Trusted Extensions でのネームサービスの使用法

複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。LDAP はネームサービスの一例です。どのネームサービスを使用するかは、nsswitch.conf ファイルによって決定されます。LDAP は、Trusted Extensions で推奨されるネームサービスです。

Directory Server は、Trusted Extensions および Solaris クライアントに LDAP ネームサービスを提供することができます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者は、Trusted Extensions を構成する際にマルチレベルポートを指定します。

Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、 tnrhdb および tnrhtp を追加します。これらのデータベースは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して管理されます。Scope=LDAP, Policy=TSOL のツールボックスは構成の変更をディレクトリサーバーに格納します。

• Solaris OS での LDAP ネームサービスの使用法については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。

• Trusted Extensions クライアントに対するディレクトリサーバーの設定については、『Oracle Solaris Trusted Extensions 構成ガイド』を参照してください。Trusted Extensions システムは、Trusted Extensions が設定された LDAP プロキシサーバーを使用して、Solaris LDAP サーバーのクライアントになることができます。

Trusted Extensions が設定されたシステムは、NIS または NIS+ マスターのクライアントになることはできません。

ネットワーク接続されていない Trusted Extensions システム

サイトでネームサービスを使用していない場合は、ユーザー、ホスト、ネットワークの構成情報がすべてのホストで同じであることを、管理者が確認する必要があります。1 つのホストで行なった変更は、すべてのホストで行う必要があります。

ネットワーク接続されていない Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリに格納されます。Trusted_Extensions フォルダ内のアクションによって、一部の構成情報を変更できます。Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用すると、ネットワークデータベースのパラメータを修正することができます。ユーザー、役割、権利は、「ユーザーアカウント」、「管理役割」、および「権利」の各ツールで修正します。このコンピュータ Scope=Files, Policy=TSOL のツールボックスにローカルの構成変更が格納されています。

Trusted Extensions LDAP データベース

Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。

属性の定義は次のとおりです。

ipTnetNumber
   ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber'
     DESC 'Trusted network host or subnet address'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )

ipTnetTemplateName
   ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName'
     DESC 'Trusted network template name'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )

オブジェクトクラスの定義は次のとおりです。

ipTnetTemplate
   ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL
     DESC 'Object class for Trusted network host templates'
     MUST ( ipTnetTemplateName )
     MAY ( SolarisAttrKeyValue ) )

ipTnetHost
   ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY
     DESC 'Object class for Trusted network host/subnet address
           to template mapping'
     MUST ( ipTnetNumber $ ipTnetTemplateName ) )

LDAP での cipso テンプレート定義は、次のようなものです。

ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=organizationalUnit
 ou=ipTnet

 ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 ipTnetTemplateName=cipso
 SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;

 ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 objectClass=ipTnetHost
 ipTnetNumber=0.0.0.0
 ipTnetTemplateName=internal