Solaris Trusted Extensions インストールと構成 (Solaris 10 11/06 および Solaris 10 8/07 リリース版)

Trusted Extensions での大域ゾーンの設定

大域ゾーンを設定する前に、構成を決定してください。決定事項については、「Trusted Extensions のインストール前の情報収集と決定事項」を参照してください。

作業 

説明 

参照先 

ハードウェアを保護します。 

ハードウェアの設定を変更する際にパスワードの入力を求めることによって、ハードウェアを保護できます。 

『Solaris のシステム管理 (セキュリティサービス)』「システムハードウェアアクセスの制御」

ラベルを設定します。 

ラベルはサイトに合わせて設定する必要があります。デフォルトの label_encodings ファイルを使用する場合、この手順は省略します。

「ラベルエンコーディングファイルを検査およびインストールする」

IPv6 の場合、/etc/system ファイルを変更します。

IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように /etc/system ファイルを変更します。

「Trusted Extensions で IPv6 ネットワーキングを有効にする」

Solaris ZFS スナップショットのための領域を作成します。 

ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。ZFS とは、「zettabyte file system」の頭文字に由来します。 

最初のゾーンのクローンを作成して、その他のラベル付きゾーンを作成する場合は、このタスクを実行します。 

「ゾーンのクローンを作成するために ZFS プールを作成する」

再起動してログインします。 

ログインすると、大域ゾーンになり、その環境では必須アクセス制御 (MAC) が認識されて実施されます。 

「Trusted Extensions を再起動してログインする 」

Solaris 管理コンソールを初期化します。 

Trusted Extensions で、ユーザー、役割、ゾーン、およびネットワークを管理するツールが Solaris 管理コンソールに追加されます。 

「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」

LDAP を構成します。 

LDAP ネームサービスを使用している場合、LDAP サービスを設定します。 

第 5 章Trusted Extensions のための LDAP の構成 (手順)

LDAP サービスを設定している場合、このシステムを LDAP クライアントにします。 

「Trusted Extensions で大域ゾーンを LDAP クライアントにする」

Procedureラベルエンコーディングファイルを検査およびインストールする

エンコーディングファイルは、通信する相手の Trusted Extensions ホストと互換性がなければなりません。


注 –

Trusted Extensions はデフォルトの label_encodings ファイルをインストールします。このデフォルトファイルは、デモンストレーションとして便利です。ただし、実際の使用に適しているとは限りません。デフォルトファイルを使用する場合、この手順は省略できます。



注意 – 注意 –

続行する前に、ラベルを正しくインストールしてください。正しくインストールしていないと構成できません。


始める前に

セキュリティー管理者として Trusted Extensions パッケージを追加しているので、すでにログインしています。

セキュリティー管理者は、label_encodings ファイルの編集、検査、および保守を担当します。label_encodings ファイルを編集する場合、ファイルが書き込み可能であることを確認してください。詳細は、label_encodings(4) のマニュアルページを参照してください。

  1. label_encodings ファイルが含まれたメディアを適切なデバイスに挿入します。

  2. label_encodings ファイルをディスクにコピーします。

  3. 新しいラベルエンコーディングファイルの構文を検査します。

    1. Trusted_Extensions フォルダを開きます。

      背景をマウスボタン 3 でクリックします。

    2. ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。

    3. Trusted_Extensions フォルダのアイコンをダブルクリックします。

      図は Trusted_Extensions フォルダのアイコンを示しています。
  4. 「エンコーディングの検査」アクションをダブルクリックします。

    ダイアログボックスで、ファイルのフルパス名を入力します


    /full-pathname-of-label-encodings-file
    

    chk_encodings コマンドを起動して、ファイルの構文を検査します。「エンコーディングの検査」ダイアログボックスに結果が表示されます。

  5. 「エンコーディングの検査」ダイアログボックスの内容を読みます。

  6. 次のいずれかを実行します。

    CONTINUE

    「エンコーディングの検査」アクションで何もエラーが報告されなかった場合は、続行することができます。手順 7 に進みます。

    RESOLVE ERRORS

    「エンコーディングの検査」アクションによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として『Solaris Trusted Extensions ラベルの管理』の第 3 章「ラベルエンコーディングファイルの作成 (手順)」を参照してください。

  7. ファイルが構文検査に合格したら「はい」をクリックします。

    「エンコーディングの検査」アクションによって元のファイルのバックアップコピーが作成され、検査済みのバージョンが /etc/security/tsol/label_encodings にインストールされます。さらに、ラベルデーモンが再起動されます。


    注意 – 注意 –

    続行するには、ラベルエンコーディングファイルがエンコーディングの検査テストに合格しなければなりません。



例 4–1 コマンド行での label_encodings 構文の検査

この例では、管理者がコマンド行を使用していくつかの label_encodings ファイルをテストします。


# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

業務管理で label_encodings2 ファイルを使用することを決めたら、管理者はファイルの意味解析を実行します。


# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

管理者は自分の記録用に意味解析のコピーを出力したのち、このファイルを /etc/security/tsol ディレクトリに移動します。


# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06

# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

最後に、管理者は label_encodings ファイルが会社ファイルであることを確認します。


# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

ProcedureTrusted Extensions で IPv6 ネットワーキングを有効にする

IPv6 が無効である場合、Trusted Extensions は CIPSO オプションの IPv6 パケットを転送できません。Trusted Extensions で IPv6 ネットワークを有効にするには、/etc/system ファイルにエントリを追加してください。

  1. /etc/system ファイルに次のエントリを入力します。


    set ip:ip6opt_ls = 0x0a
    
注意事項

Procedureゾーンのクローンを作成するために ZFS プールを作成する

Solaris ZFS スナップショットをゾーンテンプレートとして使用する場合、ZFS ファイルまたは ZFS デバイスから ZFS プールを作成する必要があります。このプールには、各ゾーンのクローンを作成するためのスナップショットが保持されます。ZFS プール用に /zone デバイスを使用します。

始める前に

Solaris のインストール時に、ZFS ファイルシステム用のディスク容量を確保しておきます。詳細は、「Trusted Extensions でのゾーン計画」を参照してください。

  1. /zone パーティションをアンマウントします。

    インストール時に、十分なディスク容量 (約 2000M バイト) の /zone パーティションを作成してあります。


    # umount /zone
    
  2. /zone マウントポイントを削除します。


    # rmdir /zone
    
  3. vfstab ファイルの /zone エントリをコメントにします。

    1. /zone エントリを読み取られないようにします。

      エディタで vfstab ファイルを開きます。/zone エントリの前にコメント記号を付けます。


      #/dev/dsk/cntndnsn  /dev/dsk/cntndnsn  /zone  ufs  2  yes  -
    2. ディスクスライス cntndnsn をクリップボードにコピーします。

    3. ファイルを保存し、エディタを閉じます。

  4. ディスクスライスを使用して /zone を ZFS プールとして再作成します。


    # zpool create -f zone cntndnsn
    

    たとえば、/zone エントリがディスクスライス c0t0d0s5 を使用した場合、コマンドは次のようになります。


    # zpool create -f zone c0t0d0s5
    
  5. ZFS プールが正常であることを検証します。

    次のいずれかのコマンドを使用します。


    # zpool status -x zone
    pool 'zone' is healthy

    # zpool list
    NAME     SIZE     USED   AVAIL   CAP   HEALTH   ALTROOT
    /zone    5.84G   80K    5.84G    7%   ONLINE   -

    この例では、インストールチームはゾーンのパーティション用に 6000M バイトを用意しました。詳細は、zpool(1M) のマニュアルページを参照してください。

ProcedureTrusted Extensions を再起動してログインする

ほとんどのサイトでは、インストールチーム の役割を果たす、2 人以上の管理者がシステムの構成を担当します。

始める前に

最初にログインする前に、Trusted Extensions のデスクトップおよびラベルのオプションを熟知しておいてください。詳細は、『Solaris Trusted Extensions ユーザーズガイド』の第 2 章「Trusted Extensions へのログイン (手順)」を参照してください。

  1. システムを再起動します。


    # /usr/sbin/reboot
    

    システムにグラフィック表示用のディスプレイがない場合は、第 6 章Trusted Extensions とヘッドレスシステムの構成 (タスク) に進みます。

  2. Solaris Trusted Extensions (CDE) デスクトップにスーパーユーザーとしてログインします。

    1. ログインウィンドウで、デスクトップとして Solaris Trusted Extensions (CDE) を選択します。

      この Trusted CDE デスクトップには、システムの構成時に役立つアクションが含まれています。

    2. ログインダイアログボックスで、root および root パスワードを入力します。

      ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Trusted Extensions ソフトウェアでは、安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。

  3. 「最後のログイン」ダイアログボックス内の情報を読みます。

    図は「最後のログイン」ダイアログボックスを示しています。

    「了解」をクリックしてボックスを閉じます。

  4. ラベルビルダーを読みます。

    「了解」をクリックしてデフォルトのラベルを受け入れます。

    ログインプロセスが完了すると、Trusted Extensions 画面が短く表示され、4 つのワークスペースを持つデスクトップセッションになります。トラステッドストライプTrusted Path のシンボルが表示されます。


    注 –

    システムの前から離れるときは、ログオフするかまたは画面をロックしてください。これを怠ると、だれかが識別や認証を受けずにシステムにアクセスできてしまい、アクセスした人を特定できず、責任を追求できなくなります。


ProcedureTrusted Extensions で Solaris 管理コンソールサーバーを初期化する

この手順で、ユーザー、役割、ホスト、ゾーン、およびネットワークをこのシステム上で管理できるようになります。構成する最初のシステムでは、files スコープのみが使用可能です。

始める前に

スーパーユーザーでなければなりません。

  1. Solaris 管理コンソールを起動します。


    # /usr/sbin/smc &
    

    注 –

    Solaris 管理コンソールをはじめて起動するときには、登録タスクを実行します。このタスクには数分かかります。


  2. Solaris 管理コンソールでツールボックスのアイコンが表示されない場合、次のいずれかを実行します。

    • ナビゲーション区画が表示されない場合

      1. 表示されている「ツールボックスを開く」ダイアログボックスで、「サーバー」の下にあるシステムの名前の横の「読み込む」をクリックします。

        システムにメモリーおよびスワップの推奨容量がない場合、ツールボックスが表示されるまで数分かかる場合があります。推奨値については、「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」を参照してください。

      2. ツールボックスのリストから、Policy=TSOL であるツールボックスを選択します。

        図 4–1 は、This Computer (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。


        注意 – 注意 –

        ポリシーがないツールボックスは選択しないでください。リストされているポリシーがないツールボックスは、Trusted Extensions をサポートしません。


        影響を与えるスコープに応じて、ツールボックスの選択が決まります。

      3. 「開く」をクリックします。

    • ナビゲーション区画は表示されるが、ツールボックスのアイコンが停止標識である場合

      1. Solaris 管理コンソールを終了します。

      2. Solaris 管理コンソールを再起動します。


        # /usr/sbin/smc &
        
  3. Policy=TSOL のツールボックスをまだ選択していない場合は、それを選択します。

    次の図は、This Computer (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。

    図 4–1 Solaris 管理コンソールの Trusted Extensions ツール

    ウィンドウは、「ユーザー」ツールおよび「コンピュータとネットワーク」ツールを含む「システムの構成」ノードを示しています。

  4. (省略可能) 現在のツールボックスを保存します。

    Policy=TSOL ツールボックスを保存すると、デフォルトで Trusted Extensions ツールボックスが読み込まれます。設定は役割ごと、ホストごとに保存されます。ホストは Solaris 管理コンソールサーバーです。

    1. 「コンソール」メニューから「設定の変更」を選択します。

      「ホーム」ツールボックスが選択されています。

    2. Policy=TSOL ツールボックスを「ホーム」ツールボックスとして定義します。

      「現在のツールボックスを使用」ボタンをクリックすることによって、現在のツールボックスを「場所」フィールドに入力します。

    3. 「了解」をクリックして設定を保存します。

  5. Solaris 管理コンソールを終了します。

参照

Solaris 管理コンソールに対する Trusted Extensions の追加事項の概要については、『Solaris Trusted Extensions 管理の手順』「Solaris 管理コンソールツール」を参照してください。Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Solaris Trusted Extensions 管理の手順』「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。

ProcedureTrusted Extensions で大域ゾーンを LDAP クライアントにする

LDAP では、この手順で大域ゾーンにネームサービス設定を構築します。LDAP を使用していない場合、この手順は省略できます。

始める前に

Sun JavaTM System Directory Server、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、システムがサーバーと通信できなければなりません。そのため、構成しているシステムで、LDAP サーバー上の tnrhdb データベースへのエントリが必要です。あるいは、この手順を実行する前に、このシステムがワイルドカードエントリに含まれていなければなりません。

Trusted Extensions が設定された LDAP サーバーが存在しない場合、次に示す手順を実行する前に、第 5 章Trusted Extensions のための LDAP の構成 (手順)の手順を完了します。

  1. 元の nsswitch.ldap ファイルのコピーを保存します。

    LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。


    # cd /etc
    # cp nsswitch.ldap nsswitch.ldap.orig
    
  2. DNS を使用している場合は、次のサービスの nsswitch.ldap ファイルのエントリを変更します。

    正しいエントリは次のとおりです。


    hosts:    files dns ldap
    
    ipnodes:    files dns ldap
    
    networks:   ldap files
    protocols:  ldap files
    rpc:        ldap files
    ethers:     ldap files
    netmasks:   ldap files
    bootparams: ldap files
    publickey:  ldap files
    
    services:   files

    Trusted Extensions によって、次の 2 つのエントリが追加されます。


    tnrhtp:    files ldap
    tnrhdb:    files ldap
  3. 変更した nsswitch.ldap ファイルを nsswitch.conf にコピーします。


    # cp nsswitch.ldap nsswitch.conf
    
  4. Trusted CDE ワークスペースで、Trusted_Extensions フォルダに移動します。

    1. 背景をマウスボタン 3 でクリックします。

    2. ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。

    3. Trusted_Extensions フォルダのアイコンをダブルクリックします。

      このフォルダには、インタフェース、LDAP クライアント、およびラベル付きゾーンを設定するためのアクションが含まれています。

  5. 「LDAP クライアントを作成」アクションをダブルクリックします。

    次のプロンプトに答えます。


    Domain Name:               Type the domain name
    Hostname of LDAP Server:   Type the name of the server
    IP Address of LDAP Server: Type the IP address
    LDAP Proxy Password:       Type the password to the server
    Profile Name:              Type the profile name
    
  6. 「了解 (OK)」をクリックします。

    次の完了メッセージが表示されます。


    global zone will be LDAP client of LDAP-server
    System successfully configured.
    
    *** Select Close or Exit from the window menu to close this window ***
  7. アクションウィンドウを閉じます。

  8. サーバーに関する情報が正しいことを確認します。

    1. 端末ウィンドウを開き、LDAP サーバーを照会します。


      # ldapclient list
      

      出力表示は次のようになります。


      NS_LDAP_FILE_VERSION= 2.0
      NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name
      ...
      NS_LDAP_BIND_TIME= number
      
    2. エラーを修正します。

      エラーが表示される場合、正しい値で「LDAP クライアントを作成」アクションを実行します。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。


      LDAP ERROR (91): Can't connect to the LDAP server.
      Failed to find defaultSearchBase for domain domain-name
      

      このエラーを修正するには、LDAP サーバーを確認する必要があります。