Solaris Trusted Extensions インストールと構成 (Solaris 10 11/06 および Solaris 10 8/07 リリース版)

CDE アクションを使用したラベル付きゾーンの作成 (作業マップ)

トラステッドネットワークゾーン構成データベースのエントリごとに、ゾーンを 1 つ作成できます。「CDE アクションを使用してゾーン名とゾーンラベルを指定する」の手順で「ゾーンを構成」アクションを実行することにより、エントリを作成しました。

アプリケーションマネージャーの Trusted_Extensions フォルダには、ラベル付きゾーンを作成する次のアクションが含まれています。

タスクを次の順序で完了します。

作業 

説明 

参照先 

1. 1 つのゾーンをインストールして起動します。 

最初のラベル付きゾーンを作成します。パッケージをインストールし、ゾーンを LDAP クライアントにし、ゾーンのすべてのサービスを起動します。 

「CDE アクションを使用してラベル付きゾーンをインストール、初期化、および起動する」

2. ゾーンをカスタマイズします。 

不要なサービスを削除します。ゾーンをコピーまたはゾーンのクローンを作成する場合、ゾーン固有の情報を削除します。 

「起動したゾーンを Trusted Extensions でカスタマイズする」

3. その他のゾーンを作成します。 

次のいずれかの方法を使用してその他のゾーンを作成します。方法の選択については、「Trusted Extensions のインストール前にシステムおよびセキュリティーに関する事項を決定する」を参照してください。

各ゾーンを最初から作成します。 

「CDE アクションを使用してラベル付きゾーンをインストール、初期化、および起動する」

「起動したゾーンを Trusted Extensions でカスタマイズする」

最初のラベル付きゾーンを別のラベルにコピーします。すべてのゾーンで繰り返します。 

「ゾーンのコピー方法を Trusted Extensions で使用する」

ZFS スナップショットを使用して、最初のラベル付きゾーンからほかのゾーンのクローンを作成します。 

「ゾーンのクローン作成方法を Trusted Extensions で使用する」

ProcedureCDE アクションを使用してラベル付きゾーンをインストール、初期化、および起動する

ゾーン作成ではオペレーティングシステム全体をコピーしなければならないので、このプロセスには時間がかかります。時間がかからない方法として、1 つのゾーンを作成し、それをほかのゾーンのテンプレートにして、そのゾーンテンプレートをコピーまたはクローンを作成します。

始める前に

「CDE アクションを使用してゾーン名とゾーンラベルを指定する」を完了しています。

LDAP をネームサービスとして使用している場合は、「Trusted Extensions で大域ゾーンを LDAP クライアントにする」を完了しています。

ゾーンのクローンを作成する場合は、「ゾーンのクローンを作成するために ZFS プールを作成する」を完了しています。次の手順で、準備したゾーンをインストールします。

  1. Trusted_Extensions フォルダで「ゾーンのインストール」アクションをダブルクリックします。

    1. インストールするゾーンの名前を入力します。

      このアクションによって、ラベル付き仮想オペレーティングシステムが作成されます。この手順が終了するまでしばらくお待ちください。ゾーンのインストールの実行中は、システムでその他のタスクを実行しないでください。


      # zone-name: Install Zone
      Preparing to install zone <zone-name>
      Creating list of files to copy from the global zone
      Copying <total> files to the zone
      Initializing zone product registry
      Determining zone package initialization order.
      Preparing to initialize <subtotal> packages on the zone.
      Initializing package <number> of <subtotal>: percent complete: percent
      
      Initialized <subtotal> packages on zone.
      Zone <zone-name> is initialized.
      The file /zone/internal/root/var/sadm/system/logs/install_log 
      contains a log of the zone installation.
      
      *** Select Close or Exit from the window menu to close this window ***
    2. コンソールを開いて、インストールされたゾーンのイベントを監視します。

      1. 「ゾーン端末コンソール」アクションをダブルクリックします。

      2. インストールしたばかりのゾーンの名前を入力します。

  2. ゾーンを初期化します。

    • LDAP を使用している場合は、「LDAP 用ゾーンを初期化」アクションをダブルクリックします。


      Zone name:              Type the name of the installed zone
      Host name for the zone: Type the host name for this zone
      

      たとえば、共有論理インタフェースがあるシステムでは、値は次のようになります。


      Zone name:              public
      Host name for the zone: machine1-zones
      

      このアクションによって、ラベル付きゾーンが、大域ゾーンで動作する同じ LDAP サーバーの LDAP クライアントになります。次の情報が表示されたらこのアクションは完了です。


      zone-name zone will be  LDAP client of IP-address
      zone-name is ready for booting
      Zone label is LABEL
      
      *** Select Close or Exit from the window menu to close this window ***
    • LDAP を使用していない場合は、次の手順のいずれかを実行して手動でゾーンを初期化します。

      Trusted Extensions での手動の手順は、Solaris OS の手順と同一です。システムに少なくとも 1 つの all-zones インタフェースがある場合は、すべてのゾーンに対するホスト名が、大域ゾーンのホスト名に一致する必要があります。一般に、ゾーンの初期化中に発生する質問の回答は、大域ゾーンに対する回答と同じです。

      次のいずれかを実行してホスト情報を入力します。

      • 手順 3 でゾーンを起動したあと、ゾーン端末コンソールでシステム特性に関する質問に答えます。

        この回答を使用してゾーンに sysidcfg ファイルが生成されます。

      • 手順 3 でゾーンを起動する前に、このゾーンの /etc ディレクトリに sysidcfg カスタムファイルを置きます。

  3. 「ゾーンを起動」アクションをダブルクリックします。

    プロンプトに答えます。


    Zone name: Type the name of the zone that you are configuring
    

    このアクションによってゾーンが起動されると、そのゾーンで実行されるすべてのサービスが起動されます。サービスの詳細は、smf(5) のマニュアルページを参照してください。

    ゾーン端末コンソールは、ゾーン起動の進捗を追跡します。次のようなメッセージがコンソールに表示されます。


    [Connected to zone 'public' console]
    
    [NOTICE: Zone booting up]
    ...
    Hostname: zonename
    Loading smf(5) service descriptions: number/total
    Creating new rsa public/private host key pair
    Creating new dsa public/private host key pair
    
    rebooting system due to change(s) in /etc/default/init
    
    [NOTICE: Zone rebooting]
  4. コンソール出力を監視します。

    「起動したゾーンを Trusted Extensions でカスタマイズする」に進む前に、ゾーンが再起動されていることを確認します。次のコンソールログインプロンプトは、ゾーンが再起動されたことを示しています。


    hostname console login:
注意事項

ゾーンのインストールで、警告「Installation of these packages generated errors: SUNW pkgname」が表示された場合、インストールログを読み、パッケージのインストールを終了します。

Procedure起動したゾーンを Trusted Extensions でカスタマイズする

ゾーンのクローンを作成する場合、この手順によって、ゾーンがほかのゾーンのテンプレートになるように構成します。さらに、この手順でゾーンを使用するよう構成します。

  1. ゾーンが完全に起動されていることを確認します。

    1. zone-name: ゾーン端末コンソールで、root としてログインします。


      hostname console login: root
      Password: Type root password
      
    2. ゾーンが実行されていることを確認します。

      STATUS が running の場合は、ゾーン内で少なくとも 1 つのプロセスが実行中であることを示します。


      # zoneadm list -v
      ID NAME        STATUS         PATH
       2 public      running        /
    3. ゾーンが大域ゾーンと通信できることを確認します。

      X サーバーが大域ゾーンで実行されます。それぞれのラベル付きゾーンがこのサービスを使用するには、大域ゾーンに接続できなければなりません。そのため、ゾーンネットワークが機能しなければ、ゾーンを使用することはできません。詳細は、「ラベル付きゾーンが X サーバーにアクセスできない」を参照してください。

  2. ゾーン端末コンソールで、ラベル付きゾーンで不要なサービスを無効にします。

    このゾーンをコピーまたはクローンを作成する場合、無効にしたサービスは新しいゾーンで無効にされます。システムでオンラインであるサービスは、そのゾーンのサービスマニフェストによって異なります。netservices limited コマンドを使用して、ラベル付きゾーンで必要としないサービスをオフにします。

    1. 多数の不要なサービスを削除します。


      # netservices limited
      
    2. そのほかのサービスを一覧にします。


      # svcs
      ...
      STATE        STIME      FMRI
      online       13:05:00   svc:/application/graphical-login/cde-login:default
      ...
    3. グラフィカルログインを無効にします。


      # svcadm disable svc:/application/graphical-login/cde-login
      # svcs cde-login
      STATE        STIME      FMRI
      disabled     13:06:22   svc:/application/graphical-login/cde-login:default

    サービス管理フレームワークの詳細は、smf(5) のマニュアルページを参照してください。

  3. ゾーンをシャットダウします。

    次の方法のいずれかを選択します。

    • 「ゾーンのシャットダウン」アクションを実行します。

      ゾーンの名前を入力します。

    • 大域ゾーンの端末ウィンドウで、zlogin コマンドを使用します。


      # zlogin zone-name init 0

      詳細は、zlogin(1) のマニュアルページを参照してください。

  4. ゾーンがシャットダウンされたことを確認します。

    zone-name : ゾーン端末コンソールで、次のメッセージによって、ゾーンがシャットダウンされていることが示されます。


    [ NOTICE: Zone halted]

    このゾーンをコピーまたはそのクローンを作成するのではない場合、この最初のゾーンを作成したのと同じ方法で残りのゾーンを作成します。

  5. このゾーンをほかのゾーンのテンプレートとして使用する場合、次のとおりに実行します。

    1. auto_home_zone-name ファイルを削除します。

      大域ゾーンの端末ウィンドウで、zone-name ゾーンからこのファイルを削除します。


      cd /zone/zone-name/root/etc
      # ls auto_home*
      auto_home  auto_home_zone-name
      # rm auto_home_zone-name
      

      たとえば、public ゾーンをほかのゾーンのクローン作成元にした場合、その auto_home ファイルを次のように削除します。


      # cd /zone/public/root/etc
      # rm auto_home_public
      
次の手順

Procedureゾーンのコピー方法を Trusted Extensions で使用する

始める前に
  1. 作成したいゾーンごとに、「ゾーンをコピー」アクションをダブルクリックします。

    プロンプトに答えます。


    New Zone Name:     Type name of target zone
    From Zone Name:    Type name of source zone
    

    注意 – 注意 –

    このタスクの実行中は、ほかのタスクを実行しないでください。


  2. ゾーンが作成されたら、すべてのゾーンのステータスをチェックします。

    1. 「ゾーン端末コンソール」アクションをダブルクリックします。

    2. 各ゾーンにログインします。

    3. 「ゾーンのステータスを確認する」を完了します。

Procedureゾーンのクローン作成方法を Trusted Extensions で使用する

始める前に
  1. ゾーンテンプレートの Solaris ZFS スナップショットを作成します。


    # cd /
    # zfs snapshot zone/zone-name@snapshot

    このスナップショットを使用して、そのほかのゾーンのクローンを作成します。public という名前の構成済みゾーンの場合、スナップショットコマンドは次のようになります。


    # zfs snapshot zone/public@snapshot
    
  2. 作成したいゾーンごとに、「ゾーンのクローンを作成」アクションをダブルクリックします。

    プロンプトに答えます。


    New Zone Name:      Type name of source zone
    ZFS Snapshot:         Type name of snapshot
    
  3. ダイアログボックスの情報を読みます。


    Zone label is <LABEL>
    zone-name is ready for booting
    
    *** Select Close or Exit from the window menu to close this window ***
  4. ゾーンごとに「ゾーンを起動」アクションを実行します。

    別のゾーンに対するアクションを実行する前に、それぞれのゾーンを起動します。

  5. ゾーンが作成されたあと、すべてのゾーンのステータスをチェックします。

    1. 「ゾーン端末コンソール」アクションをダブルクリックします。

    2. 「ゾーンのステータスを確認する」を完了します。