test

Oracle Solaris Trusted Extensions 管理の手順

ラベル付きファイルのバックアップ、共有、マウント (作業マップ)

次の作業マップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているディレクトリおよびファイルを共有およびマウントする場合に使用される、一般的なタスクについて説明します。

作業 

説明 

参照先 

ファイルをバックアップします。 

バックアップすることによってデータを保護します。 

「Trusted Extensions でファイルをバックアップする」

データを復元します。 

バックアップからデータを復元します。 

「Trusted Extensions でファイルを復元する」

ラベル付きゾーンのディレクトリの内容を共有します。 

ラベル付きディレクトリの内容をユーザー間で共有できるようにします。 

「ラベル付きゾーンのディレクトリを共有する」

ラベル付きゾーンで共有されたディレクトリの内容をマウントします。 

ディレクトリの内容を読み取り/書き込みにのために同じラベルのゾーンにマウントできるようにします。上位レベルのゾーンが共有ディレクトリをマウントする場合、ディレクトリは読み取り専用でマウントされます。 

「ラベル付きゾーンでファイルを NFS マウントする」

ホームディレクトリのマウントポイントを作成します。 

各ラベルで全ユーザー用のマウントポイントを作成します。これによって、ユーザーは NFS ホームディレクトリサーバーではないシステム上のホームディレクトリにアクセスできるようになります。 

『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」

上位のラベルで作業中のユーザーに対して下位レベルの情報を非表示にします。 

上位レベルのウィンドウから下位レベルの情報を表示できないようにします。 

「下位ファイルのマウントを無効にする」

ファイルシステムのマウントに関する問題をトラブルシューティングします。 

ファイルシステムのマウントに関する問題を解決します。 

「Trusted Extensions でマウントの失敗をトラブルシューティングする」

ProcedureTrusted Extensions でファイルをバックアップする

  1. オペレータ役割になります。

    この役割には、Media Backup 権利プロファイルが含まれます。

  2. 次のいずれかのバックアップ方法を使用します。

    • 大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump

    • 小規模バックアップの場合は、/usr/sbin/tar cT

    • これらのいずれかのコマンドを呼び出すスクリプト

      たとえば、Budtool バックアップアプリケーションでは ufsdump コマンドを呼び出します。ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

ProcedureTrusted Extensions でファイルを復元する

  1. システム管理者役割になります。

    この役割には、Media Restore 権利プロファイルが含まれます。

  2. 次のいずれかの方法を使用します。

    • 大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore

    • 小規模な復元の場合は、/usr/sbin/tar xT

    • これらのいずれかのコマンドを呼び出すスクリプト

    tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。

    注意 – 注意 –

    ラベルが維持されるのはこれらのコマンドのみです。

Procedureラベル付きゾーンのディレクトリを共有する

Solaris OS の場合と同様に、Solaris 管理コンソールの「マウントと共有」ツールを使用すると、大域ゾーンのファイルを共有およびマウントできます。ラベル付きゾーンで作成しているディレクトリをマウントまたは共有する場合、このツールは使用できません。ゾーンのラベルで dfstab ファイルを作成し、ゾーンを再起動してラベル付きディレクトリを共有します。

注意 – 注意 –

共有ファイルシステムに、占有的な名前は使用しないでください。共有ファイルシステムの名前は、どのユーザーにも表示されます。

始める前に

ファイルサーバー上の大域ゾーンで、スーパーユーザーまたはシステム管理者役割である必要があります。

  1. 共有しようとしているディレクトリのラベルで、ワークスペースを作成します。

    詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』「特定のラベルのワークスペースを追加する」を参照してください。

  2. そのゾーンのラベルで dfstab ファイルを作成します。

    ディレクトリを共有するゾーンごとに、次の手順を繰り返します。

    1. そのゾーンに /etc/dfs ディレクトリを作成します。


      # mkdir -p /zone/zone-name/etc/dfs

    2. トラステッドエディタを開きます。

      詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

    3. エディタに dfstab ファイルのフルパス名を入力します。


      # /zone/zone-name/etc/dfs/dfstab

    4. エントリを追加して、そのゾーンのディレクトリを共有します。

      エントリは、ゾーンルートパスの観点からディレクトリを説明します。たとえば、次のエントリでは、外側のゾーンのラベルでアプリケーションのファイルを共有します。


      share -F nfs -o ro /viewdir/viewfiles

  3. 各ゾーンについて、ゾーンを起動してディレクトリを共有します。

    大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもディレクトリを共有することができます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。

    • ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインしないようにする場合は、ゾーンの状態を ready に設定します。


      # zoneadm -z zone-name ready

    • ゾーンが実行中の状態ではなく、ゾーンのラベルでユーザーがサーバーにログインすることを許可する場合は、ゾーンを起動します。


      # zoneadm -z zone-name boot

    • ゾーンがすでに実行中の場合は、ゾーンを再起動します。


      # zoneadm -z zone-name reboot

  4. システムから共有されているディレクトリを表示します。


    # showmount -e

  5. エクスポートされたファイルをクライアントがマウントできるようにする方法は、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。

例 11–2 PUBLIC ラベルで /export/share ディレクトリを共有する

PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/share ディレクトリにある文書を読めるようにします。public という名前のゾーンは、PUBLIC ラベルで実行されます。

最初に、管理者は public ワークスペースを作成し、dfstab ファイルを編集します。


# mkdir -p /zone/public/etc/dfs
# /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab

このファイルに、管理者は次のエントリを追加します。


## Sharing PUBLIC user manuals
share -F nfs -o ro /export/appdocs

管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのシステムへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルを共有します。


# zoneadm -z public ready

ディレクトリがユーザーのシステムにマウントされると、ユーザーは共有ディレクトリにアクセスできます。

Procedureラベル付きゾーンでファイルを NFS マウントする

Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。

ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。

Trusted Extensions では、Solaris OS と同じマウントインタフェースが使用されます。

始める前に

クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。

  1. ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。

    ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Oracle Solaris Trusted Extensions ユーザーズガイド』「特定のラベルのワークスペースを追加する」を参照してください。

    • ファイルを動的にマウントします。

      ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11–3 を参照してください。

    • ゾーンの起動時にファイルをマウントします。

      ラベル付きゾーンで、マウントを vfstab ファイルに追加します。

      ラベル付きゾーンの起動時にファイルをマウントする例については、例 11–4 および例 11–5 を参照してください。

    • LDAP で管理されるシステムに対してホームディレクトリをマウントします。

      1. すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。

      2. 次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。

      例については、例 11–6 を参照してください。

    • ファイルで管理されるシステムに対してホームディレクトリをマウントします。

      1. /export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。

      2. 新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。

      3. 手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。

      例については、例 11–7 を参照してください。

例 11–3 mount コマンドを使用してラベル付きゾーンでファイルをマウントする

この例では、システム管理者が public ゾーンから遠隔ファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。


# zonename
public
# mount -F nfs remote-sys:/zone/public/root/opt/docs  /opt/docs

PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。


# mount -F nfs public-sys:/publicdocs  /opt/publicdocs

remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。

例 11–4 vfstab ファイルを修正してラベル付きゾーンにファイルを読み書き可能な状態でマウントする

この例では、 public ゾーンの起動時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つの遠隔ファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。


## Writable books directories at PUBLIC
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  rw
public-sys:/publicdocs    - /opt/publicdocs  nfs no yes rw

マルチレベルシステムのラベル付き遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。シングルラベルシステムへのパスは、Solaris システム上で使用されるパスと同じです。

PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–5 vfstab ファイルを修正してラベル付きゾーンで下位レベルファイルをマウントする

この例では、システム管理者は public ゾーンの遠隔ファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。


## Readable books directory at PUBLIC
## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  ro

ラベル付きの遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。

Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。

INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–6 LDAP を使用して管理されているネットワークでラベル付きホームディレクトリをマウントする

この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。

最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。


## auto_home_global file
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_internal file
## Mount the home directory from the internal zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_public
## Mount the home directory from the public zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。

最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。

Solaris OS と同様に、 /etc/auto_home_zone-name ファイルの +auto_home_public エントリは、オートマウンタに LDAP エントリを使用するよう指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。

例 11–7 ファイルを使用して管理されるシステムで下位レベルのホームディレクトリをマウントする

この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLICINTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。

このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。

最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
*      homedir-server:/export/home/&

次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。


## /etc/auto_home_public file in the public zone
## Use /export/home/auto_home_public for the user entries
## +auto_home_public
+ /export/home/auto_home_public

このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。

最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。


## /etc/auto_home_public file in the internal zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public


## /etc/auto_home_public file in the needtoknow zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。

ProcedureTrusted Extensions でマウントの失敗をトラブルシューティングする

始める前に

マウントしようとするファイルのラベルでゾーン内にいる必要があります。スーパーユーザー、またはシステム管理者役割である必要があります。

  1. NFS サーバーのセキュリティー属性を確認します。

    適切な有効範囲で、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

    1. NFS サーバーの IP アドレスが、セキュリティーテンプレートの 1 つで割り当てられたホストであることを確認します。

      このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。

    2. テンプレートが NFS サーバーに割り当てるラベルを確認します。

      そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。

  2. 現在のゾーンのラベルを確認します。

    ラベルがマウント済みファイルシステムのラベルよりも上位である場合、遠隔ファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。

  3. 古いバージョンの Trusted Solaris ソフトウェアを実行している NFS サーバーからファイルシステムをマウントするには、次のようにします。

    • Trusted Solaris 1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。

    • Trusted Solaris 2.5.1 NFS サーバーの場合は、mount コマンドで vers=2 および proto=udp オプションを使用します。

    • Trusted Solaris 8 NFS サーバーの場合は、mount コマンドで vers=3 および proto=udp オプションを使用します。

    これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。