第 3 章 Trusted Extensions 管理者としての作業の開始 (手順)

この章では、Solaris Trusted Extensions が設定されたシステムの管理について概説します。

• 「Trusted Extensions の新機能」

• 「Trusted Extensions を管理する際のセキュリティー要件」

• 「Trusted Extensions 管理者としての作業の開始 (作業マップ)」

Trusted Extensions の新機能

Solaris 10 10/08 – このリリースでは、Trusted Extensions は次の機能を提供します。

• Trusted Extensions の共有 IP スタックを使用すると、デフォルトの経路のラベル付きゾーンを、互いに分離するか、または大域ゾーンから分離することができます。

• ループバックインタフェースの lo0 は、all-zones インタフェースです。

• 役割によって責務分離を実施できます。システム管理者役割は、ユーザーの作成を行いますが、パスワードの割り当ては行えません。セキュリティー管理者役割は、パスワードの割り当てを行いますが、ユーザーの作成は行えません。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「責務分離を実施する権利プロファイルを作成する」を参照してください。

• このマニュアルの付録 B Trusted Extensions マニュアルページのリストには、Trusted Extensions のマニュアルページのリストが掲載されています。

Solaris 10 5/08 – このリリースでは、Trusted Extensions は次の機能を提供します。

• サービス管理機能 (SMF) では、Trusted Extensions を svc:/system/labeld サービスとして管理します。labeld サービスはデフォルトでは無効になっています。このサービスが有効になっているときは、引き続きシステムを設定および再起動して、Trusted Extensions のセキュリティーポリシーを適用する必要があります。

• システムが使用する CIPSO DOI (解釈のドメイン) の番号を設定できます。

  • DOI については、「Trusted Extensions のネットワークセキュリティー属性」を参照してください。

  • デフォルトとは異なる DOI を指定する場合は、『Oracle Solaris Trusted Extensions 構成ガイド』の「解釈ドメインの構成」を参照してください。

• Trusted Extensions では、NFS バージョン 4 (NFSv4) だけでなく、NFS バージョン 3 (NFSv3) でマウントされたファイルシステムの CIPSO ラベルも認識します。そのため、NFSv3 ファイルシステムをラベル付きファイルシステムとして Trusted Extensions システムにマウントできます。NFSv3 のマルチレベルマウントの配下のプロトコルとして udp を使用する場合は、「udp で NFSv3 のマルチレベルポートを構成する」を参照してください。

• ネームサービスキャッシュデーモン nscd を各ラベル付きゾーンでそれぞれのゾーンのラベルで実行されるように設定できます。

Trusted Extensions を管理する際のセキュリティー要件

Trusted Extensions では、通常、役割を使用してシステムを管理します。一般的に、スーパーユーザーは使用しません。役割は Solaris OS の場合と同様に作成され、ほとんどのタスクは役割によって実行されます。Trusted Extensions では、管理タスクの実行に root ユーザーを使用しません。

Trusted Extensions サイトでは、次の役割が一般的に使用されます。

• root 役割 – 初期設定チームによって作成されます。

• セキュリティー管理者役割 – 初期構成中または初期構成後に、初期設定チームによって作成されます

• システム管理者役割 – セキュリティー管理者役割によって作成されます

Solaris OS と同様に、主管理者、オペレータなどの役割を作成することもできます。root 役割を除き、作成する役割はネームサービスで管理できます。

Solaris OS 同様に、役割を割り当てられたユーザーだけが、その役割になることができます。Solaris Trusted Extensions (CDE) では、トラステッドパスメニューと呼ばれるデスクトップメニューから役割を引き受けることができます。 Solaris Trusted Extensions (JDS) では、ユーザー名がトラステッドストライプに表示されたときに役割を引き受けることができます。ユーザー名をクリックすると、役割の選択肢が表示されます。

Trusted Extensions での役割の作成

Trusted Extensions を管理するには、システムとセキュリティーの機能を分離する役割を作成します。初期設定チームは、構成中にセキュリティー管理者役割を作成しています。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。

Trusted Extensions で役割を作成する処理は、Solaris OS と同じです。第 2 章Trusted Extensions 管理ツールの説明のとおり、Solaris 管理コンソールは Trusted Extensions の役割を管理するためのグラフィカルユーザーインタフェースです。

• 役割の作成の概要については、『System Administration Guide: Security Services』の第 10 章「Role-Based Access Control (Reference)」と『System Administration Guide: Security Services』の「Using RBAC (Task Map)」を参照してください。

• スーパーユーザーと同等の役割を作成する場合は、『System Administration Guide: Basic Administration』の「Creating the Primary Administrator Role」を参照してください。Trusted Extensions を使用するサイトでは、主管理者役割はセキュリティーポリシーに違反する場合があります。これらのサイトでは、root を役割にして、セキュリティー管理者役割を作成します。

• root 役割の作成については、『System Administration Guide: Security Services』の「How to Make root User Into a Role」を参照してください。

• Solaris 管理コンソールを使用して役割を作成する方法については、『System Administration Guide: Security Services』の「How to Create and Assign a Role by Using the GUI」を参照してください。

Trusted Extensions での役割の引き受け

Solaris OS と異なり、Trusted Extensions には、トラステッドパスメニューに「Rolename の役割になる」メニュー項目があります。役割のパスワードを確認したあと、トラステッドパス属性を持つ役割のワークスペースが有効になります。役割のワークスペースは管理ワークスペースです。これらのワークスペースは大域ゾーンにあります。

Trusted Extensions 管理者としての作業の開始 (作業マップ)

Trusted Extensions の管理タスクを行う前に、次の手順に習熟するようにしてください。

Trusted Extensions の大域ゾーンに入る

役割を引き受けることで、Trusted Extensions の大域ゾーンに入ります。システム全体の管理は、大域ゾーンからのみ実行することができます。大域ゾーンに入ることができるのは、スーパーユーザーと役割だけです。

役割になったあと、役割はユーザーのラベルでワークスペースを作成し、ラベル付きゾーンで管理ファイルを編集できます。

トラブルシューティングの場合は、フェイルセーフセッションを開始して大域ゾーンに入ることもできます。詳細については、「Trusted Extensions でフェイルセーフセッションにログインする」を参照してください。

始める前に

1 つまたは複数の役割を作成しているか、大域ゾーンにスーパーユーザーとして入ることを計画します。「Trusted Extensions での役割の作成」を参照してください。

1. トラステッド機構を使用します。

   • Solaris Trusted Extensions (JDS) では、トラステッドストライプに表示されているユーザー名をクリックし、役割を選択します。

     役割が割り当てられている場合は、役割名がリストに表示されます。

     Trusted Extensions のデスクトップ機能の場所と意味については、『Oracle Solaris Trusted Extensions ユーザーズガイド』の第 4 章「Trusted Extensions の構成要素 (リファレンス)」を参照してください。

   • Solaris Trusted Extensions (CDE) で、トラステッドパスメニューを開きます。

     1. ワークスペーススイッチ領域で、マウスボタン 3 をクリックします。

        

     2. トラステッドパスメニューの「rolename の役割になる」を選択します。

2. プロンプトが表示されたら、役割のパスワードを入力します。

   Trusted CDE では、新しい役割のワークスペースが作成され、ワークスペーススイッチボタンが役割のデスクトップの色に変わり、各ウィンドウ上部のタイトルバーに「トラステッドパス」と表示されます。Trusted JDS では、現在のワークスペースが役割のワークスペースに変わります。

   Trusted CDE では、マウスを使用して一般ユーザーのワークスペースを選択することで、役割のワークスペースを終了します。最後の役割のワークスペースを削除して、役割を終了することもできます。Trusted JDS では、トラステッドストライプ上の役割名をクリックし、メニューから別の役割またはユーザーを選択します。このアクションにより、現在のワークスペースが新しい役割またはユーザーのプロセスに変わります。

Trusted Extensions の大域ゾーンを終了する

役割を終了するためのメニューの場所は、Trusted JDS とTrusted CDE とでは異なります。

始める前に

ここは大域ゾーンです。

1. どちらのデスクトップでも、ワークスペーススイッチ領域でユーザーのワークスペースをクリックできます。

   また、次のいずれかの操作を実行して、役割のワークスペースを終了し、その結果、大域ゾーンを終了することもできます。

   • Trusted JDS では、トラステッドストライプに表示されている役割名をクリックします。

     役割名をクリックすると、ユーザー名と、引き受けることのできる役割のリストが表示されます。ユーザー名を選択すると、そのワークスペースで作成する以降のすべてのウィンドウが選択した名前で作成されます。現在のデスクトップで以前作成したウィンドウは、その役割の名前とラベルで引き続き表示されます。

     別の役割名を選択した場合は、別の役割で大域ゾーンに残ります。

   • Trusted CDE では、役割のワークスペースを削除します。

     ワークスペースボタンでマウスボタン 3 をクリックし、「削除」を選択します。最後に使用したワークスペースに戻ります。

Solaris 管理コンソールでローカルシステムを管理する

システムで最初に Solaris 管理コンソールを起動する場合は、ツールの登録とさまざまなディレクトリの作成のために、待ち時間が発生します。この待ち時間は、一般的にシステムの構成中に発生します。手順については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

遠隔システムを管理する場合は、「Trusted Extensions の遠隔管理 (作業マップ)」を参照してください。

始める前に

役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

1. Solaris 管理コンソールを起動します。

   Solaris Trusted Extensions (JDS) で、コマンド行を使用します。

   $ /usr/sbin/smc &

   Trusted CDE では、次の 3 つの方法があります。

   • 端末ウィンドウで smc コマンドを使用します。

   • フロントパネルの「ツール」プルアップメニューで、Solaris 管理コンソールのアイコンをクリックします。

   • Trusted_Extensions フォルダで、Solaris 管理コンソールのアイコンをダブルクリックします。

2. 「コンソール」の「ツールボックスを開く」を選択します。

3. リストから、適切な有効範囲の Trusted Extensions ツールボックスを選択します。

   Trusted Extensions ツールボックスには、名前の一部に Policy=TSOL が含まれています。Files の有効範囲は、現在のシステムのローカルファイルを更新します。LDAP の有効範囲は、Sun Java System Directory Server の LDAP ディレクトリを更新します。ツールボックスの名前は次のようになります。

   このコンピュータ (remote-system: Scope=Files, Policy=TSOL) このコンピュータ (ldap-server: Scope=LDAP, Policy=TSOL)

4. 目的の Solaris 管理コンソールツールに移動します。

   パスワードプロンプトが表示されます。

   Trusted Extensions で修正されているツールについては、「システムの構成」をクリックします。

5. パスワードを入力します。

   Solaris 管理コンソールツールのその他の情報については、オンラインヘルプを参照してください。Trusted Extensions で修正されたツールについては、「Solaris 管理コンソールツール」を参照してください。

6. GUI を閉じるには、「コンソール」メニューの「終了」を選択します。

Trusted Extensions の CDE 管理アクションを起動する

1. 役割になります。

   詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

2. Trusted CDE で、アプリケーションマネージャーを開きます。

   1. 背景でマウスボタン 3 をクリックし、「ワークスペース」メニューを開きます。

   2. 「アプリケーション」をクリックし、「アプリケーション・マネージャ」メニュー項目をクリックします。

      

      アプリケーションマネージャーに Trusted_Extensions フォルダが表示されます。

3. Trusted_Extensions フォルダを開きます。

4. 該当するアイコンをダブルクリックします。

   管理アクションのリストについては、「Trusted CDE アクション」を参照してください。

Trusted Extensions の管理ファイルを編集する

管理ファイルは、監査を伴うトラステッドエディタで編集します。このエディタは、ユーザーがシェルコマンドを実行したり、元のファイルの名前と異なるファイル名で保存したりすることも防止します。

1. 役割になります。

   詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

2. トラステッドエディタを開きます。

   • Solaris Trusted Extensions (CDE) で、次の操作を行います。

     1. エディタを開くには、背景でマウスボタン 3 をクリックし、「ワークスペース」メニューを開きます。

     2. 「アプリケーション」をクリックし、「アプリケーション・マネージャ」メニュー項目をクリックします。

        アプリケーションマネージャーに Trusted_Extensions フォルダが表示されます。

     3. Trusted_Extensions フォルダを開きます。

     4. 「管理エディタ」アクションをダブルクリックします。

        ファイル名を入力するように要求されます。形式については、手順 3 と手順 4 を参照してください。

   • Solaris Trusted Extensions (JDS) で、次の操作を行います。

     • (省略可能) gedit をトラステッドエディタとして使用するには、EDITOR 変数を変更します。

       詳細は、「トラステッドエディタとして任意のエディタを割り当てる」を参照してください。

     • コマンド行を使用して、トラステッドエディタを開きます。

       # /usr/dt/bin/trusted_edit filename

       filename 引数を入力してください。

3. 新しいファイルを作成するには、新しいファイルのフルパス名を入力します。

   ファイルを保存する場合、エディタは一時ファイルを作成します。

4. 既存のファイルを編集するには、既存のファイルのフルパス名を入力します。

   ---

   注 –

   エディタに「Save As」オプションがある場合、そのオプションは使用しないでください。ファイルを保存するには、エディタの「Save」オプションを使用してください。

   ---

5. ファイルを指定のパス名で保存するには、エディタを閉じます。