この章では、モニターがあるシステムでの SolarisTM Trusted Extensions の構成方法について説明します。適切に作業するため、Trusted Extensions ソフトウェアで ラベル、ゾーン、ネットワーク、役割、およびツールを構成する必要があります。
その他の構成タスクについては、『Solaris Trusted Extensions 管理の手順』を参照してください。
大域ゾーンを設定する前に、構成を決定してください。決定事項については、「Trusted Extensions のインストール前の情報収集と決定事項」を参照してください。
作業 |
説明 |
参照先 |
---|---|---|
ハードウェアを保護します。 |
ハードウェアの設定を変更する際にパスワードの入力を求めることによって、ハードウェアを保護できます。 | |
ラベルを設定します。 |
ラベルはサイトに合わせて設定する必要があります。デフォルトの label_encodings ファイルを使用する場合、この手順は省略します。 | |
IPv6 の場合、/etc/system ファイルを変更します。 |
IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように /etc/system ファイルを変更します。 | |
Solaris ZFS スナップショットのための領域を作成します。 |
ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。ZFS とは、「zettabyte file system」の頭文字に由来します。 最初のゾーンのクローンを作成して、その他のラベル付きゾーンを作成する場合は、このタスクを実行します。 | |
再起動してログインします。 |
ログインすると、大域ゾーンになり、その環境では必須アクセス制御 (MAC) が認識されて実施されます。 | |
Solaris 管理コンソールを初期化します。 |
Trusted Extensions で、ユーザー、役割、ゾーン、およびネットワークを管理するツールが Solaris 管理コンソールに追加されます。 | |
LDAP を構成します。 |
LDAP ネームサービスを使用している場合、LDAP サービスを設定します。 | |
LDAP サービスを設定している場合、このシステムを LDAP クライアントにします。 |
エンコーディングファイルは、通信する相手の Trusted Extensions ホストと互換性がなければなりません。
Trusted Extensions はデフォルトの label_encodings ファイルをインストールします。このデフォルトファイルは、デモンストレーションとして便利です。ただし、実際の使用に適しているとは限りません。デフォルトファイルを使用する場合、この手順は省略できます。
エンコーディングファイルに慣れている場合、次に示す手順を使用します。
エンコーディングファイルに慣れていない場合、要件、手順、および例について『Solaris Trusted Extensions ラベルの管理』を参照してください。
続行する前に、ラベルを正しくインストールしてください。正しくインストールしていないと構成できません。
セキュリティー管理者として Trusted Extensions パッケージを追加しているので、すでにログインしています。
セキュリティー管理者は、label_encodings ファイルの編集、検査、および保守を担当します。label_encodings ファイルを編集する場合、ファイルが書き込み可能であることを確認してください。詳細は、label_encodings(4) のマニュアルページを参照してください。
label_encodings ファイルが含まれたメディアを適切なデバイスに挿入します。
label_encodings ファイルをディスクにコピーします。
新しいラベルエンコーディングファイルの構文を検査します。
「エンコーディングの検査」アクションをダブルクリックします。
ダイアログボックスで、ファイルのフルパス名を入力します
/full-pathname-of-label-encodings-file |
chk_encodings コマンドを起動して、ファイルの構文を検査します。「エンコーディングの検査」ダイアログボックスに結果が表示されます。
「エンコーディングの検査」ダイアログボックスの内容を読みます。
次のいずれかを実行します。
「エンコーディングの検査」アクションで何もエラーが報告されなかった場合は、続行することができます。手順 7 に進みます。
「エンコーディングの検査」アクションによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として『Solaris Trusted Extensions ラベルの管理』の第 3 章「ラベルエンコーディングファイルの作成 (手順)」を参照してください。
ファイルが構文検査に合格したら「はい」をクリックします。
「エンコーディングの検査」アクションによって元のファイルのバックアップコピーが作成され、検査済みのバージョンが /etc/security/tsol/label_encodings にインストールされます。さらに、ラベルデーモンが再起動されます。
続行するには、ラベルエンコーディングファイルがエンコーディングの検査テストに合格しなければなりません。
この例では、管理者がコマンド行を使用していくつかの label_encodings ファイルをテストします。
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 |
業務管理で label_encodings2 ファイルを使用することを決めたら、管理者はファイルの意味解析を実行します。
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2006 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ... |
管理者は自分の記録用に意味解析のコピーを出力したのち、このファイルを /etc/security/tsol ディレクトリに移動します。
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.06 label_encodings |
最後に、管理者は label_encodings ファイルが会社ファイルであることを確認します。
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2006 |
IPv6 が無効である場合、Trusted Extensions は CIPSO オプションの IPv6 パケットを転送できません。Trusted Extensions で IPv6 ネットワークを有効にするには、/etc/system ファイルにエントリを追加してください。
起動中に IPv6 の構成が正しくないことを示すエラーメッセージが表示されたら、エントリを修正します。
エントリのスペルが正しいことを確認します。
/etc/system ファイルに正しいエントリを追加したあとにシステムが再起動されたことを確認します。
すでに IPv6 が有効になっている Solaris システムに Trusted Extensions をインストールして、/etc/system に IP エントリを追加できなかった場合、次のエラーメッセージが表示されます。 t_optmgmt: System error: Cannot assign requested address time-stamp
IPv6 が有効ではない Solaris システムに Trusted Extensions をインストールして、/etc/system に IP エントリを追加できなかった場合、次のようなエラーメッセージが表示されます。
WARNING: IPv6 not enabled via /etc/system
Failed to configure IPv6 interface(s): hme0
rpcbind: Unable to join IPv6 multicast group for rpc broadcast broadcast-number
Solaris ZFS スナップショットをゾーンテンプレートとして使用する場合、ZFS ファイルまたは ZFS デバイスから ZFS プールを作成する必要があります。このプールには、各ゾーンのクローンを作成するためのスナップショットが保持されます。ZFS プール用に /zone デバイスを使用します。
Solaris のインストール時に、ZFS ファイルシステム用のディスク容量を確保しておきます。詳細は、「Trusted Extensions でのゾーン計画」を参照してください。
/zone パーティションをアンマウントします。
インストール時に、十分なディスク容量 (約 2000M バイト) の /zone パーティションを作成してあります。
# umount /zone |
/zone マウントポイントを削除します。
# rmdir /zone |
vfstab ファイルの /zone エントリをコメントにします。
ディスクスライスを使用して /zone を ZFS プールとして再作成します。
# zpool create -f zone cntndnsn |
たとえば、/zone エントリがディスクスライス c0t0d0s5 を使用した場合、コマンドは次のようになります。
# zpool create -f zone c0t0d0s5 |
ZFS プールが正常であることを検証します。
次のいずれかのコマンドを使用します。
# zpool status -x zone pool 'zone' is healthy |
# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT /zone 5.84G 80K 5.84G 7% ONLINE - |
この例では、インストールチームはゾーンのパーティション用に 6000M バイトを用意しました。詳細は、zpool(1M) のマニュアルページを参照してください。
ほとんどのサイトでは、インストールチーム の役割を果たす、2 人以上の管理者がシステムの構成を担当します。
最初にログインする前に、Trusted Extensions のデスクトップおよびラベルのオプションを熟知しておいてください。詳細は、『Solaris Trusted Extensions ユーザーズガイド』の第 2 章「Trusted Extensions へのログイン (手順)」を参照してください。
システムを再起動します。
# /usr/sbin/reboot |
システムにグラフィック表示用のディスプレイがない場合は、第 6 章Trusted Extensions とヘッドレスシステムの構成 (タスク) に進みます。
Solaris Trusted Extensions (CDE) デスクトップにスーパーユーザーとしてログインします。
ログインウィンドウで、デスクトップとして Solaris Trusted Extensions (CDE) を選択します。
この Trusted CDE デスクトップには、システムの構成時に役立つアクションが含まれています。
ログインダイアログボックスで、root および root パスワードを入力します。
ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Trusted Extensions ソフトウェアでは、安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。
「最後のログイン」ダイアログボックス内の情報を読みます。
「了解」をクリックしてボックスを閉じます。
ラベルビルダーを読みます。
「了解」をクリックしてデフォルトのラベルを受け入れます。
ログインプロセスが完了すると、Trusted Extensions 画面が短く表示され、4 つのワークスペースを持つデスクトップセッションになります。トラステッドストライプに Trusted Path のシンボルが表示されます。
システムの前から離れるときは、ログオフするかまたは画面をロックしてください。これを怠ると、だれかが識別や認証を受けずにシステムにアクセスできてしまい、アクセスした人を特定できず、責任を追求できなくなります。
この手順で、ユーザー、役割、ホスト、ゾーン、およびネットワークをこのシステム上で管理できるようになります。構成する最初のシステムでは、files スコープのみが使用可能です。
スーパーユーザーでなければなりません。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
Solaris 管理コンソールをはじめて起動するときには、登録タスクを実行します。このタスクには数分かかります。
Solaris 管理コンソールでツールボックスのアイコンが表示されない場合、次のいずれかを実行します。
ナビゲーション区画が表示されない場合
表示されている「ツールボックスを開く」ダイアログボックスで、「サーバー」の下にあるシステムの名前の横の「読み込む」をクリックします。
システムにメモリーおよびスワップの推奨容量がない場合、ツールボックスが表示されるまで数分かかる場合があります。推奨値については、「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」を参照してください。
ツールボックスのリストから、Policy=TSOL であるツールボックスを選択します。
図 4–1 は、This Computer (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。
ポリシーがないツールボックスは選択しないでください。リストされているポリシーがないツールボックスは、Trusted Extensions をサポートしません。
影響を与えるスコープに応じて、ツールボックスの選択が決まります。
ローカルファイルを編集するには、ファイルスコープを選択します。
LDAP データベースを編集するには、LDAP スコープを選択します。
「Solaris 管理コンソールの LDAP ツールボックスを編集する」を完了すると、LDAP スコープが使用可能になります。
「開く」をクリックします。
ナビゲーション区画は表示されるが、ツールボックスのアイコンが停止標識である場合
Policy=TSOL のツールボックスをまだ選択していない場合は、それを選択します。
次の図は、This Computer (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。
(省略可能) 現在のツールボックスを保存します。
Policy=TSOL ツールボックスを保存すると、デフォルトで Trusted Extensions ツールボックスが読み込まれます。設定は役割ごと、ホストごとに保存されます。ホストは Solaris 管理コンソールサーバーです。
Solaris 管理コンソールを終了します。
Solaris 管理コンソールに対する Trusted Extensions の追加事項の概要については、『Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソールツール」を参照してください。Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。
LDAP では、この手順で大域ゾーンにネームサービス設定を構築します。LDAP を使用していない場合、この手順は省略できます。
Sun JavaTM System Directory Server、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、システムがサーバーと通信できなければなりません。そのため、構成しているシステムで、LDAP サーバー上の tnrhdb データベースへのエントリが必要です。あるいは、この手順を実行する前に、このシステムがワイルドカードエントリに含まれていなければなりません。
Trusted Extensions が設定された LDAP サーバーが存在しない場合、次に示す手順を実行する前に、第 5 章Trusted Extensions のための LDAP の構成 (手順)の手順を完了します。
元の nsswitch.ldap ファイルのコピーを保存します。
LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。
# cd /etc # cp nsswitch.ldap nsswitch.ldap.orig |
DNS を使用している場合は、次のサービスの nsswitch.ldap ファイルのエントリを変更します。
正しいエントリは次のとおりです。
hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files |
Trusted Extensions によって、次の 2 つのエントリが追加されます。
tnrhtp: files ldap tnrhdb: files ldap |
変更した nsswitch.ldap ファイルを nsswitch.conf にコピーします。
# cp nsswitch.ldap nsswitch.conf |
Trusted CDE ワークスペースで、Trusted_Extensions フォルダに移動します。
「LDAP クライアントを作成」アクションをダブルクリックします。
次のプロンプトに答えます。
Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name |
「了解 (OK)」をクリックします。
次の完了メッセージが表示されます。
global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window *** |
アクションウィンドウを閉じます。
サーバーに関する情報が正しいことを確認します。
端末ウィンドウを開き、LDAP サーバーを照会します。
# ldapclient list |
出力表示は次のようになります。
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number |
エラーを修正します。
エラーが表示される場合、正しい値で「LDAP クライアントを作成」アクションを実行します。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name |
このエラーを修正するには、LDAP サーバーを確認する必要があります。
txzonemgr スクリプトを使用すると、ラベル付きゾーンを構成する次のタスクをすべて順に実行できます。
txzonemgr の手順を使用するには、Trusted Extensions の Solaris 10 8/07 リリースを実行している必要があります。または、このリリースのすべてのパッチをインストールしてください。
Solaris 10 11/06 リリースを現在のパッチを適用しないで実行している場合、付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストールの手順を使用してラベル付きゾーンを構成します。
この節の手順で、最大 2 つの IP アドレスに割り当てられているシステム上にラベル付きゾーンを構成します。その他の設定については、「作業マップ: Trusted Extensions の準備とインストール」の構成オプションを参照してください。
作業 |
説明 |
参照先 |
---|---|---|
1. txzonemgr スクリプトを実行します。 |
txzonemgr スクリプトで、ゾーンの構成時に適したタスクを提示する GUI を作成します。 | |
2. 大域ゾーンでネットワークインタフェースを管理します。 |
大域ゾーンでインタフェースを構成します。つまり、論理インタフェースを作成して、それらのインターフェースを大域ゾーンで構成します。 | |
3. ゾーンに名前を付けてラベルを付けます。 |
ゾーンにそのラベルのバージョンを使って名前を付けて、ラベルに割り当てます。 | |
4. ゾーンをインストールして起動します。 |
パッケージをゾーンにインストールします。サービスをゾーンで構成します。ゾーン端末コンソールによって、ゾーンにアクティビティを表示できます。 | |
5. ゾーンのステータスを確認します。 |
ラベル付きゾーンが実行されており、そのゾーンが大域ゾーンと通信できることを確認します。 | |
6. ゾーンをカスタマイズします。 |
不要なサービスをゾーンから削除します。 ゾーンを使用してその他のゾーンを作成する場合は、このゾーンにのみ限定される情報を削除します。 | |
7. その他のゾーンを作成します。 |
選択した方法を使用して、2 つめのゾーンを作成します。ゾーンの作成方法については、「Trusted Extensions でのゾーン計画」を参照してください。 | |
8. (省略可能) ゾーン固有のネットワークインタフェースを追加します。 |
ネットワークの遮断を行うには、1 つ以上のネットワークインタフェースをラベル付きゾーンに追加します。通常は、この構成を使用してラベル付きサブネットを遮断します。 |
このスクリプトで、ラベル付きゾーンを適切に構成、インストール、初期化、および起動するタスクを順に実行します。このスクリプトでは、各ゾーンに名前を付けてその名前とラベルを関連付け、パッケージをインストールして仮想 OS を作成し、ゾーンを起動してそのゾーンでサービスを開始します。このスクリプトには、ゾーンのコピーおよびゾーンのクローン作成のタスクが含まれています。また、ゾーンの停止、ゾーンの状態の変更、ゾーン固有のネットワークインタフェースの追加もできます。
このスクリプトによって動的に決定されるメニューが提示され、現在の状況に有効な選択のみが表示されます。たとえば、ゾーンのステータスを設定する場合には、ゾーンをインストールするためのメニュー項目は表示されません。完了済みのタスクはリストに表示されません。
スーパーユーザーになります。
ゾーンのクローンを作成する場合は、ゾーンのクローン作成の準備を完了しておきます。独自のセキュリティーテンプレートを使用する場合は、そのテンプレートを作成しておきます。
端末ウィンドウを大域ゾーンで開きます。
txzonemgr スクリプトを実行します。
# /usr/sbin/txzonemgr |
このスクリプトで、「Labeled Zone Manager」ダイアログボックスが開きます。この「zenity」ダイアログボックスで、インストールの現在の状態に応じて、適切なタスクを実行するよう求められます。
タスクを実行するには、メニュー項目を選択してから、Return キーを押すかまたは「了解」をクリックします。テキストの入力を求められた場合は、テキストを入力してから Return キーを押すかまたは「了解」をクリックします。
システムを構成して、DHCP を使用するかまたはネットワークが大域ゾーンと通信しないようにする場合、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。
このタスクで、ネットワーキングを大域ゾーンで構成します。all-zones インタフェースを 1 つだけ作成する必要があります。all-zones インタフェースは、ラベル付きゾーンと大域ゾーンで共有されます。この共有インタフェースは、ラベル付きゾーンと大域ゾーンの間のトラフィックの経路制御に使用されます。このインタフェースを構成するには、次のいずれかを実行します。
物理インタフェースから論理インタフェースを作成した後、物理インタフェースを共有します。
この構成が、管理者にとって、もっとも簡単です。システムが 2 つの IP アドレスを割り当てられている場合に、この構成を選択します。この手順では、論理インタフェースは大域ゾーンの固有アドレスとなり、物理インタフェースは大域ゾーンとラベル付きゾーン間で共有されます。
物理インタフェースを共有します
システムが 1 つの IP アドレスを割り当てられている場合に、この構成を選択します。この構成では、大域ゾーンとラベル付きゾーン間で物理インタフェースが共有されます。
仮想ネットワークインタフェース vni0 を共有します
DHCP を構成する場合や、各サブネットワークのラベルが異なっている場合に、この構成を選択します。手順例については、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。
ゾーン固有のネットワークインタフェースを追加するには、インタフェースを追加する前に、ゾーンの作成を終了して確認します。手順については、「ネットワークインタフェースを既存のラベル付きゾーンに追加する」を参照してください。
大域ゾーンでスーパーユーザーになります。
Labeled Zone Manager が表示されています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
「Labeled Zone Manager」で、「Manage Network Interfaces」を選択して、「了解」をクリックします。
インタフェースのリストが表示されます。
この例では、物理インタフェースにホスト名と IP アドレスがインストール時に割り当てられています。
物理インタフェースを選択します。
インタフェースが 1 つあるシステムには、次のようなメニューが表示されます。参考のために注記を追加しています。
vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface |
このネットワークインタフェースに適したタスクを選択します。
次の、3 つのオプションが提示されます。
View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing |
1 つの IP アドレスを持つシステムでは、物理インタフェースを共有します。
この構成では、ホストの IP アドレスがすべてのゾーンに適用されます。したがって、ホストのアドレスは all-zones アドレスです。このホストをマルチレベルサーバーとして使用することはできません。たとえば、ユーザーはこのシステムからのファイルを共有することはできません。このシステムは、LDAP プロキシサーバー、NFS ホームディレクトリサーバー、プリンタサーバーとすることはできません。
次の手順はスキップします。
物理インタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。
2 つの IP アドレスを持つシステムでは、論理インタフェースを作成します。
その後、物理インタフェースを共有します。
これはもっともシンプルな Trusted Extensions ネットワーク構成です。 この構成では、メインの IP アドレスはほかのシステムがこのシステム上の任意のゾーンに到達するために使用し、論理インタフェースは大域ゾーンに固有とすることができます。大域ゾーンはマルチレベルサーバーとして使用できます。
「Create Logical Interface」を選択して「了解」をクリックします。
新しい論理インタフェースの作成を確認するダイアログボックスを閉じます。
「Set IP address」を選択して「了解」をクリックします。
プロンプトで論理インタフェースのホスト名を指定し、「了解」をクリックします。
たとえば、論理インタフェースのホスト名として machine1-services を指定します。この名前は、このホストがマルチレベルサービスを提供することを示しています。
プロンプトで論理インタフェースの IP アドレスを指定し、「了解」をクリックします。
たとえば、論理インタフェースの IP アドレスとして 10.10.9.2 を指定します。
論理インタフェースをもう一度選択して、「了解」をクリックします。
「Bring Up」を選択して「了解」をクリックします。
インタフェースが Up として表示されます。
eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up |
物理インタフェースを共有します。
少なくとも 1 つのインタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。
大域ゾーンに一意のインタフェースがあり、ラベル付きゾーンが別のインタフェースを大域ゾーンと共有するシステムでは、/etc/hosts ファイルは次のようになります。
# cat /etc/hosts ... 127.0.0.1 localhost 192.168.0.11 machine1 loghost 192.168.0.12 machine1-services |
デフォルト構成では、tnrhdb ファイルは次のようになります。
# cat /etc/security/tsol/tnrhdb ... 127.0.0.1:cipso 192.168.0.11:cipso 192.168.0.12:cipso 0.0.0.0:admin_low |
all-zones インタフェースが tnrhdb ファイル内にない場合、インタフェースはデフォルトの cipso になります。
この例では、管理者がシステムをマルチレベルサーバーとして使用する計画はありません。IP アドレスを節約するため、すべてのラベル付きゾーンと IP アドレスを共有するように大域ゾーンが構成されます。
管理者は、システムの hme0 インタフェースとして「Share」を選択します。このソフトウェアにより、すべてのゾーンに論理 NIC があるよう設定されます。これらの論理 NIC は、大域ゾーンで 1 つの物理的な NIC を共有します。
管理者は ifconfig -a コマンドを実行して、ネットワークインタフェース 192.168.0.11 にある物理インタフェース hme0 が共有されることを確認します。all-zones の値が表示されます。
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
管理者は /etc/hostname.hme0 ファイルの内容も調べます。
192.168.0.11 all-zones |
label_encodings ファイル中のラベルごとにゾーンを作成する必要はありませんが、作成することもできます。管理 GUI により、このシステムで GUI 用に作成されたゾーンを持つことのできるラベルが列挙されます。
大域ゾーンでスーパーユーザーになります。「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。ネットワークインタフェースを大域ゾーンに構成しています。
必要なセキュリティーテプレートを作成しています。セキュリティーテンプレートで、属性の中で特に、ネットワークインタフェースに割り当てることができるラベル範囲を定義します。デフォルトのセキュリティーテンプレートでも必要性は満たされることはあります。
セキュリティーテンプレートの概要については、『Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。
Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。
「Labeled Zone Manager」で、「Create a new zone」をクリックして、「了解」をクリックします。
プロンプトで名前の入力を求められます。
ゾーンの名前を入力します。
ゾーンのラベルに似た名前をゾーンに付けます。たとえば、ラベルが CONFIDENTIAL: RESTRICTED であるゾーンには、restricted という名前を付けます。
たとえば、デフォルトの label_encodings ファイルには次のラベルが含まれています。
PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL |
ラベルごとにゾーンを 1 つ作成できますが、次のゾーンを作成することを検討してください。
すべてのユーザーのシステムでは、PUBLIC ラベルに 1 つのゾーン、および CONFIDENTIAL ラベルに 3 つのゾーンを作成します。
開発者用のシステムでは、SANDBOX: PLAYGROUND ラベルにゾーンを 1 つ作成します。SANDBOX: PLAYGROUND は開発者用の不連続ラベルとして定義され、開発者が使用するシステムにのみ、このラベルにゾーンが必要です。
MAX LABEL ラベルにはゾーンを作成しないでください。これは認可上限として定義されます。
「了解 (OK)」をクリックします。
ダイアログボックスでは、タスクのリストの上に zone-name :configured が表示されます。
ゾーンにラベルを付けるには、次のいずれかを選択します。
カスタマイズした label_encodings ファイルを使用している場合、トラステッドネットワークゾーンツールを使用してゾーンにラベルを付けます。
トラステッドネットワークゾーンツールを Solaris 管理コンソールで開きます。
ゾーンごとに、適切なラベルとゾーン名を関連付けます。
「アクション」->「ゾーン構成の追加」を選択します。
ダイアログボックスに、割り当てられているラベルがないゾーンの名前が表示されます。
ゾーン名を確認してから「編集」をクリックします。
ラベルビルダーで、ゾーン名に該当するラベルをクリックします。
間違ったラベルをクリックした場合、そのラベルをもう一度クリックして選択を解除し、正しいラベルをクリックします。
割り当てを保存します。
「トラステッドネットワークゾーンのプロパティー」ダイアログボックスで「了解」をクリックします。
必要なゾーンがすべてパネルに表示されたら終了です。あるいは、「ゾーン構成の追加」メニュー項目をクリックすると、ゾーン名の値がないダイアログボックスが開かれます。
デフォルトの label_encodings ファイルを使用している場合、Labeled Zone Manager を使用します。
「Select Label」メニュー項目をクリックして「了解」をクリックし、使用可能なラベルのリストを表示します。
大域ゾーンでスーパーユーザーになります。ゾーンがインストールされており、割り当て済みのネットワークインタフェースがあります。
「Labeled Zone Manager」ダイアログボックスが表示され、zone-name:configured というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
Labeled Zone Manager から「Install」を選択して「了解」をクリックします。
このプロセスが終了するまでしばらく時間がかかります。このタスクの実行中は、ほかのタスクを実行しないでください。
システムで、大域ゾーンから非大域ゾーンにパッケージがコピーされます。このタスクによって、ラベル付きの仮想オペレーティングシステムがゾーンにインストールされます。この例を続行するため、このタスクで public ゾーンがインストールされます。GUI に次のような出力が表示されます。
# Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation. |
インストールが完了すると、ホストの名前の入力を 要求するプロンプトが表示されます。名前が表示されます。
そのホストの名前をそのまま使用します。
ダイアログボックスでは、タスクのリストの上に zone-name:installed が表示されます。
次のような警告が表示されます。 「Installation of these packages generated errors: SUNW pkgname」が表示された場合、インストールログを読み、パッケージのインストールを終了します。
大域ゾーンでスーパーユーザーになります。ゾーンがインストールされており、割り当て済みのネットワークインタフェースがあります。
「Labeled Zone Manager」ダイアログボックスが表示され、 zone-name:installed というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
「Labeled Zone Manager」で「Zone Console」を選択して「了解」をクリックします。
現在のラベル付きゾーンに、別のコンソールウィンドウが表示されます。
「Boot」を選択します。
「ゾーン端末コンソール」は、ゾーン起動の進捗を追跡します。ゾーンを最初から作成する場合は、次のようなメッセージがコンソールに表示されます。
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting] |
このタスクの実行中は、ほかのタスクを実行しないでください。
場合によっては、エラーメッセージが表示されてゾーンが再起動しないことがあります。ゾーン端末コンソールで Return キーを押します。再起動するために y の入力を求めるプロンプトが表示されたら、y を入力して Return キーを押します。ゾーンが再起動されます。
このゾーンが別のゾーンからコピーされたかまたはクローン作成された場合は、「ゾーンのステータスを確認する」に進みます。
このゾーンが最初のゾーンである場合は、「ラベル付きゾーンをカスタマイズする」に進みます。
X サーバーが大域ゾーンで実行されます。それぞれのラベル付きゾーンがこの X サーバーを使用するには、大域ゾーンに接続できなければなりません。そのため、ゾーンネットワークが機能しなければ、ゾーンを使用することはできません。背景の説明については、「マルチレベルアクセスの計画」を参照してください。
ゾーンが完全に起動されていることを確認します。
zone-name: ゾーン端末コンソールで、root としてログインします。
hostname console login: root Password: Type root password |
ゾーン端末コンソールで、クリティカルサービスが実行されていることを確認します。
# svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ... |
sendmail および print サービスは、クリティカルサービスではありません。
ゾーンに妥当な IP アドレスがあることを確認します。
# ifconfig -a |
たとえば、次の出力には hme0 インタフェースの IP アドレスが表示されます。
# ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
(省略可能) ゾーンが大域ゾーンと通信できることを確認します。
DISPLAY
変数が X サーバーをポイントするよう設定します。
# DISPLAY=global-zone-hostname:n.n # export DISPLAY |
端末ウィンドウから GUI を表示します。
たとえば、クロックを表示します。
# /usr/openwin/bin/xclock |
ゾーンのラベルでクロックが表示されない場合は、 ゾーンのネットワーキングが正しく構成されていません。デバックに関する提案事項は、「ラベル付きゾーンが X サーバーにアクセスできない」を参照してください。
GUI を閉じて続行します。
大域ゾーンから、ラベル付きゾーンのステータスを確認します。
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared |
ゾーンのクローンを作成する、またはゾーンをコピーする場合、この手順によって、ゾーンがほかのゾーンのテンプレートになるように構成されます。さらに、この手順によって、使用するテンプレートから作成されていないゾーンを構成します。
大域ゾーンでスーパーユーザーになります。「ゾーンのステータスを確認する」を完了しておきます。
ゾーン端末コンソールで、ラベル付きゾーンで不要なサービスを無効にします。
このゾーンをコピーまたはクローンを作成する場合、無効にしたサービスは新しいゾーンで無効にされます。システムでオンラインであるサービスは、そのゾーンのサービスマニフェストによって異なります。netservices limited コマンドを使用して、ラベル付きゾーンで必要としないサービスをオフにします。
多数の不要なサービスを削除します。
# netservices limited |
そのほかのサービスを一覧にします。
# svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ... |
グラフィカルログインを無効にします。
# svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default |
サービス管理フレームワークの詳細は、smf(5) のマニュアルページを参照してください。
続行する前に、ゾーンがシャットダウンされていることを確認します。
zone-name: ゾーン端末コンソールで、次のメッセージによって、ゾーンがシャットダウンされていることが示されます。
[ NOTICE: Zone halted] |
このゾーンをコピーまたはそのクローンを作成するのではない場合、この最初のゾーンを作成したのと同じ方法で残りのゾーンを作成します。そのほかの場合は、次の手順に進みます。
このゾーンをほかのゾーンのテンプレートとして使用する場合、次のとおりに実行します。
auto_home_zone-name ファイルを削除します。
大域ゾーンの端末ウィンドウで、zone-name ゾーンからこのファイルを削除します。
# cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name |
たとえば、public ゾーンがほかのゾーンのクローン作成元テンプレートである場合、auto_home_public ファイルを次のように削除します。
# cd /zone/public/root/etc # rm auto_home_public |
このゾーンのクローンを作成する場合、次の手順で ZFS スナップショットを作成してから、「Trusted Extensions でほかのゾーンを作成する」に進みます。
このゾーンをコピーする場合は、手順 6 を完了してから「Trusted Extensions でほかのゾーンを作成する」に進みます。
その他のゾーンのクローンを作成するためのゾーンテンプレートを作成するには、「Create Snapshot」を選択して「了解」をクリックします。
スナップショットのゾーンは、ZFS ファイルシステム内になければなりません。「ゾーンのクローンを作成するために ZFS プールを作成する」でゾーンに ZFS ファイルシステムが作成されます。
カスタマイズしたゾーンがまだ使用できることを確認するには、「Labeled Zone Manager」から「Boot」を選択します。
ゾーン端末コンソールは、ゾーン起動の進捗を追跡します。次のようなメッセージがコンソールに表示されます。
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename |
ログインプロンプトに対して Return キーを押します。root としてログインできます。
次の 3 つのオプションがあります。
最初のゾーンをコピーできます。
最初のゾーンの作成に使用した手順を繰り返すことができます。
最初のゾーンのクローンを作成することができます。
「ラベル付きゾーンをカスタマイズする」を完了しておきます。
「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
ゾーンに名前を付けてラベルを付けます。
詳細は、「ゾーンに名前およびラベルを付ける」を参照してください。
次の方法のいずれかを選択して、ゾーン作成ストラテジを続行します。
新規のゾーンごとに次の手順を繰り返します。
すべてのゾーンを最初から作成します。
「ラベル付きゾーンをインストールする」を完了します。
「ラベル付きゾーンを起動する」を完了します。
「ゾーンのステータスを確認する」を完了します。
「ラベル付きゾーンをカスタマイズする」を完了します。
ラベルを付けたゾーンをコピーします。
「Labeled Zone Manager」から「コピー」を選択して「了解」をクリックします。
ゾーンテンプレートを選択して「了解」をクリックします。
ウィンドウにコピーのプロセスが表示されます。プロセスが完了すると、ゾーンがインストールされます。
「Labeled Zone Manager」に「zone-name :configured」と表示された場合は、次の手順に進みます。それ以外の場合は、手順 e に進みます。
メニュー項目「Select another zone」を選択して「了解」をクリックします。
新規にインストールされたゾーンを選択して、「了解」をクリックします。
「ラベル付きゾーンを起動する」を完了します。
「ゾーンのステータスを確認する」を完了します。
ラベルを付けたゾーンのクローンを作成します。
「Labeled Zone Manager」で「クローン」を選択して「了解」をクリックします。
リストから ZFS スナップショットを選択して「了解」をクリックします。
たとえば、public からスナップショットを作成した場合は、zone/public@snapshot を選択します。
クローン作成のプロセスが完了すると、ゾーンがインストールされます。「Labeled Zone Manager」に「zone-name :configured」と表示された場合は、次の手順に進みます。それ以外の場合は、手順 e に進みます。
メニュー項目「Select another zone」を選択して「了解」をクリックします。
新規にインストールされたゾーンを選択して、「了解」をクリックします。
「ラベル付きゾーンを起動する」を完了します。
「ゾーンのステータスを確認する」を完了します。
すべてのゾーンに対して 「ゾーンのステータスを確認する」を完了していて、各ゾーンをそれぞれ別の物理ネットワークに配置したい場合は、「ネットワークインタフェースを既存のラベル付きゾーンに追加する」に進みます。
まだ役割を作成していない場合は、「Trusted Extensions での役割とユーザーの作成」に進みます。
すでに役割を作成済みの場合は、「Trusted Extensions でのホームディレクトリの作成」に進みます。
この手順で、ゾーン固有のネットワークインタフェースを既存のラベル付きゾーンに追加します。この構成は、各ゾーンがそれぞれ別の物理ネットワークに接続される環境に対応します。
大域ゾーンでは、非大域ゾーンアドレスが構成される各サブネットに対して IP アドレスを構成する必要があります。
大域ゾーンでスーパーユーザーになります。「ゾーンのステータスを確認する」を正常に完了しておきます。
大域ゾーンで、追加のネットワークインタフェースの IP アドレスとホスト名を /etc/hosts ファイルに入力します。
ホストの名前に -zone-name を追加するなど、標準的な命名規則を使用してください。
## /etc/hosts in global zone 10.10.8.2 hostname-zone-name1 10.10.8.3 hostname-global-name1 10.10.9.2 hostname-zone-name2 10.10.9.3 hostname-global-name2 |
各インタフェースのネットワークで、/etc/netmasks ファイルにエントリを追加します。
## /etc/netmasks in global zone 10.10.8.0 255.255.255.0 10.10.9.0 255.255.255.0 |
詳細は、netmasks(4) のマニュアルページを参照してください。
大域ゾーンで、ゾーン固有の物理インタフェースを plumb します。
すでに plumb されている物理インタフェースを特定します。
# ifconfig -a |
各インタフェースの大域ゾーンアドレスを構成します。
# ifconfig interface-nameN1 plumb # ifconfig interface-nameN1 10.10.8.3 up # ifconfig interface-nameN2 plumb # ifconfig interface-nameN2 10.10.9.3 up |
各大域ゾーンアドレスに対して hostname.interface-nameN ファイルを作成します。
# /etc/hostname.interface-nameN1 10.10.8.3 # /etc/hostname.interface-nameN2 10.10.9.3 |
大域ゾーンアドレスは、システムが起動するとただちに構成されます。ゾーン固有のアドレスは、ゾーンの起動時に構成されます。
それぞれのゾーン固有のネットワークインタフェースに、セキュリティーテンプレートを割り当てます。
ネットワークへのゲートウェイにラベルが構成されていない場合は、admin_low セキュリティーテンプレートを割り当てます。ネットワークへのゲートウェイにラベルが付いている場合は、cipso セキュリティーテンプレートを割り当てます。
各ネットワークのラベルを反映する、ホストタイプ cipso のセキュリティーテンプレートを作成できます。テンプレートの作成および割り当ての手順については、『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。
ゾーン固有のインタフェースに追加するすべてのラベル付きゾーンを停止します。
# zoneadm -z zone-name halt |
Labeled Zone Manager を起動します。
# /usr/sbin/txzonemgr |
ゾーン固有のインタフェースを追加させたい各ゾーンについては、次の操作を実行します。
完了したすべてのゾーンの「Labeled Zone Manager」で、 「Zone Console」を選択します。
「Boot」を選択します。
「Zone Console」で、インターフェスが作成されていることを確認します。
# ifconfig -a |
サブネットのゲートウェイへのルートがゾーンにあることを確認します。
# netstat -rn |
ゾーン構成をデバッグするには、次を参照してください。
『Solaris のシステム管理 (Solaris コンテナ : 資源管理と Solaris ゾーン)』の第 29 章「Solaris ゾーンで発生するさまざまな問題の解決」
『Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークのトラブルシューティング (作業マップ)」
すでに管理役割を使用している場合、セキュリティー管理者役割を追加できます。役割をまだ実装していないサイトにおいて、役割を作成する手順は Solaris OS の場合と同様です。Trusted Extensions ドメインを管理するためには、Trusted Extensions でセキュリティー管理役割を追加し、Solaris 管理コンソールを使用する必要があります。
Trusted Extensions での役割作成は、Solaris OS での役割作成と同じです。ただし、Trusted Extensions では、セキュリティー管理者役割は必須です。ローカルのセキュリティー管理者役割を作成するには、例 4–4 のようにコマンド行インタフェースを使用することもできます。
スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。
ネットワーク上に役割を作成するには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」を完了しておく必要があります。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
適切なツールボックスを選択します。
「システムの構成」をクリックして「ユーザー」をクリックします。
パスワードを入力するよう求められます。
適切なパスワードを入力します。
「管理役割」をダブルクリックします。
「アクション」メニューから「管理者役割を追加」を選択します。
セキュリティー管理者役割を作成します。
次の情報を参考にしてください。
「役割名」– secadmin
「役割の正式名」– Security Administrator
「備考欄」– サイトセキュリティー担当者 (ここには機密情報を入力しない)。
「役割の ID 番号」– ≥100
「役割シェル」– 管理者の Bourne (プロファイルシェル)
「役割メーリングリストを作成」– チェックボックスを選択されたままにしておきます。
「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。
セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
すべての管理役割に対して、アカウントを常に有効にし、パスワード有効期限を設定しないでください。
「有効な権利」– 情報セキュリティー、ユーザーセキュリティー
「ホームディレクトリサーバー」– home-directory-server
「ホームディレクトリパス」– /mount-path
「この役割にユーザーを割り当てます」– 役割をユーザーに割り当てると、このフィールドは自動的に入力されます。
役割を作成したら、設定が正しいことを確認します。
役割を選択してダブルクリックします。
次のフィールド内の値を確認します。
「有効なグループ」– 必要な場合にグループを追加します。
「Trusted Extensions 属性」– デフォルトが正しいです。
単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。
「除外監査クラス/対象監査クラス」– 役割の監査フラグが audit_control ファイルのシステム設定に対する例外である場合のみ、監査フラグを設定します。
その他の役割を作成するには、セキュリティー管理者役割を参考にします。
例は、『Solaris のシステム管理 (セキュリティサービス)』の「GUI を使用して役割の作成および割り当てを行う方法」を参照してください。各役割に一意の ID を指定し、その役割に正しい権利プロファイルを割り当てます。可能な役割は、次のとおりです。
admin 役割 – System Administrator の付与権利
primaryadmin 役割 – Primary Administrator の付与権利
oper 役割 – Operator の付与権利
この例では、root ユーザーが roleadd コマンドを使用して、セキュリティー管理者役割をローカルシステムに追加します。詳細は、roleadd(1M) のマニュアルページを参照してください。役割の作成の前に、root ユーザーは表 1–2 を確認します。
# roleadd -c "Local Security Administrator" -d /export/home1 \ -u 110 -P "Information Security,User Security" -K lock_after_retries=no \ -K idletime=5 -K idlecmd=lock -K labelview=showsl \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin |
root ユーザーは、役割の初期パスワードを指定します。
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin # |
役割をローカルユーザーに割り当てるには、例 4–5 を参照してください。
ローカルユーザーを作成するには、次の手順の代わりに、例 4–5 のようにコマンド行インタフェースを使用することができます。サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。
セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成し、セキュリティー管理者役割がパスワードなどのセキュリティー関連の属性を割り当てます。
スーパーユーザーになるか、root 役割、セキュリティー管理者役割、または主管理者役割になる必要があります。セキュリティー管理者役割には、ユーザー作成に必要な最低限の権限があります。
Solaris 管理コンソールが表示されます。詳細は、「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。
Solaris 管理コンソールで、「ユーザーアカウント」をダブルクリックします。
「アクション」メニューから「ユーザーを追加」 -> 「ウィザードを使用」を選択します。
役割およびユーザーの名前と ID は、同じプールが元になります。追加するユーザーに既存の名前や ID を使用しないでください。
オンラインヘルプに従います。
『Solaris のシステム管理 (基本編)』の「Solaris 管理コンソールのユーザーツールを使ってユーザーを追加する方法」の手順に従うこともできます。
ユーザーを作成したら、作成したユーザーをダブルクリックして設定を変更します。
役割になれるユーザーのユーザーアカウントは常に有効にし、パスワード有効期限を設定しないでください。
次のフィールドが正しく設定されていることを確認します。
「説明」– ここには機密情報を入力しません。
「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。
インストールチームは推測されにくいパスワードを選択しなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
「アカウントの有効/無効」– 常に有効です。
「Trusted Extensions 属性」– デフォルトが正しいです。
単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。
「アカウントの使用方法」– アイドル時間およびアイドルアクションを設定します。
「アカウントのロック」– 役割になれるユーザーに対して「いいえ」を設定します。
ユーザーの環境をカスタマイズします。
簡易認証の割り当て
サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。この権利によって、ユーザーはデバイスの割り当て、PostScriptTM ファイルの印刷、ラベルなしの印刷、遠隔からのログイン、およびシステムのシャットダウンを行えます。
ユーザー初期化ファイルのカスタマイズ
『Solaris Trusted Extensions 管理の手順』の第 7 章「Trusted Extensions でのユーザー権利、役割の管理 (手順)」を参照してください。
『Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)」も参照してください。
マルチラベルのコピーおよびリンクファイルの作成
マルチラベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、『Solaris Trusted Extensions 管理の手順』の「.copy_files ファイルと .link_files ファイル」を参照してください。
この例では、root ユーザーが、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。
最初に、root ユーザーは、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78 |
次に、root ユーザーは表 1–2 を確認してから、ユーザーを作成します。
# useradd -c "Local user for Security Admin" -d /export/home1 \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe |
root ユーザーは初期パスワードを指定します。
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe # |
最後に、root ユーザーは、セキュリティー管理者役割をユーザーの定義に追加します。役割は、「Trusted Extensions でセキュリティー管理者役割を作成する」で作成されました。
# usermod -R secadmin jandoe |
各役割を確認するには、その役割になります。その役割のみが実行できるタスクを実行します。
DNS または経路指定を構成してある場合は、役割を作成したら再起動し、そのあとでその役割が機能することを確認してください。
役割ごとに、その役割になれるユーザーとしてログインします。
トラステッドパスメニューを開きます。
メニューから役割になります。
役割のワークスペースで、Solaris 管理コンソールを起動します。
$ /usr/sbin/smc & |
テストする役割の適切な範囲を選択します。
「システムの構成」をクリックして、「ユーザー」に移動します。
パスワードを入力するよう求められます。
ユーザーをクリックします。
システム管理者役割では、「基本」、「ホームディレクトリ」、および「グループ」のタブの各フィールドを変更できます。
セキュリティー管理者役割では、すべてのタブの各フィールドを変更できます。
主管理者役割では、すべてのタブの各フィールドを変更できます。
ホストが再起動されると、デバイスと基礎のストレージとの関連付けも再設定されなければなりません。
少なくとも 1 つのラベル付きゾーンが作成されています。そのゾーンはクローンを作成中ではありません。
システムを再起動します。
root ユーザーとしてログインします。
ゾーンサービスを再起動します。
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default |
# svcadm restart svc:/system/zones:default |
ログアウトします。
これで、一般ユーザーがログインできます。そのセッションはラベル付きゾーンです。
Trusted Extensions では、ユーザーは、ユーザーが作業するすべてのラベルでホームディレクトリにアクセスする必要があります。すべてのホームディレクトリをユーザーに使用可能にするには、マルチレベルのホームディレクトリサーバーを作成し、そのサーバー上でオートマウンタを実行し、ホームディレクトリをエクスポートする必要があります。クライアントサイドでは、ユーザーごとにすべてのゾーンのホームディレクトリを検索するスクリプトを実行したり、ホームディレクトリサーバーにユーザーログインしたりできます。
スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。
Trusted Extensions ソフトウェアを使用して、ホームディレクトリサーバーをインストールして構成します。
ゾーンのクローンを作成する場合、空のホームディレクトリがある Solaris ZFS スナップショットを必ず使用してください。
ユーザーはログインできるすべてのラベルのホームディレクトリが必要なので、ユーザーがログインできるすべてのゾーンを作成します。たとえば、デフォルトの label_encodings ファイルを使用する場合、PUBLIC ラベルのゾーンを作成します。
Solaris ZFS ではなく UFS を使用する場合、NFS サーバーが自身の機能を果たすようにします。
大域ゾーンで、nsswitch.conf ファイルの automount エントリを変更します。
トラステッドエディタを使って /etc/nsswitch.conf ファイルを編集します。手順については、『Solaris Trusted Extensions 管理の手順』の「Trusted Extensions の管理ファイルを編集する」を参照してください。
automount: files |
大域ゾーンで automount コマンドを実行します。
ラベル付きゾーンごとに、『Solaris Trusted Extensions 管理の手順』の「ラベル付きゾーンでファイルを NFS マウントする」の自動マウント手順に従います。そのあと、この手順に戻ります。
ホームディレクトリが作成されていることを確認します。
ホームディレクトリサーバーからログアウトします。
最初にユーザーはホームディレクトリサーバーにログインして、その他のシステムと共有できるホームディレクトリを作成します。すべてのラベルでホームディレクトリを作成するには、各ユーザーはすべてのラベルでホームディレクトリサーバーにログインする必要があります。
あるいは、管理者は、ユーザーが最初にログインする前に、各ユーザーのホームシステムにホームディレクトリのマウントポイントを作成するスクリプトを作成しておくこともできます。このスクリプトは、ユーザーが作業できるすべてのラベルでマウントポイントを作成します。
Trusted Extensions ドメインのホームディレクトリサーバーが構成されました。
サーバーへの直接ログインを許可するか、スクリプトを実行するかを選択します。
ユーザーがホームディレクトリサーバーに直接ログインできるようにします。
各ユーザーに、ホームディレクトリサーバーにログインするように指示します。
正常にログインできたユーザーは、ログアウトしてください。
各ユーザーに、再びログインして、今度は異なるログインラベルを選択するように指示します。
ユーザーは、ラベルビルダーを使用して異なるログインラベルを選択します。正常にログインできたユーザーは、ログアウトしてください。
使用できるすべてのラベルに対してログインプロセスを繰り返すよう、各ユーザーに指示します。
通常のワークステーションからログインするよう、ユーザーに指示します。
ユーザーのデフォルトラベルのホームディレクトリが使用可能です。ユーザーがセッションのラベルを変更するか、異なるラベルでワークスペースを追加すると、そのラベルのユーザーのホームディレクトリがマウントされます。
すべてのユーザーのホームディレクトリマウントポイントを作成するためのスクリプトを作成し、そのスクリプトを実行します。
#!/bin/sh # for zoneroot in `/usr/sbin/zoneadm list -p | cut -d ":" -f4` ; do if [ $zoneroot != / ]; then prefix=$zoneroot/root/export for j in `getent passwd|tr ' ' _` ; do uid=`echo $j|cut -d ":" -f3` if [ $uid -ge 100 ]; then gid=`echo $j|cut -d ":" -f4` homedir=`echo $j|cut -d ":" -f6` mkdir -m 711 -p $prefix$homedir chown $uid:$gid $prefix$homedir fi done fi done |
NIS マップで定義されているユーザーがいる場合、そのユーザーをネットワークに追加できます。
ホストおよびラベルをホストに追加するには、次の手順を参照してください。
ホストを追加するには、Solaris 管理コンソールの 「コンピュータとネットワーク」ツールセットを使用します。詳細は、『Solaris Trusted Extensions 管理の手順』の「システムの既知のネットワークにホストを追加する」を参照してください。
ホストを LDAP サーバーに追加するときには、そのホストに関連するすべての IP アドレスを追加します。ラベル付きゾーンのアドレスを含むすべてのゾーンのアドレスを LDAP サーバーに追加しなければなりません。
ホストにラベルを付けるには、『Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。
NIS データベースから、必要な情報を収集します。
LDAP および Trusted Extensions の情報の形式を再設定します。
sed コマンドを使用して aliases エントリの形式を再設定します。
% sed 's/ /:/g' aliases.login-name > aliases |
nawk コマンドを使用して passwd エントリの形式を再設定します。
% nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd |
nawk コマンドを使用して shadow エントリを作成します。
% nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow |
nawk コマンドを使用して user_attr エントリを作成します。
% nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...; labelview=int-or-ext,show-or-hide;min_label=min-label; clearance=max-label;type=normal;roles=role-name,...; auths=auth-name,..."}' passwd.name > user_attr |
変更したファイルを LDAP サーバーの /tmp ディレクトリにコピーします。
# cp aliases auto_home_internal passwd shadow user_attr /tmp/name |
手順 3 のファイルのエントリを LDAP サーバーのデータベースに追加します。
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/user_attr user_attr |
次の例では、管理者が新しいユーザーをトラステッドネットワークに追加します。ユーザーの情報は、最初、NIS データベースに格納されています。LDAP サーバーパスワードを保護するため、管理者はサーバー上で ldapaddent コマンドを実行します。
Trusted Extensions で、新しいユーザーはデバイスを割り当てることができ、オペレータ役割になれます。このユーザーは役割になれるので、そのユーザーアカウントはロックアウトされません。ユーザーの最下位ラベルは PUBLIC です。ユーザーが作業するラベルは INTERNAL なので、jan が auto_home_internal データベースに追加されます。auto_home_internal データベースは、jan の読み取り/書き込みアクセス権のあるホームディレクトリを自動マウントします。
LDAP サーバーで、管理者は NIS データベースからユーザー情報を取り出します。
# ypcat -k aliases | grep jan.doe > aliases.jan # ypcat passwd | grep "Jan Doe" > passwd.jan # ypcat -k auto_home | grep jan.doe > auto_home_internal |
次に、管理者は LDAP のエントリの書式を再設定します。
# sed 's/ /:/g' aliases.jan > aliases # nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.jan > passwd # nawk -F: '{print $1":"$2":6445::::::"}' passwd.jan > shadow |
次に、管理者は Trusted Extensions の user_attr エントリを作成します。
# nawk -F: '{print $1"::::lock_after_retries=no;profiles=Media User; labelview=internal,showsl;min_label=0x0002-08-08; clearance=0x0004-08-78;type=normal;roles=oper; auths=solaris.device.allocate"}' passwd.jan > user_attr |
次に、管理者はファイルを /tmp/jan ディレクトリにコピーします。
# cp aliases auto_home_internal passwd shadow user_attr /tmp/jan |
最後に、管理者は /tmp/jan ディレクトリのファイルをサーバーに取り込みます。
# /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/user_attr user_attr |
Trusted Extensions では、ラベル付きゾーンが大域ゾーンを使って X サーバーと通信します。したがって、ラベル付きゾーンには大域ゾーンへの使用可能なルートが必要です。また、Solaris のインストール中に選択したオプションによっては、Trusted Extensions が大域ゾーンへのインタフェースを使用できなくなる可能性があります。
Trusted Extensions パッケージを追加する前に netservices limited コマンドを実行するのではなく、パッケージの追加後に大域ゾーンでコマンドを実行しました。そのため、ラベル付きゾーンは大域ゾーン内の X サーバーに接続できません。
次のコマンドを実行して、Trusted Extensions がゾーン間で通信するために必要なサービスを開きます。
# svccfg -s x11-server setprop options/tcp_listen = true # svcadm enable svc:/network/rpc/rstat:default |
ラベル付きゾーンでコンソールウィンドウを開こうとすると、次のようなエラーがダイアログボックスに表示されます。
Action:DttermConsole,*,*,*,0 [Error] Action not authorized. |
次の 2 行が、/etc/security/exec_attr ファイルの各ゾーンエントリに存在することを確認します。
All Actions:solaris:act:::*;*;*;*;*: All:solaris:act:::*;*;*;*;*: |
これらの行が存在しない場合は、これらのエントリを追加した Trusted Extensions パッケージがラベル付きゾーンにインストールされていません。この場合は、ラベル付きゾーンをもう一度作成してください。手順については、「ラベル付きゾーンの作成」を参照してください。
ラベル付きゾーンが X サーバーにアクセスできない場合は、次のようなメッセージが表示されます。
Action failed. Reconnect to Solaris Zone?
No route available
Cannot reach globalzone-hostname:0
ラベル付きゾーンが X サーバーにアクセスできない理由として次のものが考えられます。
ゾーンが初期化されていないため、sysidcfg プロセスの完了を待機している。
ラベル付きゾーンのホスト名が、大域ゾーンで実行中のネームサービスに認識されない。
all-zones として指定されているインタフェースがない。
ラベル付きゾーンのネットワークインタフェースがダウンしている。
LDAP 名の検索が失敗する。
NFS マウントが機能しない。
次の手順を実行してください。
ゾーンにログインします。
zlogin コマンドまたは「ゾーン端末コンソール」アクションを使用できます。
# zlogin -z zone-name |
スーパーユーザーとしてログインできない場合は、zlogin -S コマンドを使用して認証を省略してください。
ゾーンが実行中であることを確認します。
# zoneadm list |
ゾーンの状態が running であれば、少なくとも 1 つのプロセスがゾーンで実行されています。
ラベル付きゾーンが X サーバーにアクセスするのを妨害しているすべての問題を解決します。
sysidcfg プロセスを完了することによってゾーンを初期化します。
sysidcfg プログラムを対話式で実行します。ゾーン端末コンソール、または zlogin コマンドを実行した端末ウィンドウでプロンプトに答えます。
sysidcfg プロセスを非対話式に実行するには、次のいずれかの方法があります。
/usr/sbin/txzonemgr スクリプトに対して初期化項目を指定します。
初期化項目により、sysidcfg の質問にデフォルト値を入力できるようになります。
独自の sysidcfg スクリプトを記述します。
詳細は、sysidcfg(4) のマニュアルページを参照してください。
ゾーンから X サーバーにアクセスできることを確認します。
ラベル付きゾーンにログインします。DISPLAY
変数が X サーバーをポイントするように設定し、ウィンドウを開きます。
# DISPLAY=global-zone-hostname:n.n # export DISPLAY # /usr/openwin/bin/xclock |
ラベル付きウィンドウが表示されない場合は、このラベル付きゾーンに対してゾーンネットワークが適切に構成されていません。
ネームサービスを使ってゾーンのホスト名を構成します。
ゾーンのローカル /etc/hosts ファイルは使用しません。代わりに、同等の情報を大域ゾーンまたは LDAP サーバーに指定する必要があります。この情報には、ゾーンに割り当てられたホスト名の IP アドレスを含める必要があります。
all-zones として指定されているインタフェースがない。
すべてのゾーンに大域ゾーンと同じサブネット上の IP アドレスがある場合を除き、all-zones (共有) インタフェースを構成する必要のある場合があります。このように構成することによって、ラベル付きゾーンが大域ゾーンの X サーバーに接続できるようになります。大域ゾーンの X サーバーへのリモート接続を制限するには、vni0 を all-zones アドレスとして使用します。
all-zones インタフェースを構成しない場合は、それぞれのゾーンに大域ゾーンの X サーバーへのルートを指定する必要があります。これらのルートは大域ゾーン内で構成しなければなりません。
ラベル付きゾーンのネットワークインタフェースがダウンしている。
# ifconfig -a |
ifconfig コマンドを使用して、ラベル付きゾーンのネットワークインタフェースが UP と RUNNING の両方の状態であることを確認します。
LDAP 名の検索が失敗する。
ldaplist コマンドを使用して、各ゾーンが LDAP サーバーまたは LDAP プロキシサーバーと通信できることを確認します。LDAP サーバー上で、ゾーンが tnrhdb データベースに記載されていることを確認します。
NFS マウントが機能しない。
スーパーユーザーとして、ゾーンで automount を再起動します。または、crontab エントリを追加して、automount コマンドを 5 分ごとに実行します。
次の 2 つのタスクでは、構成ファイルの正確なコピーをサイトのすべての Trusted Extensions システムに転送することができます。最後のタスクでは、Trusted Extensions のカスタマイズを Solaris システムから削除できます。
ポータブルメディアにコピーする場合、情報と同じ機密ラベルをメディアに付けます。
インストール時に、スーパーユーザーまたは同等の役割が管理ファイルをポータブルメディアにコピーしたり、ポータブルメディアからコピーしたりします。このメディアには Trusted Path のラベルを付けます。
管理ファイルをコピーするには、スーパーユーザーになるか、大域ゾーンで役割になります。
適切なデバイスを割り当てます。
デバイス割り当てマネージャーを使用し、何も記録されていないメディアを挿入します。詳細は、『Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
Solaris Trusted Extensions (CDE) では、「ファイルマネージャー」にポータブルメディアの内容が表示されます。
Solaris Trusted Extensions (JDS) では、「ファイルブラウザ」に内容が表示されます。
以下の手順では、この GUI を指すのにファイルマネージャーと記述します。
別のファイルマネージャーを開きます。
コピーするファイルがあるフォルダに移動します。
たとえば、ファイルを /export/clientfiles フォルダにコピーしてあるとします。
各ファイルに対して次の操作を実行します。
デバイスの割り当てを解除します。
詳細は、『Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
ポータブルメディアのファイルマネージャーで、「ファイル」メニューから「取り出し」を選択します。
コピーしたファイルの機密ラベルを示した物理的なラベルを、メディアに必ず貼り付けてください。
システム管理者は、同じ設定ですべてのマシンを確実に構成しようと思っています。そのためには、最初に構成するマシンで、再起動によって削除されないディレクトリを作成します。そのディレクトリに、管理者はすべてのシステムで同一のファイルまたはほとんど同じファイルを配置します。
たとえば、LDAP スコープ用に Solaris 管理コンソール が使用する Trusted Extensions ツールボックス /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx をコピーします。tnrhtp ファイルの遠隔ホストテンプレートをカスタマイズしてあり、DNS サーバーのリストおよび監査構成ファイルがあります。サイト向けに policy.conf ファイルも変更しました。これらのファイルを永続ディレクトリにコピーします。
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles |
デバイス割り当てマネージャーを使用して大域ゾーンでフロッピーディスクを割り当て、ファイルをフロッピーディスクに転送します。ADMIN_HIGH のラベルを付けた別のフロッピーディスクに、サイト用の label_encodings ファイルを転送します。
システムにファイルをコピーする場合、システムの /etc/security/audit_control ファイルの dir: のエントリを変更します。
ファイルを置き換える前に、元の Trusted Extensions ファイルの名前を変更しておくと安全です。システムを構成する際に、root 役割が管理ファイルの名前の変更およびコピーを行います。
管理ファイルをコピーするには、スーパーユーザーになるか、大域ゾーンで役割になります。
適切なデバイスを割り当てます。
詳細は、『Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
Solaris Trusted Extensions (CDE) では、「ファイルマネージャー」にポータブルメディアの内容が表示されます。
Solaris Trusted Extensions (JDS) では、「ファイルブラウザ」に内容が表示されます。
以下の手順では、この GUI を指すのにファイルマネージャーと記述します。
管理ファイルを含むメディアを挿入します。
システムに同じ名前のファイルがある場合、元のファイルを新しい名前でコピーします。
たとえば、元のファイルの名前の後ろに .orig を追加します。
# cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig |
ファイルマネージャーを開きます。
/etc/security/tsol などのコピー先ディレクトリに移動します。
コピーするそれぞれのファイルに対して、次の操作を実行します。
デバイスの割り当てを解除します。
詳細は、『Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
プロンプトが表示されたら、メディアを取り出します。
この例では、システムにまだ役割が構成されていません。root ユーザーは、構成ファイルをポータブルメディアにコピーする必要があります。メディアの内容は、その他のシステムにコピーされます。これらのファイルは、Trusted Extensions ソフトウェアで構成される各システムにコピーされることになります。
root ユーザーは、デバイス割り当てマネージャーで floppy_0 デバイスを割り当てて、マウントのクエリーに対して yes と答えます。次に、root ユーザーは、構成ファイルが含まれたフロッピーディスクを挿入し、ディスクにコピーします。このフロッピーディスクには、Trusted Path というラベルが付けられています。
メディアから読み込むには、root ユーザーが受信ホストのデバイスを割り当てて、内容をダウンロードします。
構成ファイルがテープ上にある場合、root ユーザーは mag_0 デバイスを割り当てます。構成ファイルが CD-ROM 上にある場合、root ユーザーは cdrom_0 デバイスを割り当てます。
Trusted Extensions を Solaris システムから削除するには、特定の手順を実行して、Solaris システムに対する Trusted Extensions のカスタマイズを削除します。
Solaris OS の場合と同様に、ラベル付きゾーンのデータで残しておくものを保存します。
詳細は、『Solaris のシステム管理 (Solaris コンテナ : 資源管理と Solaris ゾーン)』の「非大域ゾーンを削除する方法」を参照してください。
システムから Trusted Extensions パッケージを削除します。
インストールウィザードを使用して Trusted Extensions パッケージを追加した場合は、アンインストールウィザードを使用します。
アンインストールウィザードは /var/sadm/tx ディレクトリにあります。
# cd /var/sadm/tx # java uninstall_Solaris_Trusted_Extensions |
prodreg コマンドを使用することもできます。詳細は、prodreg(1M) コマンドを参照してください。
pkgadd コマンドを使用して Trusted Extensions パッケージを追加した場合は、pkgrm コマンドを使用します。
詳細は、pkgrm(1M) のマニュアルページを参照してください。
bsmunconv コマンドを実行します。
このコマンドの結果については、bsmunconv(1M) のマニュアルページを参照してください。
(省略可能) システムを再起動します。
システムを構成します。
さまざまなサービスを Solaris システム用に構成する必要があります。その候補として、監査、基本的なネットワーキング、ネームサービス、およびファイルシステムのマウントがあります。