test

Oracle Solaris Trusted Extensions 管理の手順

第 11 章 Trusted Extensions でのファイルの管理とマウント (手順)

この章では、Trusted Extensions が設定されたシステムで LOFS および NFS マウントがどのように動作するかについて説明します。この章では、ファイルのバックアップと復元方法についても説明します。

Trusted Extensions でのファイルの共有とマウント

Trusted Extensions ソフトウェアでは、Solaris OS と同じファイルシステムとファイルシステム管理コマンドがサポートされています。Trusted Extensions は、非大域ゾーンがファイルを共有するための機能を追加します。さらに、Trusted Extensions は各非大域ゾーンに一意のラベルを追加します。そのゾーンに属するファイルとディレクトリはすべて、そのゾーンのラベルにマウントされます。ほかのゾーンまたは NFS サーバーに属する共有ファイルシステムは、所有者のラベルにマウントされます。Trusted Extensions では、ラベル付けするための必須アクセス制御 (MAC) ポリシーに違反する可能性のあるマウントは禁止されています。たとえば、ゾーンのラベルはマウントされるファイルシステムのラベルより優位でなければならず、読み取り/書き込み権によってマウントできるのはラベルが同等のファイルシステムだけです。

Trusted Extensions の NFS マウント

Trusted Extensions の NFS マウントは Solaris マウントと類似しています。その相違点は、Trusted Extensions にラベル付きゾーンをマウントする場合のゾーンルートパス名の使用と MAC ポリシーの実施によって生じます。

Trusted Extensions の NFS 共有は、大域ゾーンの Solaris 共有と類似しています。ただし、マルチレベルシステムでのラベル付きゾーンからのファイルの共有は Trusted Extensions に特有のものです。

どのファイルをマウントできるかには、ラベルが影響します。ファイルは特定のラベルで共有されてマウントされます。Trusted Extensions クライアントが NFS マウントされたファイルに書き込みできるためには、そのファイルが読み取り/書き込み権付きでマウントされ、かつクライアントと同じラベルにある必要があります。2 つの Trusted Extensions ホスト間でファイルをマウントする場合は、サーバーとクライアントに、互換性のある cipso というタイプの遠隔ホストテンプレートがなければなりません。Trusted Extensions ホストとラベルなしホストの間でファイルをマウントする場合は、tnrhdb ファイルでラベルなしホストに指定されたシングルラベルにあるファイルをマウントすることができます。LOFS でマウントされたファイルは、表示できますが修正することはできません。NFS マウントについては、「 Trusted Extensions で NFS マウントされたディレクトリへのアクセス」を参照してください。

どのディレクトリおよびファイルを表示できるかにも、ラベルが影響します。デフォルトでは、下位レベルのオブジェクトはユーザーの環境で利用できます。したがって、デフォルト構成の場合、一般ユーザーはそのユーザーの現在のレベルより下位レベルのゾーンにあるファイルを表示することができます。たとえば、ユーザーは上位レベルのラベルから下位レベルのホームディレクトリを表示することができます。詳細は、「Trusted Extensions でのホームディレクトリの作成」を参照してください。

サイトのセキュリティーによって下位レベルのオブジェクトの表示が禁止されている場合、管理者はユーザーに対して下位レベルのディレクトリを非表示にすることができます。詳細は、「下位ファイルのマウントを無効にする」を参照してください。

Trusted Extensions のマウントポリシーが MAC より優先されることはありません。下位ラベルで表示されるマウント済みファイルは、上位ラベルのプロセスで変更できません。この MAC ポリシーは大域ゾーンでも有効です。大域ゾーン ADMIN_HIGH プロセスは、PUBLIC ファイルまたは ADMIN_LOW ファイルなど、下位ラベルの NFS マウントされたファイルを変更することはできません。MAC ポリシーはデフォルト構成を強制し、一般ユーザーからは不可視です。一般ユーザーは、MAC アクセスできない限りオブジェクトを表示できません。

ラベル付きゾーンのファイルの共有

Solaris OS では、非大域ゾーンはそのゾーンのディレクトリを共有できません。ただし、Trusted Extensions では、ラベル付きゾーンはディレクトリを共有できます。ラベル付きゾーンのどのディレクトリを共有できるかを指定する処理は、ゾーンの root パス外にあるディレクトリを使用して、大域ゾーンで実行されます。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。

/zone/labeled-zone/ ディレクトリ

ゾーンパスとも呼ばれます。大域ゾーンからラベル付きゾーンへのパスです。labeled-zone の下にあるすべてのディレクトリには、ゾーンと同じラベルが付けられます。

/zone/labeled-zone/root/ directories

ゾーンルートパスとも呼ばれます。大域ゾーンから見た場合は、ラベル付きゾーンの root パスです。ラベル付きゾーンから見た場合、これはゾーンのルートで、/ ディレクトリです。ゾーンを管理する場合、このパスは大域ゾーンでは使用されません。

ラベル付きゾーンのディレクトリを共有する場合、大域ゾーン管理者は、ゾーンパスの /etc ディレクトリの dfstab ファイルを作成および変更します。


/zone/labeled-zone/etc/dfs/dfstab

この /etc ディレクトリは、ラベル付きゾーンから表示されません。このディレクトリは、ゾーンで表示される /etc ディレクトリとは異なります。


Global zone view: /zone/labeled-zone/root/etc
Labeled zone view of the same directory: /etc

このパスの dfstab ファイルでは、ラベル付きディレクトリを共有させることができません。

ラベル付きゾーンの状態が ready または running である場合、/zone/labeled-zone/etc/dfs/dfstab ファイルに記載されているファイルはゾーンのラベルで共有されます。手順については、「ラベル付きゾーンのディレクトリを共有する」を参照してください。

Trusted Extensions で NFS マウントされたディレクトリへのアクセス

デフォルトでは、NFS マウントされたファイルシステムは、エクスポートされたファイルシステムのラベルで表示可能です。ファイルシステムが読み取り/書き込み権付きでエクスポートされた場合、そのラベルのユーザーはファイルに書き込むことができます。ユーザーの現在のセッションよりも下位のラベルにある NFS マウントは、ユーザーに表示されますが、書き込みはできません。ファイルシステムが読み取り/書き込み権付きで共有されている場合でも、マウントする側のシステムはマウントのラベルでだけそのファイルシステムに書き込むことができます。

NFS マウントされた下位レベルのディレクトリを上位ゾーンのユーザーに表示可能にするには、NFS サーバー上の大域ゾーンの管理者が親ディレクトリをエクスポートする必要があります。親ディレクトリは、そのラベルでエクスポートされます。クライアント側では、各ゾーンに net_mac_aware 特権が必要です。デフォルトでは、ラベル付きゾーンは limitpriv セットに net_mac_aware 特権を含みます。

例 11–1 下位ホームディレクトリへのアクセスの許可

ホームディレクトリサーバーで、管理者はすべてのラベル付きゾーンで /zone/labeled-zone/etc/dfs/dfstab ファイルを作成および変更します。dfstab ファイルは、読み取り/書き込み権付きで /export/home ディレクトリをエクスポートします。したがって、ディレクトリが同じラベルでマウントされると、ホームディレクトリは書き込み可能になります。PUBLIC/export/home ディレクトリをエクスポートする場合、管理者はホームディレクトリサーバー上に PUBLIC ラベルのワークスペースを作成し、大域ゾーンから /zone/public/etc/dfs/dfstab ファイルを変更します。

クライアントで、大域ゾーンの管理者は、最小ラベルを除く各ラベル付きゾーンに net_mac_aware 特権があることを確認します。この特権によってマウントが許可されます。この特権は、ゾーン構成の際に zonecfg コマンドを使用して指定することができます。下位レベルのホームディレクトリは、表示だけが可能です。ディレクトリ内のファイルは変更できないよう、MAC により保護されています。

Trusted Extensions でのホームディレクトリの作成

Trusted Extensions で、ホームディレクトリは特別な存在です。ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、「Trusted Extensions のオートマウンタに対する変更」を参照してください。

ホームディレクトリは、ユーザーの作成時に作成されます。Trusted Extensions では、Solaris 管理コンソール (コンソール) を使用してユーザーを作成するため、ホームディレクトリはコンソールによって作成されます。ただし、ホームディレクトリサーバーの大域ゾーンにあるホームディレクトリは、コンソールによって作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。

注 –

コンソールを使用してユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、「Trusted Extensions システムからユーザーアカウントを削除する」を参照してください。

ただし、遠隔 NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリの作成については、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」を参照してください。

Trusted Extensions のオートマウンタに対する変更

Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofsauto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。


+auto_home_global
*       -fstype=lofs    :/export/home/&

下位レベルのゾーンのマウントを許可するゾーンが起動すると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/<zone-name>/export/home 以下に読み取り専用でマウントされます。auto_home_<zone-name> マップにより、/zone パスが、/zone/< zone-name>/home/<username> への lofs 再マウントのソースディレクトリとして指定されます。

たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-label マップにおける auto_home_public エントリは、次のようになります。


+auto_home_public
*       -fstype=lofs    :/zone/public/export/home/&

公共ゾーンで対応するエントリは次のとおりです。


auto_home_public
*       -fstype=lofs    :/export/home/&

    ホームディレクトリが参照され、その名前が auto_home_<zone-name> マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。

  1. マップが、一致するループバックマウント指定を検出する

  2. ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する

オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。

Trusted Extensions ソフトウェアと NFS のプロトコルバージョン

Solaris 10 11/06 および Solaris 10 8/07 リリースでは、Trusted Extensions は NFS バージョン 4 (NFSv4) の複数ラベルのみを認識します。Solaris 10 5/08 リリース以降、Trusted Extensions ソフトウェアは NFS バージョン 3 (NFSv3) および NFSv4 のラベルを認識します。次のマウントオプションのセットのいずれかを使用できます。


vers=4 proto=tcp
vers=3 proto=tcp
vers=3 proto=udp

Trusted Extensions には、tcp プロトコルでのマウントに対する制限はありません。NFSv3 および NFSv4 では、tcp プロトコルを同じラベルでのマウントおよび下位読み取りマウントに使用できます。下位読み取りマウントには、マルチレベルポート (MLP) が必要です。

NFSv3 の場合、Trusted Extensions は Solaris OS のように動作します。udp プロトコルは NFSv3 のデフォルトですが、udp は初期マウント操作にしか使用されません。それ以降の NFS 操作では、システムは tcp を使用します。したがって、下位読み取りマウントは、デフォルトの構成の NFSv3 に対して機能します。

まれに初期およびそれ以降の NFS 操作に udp プロトコルを使用するように NFSv3 マウントを制限した場合は、udp プロトコルを使用する NFS 操作に対して MLP を 作成する必要があります。手順については、udp で NFSv3 のマルチレベルポートを構成する」を参照してください。

Trusted Extensions が設定されたホストは、それ自体のファイルシステムをラベルなしホストと共有することもできます。ラベルなしホストにエクスポートされるファイルまたはディレクトリは、そのラベルが、トラステッドネットワークデータベースエントリで遠隔ホストに関連付けられているラベルと同等の場合に、書き込み可能です。ラベルなしホストにエクスポートされるファイルまたはディレクトリは、そのラベルよりも優位のラベルが遠隔ホストに関連付けられている場合にのみ、読み取り可能です。

Trusted Solaris ソフトウェアのリリースを実行しているシステムとの通信は、シングルラベルでのみ可能です。Trusted Extensions システムと Trusted Solaris システムは、ラベルなしホストタイプのテンプレートをほかのシステムに割り当てる必要があります。ラベルなしホストタイプには、同じシングルラベルを指定する必要があります。Trusted Solaris サーバーのラベルなし NFS クライアントとして、クライアントのラベルは ADMIN_LOW にはできません。

使用される NFS のプロトコルは、ローカルファイルシステムのタイプに依存しません。その代わり、プロトコルは共有コンピュータのオペレーティングシステムのタイプに依存します。mount コマンドに指定される、または遠隔ファイルシステムの場合に vfstab ファイルで指定される、ファイルシステムのタイプは常に NFS です。

ラベル付きファイルのバックアップ、共有、マウント (作業マップ)

次の作業マップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。

作業 

説明 

参照先 

ファイルをバックアップします。 

バックアップすることによってデータを保護します。 

「Trusted Extensions でファイルをバックアップする」

データを復元します。 

バックアップからデータを復元します。 

「Trusted Extensions でファイルを復元する」

ラベル付きゾーンのディレクトリの内容を共有します。 

ラベル付きディレクトリの内容をユーザー間で共有できるようにします。 

「ラベル付きゾーンのディレクトリを共有する」

ラベル付きゾーンで共有されたディレクトリの内容をマウントします。 

ディレクトリの内容を読み取り/書き込みにのために同じラベルのゾーンにマウントできるようにします。上位レベルのゾーンが共有ディレクトリをマウントする場合、ディレクトリは読み取り専用でマウントされます。 

「ラベル付きゾーンでファイルを NFS マウントする」

ホームディレクトリのマウントポイントを作成します。 

各ラベルで全ユーザー用のマウントポイントを作成します。これによって、ユーザーは NFS ホームディレクトリサーバーではないシステム上のホームディレクトリにアクセスできるようになります。 

『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」

上位のラベルで作業中のユーザーに対して下位レベルの情報を非表示にします。 

上位レベルのウィンドウから下位レベルの情報を表示できないようにします。 

「下位ファイルのマウントを無効にする」

ファイルシステムのマウントに関する問題をトラブルシューティングします。 

ファイルシステムのマウントに関する問題を解決します。 

「Trusted Extensions でマウントの失敗をトラブルシューティングする」

ProcedureTrusted Extensions でファイルをバックアップする

  1. オペレータ役割になります。

    この役割には、Media Backup 権利プロファイルが含まれます。

  2. 次のいずれかのバックアップ方法を使用します。

    • 大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump

    • 小規模バックアップの場合は、/usr/sbin/tar cT

    • これらのいずれかのコマンドを呼び出すスクリプト

      たとえば、Budtool バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

ProcedureTrusted Extensions でファイルを復元する

  1. システム管理者役割になります。

    この役割には、Media Restore 権利プロファイルが含まれます。

  2. 次のいずれかの方法を使用します。

    • 大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore

    • 小規模な復元の場合は、/usr/sbin/tar xT

    • これらのいずれかのコマンドを呼び出すスクリプト

    tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

    注意 – 注意 –

    ラベルが維持されるのはこれらのコマンドのみです。

Procedureラベル付きゾーンのディレクトリを共有する

Solaris OS の場合と同様に、Solaris 管理コンソールの「マウントと共有」ツールを使用すると、大域ゾーンのファイルを共有およびマウントできます。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。

注意 – 注意 –

共有ファイルシステムに、占有的な名前は使用しないでください。共有ファイルシステムの名前は、どのユーザーにも表示されます。

始める前に

ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。

  1. 共有しようとしているディレクトリのラベルで、ワークスペースを作成します。

    詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』「特定のラベルのワークスペースを追加する」を参照してください。

  2. そのゾーンのラベルで dfstab ファイルを作成します。

    ディレクトリを共有するゾーンごとに、次の手順を繰り返します。

    1. そのゾーンに /etc/dfs ディレクトリを作成します。


      # mkdir -p /zone/zone-name/etc/dfs

    2. トラステッドエディタを開きます。

      詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

    3. エディタに dfstab ファイルのフルパス名を入力します。


      # /zone/zone-name/etc/dfs/dfstab

    4. エントリを追加して、そのゾーンのディレクトリを共有します。

      エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。


      share -F nfs -o ro /viewdir/viewfiles

  3. 各ゾーンについて、ゾーンを起動してディレクトリを共有します。

    大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。

    • ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインしないようにする場合は、ゾーンの状態を ready に設定します。


      # zoneadm -z zone-name ready

    • ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインすることを許可する場合は、ゾーンを起動します。


      # zoneadm -z zone-name boot

    • ゾーンがすでに実行中の場合は、ゾーンを再起動します。


      # zoneadm -z zone-name reboot

  4. システムから共有されているディレクトリを表示します。


    # showmount -e

  5. エクスポートされたファイルをクライアントがマウントできるようにする方法は、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。

例 11–2 PUBLIC ラベルで /export/share ディレクトリを共有する

PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。

最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。


# mkdir -p /zone/public/etc/dfs
# /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab

このファイルに、管理者は次のエントリを追加します。


## Sharing PUBLIC user manuals
share -F nfs -o ro /export/appdocs

管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。


# zoneadm -z public ready

ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。

Procedureラベル付きゾーンでファイルを NFS マウントする

Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。

ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。

Trusted Extensions では、Solaris OS と同じマウントインタフェースが使用されます。

始める前に

クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。

  1. ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。

    ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Oracle Solaris Trusted Extensions ユーザーズガイド』「特定のラベルのワークスペースを追加する」を参照してください。

    • ファイルを動的にマウントします。

      ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11–3 を参照してください。

    • ゾーンの起動時にファイルをマウントします。

      ラベル付きゾーンで、マウントを vfstab ファイルに追加します。

      ラベル付きゾーンの起動時にファイルをマウントする例については、例 11–4 および例 11–5 を参照してください。

    • LDAP で管理されるシステムに対してホームディレクトリをマウントします。

      1. すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。

      2. 次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。

      例については、例 11–6 を参照してください。

    • ファイルで管理されるシステムに対してホームディレクトリをマウントします。

      1. /export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。

      2. 新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。

      3. 手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。

      例については、例 11–7 を参照してください。

例 11–3 mount コマンドを使用してラベル付きゾーンでファイルをマウントする

この例では、システム管理者が public ゾーンから遠隔ファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。


# zonename
public
# mount -F nfs remote-sys:/zone/public/root/opt/docs  /opt/docs

PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。


# mount -F nfs public-sys:/publicdocs  /opt/publicdocs

remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。

例 11–4 vfstab ファイルを修正してラベル付きゾーンにファイルを読み書き可能な状態でマウントする

この例では、 public ゾーンの起動時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つの遠隔ファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。


## Writable books directories at PUBLIC
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  rw
public-sys:/publicdocs    - /opt/publicdocs  nfs no yes rw

マルチレベルシステムのラベル付き遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。シングルラベルシステムへのパスは、Solaris システム上で使用されるパスと同じです。

PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–5 vfstab ファイルを修正してラベル付きゾーンで下位レベルファイルをマウントする

この例では、システム管理者は public ゾーンの遠隔ファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。


## Readable books directory at PUBLIC
## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  ro

ラベル付きの遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。

Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。

INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–6 LDAP を使用して管理されているネットワークでラベル付きホームディレクトリをマウントする

この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。

最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。


## auto_home_global file
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_internal file
## Mount the home directory from the internal zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_public
## Mount the home directory from the public zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。

最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。

Solaris OS と同様に、 /etc/auto_home_zone-name ファイルの +auto_home_public エントリは、オートマウンタに LDAP エントリを使用するよう指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。

例 11–7 ファイルを使用して管理されるシステムで下位レベルのホームディレクトリをマウントする

この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLICINTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。

このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。

最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
*      homedir-server:/export/home/&

次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。


## /etc/auto_home_public file in the public zone
## Use /export/home/auto_home_public for the user entries
## +auto_home_public
+ /export/home/auto_home_public

このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。

最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。


## /etc/auto_home_public file in the internal zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public


## /etc/auto_home_public file in the needtoknow zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。

ProcedureTrusted Extensions でマウントの失敗をトラブルシューティングする

始める前に

マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。

  1. NFS サーバーのセキュリティー属性を確認します。

    適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

    1. NFS サーバーの IP アドレスが、セキュリティーテンプレートの 1 つで割り当てられたホストであることを確認します。

      このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。

    2. テンプレートが NFS サーバーに割り当てるラベルを確認します。

      そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。

  2. 現在のゾーンのラベルを確認します。

    ラベルがマウント済みファイルシステムのラベルよりも上位である場合、遠隔ファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。

  3. 古いバージョンの Trusted Solaris ソフトウェアを実行している NFS サーバーからファイルシステムをマウントするには、次のようにします。

    • Trusted Solaris 1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。

    • Trusted Solaris 2.5.1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。

    • Trusted Solaris 8 NFS サーバーの場合は、mount コマンドで vers=3 および proto=udp オプションを使用します。

    これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。