Solaris Trusted Extensions インストールと構成 (Solaris 10 11/06 および Solaris 10 8/07 リリース版)

作業マップ: Trusted Extensions の構成

安全なインストールを行うために、構成プロセスの早い段階で役割を作成します。役割によってシステムを構成する際のタスクの順序を、次の作業マップに示します。

1. 大域ゾーンを構成します。
	タスク	参照先
	ハードウェア設定を変更する際にパスワードの入力を求めることによって、マシンハードウェアを保護します。	『Solaris のシステム管理 (セキュリティサービス)』の「システムハードウェアアクセスの制御」
	ラベルを設定します。ラベルはサイトに合わせて設定する必要があります。デフォルトの `label_encodings` ファイルを使用する場合、このタスクは省略できます。	「ラベルエンコーディングファイルを検査およびインストールする」
	IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように `/etc/system` ファイルを変更します。	「Trusted Extensions で IPv6 ネットワーキングを有効にする」
	ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。ZFS とは、「zettabyte file system」の頭文字に由来します。	「ゾーンのクローンを作成するために ZFS プールを作成する」
	ラベル付きの環境をアクティブにするために起動します。ログインすると、大域ゾーンになります。システムの `label_encodings` ファイルによって必須アクセス制御 (MAC) を実施します。	「Trusted Extensions を再起動してログインする」
	Solaris 管理コンソールを初期化します。この GUI は、いくつかあるほかのタスクの中で、ゾーンにラベルを付けるために使用します。	「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」
	セキュリティー管理者役割およびローカルに使用するその他の役割を作成します。これらの役割は Solaris OS の場合と同様に作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions でのインストールと構成のストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

システムの管理にローカルファイルを使用している場合は、次の一連の手順を省略します。

2. ネームサービスを構成します。
	タスク	参照先
	ファイルを使用して Trusted Extensions を管理する場合、次のタスクを省略できます。	ファイルのネームサービスには、何も構成する必要はありません。
	既存の Sun Java^TM System Directory Server (LDAP サーバー) がある場合、そのサーバーに Trusted Extensions データベースを追加します。次に、最初の Trusted Extensions システムを LDAP サーバーのプロキシにします。 LDAP サーバーがない場合、最初のシステムをサーバーとして構成します。	第 5 章Trusted Extensions のための LDAP の構成 (手順)
	Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。	「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」
	LDAP サーバーでもプロキシサーバーでもないシステムの場合、それを LDAP クライアントにします。	「Trusted Extensions で大域ゾーンを LDAP クライアントにする」
	LDAP スコープで、セキュリティー管理者役割および使用するつもりであるその他の役割を作成します。このタスクは最後まで延期できます。その結果については、「Trusted Extensions でのインストールと構成のストラテジの作成」を参照してください。	「Trusted Extensions での役割とユーザーの作成」「Trusted Extensions の役割が機能することを確認する」

3. ラベル付きゾーンを作成します。
	`txzonemgr` コマンドを実行します。ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。すべてのゾーンのカスタマイズを正しく行なったあと、ゾーン固有のネットワークアドレスをラベル付きゾーンに追加できます。	「ラベル付きゾーンの作成」
あるいは、Trusted CDE アクションを使用します。	付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストール

3. ラベル付きゾーンを作成します。

タスク

参照先

txzonemgr コマンドを実行します。

ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。すべてのゾーンのカスタマイズを正しく行なったあと、ゾーン固有のネットワークアドレスをラベル付きゾーンに追加できます。

「ラベル付きゾーンの作成」

あるいは、Trusted CDE アクションを使用します。

付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストール

次の一連のタスクの多くは、『Solaris Trusted Extensions 管理の手順』で説明されています。

4. システムの設定を完了します。
	タスク	参照先
	ラベルを必要とする追加の遠隔ホスト、1 つ以上のマルチレベルのポート、または異なる制御メッセージポリシーを特定します。	『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」
	マルチレベルのホームディレクトリサーバーを作成し、インストールされたゾーンを自動マウントします。	「Trusted Extensions でのホームディレクトリの作成」
	ユーザーによるシステムへのログインを有効にする前に、監査の設定、ファイルシステムのマウント、およびその他のタスクを実行します。	『Solaris Trusted Extensions 管理の手順』
	NIS 環境から LDAP サーバーにユーザーを追加します。	「LDAP サーバーに NIS ユーザーを追加する」
	ホストとそのラベル付きゾーンを LDAP サーバーに追加します。	『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」