドキュメントで確認してください。

  1. ldm_control-secure.driver を使用して強化します。

    # /opt/SUNWjass/bin/jass-execute -d ldm_control-secure.driver

    システムを強化するために、ほかのドライバを使用できます。また、ドライバをカスタマイズして、使用している環境のセキュリティーを調整することもできます。ドライバとそのカスタマイズ方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』 を参照してください。

  2. 対話型プロンプトのすべての質問に対して、y (はい) と答えます。

  3. 強化を有効にするため、サーバーを停止してから再起動します。

    # /usr/sbin/shutdown -y -g0 -i6


  1. Logical Domains 強化ドライバ (ldom_control-secure.driver) によって、強化が適切に適用されたかどうかを確認します。


    # /opt/SUNWjass/bin/jass-execute -a ldom_control-secure.driver


  1. Solaris Security Toolkit によって適用された構成の変更を取り消します。

    # /opt/SUNWjass/bin/jass-execute -u

    Solaris Security Toolkit によって、どの強化の実行を取り消すかが尋ねられます。

  2. 取り消す強化の実行を選択します。

  3. 構成の強化の取り消しが行われるように、システムを再起動します。

    # /usr/sbin/shutdown -y -g0 -i6

    注 –

    JumpStart のインストール中に実行された強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager デーモン (ldmd) および仮想ネットワーク端末サーバーデーモン (vntsd) を再起動する必要があります。

    # svcadm enable svc:/ldoms/ldmd:default

Logical Domains Manager デーモンの有効化

install-ldm インストールスクリプトを使用すると、Logical Domains Manager デーモン (ldmd) が自動的に有効になります。SUNWldm パッケージをインストールした場合も、ldmd デーモンは自動的に有効になります。このデーモンが有効になると、論理ドメインを作成、変更、および制御できます。

ProcedureLogical Domains Manager デーモンを有効にする

ldmd デーモンが無効になっている場合、次の手順に従ってこのデーモンを有効にします。

  1. svcadm(1M) コマンドを使用して、Logical Domains Manager デーモンの ldmd を有効にします。

    # svcadm enable ldmd
  2. ldm list コマンドを使用して、Logical Domains Manager デーモンが実行中であることを確認します。

    ldm list コマンドを実行すると、システム上で現在定義されているすべてのドメインが一覧表示されます。特に、primary ドメインが表示され、状態が active になっているはずです。次のサンプル出力は、システム上に primary ドメインのみが定義されていることを示します。

    # /opt/SUNWldm/bin/ldm list
    primary          active   ---c-   SP      32    3264M    0.3%  19d 9m


Logical Domains Manager 用に変更された Solaris OS の役割に基づくアクセス制御 (RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。

Logical Domains Manager の承認には、次の 2 つのレベルがあります。

Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。



必要に応じて次の手順を使用して、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。

  1. ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。

    注 –

    ユーザーの Logical Domains Manager 承認を追加するには、そのユーザーに対してローカル (非 LDAP) アカウントを作成する必要があります。詳細は、「Solaris 10 System Administrator Collection」を参照してください。

  2. ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。

    ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 2–1 を参照してください。

    • usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。

      # usermod -A solaris.ldoms.read username
    • usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。

      # usermod -A solaris.ldoms.write username


  1. ローカルユーザーアカウントのすべての承認を削除します (使用できる唯一のオプション)。

    # usermod -A `` username


SUNWldm パッケージによって、/etc/security/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。2 つの LDoms 固有のプロファイルは次のとおりです。



  1. ローカルユーザーアカウントに管理プロファイル (たとえば、LDoms Management) を追加します。

    # usermod -P “LDoms Management” username


  1. ローカルユーザーアカウントのすべてのプロファイルを削除します (使用できる唯一のオプション)。

    # usermod -P `` username


この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。


  1. 役割を作成します。

    # roleadd -A solaris.ldoms.read ldm_read
  2. 役割にパスワードを割り当てます。

    # passwd ldm_read
  3. ユーザー (たとえば user_1) に役割を割り当てます。

    # useradd -R ldm_read user_1
  4. ユーザー (user_1) にパスワードを割り当てます。

    # passwd user_1
  5. ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。

    # su user_1
  6. プロンプトが表示されたら、ユーザーのパスワードを入力します。

  7. ユーザー ID を確認して、ldm_read 役割にアクセスします。

    $ id
    uid=nn(user_1) gid=nn(<group name>)
    $ roles
  8. 読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。

    # su ldm_read
  9. プロンプトが表示されたら、ユーザーのパスワードを入力します。

  10. id コマンドを入力してユーザーを表示します。

    $ id
    uid=nn(ldm_read) gid=nn(<group name>)