複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。LDAP はネームサービスの一例です。どのネームサービスを使用するかは、nsswitch.conf ファイルによって決定されます。LDAP は、Trusted Extensions で推奨されるネームサービスです。
Directory Server は、Trusted Extensions および Solaris クライアントに LDAP ネームサービスを提供することができます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者は、Trusted Extensions を構成する際にマルチレベルポートを指定します。
Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、 tnrhdb および tnrhtp を追加します。これらのデータベースは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して管理されます。Scope=LDAP, Policy=TSOL のツールボックスは構成の変更をディレクトリサーバーに格納します。
Solaris OS での LDAP ネームサービスの使用法については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。
Trusted Extensions クライアントに対するディレクトリサーバーの設定については、『Oracle Solaris Trusted Extensions 構成ガイド』を参照してください。Trusted Extensions システムは、Trusted Extensions が設定された LDAP プロキシサーバーを使用して、Solaris LDAP サーバーのクライアントになることができます。
Trusted Extensions が設定されたシステムは、NIS または NIS+ マスターのクライアントになることはできません。
サイトでネームサービスを使用していない場合は、ユーザー、ホスト、ネットワークの構成情報がすべてのホストで同じであることを、管理者が確認する必要があります。1 つのホストで行なった変更は、すべてのホストで行う必要があります。
ネットワーク接続されていない Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリに格納されます。Trusted_Extensions フォルダ内のアクションによって、一部の構成情報を変更できます。Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用すると、ネットワークデータベースのパラメータを修正することができます。ユーザー、役割、権利は、「ユーザーアカウント」、「管理役割」、および「権利」の各ツールで修正します。このコンピュータ Scope=Files, Policy=TSOL のツールボックスにローカルの構成変更が格納されています。
Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。
属性の定義は次のとおりです。
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) |
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) |
オブジェクトクラスの定義は次のとおりです。
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) ) |
LDAP での cipso テンプレート定義は、次のようなものです。
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal |