次の作業マップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。
作業 |
説明 |
参照先 |
---|---|---|
ファイルをバックアップします。 |
バックアップすることによってデータを保護します。 | |
データを復元します。 |
バックアップからデータを復元します。 | |
ラベル付きゾーンのディレクトリの内容を共有します。 |
ラベル付きディレクトリの内容をユーザー間で共有できるようにします。 | |
ラベル付きゾーンで共有されたディレクトリの内容をマウントします。 |
ディレクトリの内容を読み取り/書き込みにのために同じラベルのゾーンにマウントできるようにします。上位レベルのゾーンが共有ディレクトリをマウントする場合、ディレクトリは読み取り専用でマウントされます。 | |
ホームディレクトリのマウントポイントを作成します。 |
各ラベルで全ユーザー用のマウントポイントを作成します。これによって、ユーザーは NFS ホームディレクトリサーバーではないシステム上のホームディレクトリにアクセスできるようになります。 |
『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」 |
上位のラベルで作業中のユーザーに対して下位レベルの情報を非表示にします。 |
上位レベルのウィンドウから下位レベルの情報を表示できないようにします。 | |
ファイルシステムのマウントに関する問題をトラブルシューティングします。 |
ファイルシステムのマウントに関する問題を解決します。 |
オペレータ役割になります。
この役割には、Media Backup 権利プロファイルが含まれます。
次のいずれかのバックアップ方法を使用します。
大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump
小規模バックアップの場合は、/usr/sbin/tar cT
これらのいずれかのコマンドを呼び出すスクリプト
たとえば、Budtool
バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
システム管理者役割になります。
この役割には、Media Restore 権利プロファイルが含まれます。
次のいずれかの方法を使用します。
大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore
小規模な復元の場合は、/usr/sbin/tar xT
これらのいずれかのコマンドを呼び出すスクリプト
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
ラベルが維持されるのはこれらのコマンドのみです。
Solaris OS の場合と同様に、Solaris 管理コンソールの「マウントと共有」ツールを使用すると、大域ゾーンのファイルを共有およびマウントできます。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。
共有ファイルシステムに、占有的な名前は使用しないでください。共有ファイルシステムの名前は、どのユーザーにも表示されます。
ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。
共有しようとしているディレクトリのラベルで、ワークスペースを作成します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。
そのゾーンのラベルで dfstab ファイルを作成します。
ディレクトリを共有するゾーンごとに、次の手順を繰り返します。
そのゾーンに /etc/dfs ディレクトリを作成します。
# mkdir -p /zone/zone-name/etc/dfs |
トラステッドエディタを開きます。
詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
エディタに dfstab ファイルのフルパス名を入力します。
# /zone/zone-name/etc/dfs/dfstab |
エントリを追加して、そのゾーンのディレクトリを共有します。
エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。
share -F nfs -o ro /viewdir/viewfiles |
各ゾーンについて、ゾーンを起動してディレクトリを共有します。
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
システムから共有されているディレクトリを表示します。
# showmount -e |
エクスポートされたファイルをクライアントがマウントできるようにする方法は、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。
PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。
最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab |
このファイルに、管理者は次のエントリを追加します。
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs |
管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。
# zoneadm -z public ready |
ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。
Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。
ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。
シングルラベルホストからファイルを読み書き可能な状態でマウントするには、リモートホストの割り当てラベルはファイルがマウントされているゾーンと同じである必要があります。
上位ゾーンによってマウントされるファイルは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。
Trusted Extensions では、Solaris OS と同じマウントインタフェースが使用されます。
ブート時にファイルをマウントするには、ラベル付きゾーンで /etc/vfstab ファイルを使用します。
ファイルを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。自動マウントマップが LDAP にある場合、LDAP コマンドを使用して管理します。
クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。
ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。
ファイルを動的にマウントします。
ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11–3 を参照してください。
ゾーンの起動時にファイルをマウントします。
ラベル付きゾーンで、マウントを vfstab ファイルに追加します。
LDAP で管理されるシステムに対してホームディレクトリをマウントします。
すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。
次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。
例については、例 11–6 を参照してください。
ファイルで管理されるシステムに対してホームディレクトリをマウントします。
/export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。
新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。
手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。
例については、例 11–7 を参照してください。
この例では、システム管理者が public ゾーンから遠隔ファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs |
PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。
# mount -F nfs public-sys:/publicdocs /opt/publicdocs |
remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。
この例では、 public ゾーンの起動時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つの遠隔ファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。
システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw |
マルチレベルシステムのラベル付き遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。シングルラベルシステムへのパスは、Solaris システム上で使用されるパスと同じです。
PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall |
この例では、システム管理者は public ゾーンの遠隔ファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro |
ラベル付きの遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。
Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。
INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。
# mountall |
この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。
最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。
最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。
Solaris OS と同様に、 /etc/auto_home_zone-name ファイルの +auto_home_public エントリは、オートマウンタに LDAP エントリを使用するよう指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。
この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLIC、INTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。
このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。
最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/& |
次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public |
このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。
最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public |
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public |
管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/& |
上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。
マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。
NFS サーバーのセキュリティー属性を確認します。
適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
現在のゾーンのラベルを確認します。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、遠隔ファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
古いバージョンの Trusted Solaris ソフトウェアを実行している NFS サーバーからファイルシステムをマウントするには、次のようにします。
Trusted Solaris 1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
Trusted Solaris 2.5.1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。
Trusted Solaris 8 NFS サーバーの場合は、mount コマンドで vers=3 および proto=udp オプションを使用します。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。