test

Solaris Trusted Extensions インストールと構成 (Solaris 10 11/06 および Solaris 10 8/07 リリース版)

第 3 章 Solaris Trusted Extensions ソフトウェアのインストール (手順)

この章では、Solaris Trusted Extensions をインストールするにあたっての Solaris OS の準備方法を説明します。また、Trusted Extensions パッケージをインストールする前に必要な情報についても説明します。このパッケージのインストール手順についても紹介します。

インストールチームの担当

Trusted Extensions ソフトウェアは、別々のタスクを担当する 2 人によってインストールおよび構成されるように設計されています。しかし、インストールプログラムでは、この 2 つの役割によってタスクを区分できません。その代わり、タスクの区分は役割によって実行されます。Trusted Extensions ソフトウェアのインストールが終了するまで役割とユーザーは作成されないので、インストールするときは、少なくとも 2 人で構成されるインストールチームで行うことをお勧めします。

Trusted Extensions 用 Solaris OS のインストールまたはアップグレード

Solaris のインストールオプションの選択によっては、Trusted Extensions の使用方法およびセキュリティーに影響することがあります。

ProcedureSolaris システムをインストールして Trusted Extensions をサポートする

ここに示すタスクは、Solaris OS のフレッシュインストールの場合に該当します。アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。

  1. Solaris OS をインストールする場合、次のインストールの選択に関して推奨アクションを実行します。

    各選択は、Solaris インストール時の質問の順序に合わせて記載しています。この表に示されないインストールの質問は、Trusted Extensions に影響しません。

    Solaris のオプション 

    Trusted Extensions の動作 

    推奨アクション 

    NIS ネームサービス 

    NIS+ ネームサービス 

    Trusted Extensions は、ネームサービスのファイルおよび LDAP をサポートします。ホスト名解決には、DNS を使用できます。 

    NIS および NIS+ を選択しないでください。ファイルを意味する「なし」を選択できます。あとで、Trusted Extensions で機能するよう LDAP を構成できます。 

    アップグレード 

    Trusted Extensions は、特定のセキュリティー特性を持つラベル付きゾーンをインストールします。 

    アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。

    root パスワード

    Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。

    root パスワードを入力します。デフォルトの crypt_unix パスワード暗号化方式は変更しないでください。詳細は、『Solaris のシステム管理 (セキュリティサービス)』「パスワード情報の管理」を参照してください。

    開発者グループ 

    Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループおよびそれより小さいグループは、Solaris 管理コンソールのパッケージをインストールしません。 

    ほかのシステムを管理するシステムには、エンドユーザーグループ、コアグループ、および限定ネットワークグループをインストールしないでください。 

    製品の選択 

    この画面から Java ES ソフトウェアをインストールできます。 

    Solaris 10 Extra Value ソフトウェアを選択しないでください。あとで「Solaris Trusted Extensions パッケージのインストール (手順)」で Trusted Extensions ソフトウェアを追加します。

    カスタムインストール 

    Trusted Extensions はゾーンをインストールするので、デフォルトインストールのパーティションより多くのディスク容量が必要になる場合があります。 

    カスタムインストールを選択し、パーティションを配置します。 

    役割用にスワップ空間の追加を検討します。ゾーンのクローンを作成する場合は、ZFS プール用に 2000M バイトのパーティションを作成します。 

    監査ファイルには、専用パーティションを作成するようにしてください。 

Procedureインストール済み Solaris システムを Trusted Extensions 用に準備する

ここに示すタスクは、すでに使用している Solaris システムがあり、それに Trusted Extensions パッケージを追加する場合に該当します。また、アップグレード済みの Solaris 10 システムに Trusted Extensions をインストールする場合も、この手順に従います。インストール済みの Solaris システムを変更するようなその他のタスクは、Trusted Extensions パッケージを追加したあとで実行します。

始める前に

Trusted Extensions は一部の Solaris 環境にはインストールできません。

  1. 非大域ゾーンがシステムにインストールされている場合は、削除してください。

    または Solaris OS を再インストールします。Solaris OS を再インストールする場合、「Solaris システムをインストールして Trusted Extensions をサポートする」の手順に従います。

  2. システムに root パスワードがない場合は作成します。

    Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。

    デフォルトの crypt_unix パスワード暗号化方式を root ユーザーに使用します。詳細は、『Solaris のシステム管理 (セキュリティサービス)』「パスワード情報の管理」を参照してください。

    注 –

    ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Solaris OS では安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。

  3. サイトをこのシステムから管理する場合は、Solaris 管理コンソール 用の Solaris パッケージを追加します。

    Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループまたはそれより小さいグループでインストールされたシステムには、Solaris 管理コンソールのパッケージはありません。

  4. xorg.conf ファイルを作成した場合、それを変更する必要があります。

    /etc/X11/xorg.conf ファイルの Module セクションの最後に、次の行を追加します。


    load "xtsol"
    注 –

    デフォルトでは、xorg.conf ファイルはありません。このファイルがない場合は、何もする必要はありません。

  5. Solaris Trusted Extensions システムをアップグレードする場合は、システムをインストールする前に次の項目を参照してください。

    ヒント –

    関連情報を見つけるには、「Trusted Extensions」という文字列を検索します。

  6. ゾーンのクローンを作成する場合、ZFS プール用のパーティションを作成します。

    ゾーン作成方法を決定するには、「Trusted Extensions でのゾーン計画」を参照してください。

  7. このシステムにラベル付きゾーンをインストールする場合は、パーティションにゾーン用のディスク容量が十分にあることを確認します。

    Trusted Extensions が設定されるほとんどのシステムには、ラベル付きゾーンをインストールします。ラベル付きゾーンでは、インストールされたシステムによって確保されたディスク容量よりも多くの容量が必要になることがあります。

    ただし、一部の Trusted Extensions システムには、ラベル付きゾーンをインストールする必要がありません。たとえば、マルチレベルのプリンタサーバー、マルチレベルの LDAP サーバー、マルチレベルの LDAP プロキシサーバーなどでは、ラベル付きゾーンをインストールする必要はありません。このようなシステムでは、追加のディスク容量が不要な場合もあります。

  8. (省略可能) 役割用のスワップ空間を追加します。

    役割が Trusted Extensions を管理します。役割のプロセスのためにスワップの追加を検討します。

  9. (省略可能) 監査ファイル専用のパーティションを作成します。

    Trusted Extensions では、デフォルトで監査が有効になっています。監査ファイルには、専用パーティションを作成するようにしてください。

  10. (省略可能) 強化された構成を実行するには、Trusted Extensions をインストールする前に netservices limited コマンドを実行します。


    # netservices limited

Trusted Extensions のインストール前の情報収集と決定事項

Solaris Trusted Extensions を構成するシステムごとに、確認しておくべき情報、および 構成に関して決定しておくべき事項があります。たとえば、ラベル付きゾーンを作成するには、ゾーンのクローンを ZFS (zettabyte file system) ファイルシステムとして作成できるディスク容量を確保します。Solaris ZFS によって、ゾーン用の分離領域がさらに提供されます。

ProcedureTrusted Extensions のインストール前にシステム情報を収集する

  1. システムのメインホスト名および IP アドレスを確認します。

    このホスト名はネットワーク上のホストの名前であり、大域ゾーンです。Solaris システムでは、次のように getent コマンドを実行するとホスト名が返されます。


    # getent hosts machine1
192.168.0.11   machine1

  2. ラベル付きゾーンに対して IP アドレスの割り当てを決定します。

    2 つの IP アドレスを持つシステムは、マルチレベルサーバーとして動作します。IP アドレスが 1 つのシステムは、印刷またはマルチレベルタスクを実行するためには、マルチレベルサーバーにアクセスする必要があります。IP アドレスのオプションについては、「マルチレベルアクセスの計画」を参照してください。

    ほとんどのシステムでは、ラベル付きゾーンのために 2 つめの IP アドレスが必要になります。ラベル付きゾーン用に 2 つめの IP アドレスを持つホストの場合の例を、次に示します。


    # getent hosts machine1-zones
192.168.0.12   machine1-zones

  3. LDAP 構成情報を収集します。

    Trusted Extensions ソフトウェアを実行する LDAP サーバーの場合、次の情報が必要です。

    • LDAP サーバーがサービスを提供する Trusted Extensions ドメインの名前

    • LDAP サーバーの IP アドレス

    • ロードする LDAP プロファイル名

    LDAP プロキシサーバーの場合、LDAP プロキシのパスワードも必要です。

ProcedureTrusted Extensions のインストール前にシステムおよびセキュリティーに関する事項を決定する

Solaris Trusted Extensions を構成するシステムごとに、パッケージのインストールに先立って、構成に関する決定を行います。

  1. システムハードウェアをどれくらい安全に保護する必要があるかを決定します。

    セキュリティー保護されたサイトでは、このステップはすべてのインストール済み Solaris システムに関して行われています。

    • SPARC システムの場合、PROM セキュリティーレベルおよびパスワードが提供されています。

    • x86 システムの場合は BIOS が保護されています。

    • すべてのシステムで、root がパスワードで保護されています。

  2. label_encodings ファイルを準備します。

    サイト独自の label_encodings ファイルがある場合、その他の構成タスクを開始する前にファイルを確認してインストールします。サイト独自の label_encodings ファイルがない場合、Sun 提供のデフォルトファイルを使用できます。デフォルト以外の label_encodings ファイルも /etc/security/tsol ディレクトリにあります。Sun のファイルはデモファイルです。本番システムには適さないことがあります。

    サイトに合わせてファイルをカスタマイズするには、『Solaris Trusted Extensions ラベルの管理』を参照してください。

  3. label_encodings ファイルのラベルのリストから、作成する必要のあるラベル付きゾーンのリストを作成します。

    デフォルトの label_encodings ファイルの場合、ラベルは次のとおりであり、ゾーン名も同様にできます。

    ラベル 

    ゾーン名 

    PUBLIC

    public

    CONFIDENTIAL : INTERNAL

    internal

    CONFIDENTIAL : NEED TO KNOW

    needtoknow

    CONFIDENTIAL : RESTRICTED

    restricted

    NFS マウントを簡単にするため、特定のラベルのゾーン名はすべてのシステムで同じにする必要があります。マルチレベルのプリンタサーバーなどの一部のシステムでは、ラベル付きゾーンがインストールされている必要はありません。ただし、ラベル付きゾーンをプリンタサーバーにインストールする場合、そのゾーン名はネットワーク上のほかのシステムのゾーン名と同じにする必要があります。

  4. 役割をいつ作成するかを決定します。

    役割になって Trusted Extensions を管理するようにサイトのセキュリティーポリシーで求められることがあります。このような場合、または、評価された構成の基準を満たすようにシステムを構成する場合、構成プロセスの早い段階で役割を作成してください。

    役割を使用してシステムを構成する必要がない場合、スーパーユーザーとしてシステムを構成できます。この構成方法はあまり安全ではありません。構成時にどのユーザーがスーパーユーザーであったかは、監査レコードには示されません。スーパーユーザーはシステム上であらゆるタスクを実行できますが、役割が実行できるタスクは制限されます。したがって、役割によって構成を実行する場合、より細かく制御できます。

  5. ゾーンの作成方法を選択します。

    最初からのゾーンの作成、ゾーンのコピー、またはゾーンのクローンの作成があります。これらの方法は、作成にかかる時間、ディスク容量の要件、および堅牢性が異なります。それぞれの利点および欠点については、「Trusted Extensions でのゾーン計画」を参照してください。

  6. LDAP 構成を計画します。

    ネットワーク接続されないシステムでは、ローカルファイルを使用した管理が実用的です。

    LDAP は、ネットワーク接続された環境用のネームサービスです。複数のマシンを構成する場合、データ入力された LDAP サーバーが必要です。

    • 既存の Sun JavaTM System Directory Server (LDAP サーバー) がある場合、Trusted Extensions を実行するシステムに LDAP プロキシサーバーを作成できます。マルチレベルのプロキシサーバーは、ラベルなしの LDAP サーバーとの通信を取り扱います。

    • LDAP サーバーがない場合、Trusted Extensions ソフトウェアを実行するシステムをマルチレベルの LDAP サーバーとして構成できます。

  7. 各システムおよびネットワークのセキュリティーに関するその他の問題を決定します。

    たとえば、次のようなセキュリティーに関する問題を検討します。

    • システムに接続し、使用のために割り当てることができるデバイスがどれかを指定します。

    • どのラベルの、どのプリンタをシステムからアクセス可能にするかを決定します。

    • ゲートウェイシステム、パブリックキオスクなど、制限されたラベル範囲を持つシステムを特定します。

    • 特定のラベルなしシステムと通信できるラベル付きシステムを決定します。

Solaris Trusted Extensions パッケージのインストール (手順)

パッケージをインストールする前に、「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」および「Trusted Extensions のインストール前の情報収集と決定事項」に示すタスクを完了しておいてください。

ProcedureSolaris Trusted Extensions パッケージをインストールする

パッケージの追加は、Java ウィザードまたは pkgadd コマンドによって行えます。pkgadd コマンドのオプションについては、pkgadd(1M) のマニュアルページを参照してください。

  1. Solaris インストールメディアをドライブに挿入します。

  2. Trusted_Extensions ディレクトリに移動します。


    # cd Solaris_release-number/ExtraValue/CoBundled/Trusted_Extensions

  3. すべてのパッケージをロードします。

    次のオプションのいずれかを選択します。

    • Java ウィザードを使用します。


      # java wizard

      Java インストール GUI で、パッケージをインストールするよう求められます。

    • Packages ディレクトリから pkgadd コマンドを使用します。


      # cd Packages
# pkgadd -d .

      1. Return を押してすべてのパッケージをロードします。

      2. すべてのプロンプトに y で答えます。

  4. そのパッケージが適切にインストールされていることを確認します。

    • Java ウィザードで、「Details」ボタンをクリックします。

    • コマンド行から、ログをスクロールして戻ります。

      /var/sadm/install/logs ディレクトリに移動して、ログを読むこともできます。

      ヒント –

      pkginfo コマンドを使用して、インストールされたパッケージを確認することもできます。


      # pkginfo | grep Trust
system      SUNWdttshelp            Trusted Extensions, CDE Desktop Help
system      SUNWdttsr               Trusted Extensions, CDE Desktop, (Root)
system      SUNWdttsu               Trusted Extensions, CDE Desktop, (Usr)
system      SUNWmgts                Trusted Extensions, SMC
system      SUNWtsg                 Trusted Extensions global
system      SUNWtsman               Trusted Extensions Man Pages
application SUNWtsmc                Trusted Extensions SMC Server
system      SUNWtsr                 Trusted Extensions, (Root)
system      SUNWtsu                 Trusted Extensions, (Usr)
system      SUNWxwts                Trusted Extensions, X Window System
注意事項

Java ウィザード – メッセージ 「Exception in thread "main" java.lang.NoClassDefFoundError: wizard」が表示された場合、ウィザードを呼び出したディレクトリが間違っています。

次の手順

Solaris Trusted Extensions システムをアップグレードする場合は、続行する前に次の項目を参照してください。

『Solaris 10 5/08 ご使用にあたって』