test

Oracle Solaris Trusted Extensions 管理の手順

Procedureカーネルキャッシュとトラステッドネットワークデータベースを同期する

カーネルがトラステッドネットワークデータベースの情報で更新されていない場合、カーネルキャッシュを更新する方法はいくつかあります。「セキュリティーテンプレート」ツールまたは「トラステッドネットワークゾーン」ツールを使用すると、Solaris 管理コンソールは自動的にこのコマンドを実行します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. カーネルキャッシュをネットワークデータベースと同期するには、次のコマンドのいずれかを実行します。

    • tnctl サービスを再起動します。

      注意 – 注意 –

      この方法は、トラステッドネットワークデータベースの情報を LDAP サーバーから取得するシステムでは使用しないでください。LDAP サーバーから取得された情報がローカルデータベース情報で上書きされる可能性があります。


      $ svcadm restart  svc:/network/tnctl

      このコマンドでは、ローカルのトラステッドネットワークデータベースからカーネルにすべての情報を読み込みます。

    • 最近追加したエントリのカーネルキャッシュを更新します。


      $ tnctl -h hostname

      このコマンドでは、選択したオプションからの情報だけをカーネルに読み込みます。各オプションについては、例 13–17 および tnctl(1M) のマニュアルページを参照してください。

    • tnd サービスを変更します。

      注 –

      tnd サービスが実行されているのは、ldap サービスが実行されている場合だけです。

      • tnd ポーリング間隔を変更します。

        これによって、カーネルキャッシュは更新されません。ただし、ポーリング間隔を短くすることによって、カーネルキャッシュの更新頻度を高くすることはできます。詳細は、tnd(1M) のマニュアルページの例を参照してください。

      • tnd をリフレッシュします。

        このサービス管理機能 (SMF) コマンドは、トラステッドネットワークデータベースの最新の変更とともにカーネルの即時更新をトリガーします。


        $ svcadm refresh svc:/network/tnd

      • SMF を使用して tnd を再起動します。


        $ svcadm restart svc:/network/tnd
        注意 – 注意 –

        tnd を再起動する場合、tnd コマンドは実行しないでください。このコマンドにより、現在続行中の通信が中断される場合があります。

例 13–17 最新の tnrhdb エントリを使用してカーネルを更新する

この例では、管理者はローカル tnrhdb データベースに 3 つのアドレスを追加しました。まず、管理者は 0.0.0.0 ワイルドカードエントリを削除しました。


$ tnctl -d -h 0.0.0.0:admin_low

次に、管理者は、/etc/security/tsol/tnrhdb データベースにある最後の 3 つのエントリの書式を表示します。


$ tail /etc/security/tsol/tnrhdb
#\:\:0:admin_low
127.0.0.1:cipso
#\:\:1:cipso
192.168.103.5:admin_low
192.168.103.0:cipso
0.0.0.0/32:admin_low

さらに、管理者はカーネルキャッシュを更新します。


$ tnctl -h 192.168.103.5
tnctl -h 192.168.103.0
tnctl -h 0.0.0.0/32

最後に、管理者は、カーネルキャッシュが更新されていることを確認します。最初のエントリの出力は、次のようになります。


$ tninfo -h 192.168.103.5
IP Address: 192.168.103.5
Template: admin_low
例 13–18 カーネルでのネットワーク情報の更新

この例では、管理者が公共プリンタサーバーを使用してトラステッドネットワークを更新し、カーネル設定が正しいことをチェックします。


$ tnctl -h public-print-server
$ tninfo -h public-print-server
IP Address: 192.168.103.55
Template: PublicOnly
$ tninfo -t PublicOnly
==================================
Remote Host Template Table Entries
----------------------------------
template: PublicOnly
host_type: CIPSO
doi: 1
min_sl: PUBLIC
hex: 0x0002-08-08
max_sl: PUBLIC
hex: 0x0002-08-08