Solaris のインストールオプションの選択によっては、Trusted Extensions の使用方法およびセキュリティーに影響することがあります。
Trusted Extensions を適切にインストールするには、基盤となる Solaris OS を確実にインストールする必要があります。Trusted Extensions に影響する Solaris のインストールオプションについては、「Solaris システムをインストールして Trusted Extensions をサポートする」を参照してください。
すでに Solaris OS を使用している場合は、現在の構成を Trusted Extensions の要件と比較してください。Trusted Extensions に影響する構成については、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。
ここに示すタスクは、Solaris OS のフレッシュインストールの場合に該当します。アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。
Solaris OS をインストールする場合、次のインストールの選択に関して推奨アクションを実行します。
各選択は、Solaris インストール時の質問の順序に合わせて記載しています。この表に示されないインストールの質問は、Trusted Extensions に影響しません。
Solaris のオプション |
Trusted Extensions の動作 |
推奨アクション |
---|---|---|
NIS ネームサービス NIS+ ネームサービス |
Trusted Extensions は、ネームサービスのファイルおよび LDAP をサポートします。ホスト名解決には、DNS を使用できます。 |
NIS および NIS+ を選択しないでください。ファイルを意味する「なし」を選択できます。あとで、Trusted Extensions で機能するよう LDAP を構成できます。 |
アップグレード |
Trusted Extensions は、特定のセキュリティー特性を持つラベル付きゾーンをインストールします。 |
アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。 |
root パスワード |
Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。 |
root パスワードを入力します。デフォルトの crypt_unix パスワード暗号化方式は変更しないでください。詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「パスワード情報の管理」を参照してください。 |
開発者グループ |
Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループおよびそれより小さいグループは、Solaris 管理コンソールのパッケージをインストールしません。 |
ほかのシステムを管理するシステムには、エンドユーザーグループ、コアグループ、および限定ネットワークグループをインストールしないでください。 |
製品の選択 |
この画面から Java ES ソフトウェアをインストールできます。 |
Solaris 10 Extra Value ソフトウェアを選択しないでください。あとで「Solaris Trusted Extensions パッケージのインストール (手順)」で Trusted Extensions ソフトウェアを追加します。 |
カスタムインストール |
Trusted Extensions はゾーンをインストールするので、デフォルトインストールのパーティションより多くのディスク容量が必要になる場合があります。 |
カスタムインストールを選択し、パーティションを配置します。 役割用にスワップ空間の追加を検討します。ゾーンのクローンを作成する場合は、ZFS プール用に 2000M バイトのパーティションを作成します。 監査ファイルには、専用パーティションを作成するようにしてください。 |
ここに示すタスクは、すでに使用している Solaris システムがあり、それに Trusted Extensions パッケージを追加する場合に該当します。また、アップグレード済みの Solaris 10 システムに Trusted Extensions をインストールする場合も、この手順に従います。インストール済みの Solaris システムを変更するようなその他のタスクは、Trusted Extensions パッケージを追加したあとで実行します。
Trusted Extensions は一部の Solaris 環境にはインストールできません。
システムがクラスタの一部である場合、Trusted Extensions はインストールできません。
代替ブート環境 (BE) への Trusted Extensions のインストールはサポートされていません。Trusted Extensions は、現在のブート環境にのみインストールできます。
live_upgrade ツールを使用して代替 BE に Solaris OS をインストール済みの場合、まず代替 BE をアクティブ化し、この BE からシステムを起動したあと、Trusted Extensions パッケージを追加する必要があります。Live Upgrade および BE については、live_upgrade(5) のマニュアルページを参照してください。
非大域ゾーンがシステムにインストールされている場合は、削除してください。
または Solaris OS を再インストールします。Solaris OS を再インストールする場合、「Solaris システムをインストールして Trusted Extensions をサポートする」の手順に従います。
システムに root パスワードがない場合は作成します。
Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。
デフォルトの crypt_unix パスワード暗号化方式を root ユーザーに使用します。詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「パスワード情報の管理」を参照してください。
ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Solaris OS では安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。
サイトをこのシステムから管理する場合は、Solaris 管理コンソール 用の Solaris パッケージを追加します。
Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループまたはそれより小さいグループでインストールされたシステムには、Solaris 管理コンソールのパッケージはありません。
xorg.conf ファイルを作成した場合、それを変更する必要があります。
/etc/X11/xorg.conf ファイルの Module セクションの最後に、次の行を追加します。
load "xtsol" |
デフォルトでは、xorg.conf ファイルはありません。このファイルがない場合は、何もする必要はありません。
Solaris Trusted Extensions システムをアップグレードする場合は、システムをインストールする前に次の項目を参照してください。
関連情報を見つけるには、「Trusted Extensions」という文字列を検索します。
ゾーンのクローンを作成する場合、ZFS プール用のパーティションを作成します。
ゾーン作成方法を決定するには、「Trusted Extensions でのゾーン計画」を参照してください。
このシステムにラベル付きゾーンをインストールする場合は、パーティションにゾーン用のディスク容量が十分にあることを確認します。
Trusted Extensions が設定されるほとんどのシステムには、ラベル付きゾーンをインストールします。ラベル付きゾーンでは、インストールされたシステムによって確保されたディスク容量よりも多くの容量が必要になることがあります。
ただし、一部の Trusted Extensions システムには、ラベル付きゾーンをインストールする必要がありません。たとえば、マルチレベルのプリンタサーバー、マルチレベルの LDAP サーバー、マルチレベルの LDAP プロキシサーバーなどでは、ラベル付きゾーンをインストールする必要はありません。このようなシステムでは、追加のディスク容量が不要な場合もあります。
(省略可能) 役割用のスワップ空間を追加します。
役割が Trusted Extensions を管理します。役割のプロセスのためにスワップの追加を検討します。
(省略可能) 監査ファイル専用のパーティションを作成します。
Trusted Extensions では、デフォルトで監査が有効になっています。監査ファイルには、専用パーティションを作成するようにしてください。
(省略可能) 強化された構成を実行するには、Trusted Extensions をインストールする前に netservices limited コマンドを実行します。
# netservices limited |