この章では、Solaris Trusted Extensions で使用するために Sun JavaTM System Directory Server および Solaris 管理コンソールを構成する方法について説明します。 Directory Server は LDAP サービスを提供します。LDAP は、Trusted Extensions の対応ネームサービスです。Solaris 管理コンソールは、ローカルおよび LDAP データベースの管理 GUI です。
Directory Server の構成には、2 つの選択肢があります。Trusted Extensions システムに LDAP サーバーを構成するか、Trusted Extensions プロキシサーバーを使用して既存のサーバーに接続します。次の作業マップのいずれかの手順に従ってください。
作業 |
説明 |
参照先 |
---|---|---|
Trusted Extensions LDAP サーバーを設定します。 |
既存の Sun Java System Directory Server がない場合、最初の Trusted Extensions システムを Directory Server にします。その他の Trusted Extensions システムは、このサーバーのクライアントになります。 |
「LDAP 用に Directory Server の情報を収集する」 「Sun Java System Directory Server をインストールする」 「Sun Java System Directory Server のアクセスログを保護する」 |
Trusted Extensions データベースをサーバーに追加します。 |
Trusted Extensions システムファイルのデータを LDAP サーバーに入力します。 | |
Solaris 管理コンソールが Directory Server で機能するように構成します。 |
Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。 | |
その他のすべての Trusted Extensions システムを、このサーバーのクライアントとして構成します。 |
別のシステムに Trusted Extensions を構成する場合、そのシステムをこの LDAP サーバーのクライアントにします。 |
Solaris システムで実行されている既存の Sun Java System Directory Server がある場合、この作業マップを使用します。
作業 |
説明 |
参照先 |
---|---|---|
Trusted Extensions データベースをサーバーに追加します。 |
Trusted Extensions ネットワークデータベースの tnrhdb および tnrhtp は、LDAP サーバーに追加する必要があります。 | |
LDAP プロキシサーバーを設定します。 |
1 つの Trusted Extensions システムをその他の Trusted Extensions システムのプロキシサーバーにします。その他の Trusted Extensions システムは、このプロキシサーバーを使用して LDAP サーバーにアクセスします。 | |
プロキシサーバーに LDAP 用のマルチレベルポートを構成します。 |
Trusted Extensions プロキシサーバーが特定ラベルで LDAP サーバーと通信できるようにします。 | |
Solaris 管理コンソールが LDAP プロキシサーバーで機能するように構成します。 |
Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。 | |
その他のすべての Trusted Extensions システムを LDAP プロキシサーバーのクライアントとして構成します。 |
別のシステムに Trusted Extensions を構成する場合、そのシステムを LDAP プロキシサーバーのクライアントにします。 |
LDAP ネームサービスは、Trusted Extensions の対応ネームサービスです。サイトで LDAP ネームサービスがまだ実行されていない場合、Trusted Extensions が構成されているシステムで Sun Java System Directory Server (Directory Server) を構成します。サイトですでに Directory Server が実行されている場合、Trusted Extensions データベースをサーバーに追加する必要があります。Directory Server にアクセスするために、Trusted Extensions システムで LDAP プロキシを設定します。
この LDAP サーバーを NFS サーバーとして、または Sun RayTM クライアントのサーバーとして使用しない場合、ラベル付きゾーンをこのサーバーにインストールする必要はありません。
次の項目の値を決定します。
各項目は、Sun Java Enterprise System のインストールウィザードに表示される順序で記載されています。
インストールウィザードのプロンプト |
対応または情報 |
---|---|
Sun Java System Directory Server version |
|
「管理者ユーザー ID」 |
デフォルト値は「admin」です。 |
「管理者ユーザーパスワード」 |
「admin123」のようなパスワードを作成します。 |
「ディレクトリマネージャ DN」 |
デフォルト値は「cn=Directory Manager」です。 |
「ディレクトリマネージャパスワード」 |
「dirmgr89」のようなパスワードを作成します。 |
「Directory Server ルート」 |
デフォルト値は「/var/opt/mps/serverroot」です。プロキシソフトウェアをインストールする場合、このパスはあとでも使用されます。 |
「サーバー識別子」 |
デフォルト値はローカルシステムです。 |
「サーバーポート」 |
Directory Server を使用して標準的な LDAP ネームサービスをクライアントシステムに提供する場合は、デフォルト値「389」を使用します。 Directory Server を使用してプロキシサーバーの今後のインストールをサポートする場合は、「10389」など標準以外のポートを入力します。 |
「サフィックス」 |
「dc=example-domain,dc=com」のように、ドメイン構成要素を含めます。 |
「管理ドメイン」 |
「example-domain.com」のように、サフィックスに対応させて作成します。 |
「システムユーザー」 |
デフォルト値は「root」です。 |
「システムグループ」 |
デフォルト値は「root」です。 |
「データの保存場所」 |
デフォルト値は「このサーバーに設定データを保存します。」です。 |
「データの保存場所」 |
デフォルト値は「このサーバーにユーザー/グループデータを保存します。 」です。 |
「Administration Port」 |
デフォルト値はサーバーポートです。デフォルトを変更するために推奨される慣例は、ソフトウェアバージョンに 1000 を掛けた数値です。ソフトウェアバージョン 5.2 の場合、この慣例ではポート 5200 になります。 |
Directory Server パッケージは、Sun Software Gateway の Web サイトから入手できます。
Sun Web サイトで Sun Java System Directory Server パッケージを検索します。
Sun Software Gateway のページで、「Get It」タブをクリックします。
「Sun Java Identity Management Suite」の前のチェックボックスをクリックします。
「Submit」ボタンをクリックします。
登録していない場合は、登録します。
ログインしてこのソフトウェアをダウンロードします。
画面左上の「Download Center」をクリックします。
「Identity Management」領域で、使用しているプラットフォームに適切な最新のソフトウェアをダウンロードします。
/etc/hosts ファイルで、使用するシステムのホスト名エントリに FQDN を追加します。
FQDN とは「完全指定のドメイン名 (Fully Qualified Domain Name )」のことです。この名前は、次のようにホスト名と管理ドメインの組み合わせになります。
192.168.5.5 myhost myhost.example-domain.com |
Directory Server パッケージをインストールします。
「LDAP 用に Directory Server の情報を収集する」からの情報を使って質問に答えます。
起動するたびに Directory Server も起動されるようにします。
init.d スクリプトを追加します。
次の例は、SERVER_ROOT および SERVER_INSTANCE 変数を変更してインストールに合わせます。
/etc/init.d/ldap.directory-myhost --------------------------------------- #!/sbin/sh SERVER_ROOT=/var/Sun/mps SERVER_INSTANCE=myhost case "$1" in start) ${SERVER_ROOT}/slapd-${SERVER_INSTANCE}/start-slapd ;; stop) ${SERVER_ROOT}/slapd-${SERVER_INSTANCE}/stop-slapd ;; *) echo "Usage: $0 { start | stop }" exit 1 esac exit 0 |
init.d スクリプトを rc2.d ディレクトリにリンクします。
/usr/bin/ln \ /etc/init.d/ldap.directory-myhost \ /etc/rc2.d/S70ldap.directory-myhost |
インストールを確認します。
インストールディレクトリを調べます。
slapd-server-hostname という名前のサブディレクトリが存在するはずです。
Directory Server を起動します。
# installation-directory/slapd-server-hostname/restart-slapd |
slapd プロセスが存在することを確認します。
# ps -ef | grep slapd ./ns-slapd -D installation-directory/slapd-server-instance -i installation-directory/slapd-server-instance/ |
LDAP 構成の問題解決のストラテジについては、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』の第 13 章「LDAP のトラブルシューティング (参照情報)」を参照してください。
この手順で作成する LDIF スクリプトによって、アクセスログに関して次の規則が定められます。
ログレベル 256 のイベントをログに記録し、バッファーログを作成します (デフォルト)。
ログを毎日ローテーションします。
各ファイル最大 500M バイトの、最大 100 のログファイルを保持します。
3 か月よりも前のログファイルは期限切れになります。
ディスク容量の空きが 500M バイトを下回ると古いログから削除します。
すべてのログファイルで最大 20,000M バイトのディスク容量を使用します。
アクセスログを管理するためのスクリプトを作成します。
次の内容の /var/tmp/logs-access.ldif ファイルを作成します。
dn: cn=config changetype: modify replace: nsslapd-accesslog-logging-enabled nsslapd-accesslog-logging-enabled: on - replace: nsslapd-accesslog-level nsslapd-accesslog-level: 256 - replace: nsslapd-accesslog-logbuffering nsslapd-accesslog-logbuffering: on - replace: nsslapd-accesslog-logrotationtime nsslapd-accesslog-logrotationtime: 1 - replace: nsslapd-accesslog-logrotationtimeunit nsslapd-accesslog-logrotationtimeunit: day - replace: nsslapd-accesslog-maxlogsize nsslapd-accesslog-maxlogsize: 500 - replace: nsslapd-accesslog-maxlogsperdir nsslapd-accesslog-maxlogsperdir: 100 - replace: nsslapd-accesslog-logexpirationtime nsslapd-accesslog-logexpirationtime: 3 - replace: nsslapd-accesslog-logexpirationtimeunit nsslapd-accesslog-logexpirationtimeunit: month - replace: nsslapd-accesslog-logmaxdiskspace nsslapd-accesslog-logmaxdiskspace: 20000 - replace: nsslapd-accesslog-logminfreediskspace nsslapd-accesslog-logminfreediskspace: 500 |
スクリプトを実行します。
# ldapmodify -h localhost -D 'cn=directory manager' \ -f /var/tmp/logs-access.ldif |
パスワードを入力します。
Enter bind password: Type the appropriate password modifying entry cn=config |
この手順で作成する LDIF スクリプトによって、エラーログに関して次の規則が定められます。
ログを毎週ローテーションする
各ファイル最大 500M バイトの、最大 30 のログファイル 保持します。
3 か月よりも前のログファイルは期限切れになります。
ディスク容量の空きが 500M バイトを下回ると古いログから削除します。
すべてのログファイルで最大 20,000M バイトのディスク容量を使用します。
エラーログを管理するためのスクリプトを作成します。
次の内容の /var/tmp/logs-error.ldif ファイルを作成します。
dn: cn=config changetype: modify replace: nsslapd-errorlog-logging-enabled nsslapd-errorlog-logging-enabled: on - replace: nsslapd-errorlog-logexpirationtime nsslapd-errorlog-logexpirationtime: 3 - replace: nsslapd-errorlog-logexpirationtimeunit nsslapd-errorlog-logexpirationtimeunit: month - replace: nsslapd-errorlog-logrotationtime nsslapd-errorlog-logrotationtime: 1 - replace: nsslapd-errorlog-logrotationtimeunit nsslapd-errorlog-logrotationtimeunit: week - replace: nsslapd-errorlog-maxlogsize nsslapd-errorlog-maxlogsize: 500 - replace: nsslapd-errorlog-maxlogsperdir nsslapd-errorlog-maxlogsperdir: 30 - replace: nsslapd-errorlog-logmaxdiskspace nsslapd-errorlog-logmaxdiskspace: 20000 - replace: nsslapd-errorlog-logminfreediskspace nsslapd-errorlog-logminfreediskspace: 500 |
スクリプトを実行します。
# ldapmodify -h localhost -D 'cn=directory manager' -f /var/tmp/logs-error.ldif |
プロンプトに答えます。
Enter bind password: Type the appropriate password modifying entry cn=config |
Trusted Extensions で作業するには、Directory Server のサーバーポートを大域ゾーンのマルチレベルポート (MLP) として設定する必要があります。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
This Computer (this-host: Scope=Files, Policy=TSOL) ツールボックスを選択します。
「システムの構成」をクリックしてから「コンピュータとネットワーク」をクリックします。
パスワードを入力するよう求められます。
適切なパスワードを入力します。
「トラステッドネットワークゾーン」をダブルクリックします。
大域ゾーンをダブルクリックします。
TCP プロトコルのマルチレベルポートを追加します。
UDP プロトコルのマルチレベルポートを追加します。
「了解」をクリックして設定を保存します。
カーネルを更新します。
# tnctl -fz /etc/security/tsol/tnzonecfg |
ラベル構成、ユーザー、および遠隔システムに関する Trusted Extensions データを保持するために、複数の LDAP データベースが作成および変更されています。この手順では、Directory Server データベースに Trusted Extensions 情報を取り込みます。
ネームサービスデータベースにデータを入力するために使用するファイルのステージング領域を作成します。
# mkdir -p /setup/files |
サンプルの /etc ファイルをステージング領域にコピーします。
# cd /etc # cp aliases group hosts networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files |
Solaris 10 11/06 リリースをパッチを適用しないで実行している場合、ipnodes ファイルをコピーします。
# cd /etc/inet # cp ipnodes /setup/files |
/setup/files/auto_master ファイルから +auto_master エントリを削除します。
?:::::? エントリを /setup/files/auth_attr ファイルから削除します。
/setup/files/prof_attr ファイルから :::: エントリを削除します。
ステージング領域にゾーン自動マップを作成します。
次の自動マップのリストで、各ペアの最初の行はファイルの名前を示します。2 行めはファイルの内容を示します。ゾーン名は、Trusted Extensions ソフトウェアに含まれているデフォルトの label_encodings ファイルからのラベルを特定します。
ここに示された行のゾーン名を実際のゾーン名に置き換えてください。
myNFSserver でホームディレクトリの NFS サーバーを特定します。
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/& |
ネットワーク上のすべてのシステムを /setup/files/tnrhdb ファイルに追加します。
ここではワイルドカードは使用できません。通信を行うすべてのシステムの IP アドレスは、ラベル付きゾーンの IP アドレスも含めてこのファイル内に存在する必要があります。
トラステッドエディタを開き、/setup/files/tnrhdb を編集します。
Trusted Extensions ドメインのラベル付きシステムのすべての IP アドレスを追加します。
ラベル付きシステムのタイプは cipso です。また、ラベル付きシステムのセキュリティーテンプレートの名前も cipso です。したがって、デフォルト構成では cipso エントリは次のようになります。
192.168.25.2:cipso |
このリストには、大域ゾーンおよびラベル付きゾーンの IP アドレスが含まれます。
ドメインが通信できるラベルなしシステムをすべて追加します。
ラベルなしシステムのタイプは unlabeled です。ラベルなしシステムのセキュリティーテンプレートの名前は admin_low です。したがって、デフォルト構成ではラベルなしシステムのエントリは次のようになります。
192.168.35.2:admin_low |
ファイルを保存し、エディタを終了します。
ファイルの構文を検査します。
# tnchkdb -h /setup/files/tnrhdb |
エラーを修正してから作業を続行します。
/setup/files/tnrhdb ファイルを /etc/security/tsol/tnrhdb ファイルにコピーします。
ldapaddent コマンドを使用して、ステージング領域のすべてのファイルにデータを入力します。
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts |
最初に、Solaris システムの既存の Directory Server に Trusted Extensions データベースを追加する必要があります。次に、Trusted Extensions システムが Directory Server にアクセスできるように、Trusted Extensions システムが LDAP プロキシサーバーになるよう構成する必要があります。
サイトに LDAP サーバーがすでに存在する場合、Trusted Extensions システムにプロキシサーバーを作成します。
Trusted Extensions 情報を含むデータベースを LDAP サーバーに追加しておきます。詳細は、「Sun Java System Directory Server にデータを入力する」を参照してください。
Trusted Extensions が設定されているシステムで、プロキシサーバーを作成します。
詳細は、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』の第 12 章「LDAP クライアントの設定 (手順)」を参照してください。
Trusted Extensions データベースがプロキシサーバーで表示できることを確認します。
# ldaplist -l database |
LDAP 構成の問題解決のストラテジについては、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』の第 13 章「LDAP のトラブルシューティング (参照情報)」を参照してください。
Solaris 管理コンソールは、Trusted Extensions を実行しているシステムのネットワークを管理するための GUI です。
作業 |
説明 |
参照先 |
---|---|---|
Solaris 管理コンソールを初期化します。 |
Solaris 管理コンソールを初期化します。この手順は、大域ゾーンのシステムごとに 1 回実行します。 | |
資格を登録します |
LDAP サーバーによって Solaris 管理コンソールを認証します。 | |
システムで LDAP 管理を有効にします |
デフォルトでは、LDAP 管理はインストール時にオフにされます。特定システムを明示的に LDAP 管理システムにします。 | |
LDAP ツールボックスを作成します |
Trusted Extensions 用の Solaris 管理コンソールに LDAP ツールボックスを作成します。 | |
通信を確認します。 |
Trusted Extensions ホストが LDAP クライアントになれることを確認します。 |
Trusted Extensions を実行している LDAP サーバーで root ユーザーになります。このサーバーはプロキシサーバーでもかまいません。
Sun Java System Directory Server が構成されている必要があります。次のいずれかの構成を完了しています。
LDAP 管理資格を登録します。
# /usr/sadm/bin/dtsetup storeCred Administrator DN:Type the value for cn on your system Password:Type the Directory Manager password Password (confirm):Retype the password |
Directory Server との通信を確認します。
# /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:Displays name of file scope Scope 2 ldap:Displays name of ldap scope |
LDAP サーバー設定によって、表示される LDAP スコープが決定されます。サーバーの登録後、LDAP ツールボックスを編集して使用できるようになります。
この例では、LDAP サーバーの名前は LDAP1、LDAP クライアントの名前は myhost、cn の値はデフォルトの Directory Manager です。
# /usr/sadm/bin/dtsetup storeCred Administrator DN:cn=Directory Manager Password:abcde1;! Password (confirm):abcde1;! # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:/myhost/myhost Scope 2 ldap:/myhost/cd=myhost,dc=example,dc=com |
デフォルトでは、システムはセキュリティー上の危険があるポートでは待機しないようにインストールされます。したがって、LDAP サーバーとのネットワーク通信を明示的にオンにする必要があります。この手順は、システムのネットワークとユーザーの管理元にするシステムでのみ実行します。
スーパーユーザーになるか、大域ゾーンでセキュリティー管理者役割になる必要があります。
システムが LDAP を管理できるようにします。
# svccfg -s wbem setprop options/tcp_listen=true |
LDAP ツールボックスを表示するには、「Solaris 管理コンソールの LDAP ツールボックスを編集する」を完了する必要があります。
スーパーユーザーでなければなりません。LDAP 資格を Solaris 管理コンソールに登録する必要があり、/usr/sadm/bin/dtsetup scopes コマンドの出力について知っている必要があります。詳細は、「LDAP の資格を Solaris 管理コンソールに登録する」を参照してください。
LDAP ツールボックスを探します。
# cd /var/sadm/smc/toolboxes/tsol_ldap # ls *tbx tsol_ldap.tbx |
LDAP サーバー名を入力します。
トラステッドエディタを開きます。
tsol_ldap.tbx ツールボックスのフルパス名をコピーして、引数としてエディタにペーストします。
たとえば、次のパスが LDAP ツールボックスのデフォルトの位置です。
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx |
スコープ情報を置き換えます。
<Scope> タグと </Scope> タグの間にある server タグを、ldap:/...... 行の出力 (/usr/sadm/bin/dtsetup scopes コマンドから) で置き換えます。
<Scope>ldap:/<myhost>/<dc=domain,dc=suffix></Scope> |
<?server?> または <?server ?> のすべてのインスタンスを LDAP サーバーと置き換えます。
<Name> ldap-server-name: Scope=ldap, Policy=TSOL</Name> services and configuration of ldap-server-name.</Description> and configuring ldap-server-name.</Description> <ServerName>ldap-server-name</ServerName> <ServerName>ldap-server-name</ServerName> |
ファイルを保存し、エディタを終了します。
wbem サービスを停止して起動します。
smc デーモンは wbem サービスによって制御されます。
# svcadm disable wbem # svcadm enable wbem |
この例では、LDAP サーバーの名前は LDAP1 です。ツールボックスを設定するには、管理者が server のインスタンスを LDAP1 と置き換えます。
<Name>LDAP1: Scope=ldap, Policy=TSOL</Name> services and configuration of LDAP1.</Description> and configuring LDAP1.</Description> <ServerName>LDAP1</ServerName> <ServerName>LDAP1</ServerName> |
管理役割になって、またはスーパーユーザーとして LDAP クライアントにログインします。システムを LDAP クライアントにする場合は、「Trusted Extensions で大域ゾーンを LDAP クライアントにする」を参照してください。
LDAP ツールボックスを使用するには、「Solaris 管理コンソールの LDAP ツールボックスを編集する」および「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を完了している必要があります。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
Trusted Extensions ツールボックスを開きます。
Trusted Extensions ツールボックスの値は Policy=TSOL です。
「システムの構成」領域で、「コンピュータとネットワーク」、「セキュリティーテンプレート」と移動します。
正しいテンプレートおよびラベルが遠隔システムに適用されていることを確認します。
LDAP 構成をトラブルシューティングするには、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』の第 13 章「LDAP のトラブルシューティング (参照情報)」を参照してください。