トラステッドネットワーク上で接続できるホストを制限する

この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールする場合、このデフォルトのテンプレートでネットワーク上のすべてのホストが定義されます。この手順を使って、特定のラベルなしホストを列挙します。

各システム上のローカルの tnrhdb ファイルは、起動時のネットワーク接続に使用されます。デフォルトでは、CIPSO テンプレートで提供されない各ホストはadmin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各システム ( 0.0.0.0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。

デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0 ワイルドカードエントリを削除することができます。このエントリは、起動時にシステムが接続する各ホストのエントリに置き換える必要があります。

たとえば、0.0.0.0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターがローカルの tnrhdb ファイルになければなりません。

アプリケーションが最初にクライアントをホストアドレス 0.0.0.0 で認識する場合には、0.0.0.0/32:admin_low というホストエントリを tnrhdb データベースに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続要求を受信するには、Sun Ray サーバーにこのエントリを含めます。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントを CIPSO クライアントとして接続します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

起動時に接続されるすべてのホストは、「コンピュータとネットワーク」ツールに存在している必要があります。

1. Solaris 管理コンソールのファイルの有効範囲で、「セキュリティーテンプレート」ツールを開きます。

   ファイルの有効範囲は、起動中にシステムを保護します。「セキュリティーテンプレート」ツールへのアクセスについては、「トラステッドネットワーキングのツールを開く」を参照してください。

2. admin_low テンプレートに割り当てられているホストを修正します。

   1. admin_low テンプレートをダブルクリックします。

      追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。

   2. 「テンプレートに割り当てるホスト」タブをクリックします。

      追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。

   3. 起動時に接続する必要のある各ラベルなしホストを追加します。

      詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

      このホストが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。

   4. 起動時に接続する必要のあるホストの範囲を追加します。

   5. 0.0.0.0 エントリを削除します。

3. cipso テンプレートに割り当てられているホストを修正します。

   1. cipso テンプレートをダブルクリックします。

      追加される各ホストには、起動時に接続できます。

   2. 「テンプレートに割り当てるホスト」タブをクリックします。

      追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。

   3. 起動時に接続する必要のある各ラベル付きホストを追加します。

      詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

      • LDAP サーバーを追加します。

      • このホストが通信時に経由する必要のある、 Trusted Extensions を実行してしていないオンリンクルーターをすべて追加します。

      • すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。

      • ブロードキャストアドレスを追加します。

   4. 起動時に接続する必要のあるホストの範囲を追加します。

4. ホスト割り当てによってシステムの起動が許可されていることを確認します。

例 13–11 0.0.0.0 tnrhdb エントリのラベルの変更

この例では、セキュリティー管理者が公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0 エントリを削除し、そのエントリを public という名前のラベルなしテンプレートに割り当てます。システムは、その tnrhdb ファイルにリストされていないシステムを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。

公共ゲートウェイ用に特別に作成されたラベルなしテンプレートは、次のとおりです。

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

例 13–12 tnrhdb データベースで起動中に接続するコンピュータの列挙

次の例は、2 つのネットワークインタフェースを持つ LDAP クライアント用のエントリを持つローカルの tnrhdb データベースを示しています。クライアントは、ほかのネットワークおよびルーターと通信します。

127.0.0.1:cipso       Loopback address
192.168.112.111:cipso Interface 1 of this host
192.168.113.111:cipso Interface 2 of this host
10.6.6.2:cipso        LDAP server
192.168.113.6:cipso   Audit server
192.168.112.255:cipso Subnet broadcast address
192.168.113.255:cipso Subnet broadcast address
192.168.113.1:cipso   Router
192.168.117.0:cipso   Another Trusted Extensions network
192.168.112.12:public Specific network router
192.168.113.12:public Specific network router
224.0.0.2:public      Multicast address
255.255.255.255:admin_low Broadcast address

例 13–13 ホストアドレス 0.0.0.0 を有効な tnrhdb エントリにする

この例では、セキュリティー管理者は、潜在的なクライアントからの初期接続要求を受け入れるように Sun Ray サーバーを構成します。サーバーは、プライベートトポロジおよび標準設定を使用します。

# utadm -a bge0

まず、管理者は Solaris 管理コンソールのドメイン名を決定します。

SMCserver # /usr/sadm/bin/dtsetup scopes
Getting list of managable scopes...
Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM

次に、管理者は、Sun Ray サーバーの tnrhdb データベースにクライアントの初期接続用のエントリを追加します。管理者がテストしている段階なので、すべての不明なアドレスに対してデフォルトのワイルドカードアドレスを使用します。

SunRayServer # /usr/sadm/bin/smtnrhdb \
add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \
-- -w 0.0.0.0 -p 32 -n admin_low
Authenticating as user: root

Please enter a string value for: password :: 
... from machine1.ExampleCo.COM was successful.

このコマンドの実行後、tnhrdb データベースは次のようになります。smtnrhdb コマンドの結果は強調表示されています。

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## Default wildcard address
0.0.0.0:admin_low
Other addresses to be contacted at boot

# tnchkdb -h /etc/security/tsol/tnrhdb

テストがこの段階まで成功したあと、管理者は、構成の安全性を高めるためにデフォルトのワイルドカードアドレスを削除し、tnrhdb データベースの構文をチェックしてから再度テストを実行します。最終的な tnhrdb データベースは次のようになります。

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## 0.0.0.0:admin_low - no other systems can enter network at admin_low
Other addresses to be contacted at boot