Trusted Extensions でのヘッドレスシステムの構成 (作業マップ)
ヘッドレスシステムでは、コンソールはシリアル回線によって端末エミュレータウィンドウに接続されます。この回線は、通常、tip コマンドによって保護されます。利用可能な増設システムのタイプに応じて、次の方法のいずれかを使用してヘッドレスシステムを構成できます。次の表のタスク 3 では、最優先される方法から順に示します。
|
タスク |
説明 |
参照先 |
|---|---|---|
|
1. ヘッドレスシステムを cipso システムとして特定します。 |
ヘッドレスシステムを構成しようとしているデスクトップシステムに Trusted Extensions を構成する場合は、ホストタイプ cipso のヘッドレスシステムを作成します。 |
トラステッドネットワークのヘッドレスシステム部分をまだ作成していない場合は、システムに適切なセキュリティーテンプレートを割り当てます。『Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。 |
|
2. 遠隔ログインを有効にします。 |
スーパーユーザーとして、ヘッドレスシステムへの遠隔ログインを有効にします。 | |
|
3. ヘッドレスシステムを設定するための構成と管理の方法を選択します。 この選択は、ヘッドレスシステムと通信する別システムのハードウェアおよびソフトウェアに応じます。簡単で安全な方法から順に示します。 |
遠隔システムを役割で管理する場合は、rlogin コマンドを使用します。 |
遠隔システムを管理する役割になるには、「rlogin コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」に進みます。 |
|
遠隔システムをスーパーユーザーとして管理する場合は、ssh コマンドを使用します。 |
遠隔システムをスーパーユーザーとして管理するには、「ssh コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」に進みます。 |
|
|
ウィンドウ表示システムがない場合、シリアルログインを使用できます。この手順は安全ではありません。 |
ヘッドレスシステムの構成と管理にシリアルログインを使用するには、「Trusted Extensions へのシリアルログインによる管理を設定する」に進みます。 |
|
|
4. ヘッドレスシステムで Trusted Extensions を構成します。 |
ログインしてから、モニターを備えたシステム上での作業のように構成を続行します。 |
第 4 章Trusted Extensions の構成 (手順)を参照してください。ログイン方法に合わせて可能な方法を使用してください。 |
Trusted Extensions で遠隔ログインを有効にする
rlogin または ssh コマンドを使用してヘッドレスシステムを管理する必要がある場合のみ、この手順に従ってください。この手順は安全ではありません。
構成エラーは遠隔でデバッグできます。
始める前に
セキュリティーポリシーを確認して、サイトで許可されている遠隔ログインの方法を判定します。デスクトップシステムおよびヘッドレスシステムは、同じセキュリティーテンプレートを使用して互いに相手を特定する必要があります。
-
コンソールデバイスから root アカウントにログインします。
-
次の遠隔ログイン方法を 1 つ以上選択して起動します。
-
root ユーザーによる遠隔ログインを有効にします。
-
rlogin サービスを使用してログインする役割を許可します。
root が役割である場合、root 役割による遠隔ログインのために次の変更が必要です。
-
テキストエディタで、pam.conf ファイルを開きます。
# vi /etc/pam.conf
-
ファイルの終わりのほうにある other account requisite を探します。
-
allow_remote を役割モジュールに追加します。
Tab キーを使用してフィールドを移動します。
other account requisite pam_roles.so.1 allow_remote
編集後のこのセクションは、次のようになります。
other account requisite pam_roles.so.1 allow_remote other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1
-
-
ラベルなしホストから大域ゾーンへの遠隔ログインを許可します。
-
テキストエディタで、pam.conf ファイルを開きます。
# vi /etc/pam.conf
-
ファイルの終わりのほうにある other account requisite を探します。
-
allow_unlabeled を tsol_account モジュールに追加します。
Tab キーを使用してフィールドを移動します。
other account required pam_tsol_account.so.1 allow_unlabeled
編集後のこのセクションは、次のようになります。
other account requisite pam_roles.so.1 allow_remote other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1 allow_unlabeled
-
-
特定ユーザーが大域ゾーンにログインできるようにします。
これらのユーザーに管理ラベル範囲を割り当てます。テスクトップ上でのユーザー名は、ヘッドレスシステム上でのユーザー名と同じでなければなりません。
# usermod -R root -K min_label=ADMIN_LOW -K clearance=ADMIN_LOW username
-
-
ヘッドレスシステムで、デスクトップのホストタイプを定義します。
デスクトップシステムのホストタイプとヘッドレスシステムのホストタイプは、一致する必要があります。一時的な定義を作成するには、tnctl コマンドを使用します。詳細は、tnctl(1M) のマニュアルページを参照してください。
rlogin コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする
この手順によってコマンド行および Trusted Extensions の GUI を使用できるようになり、役割になることで、ヘッドレスシステムを管理できます。
始める前に
Solaris 管理コンソール を使用するために、ヘッドレスシステムには十分な容量のメモリーが必要です。要件は Solaris OS の場合と同じです。詳細は、『Solaris 10 5/08 インストールガイド (基本編)』の「システム要件と推奨事項」を参照してください。
管理者のデスクトップシステムに Trusted Extensions を構成する場合、ヘッドレスシステムはデクスクトップシステム上に CIPSO システムとして特定されます。詳細は、『Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
「Trusted Extensions で遠隔ログインを有効にする」を完了しています。
ヘッドレスシステムにログインできるユーザーである必要があります。
-
デスクトップシステムで、ヘッドシステムからのプロセスが表示されるようにします。
-
Trusted Extensions デスクトップシステムで、トラステッドパスのワークスペースを開きます。
-
この端末ウィンドウから遠隔にヘッドレスシステムにログインします。
desktop # rlogin headless Password: Type the headless user's password
-
役割になります。
特権のないユーザーとしてヘッドレスシステムにログインしている場合は、管理特権を持つ役割になります。同じ端末ウィンドウを使用します。たとえば、root の役割になります。
headless $ su - root Password: Type the root password
大域ゾーンになります。
-
ヘッドレスシステム上のプロセスがデスクトップシステム上に表示されるようにします。
headless $ setenv DISPLAY desktop:n.n headless $ export DISPLAY=n:n
Trusted Extensions の GUI を使用してヘッドレスシステムを管理できるようになります。
-
ヘッドレスシステムを管理します。
ssh コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする
この手順によって、コマンド行を使用して、ヘッドレスシステムをスーパーユーザーとして管理できるようになります。Trusted Extensions の GUI を使用するには、「rlogin コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」にある遠隔表示の手順を完了します。
始める前に
Solaris 管理コンソール を使用するために、ヘッドレスシステムには十分な容量のメモリーが必要です。要件は Solaris OS の場合と同じです。詳細は、『Solaris 10 5/08 インストールガイド (基本編)』の「システム要件と推奨事項」を参照してください。
管理者のデスクトップシステムに Trusted Extensions を構成する場合、ヘッドレスシステムはデクスクトップシステム上に CIPSO システムとして特定されます。詳細は、『Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
「Trusted Extensions で遠隔ログインを有効にする」を完了しています。
ヘッドレスシステムにログインできるユーザーである必要があります。
-
Trusted Extensions デスクトップシステムで、トラステッドパスのワークスペースを開きます。
-
この端末ウィンドウから遠隔にヘッドレスシステムにログインします。
desktop $ ssh -l username-on-headless headless Password: Type the headless user's password headless $
端末ウィンドウにヘッドレスシステム上のアクションが表示されます。
-
スーパーユーザーになります。
ヘッドレシステムで大域ゾーンでない場合、ユーザーを同じ端末ウィンドウの root に切り替えます。
headless $ su - root Password: Type the root password
コマンド行を使用してヘッドレスシステムを管理できるようになります。
管理 GUI を使用してシステムを管理するには、デスクトップ上にヘッドレスシステムのプロセスが表示されるようにします。詳細は、「rlogin コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」を参照してください。
例 6–1 ヘッドレスシステムの遠隔管理の設定
この例では、管理者がラベル付きデスクトップシステムからラベル付きヘッドレスシステムを設定します。Solaris OS での作業のように、管理者は X サーバーがデスクトップシステムにアクセスできるようにして、ヘッドレスシステムに DISPLAY 変数を設定します。
TXdesk1 $ xhost + TXnohead4 TXdesk1 $ whoami config1 TXdesk1 $ uname -n ; echo $DISPLAY TXdesk1 :1.0 |
TXdesk1 $ ssh -l install1 TXnohead4 Password: Ins1PwD1 TXnohead4 $ |
大域ゾーンで、管理者は DISPLAY 変数を設定します。
TXnohead4 # su - Password: abcd1EFG TXnohead4 # setenv DISPLAY TXdesk1:1.0 TXnohead4 # export DISPLAY=TXdesk1:1.0 |
次に、管理者は Solaris 管理コンソール を起動します。
TXnohead4 # /usr/sbin/smc & |
最後に、管理者は This Computer (TXnohead: Scope=Files, Policy=TSOL ) ツールボックスを選択します。
Trusted Extensions へのシリアルログインによる管理を設定する
この手順は、ヘッドレスシステムを構成するデスクトップシステムがない場合にのみ実行してください。この手順は安全ではありません。
始める前に
ヘッドレスシステムのシングルユーザーモードでスーパーユーザーになる必要があります。多少でもセキュリティーを確保するために、2 人でシステムを構成します。
-
シリアルポートを割り当てます。
詳細は、『Solaris Trusted Extensions 管理の手順』の「Trusted Extensions でのデバイスの管理 (作業マップ)」で説明されているシリアルログインの手順を参照してください。
-
システムをスーパーユーザーとして管理します。
- © 2010, Oracle Corporation and/or its affiliates