この章では、Trusted Extensions が設定されたシステムで LOFS および NFS マウントがどのように動作するかについて説明します。この章では、ファイルのバックアップと復元方法についても説明します。
Trusted Extensions ソフトウェアでは、Solaris OS と同じファイルシステムとファイルシステム管理コマンドがサポートされています。Trusted Extensions は、非大域ゾーンがファイルを共有するための機能を追加します。さらに、Trusted Extensions は各非大域ゾーンに一意のラベルを追加します。そのゾーンに属するファイルとディレクトリはすべて、そのゾーンのラベルにマウントされます。ほかのゾーンまたは NFS サーバーに属する共有ファイルシステムは、所有者のラベルにマウントされます。Trusted Extensions では、ラベル付けするための必須アクセス制御 (MAC) ポリシーに違反する可能性のあるマウントは禁止されています。たとえば、ゾーンのラベルはマウントされるファイルシステムのラベルより優位でなければならず、読み取り/書き込み権によってマウントできるのはラベルが同等のファイルシステムだけです。
Trusted Extensions の NFS マウントは Solaris マウントと類似しています。その相違点は、Trusted Extensions にラベル付きゾーンをマウントする場合のゾーンルートパス名の使用と MAC ポリシーの実施によって生じます。
Trusted Extensions の NFS 共有は、大域ゾーンの Solaris 共有と類似しています。ただし、マルチレベルシステムでのラベル付きゾーンからのファイルの共有は Trusted Extensions に特有のものです。
大域ゾーンでの共有とマウント – Trusted Extensions システムの大域ゾーンでのファイルの共有とマウントは、Solaris OS での手順とほぼ同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。ファイルの共有については、dfstab ファイルが使用されます。
ラベル付きゾーンでのマウント – Trusted Extensions のラベル付きゾーンでのファイルのマウントは、Solaris OS の非大域ゾーンでのファイルのマウントとほぼ同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。Trusted Extensions では、各ラベル付きゾーンに対して、一意の automount_home_label 構成ファイルが存在します。
ラベル付きゾーンでの共有 – ラベル付きゾーンのファイルは、ゾーンのラベルにあるが、大域ゾーンにのみ表示される dfstabファイルを使用することによって、ゾーンのラベルで共有することができます。したがって、ファイルを共有するためにラベル付きゾーンを構成することは、大域ゾーンの大域ゾーン管理者によって実行されます。この構成ファイルは、そのラベル付きゾーンからは表示できません。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。
どのファイルをマウントできるかには、ラベルが影響します。ファイルは特定のラベルで共有されてマウントされます。Trusted Extensions クライアントが NFS マウントされたファイルに書き込みできるためには、そのファイルが読み取り/書き込み権付きでマウントされ、かつクライアントと同じラベルにある必要があります。2 つの Trusted Extensions ホスト間でファイルをマウントする場合は、サーバーとクライアントに、互換性のある cipso というタイプの遠隔ホストテンプレートがなければなりません。Trusted Extensions ホストとラベルなしホストの間でファイルをマウントする場合は、tnrhdb ファイルでラベルなしホストに指定されたシングルラベルにあるファイルをマウントすることができます。LOFS でマウントされたファイルは、表示できますが修正することはできません。NFS マウントについては、「 Trusted Extensions で NFS マウントされたディレクトリへのアクセス」を参照してください。
どのディレクトリおよびファイルを表示できるかにも、ラベルが影響します。デフォルトでは、下位レベルのオブジェクトはユーザーの環境で利用できます。したがって、デフォルト構成の場合、一般ユーザーはそのユーザーの現在のレベルより下位レベルのゾーンにあるファイルを表示することができます。たとえば、ユーザーは上位レベルのラベルから下位レベルのホームディレクトリを表示することができます。詳細は、「Trusted Extensions でのホームディレクトリの作成」を参照してください。
サイトのセキュリティーによって下位レベルのオブジェクトの表示が禁止されている場合、管理者はユーザーに対して下位レベルのディレクトリを非表示にすることができます。詳細は、「下位ファイルのマウントを無効にする」を参照してください。
Trusted Extensions のマウントポリシーが MAC より優先されることはありません。下位ラベルで表示されるマウント済みファイルは、上位ラベルのプロセスで変更できません。この MAC ポリシーは大域ゾーンでも有効です。大域ゾーン ADMIN_HIGH プロセスは、PUBLIC ファイルまたは ADMIN_LOW ファイルなど、下位ラベルの NFS マウントされたファイルを変更することはできません。MAC ポリシーはデフォルト構成を強制し、一般ユーザーからは不可視です。一般ユーザーは、MAC アクセスできない限りオブジェクトを表示できません。
Solaris OS では、非大域ゾーンはそのゾーンのディレクトリを共有できません。ただし、Trusted Extensions では、ラベル付きゾーンはディレクトリを共有できます。ラベル付きゾーンのどのディレクトリを共有できるかを指定する処理は、ゾーンの root パス外にあるディレクトリを使用して、大域ゾーンで実行されます。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。
ゾーンパスとも呼ばれます。大域ゾーンからラベル付きゾーンへのパスです。labeled-zone の下にあるすべてのディレクトリには、ゾーンと同じラベルが付けられます。
ゾーンルートパスとも呼ばれます。大域ゾーンから見た場合は、ラベル付きゾーンの root パスです。ラベル付きゾーンから見た場合、これはゾーンのルートで、/ ディレクトリです。ゾーンを管理する場合、このパスは大域ゾーンでは使用されません。
ラベル付きゾーンのディレクトリを共有する場合、大域ゾーン管理者は、ゾーンパスの /etc ディレクトリの dfstab ファイルを作成および変更します。
/zone/labeled-zone/etc/dfs/dfstab |
この /etc ディレクトリは、ラベル付きゾーンから表示されません。このディレクトリは、ゾーンで表示される /etc ディレクトリとは異なります。
Global zone view: /zone/labeled-zone/root/etc Labeled zone view of the same directory: /etc |
このパスの dfstab ファイルでは、ラベル付きディレクトリを共有させることができません。
ラベル付きゾーンの状態が ready または running である場合、/zone/labeled-zone/etc/dfs/dfstab ファイルに記載されているファイルはゾーンのラベルで共有されます。手順については、「ラベル付きゾーンのディレクトリを共有する」を参照してください。
デフォルトでは、NFS マウントされたファイルシステムは、エクスポートされたファイルシステムのラベルで表示可能です。ファイルシステムが読み取り/書き込み権付きでエクスポートされた場合、そのラベルのユーザーはファイルに書き込むことができます。ユーザーの現在のセッションよりも下位のラベルにある NFS マウントは、ユーザーに表示されますが、書き込みはできません。ファイルシステムが読み取り/書き込み権付きで共有されている場合でも、マウントする側のシステムはマウントのラベルでだけそのファイルシステムに書き込むことができます。
NFS マウントされた下位レベルのディレクトリを上位ゾーンのユーザーに表示可能にするには、NFS サーバー上の大域ゾーンの管理者が親ディレクトリをエクスポートする必要があります。親ディレクトリは、そのラベルでエクスポートされます。クライアント側では、各ゾーンに net_mac_aware 特権が必要です。デフォルトでは、ラベル付きゾーンは limitpriv セットに net_mac_aware 特権を含みます。
サーバー構成 – NFS サーバーでは、dfstab ファイルで親ディレクトリをエクスポートします。親ディレクトリがラベル付きゾーンにある場合、親ディレクトリのラベル付きゾーンで dfstab ファイルを変更する必要があります。ラベル付きゾーンの dfstab ファイルは、大域ゾーンからのみ表示できます。手順については、「ラベル付きゾーンのディレクトリを共有する」を参照してください。
クライアント構成 – 初期ゾーン構成中に使用されるゾーン構成ファイルで、net_mac_aware 特権を指定する必要があります。そのため、下位ホームディレクトリの表示をすべて許可されているユーザーは、最小ゾーンを除く各ゾーンで net_mac_aware 特権を持っている必要があります。例については、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。
ホームディレクトリサーバーで、管理者はすべてのラベル付きゾーンで /zone/labeled-zone/etc/dfs/dfstab ファイルを作成および変更します。dfstab ファイルは、読み取り/書き込み権付きで /export/home ディレクトリをエクスポートします。したがって、ディレクトリが同じラベルでマウントされると、ホームディレクトリは書き込み可能になります。PUBLIC の /export/home ディレクトリをエクスポートする場合、管理者はホームディレクトリサーバー上に PUBLIC ラベルのワークスペースを作成し、大域ゾーンから /zone/public/etc/dfs/dfstab ファイルを変更します。
クライアントで、大域ゾーンの管理者は、最小ラベルを除く各ラベル付きゾーンに net_mac_aware 特権があることを確認します。この特権によってマウントが許可されます。この特権は、ゾーン構成の際に zonecfg コマンドを使用して指定することができます。下位レベルのホームディレクトリは、表示だけが可能です。ディレクトリ内のファイルは変更できないよう、MAC により保護されています。
Trusted Extensions で、ホームディレクトリは特別な存在です。ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、「Trusted Extensions のオートマウンタに対する変更」を参照してください。
ホームディレクトリは、ユーザーの作成時に作成されます。Trusted Extensions では、Solaris 管理コンソール (コンソール) を使用してユーザーを作成するため、ホームディレクトリはコンソールによって作成されます。ただし、ホームディレクトリサーバーの大域ゾーンにあるホームディレクトリは、コンソールによって作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。
コンソールを使用してユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、「Trusted Extensions システムからユーザーアカウントを削除する」を参照してください。
ただし、遠隔 NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリの作成については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」を参照してください。
Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofs が auto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。
+auto_home_global * -fstype=lofs :/export/home/& |
下位レベルのゾーンのマウントを許可するゾーンが起動すると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/<zone-name>/export/home 以下に読み取り専用でマウントされます。auto_home_<zone-name> マップにより、/zone パスが、/zone/< zone-name>/home/<username> への lofs 再マウントのソースディレクトリとして指定されます。
たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-label マップにおける auto_home_public エントリは、次のようになります。
+auto_home_public * -fstype=lofs :/zone/public/export/home/& |
公共ゾーンで対応するエントリは次のとおりです。
auto_home_public * -fstype=lofs :/export/home/& |
ホームディレクトリが参照され、その名前が auto_home_<zone-name> マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。
マップが、一致するループバックマウント指定を検出する
ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する
オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。
Solaris 10 11/06 および Solaris 10 8/07 リリースでは、Trusted Extensions は NFS バージョン 4 (NFSv4) の複数ラベルのみを認識します。Solaris 10 5/08 リリース以降、Trusted Extensions ソフトウェアは NFS バージョン 3 (NFSv3) および NFSv4 のラベルを認識します。次のマウントオプションのセットのいずれかを使用できます。
vers=4 proto=tcp vers=3 proto=tcp vers=3 proto=udp |
Trusted Extensions には、tcp プロトコルでのマウントに対する制限はありません。NFSv3 および NFSv4 では、tcp プロトコルを同じラベルでのマウントおよび下位読み取りマウントに使用できます。下位読み取りマウントには、マルチレベルポート (MLP) が必要です。
NFSv3 の場合、Trusted Extensions は Solaris OS のように動作します。udp プロトコルは NFSv3 のデフォルトですが、udp は初期マウント操作にしか使用されません。それ以降の NFS 操作では、システムは tcp を使用します。したがって、下位読み取りマウントは、デフォルトの構成の NFSv3 に対して機能します。
まれに初期およびそれ以降の NFS 操作に udp プロトコルを使用するように NFSv3 マウントを制限した場合は、udp プロトコルを使用する NFS 操作に対して MLP を 作成する必要があります。手順については、「udp で NFSv3 のマルチレベルポートを構成する」を参照してください。
Trusted Extensions が設定されたホストは、それ自体のファイルシステムをラベルなしホストと共有することもできます。ラベルなしホストにエクスポートされるファイルまたはディレクトリは、そのラベルが、トラステッドネットワークデータベースエントリで遠隔ホストに関連付けられているラベルと同等の場合に、書き込み可能です。ラベルなしホストにエクスポートされるファイルまたはディレクトリは、そのラベルよりも優位のラベルが遠隔ホストに関連付けられている場合にのみ、読み取り可能です。
Trusted Solaris ソフトウェアのリリースを実行しているシステムとの通信は、シングルラベルでのみ可能です。Trusted Extensions システムと Trusted Solaris システムは、ラベルなしホストタイプのテンプレートをほかのシステムに割り当てる必要があります。ラベルなしホストタイプには、同じシングルラベルを指定する必要があります。Trusted Solaris サーバーのラベルなし NFS クライアントとして、クライアントのラベルは ADMIN_LOW にはできません。
使用される NFS のプロトコルは、ローカルファイルシステムのタイプに依存しません。その代わり、プロトコルは共有コンピュータのオペレーティングシステムのタイプに依存します。mount コマンドに指定される、または遠隔ファイルシステムの場合に vfstab ファイルで指定される、ファイルシステムのタイプは常に NFS です。
次の作業マップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。
作業 |
説明 |
参照先 |
---|---|---|
ファイルをバックアップします。 |
バックアップすることによってデータを保護します。 | |
データを復元します。 |
バックアップからデータを復元します。 | |
ラベル付きゾーンのディレクトリの内容を共有します。 |
ラベル付きディレクトリの内容をユーザー間で共有できるようにします。 | |
ラベル付きゾーンで共有されたディレクトリの内容をマウントします。 |
ディレクトリの内容を読み取り/書き込みにのために同じラベルのゾーンにマウントできるようにします。上位レベルのゾーンが共有ディレクトリをマウントする場合、ディレクトリは読み取り専用でマウントされます。 | |
ホームディレクトリのマウントポイントを作成します。 |
各ラベルで全ユーザー用のマウントポイントを作成します。これによって、ユーザーは NFS ホームディレクトリサーバーではないシステム上のホームディレクトリにアクセスできるようになります。 |
『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」 |
上位のラベルで作業中のユーザーに対して下位レベルの情報を非表示にします。 |
上位レベルのウィンドウから下位レベルの情報を表示できないようにします。 | |
ファイルシステムのマウントに関する問題をトラブルシューティングします。 |
ファイルシステムのマウントに関する問題を解決します。 |
オペレータ役割になります。
この役割には、Media Backup 権利プロファイルが含まれます。
次のいずれかのバックアップ方法を使用します。
大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump
小規模バックアップの場合は、/usr/sbin/tar cT
これらのいずれかのコマンドを呼び出すスクリプト
たとえば、Budtool
バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
システム管理者役割になります。
この役割には、Media Restore 権利プロファイルが含まれます。
次のいずれかの方法を使用します。
大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore
小規模な復元の場合は、/usr/sbin/tar xT
これらのいずれかのコマンドを呼び出すスクリプト
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
ラベルが維持されるのはこれらのコマンドのみです。
Solaris OS の場合と同様に、Solaris 管理コンソールの「マウントと共有」ツールを使用すると、大域ゾーンのファイルを共有およびマウントできます。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。
共有ファイルシステムに、占有的な名前は使用しないでください。共有ファイルシステムの名前は、どのユーザーにも表示されます。
ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。
共有しようとしているディレクトリのラベルで、ワークスペースを作成します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。
そのゾーンのラベルで dfstab ファイルを作成します。
ディレクトリを共有するゾーンごとに、次の手順を繰り返します。
そのゾーンに /etc/dfs ディレクトリを作成します。
# mkdir -p /zone/zone-name/etc/dfs |
トラステッドエディタを開きます。
詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
エディタに dfstab ファイルのフルパス名を入力します。
# /zone/zone-name/etc/dfs/dfstab |
エントリを追加して、そのゾーンのディレクトリを共有します。
エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。
share -F nfs -o ro /viewdir/viewfiles |
各ゾーンについて、ゾーンを起動してディレクトリを共有します。
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
システムから共有されているディレクトリを表示します。
# showmount -e |
エクスポートされたファイルをクライアントがマウントできるようにする方法は、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。
PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。
最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab |
このファイルに、管理者は次のエントリを追加します。
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs |
管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。
# zoneadm -z public ready |
ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。
Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。
ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。
シングルラベルホストからファイルを読み書き可能な状態でマウントするには、リモートホストの割り当てラベルはファイルがマウントされているゾーンと同じである必要があります。
上位ゾーンによってマウントされるファイルは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。
Trusted Extensions では、Solaris OS と同じマウントインタフェースが使用されます。
ブート時にファイルをマウントするには、ラベル付きゾーンで /etc/vfstab ファイルを使用します。
ファイルを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。自動マウントマップが LDAP にある場合、LDAP コマンドを使用して管理します。
クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。
ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。
ファイルを動的にマウントします。
ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11–3 を参照してください。
ゾーンの起動時にファイルをマウントします。
ラベル付きゾーンで、マウントを vfstab ファイルに追加します。
LDAP で管理されるシステムに対してホームディレクトリをマウントします。
すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。
次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。
例については、例 11–6 を参照してください。
ファイルで管理されるシステムに対してホームディレクトリをマウントします。
/export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。
新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。
手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。
例については、例 11–7 を参照してください。
この例では、システム管理者が public ゾーンから遠隔ファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs |
PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。
# mount -F nfs public-sys:/publicdocs /opt/publicdocs |
remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。
この例では、 public ゾーンの起動時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つの遠隔ファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw |
マルチレベルシステムのラベル付き遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。シングルラベルシステムへのパスは、Solaris システム上で使用されるパスと同じです。
PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall |
この例では、システム管理者は public ゾーンの遠隔ファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro |
ラベル付きの遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。
Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。
INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall |
この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。
最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。
最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。
Solaris OS と同様に、 /etc/auto_home_zone-name ファイルの +auto_home_public エントリは、オートマウンタに LDAP エントリを使用するよう指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。
この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLIC、INTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。
このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。
最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/& |
次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public |
このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。
最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public |
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public |
管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。
マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。
NFS サーバーのセキュリティー属性を確認します。
適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
現在のゾーンのラベルを確認します。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、遠隔ファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
古いバージョンの Trusted Solaris ソフトウェアを実行している NFS サーバーからファイルシステムをマウントするには、次のようにします。
Trusted Solaris 1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
Trusted Solaris 2.5.1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
Trusted Solaris 8 NFS サーバーの場合は、mount コマンドで vers=3 および proto=udp オプションを使用します。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。