test

Oracle Solaris Trusted Extensions 管理の手順

Procedureセキュリティー属性を使用して経路を構成する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. トラステッドネットワーク上でのパケットの経路指定に使用する宛先のホストとゲートウェイをすべて追加します。

    アドレスは、ローカルの /etc/hosts ファイル、または LDAP サーバー上の同等のファイルに追加されます。Solaris 管理コンソール の「コンピュータとネットワーク」ツールを使用します。ファイルの有効範囲は /etc/hosts ファイルを修正します。LDAP の有効範囲は LDAP サーバー上のエントリを修正します。詳細は、「システムの既知のネットワークにホストを追加する」を参照してください。

  2. 宛先の各ホスト、ネットワーク、ゲートウェイをセキュリティーテンプレートに割り当てます。

    アドレスは、ローカルの /etc/security/tsol/tnrhdb ファイル、または LDAP サーバー上の同等のファイルに追加されます。Solaris 管理コンソール の「セキュリティーテンプレート」ツールを使用します。詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

  3. 経路を設定します。

    端末ウィンドウで、route add コマンドを使用して経路を指定します。

    最初のエントリでデフォルトの経路が設定されます。このエントリは、ホストにもパケットの宛先にも特定の経路が定義されていない場合に使用するゲートウェイのアドレス、192.168.113.1 を指定します。


    # route add default 192.168.113.1  -static

    詳細は、route(1M) のマニュアルページを参照してください。

  4. 1 つ以上のネットワークエントリを設定します。

    -secattr フラグを使用して、セキュリティー属性を指定します。

    次のコマンドリストでは、2 行目がネットワークエントリを示しています。3 行目は、PUBLIC ... CONFIDENTIAL : INTERNAL USE ONLY のラベル範囲を持つネットワークエントリを示しています。


    # route add default 192.168.113.36
# route add -net 192.168.102.0 gateway-101
# route add -net 192.168.101.0 gateway-102 \
-secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1

  5. 1 つ以上のホストエントリを設定します。

    新しい 4 行目は、シングルラベルホスト gateway-pub のホストエントリを示しています。gateway-pub のラベル範囲は PUBLIC から PUBLIC までです。


    # route add default 192.168.113.36
# route add -net 192.168.102.0 gateway-101
# route add -net 192.168.101.0 gateway-102 \
-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
# route add -host 192.168.101.3 gateway-pub \
-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
例 13–14 CONFIDENTIAL : INTERNAL USE ONLY から CONFIDENTIAL : RESTRICTED までのラベル範囲を持つ経路の追加

次の route コマンドは、192.168.118.39 をゲートウェイとして 192.168.115.0 のホストを経路指定テーブルに追加します。ラベル範囲は CONFIDENTIAL : INTERNAL USE ONLY ... CONFIDENTIAL : RESTRICTED で、DOI は 1 です。


$ route add -net 192.168.115.0 192.168.118.39 \
-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

追加したホストの結果は、netstat -rR コマンドを使用して表示されます。次の抜粋コードでは、ほかの送信経路は省略されて (...) で示されています。


$ netstat -rRn
...
192.168.115.0        192.168.118.39        UG       0      0  
        min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO
...