Trusted Extensions ソフトウェアには、tnrhtp および tnrhdb データベースが含まれています。これらのデータベースが、システムに接続する遠隔ホストにラベルを提供します。Solaris 管理コンソールには、これらのデータベースの管理に使用する GUI が用意されています。
次の作業マップでは、セキュリティーテンプレートを作成し、それらをホストに適用するための作業について説明します。
作業 |
説明 |
参照先 |
---|---|---|
カスタマイズしたセキュリティーテンプレートがサイトに必要かどうかを判断します。 |
サイトのセキュリティー要件に照らし合わせて、既存のテンプレートを評価します。 | |
Solaris 管理コンソールの「セキュリティーテンプレート」ツールへのアクセス |
トラステッドネットワークデータベースを修正するツールにアクセスします。 | |
セキュリティーテンプレートを修正します。 |
トラステッドネットワークデータベースを修正して、トラステッドネットワークのセキュリティー属性の定義を修正します。 | |
DOI を 1 以外の値に変更します。 | ||
ほかのホストとの間の通信をシングルラベルに制限するラベル付きホスト用のセキュリティーテンプレートを作成します。 | ||
シングルラベルゲートウェイとして動作するラベルなしホスト用のセキュリティーテンプレートを作成します。 | ||
ラベル範囲が制限されているホスト用のセキュリティーテンプレートを作成します。 | ||
ラベル範囲内で個別一連のラベルを指定するホスト用のセキュリティーテンプレートを作成します。 | ||
ラベルなしのシステムとネットワーク用のセキュリティーテンプレートを作成します。 | ||
2 つの開発者システム用のセキュリティーテンプレートを作成します。 | ||
既知のネットワークへホストを追加します。 |
システムとネットワークをトラステッドネットワークに追加します。 | |
ワイルドカードエントリによる遠隔ホストアクセスを提供します。 |
各ホストを同じセキュリティーテンプレートに間接的に割り当てることによって、IP アドレスの一定範囲内にあるホストがシステムと通信することを許可します。 | |
tnrhdb ファイルで admin_low ワイルドカードエントリを変更します。 |
ワイルドカードエントリを、起動時に接続するホストの特定アドレスに置き換えることによって、セキュリティーを引き上げます。 | |
ワイルドカードエントリを、デフォルトとしてラベル付きホストのネットワークで置き換えることによって、セキュリティーを引き上げます。 | ||
ホストアドレス 0.0.0.0 のエントリを作成します。 |
遠隔クライアントからの初期接続を受け入れるように Sun Ray サーバーを構成します。 | |
セキュリティーテンプレートを割り当てます。 |
テンプレートに IP アドレス、または連続する IP アドレスのリストを関連付けます。 |
大域ゾーンでセキュリティー管理者役割になります。
Trusted Extensions のテンプレートを十分に理解します。
ローカルホストにある tnrhtp ファイルをお読みください。ファイル内のコメントが役に立ちます。セキュリティー属性値は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールでも確認できます。
デフォルトのテンプレートは、どのインストールにも一致します。各テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
cipso テンプレートでは、DOI が 1 である CIPSO ホストタイプが定義されます。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
admin_low テンプレートでは、DOI が 1 であるラベルなしホストが定義されます。テンプレートのデフォルトラベルは ADMIN_LOW です。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。デフォルト構成では、アドレス 0.0.0.0 がこのテンプレートに割り当てられます。したがって、CIPSO 以外のすべてのホストは、ADMIN_LOW のセキュリティーラベルで動作するホストとして扱われます。
デフォルトのテンプレートを確保しておきます。
サポートの目的上、デフォルトのテンプレートは削除したり修正したりしないでください。これらのデフォルトのテンプレートが割り当てられているホストは変更できます。例については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
次のいずれかの操作が必要な場合は、新しいテンプレートを作成します。
ホスト、またはホストのグループのラベル範囲を制限します。
シングルラベルホストを作成します。
複数の個別のラベルを認識するホストを作成します。
1 以外の DOI を使用します。
ADMIN_LOW でないラベルなしホストにデフォルトのラベルを要求します。
詳細は、「遠隔ホストテンプレートを構築する」を参照してください。
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。
LDAP ツールボックスを使用する場合は、『Oracle Solaris Trusted Extensions 構成ガイド』の「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」を完了しておいてください。
Solaris 管理コンソールを起動します。
詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
適切なツールを使用します。
テンプレートを修正するには、「セキュリティーテンプレート」ツールを使用します。
現在定義されているすべてのテンプレートが右側の区画に表示されます。テンプレートを選択または作成すると、左側の区画でオンラインヘルプを使用できます。
テンプレートにホストを割り当てるには、「セキュリティーテンプレート」ツールを使用します。
テンプレートに割り当て可能なホストを作成するには、「コンピュータとネットワーク」ツールを使用します。
ゾーンにラベルを割り当てるには、「トラステッドネットワークゾーン」ツールを使用します。Trusted Extensions のゾーンについては、第 10 章Trusted Extensions でのゾーンの管理 (手順)を参照してください。
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。
Solaris 管理コンソールで、「セキュリティーテンプレート」ツールを開きます。
詳細な手順については、「トラステッドネットワーキングのツールを開く」を参照してください。
「コンピュータとネットワーク」の下の「セキュリティーテンプレート」をダブルクリックします。
既存のテンプレートは、「表示」区画に表示されます。これらのテンプレートには、このシステムが接続できるホストのセキュリティー属性が記述されています。このようなホストには、Trusted Extensions を実行している CIPSO ホストや、ラベルなしホストがあります。
cipso テンプレートを調べます。
このテンプレートがすでに割り当てられているホストとネットワークを表示します。
admin_low テンプレートを調べます。
このテンプレートがすでに割り当てられているホストとネットワークを表示します。
テンプレートを作成します。
用意されているテンプレートで、このシステムと通信できるホストに関する記述が不十分な場合、「アクション」メニューから「テンプレートの追加」を選択します。
詳細はオンラインヘルプを参照してください。ホストをテンプレートに割り当てる前に、サイトで必要なテンプレートをすべて作成します。
(省略可能) デフォルトのテンプレートでない既存のテンプレートを修正します。
テンプレートをダブルクリックします。詳細はオンラインヘルプを参照してください。割り当てられているホストまたはネットワークを変更することができます。
この例では、セキュリティー管理者のネットワークに、1 以外の値を持つ DOI が含まれています。最初にシステムを構成したチームは、『Oracle Solaris Trusted Extensions 構成ガイド』の「解釈ドメインの構成」を完了しています。
最初に、セキュリティー管理者が /etc/system ファイルに含まれる DOI の値を確認します。
# grep doi /etc/system set default_doi = 4 |
次に、「セキュリティーテンプレート」ツールで、管理者がテンプレートを作成するたびに、doi の値が 4 に設定されます。例 13–2 で説明されているシングルラベルシステムの場合、セキュリティー管理者は次のテンプレートを作成します。
template: CIPSO_PUBLIC host_type: CIPSO doi: 4 min_sl: PUBLIC max_sl: PUBLIC |
この例では、セキュリティー管理者が、シングルラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを作成します。管理者は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、テンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ゲートウェイホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
gateway-1 192.168.131.75 |
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。 テンプレート内の値は次のとおりです。
template: CIPSO_PUBLIC host_type: CIPSO doi: 1 min_sl: PUBLIC max_sl: PUBLIC |
ツールで、PUBLIC の 16 進値 0X0002-08-08 が提供されます。
最後に、gateway-1 のホストは、その名前と IP アドレスでテンプレートに割り当てられます。
gateway-1 192.168.131.75 |
ローカルホストで、tnrhtp エントリが次のようになります。
cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08; |
ローカルホストで、tnrhdb エントリが次のようになります。
# gateway-1 192.168.131.75:cipso_public |
IP ルーターは、明示的にラベルをサポートしていない場合でも、CIPSO ラベルの付いたメッセージを転送することができます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。
Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ルーターとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
router-1 192.168.131.82 |
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: UNL_PUBLIC Host Type: UNLABELED DOI: 1 Default Label: PUBLIC Minimum Label: ADMIN_LOW Maximum Label: ADMIN_HIGH |
ツールで、ラベルの 16 進値が提供されます。
最後に、router-1 のルーターは、その名前と IP アドレスでテンプレートに割り当てられます。
router-1 192.168.131.82 |
この例では、セキュリティー管理者が、パケットを狭いラベル範囲に制限するゲートウェイを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ホストとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
gateway-ir 192.168.131.78 |
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: CIPSO_IUO_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY Maximum Label: CONFIDENTIAL : RESTRICTED |
ツールで、ラベルの 16 進値が提供されます。
最後に、gateway-ir のゲートウェイは、その名前と IP アドレスでテンプレートに割り当てられます。
gateway-ir 192.168.131.78 |
この例では、セキュリティー管理者が、2 つのラベルのみを認識するセキュリティーテンプレートを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、このテンプレートを使用する各ホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
host-slset1 192.168.132.21 host-slset2 192.168.132.22 host-slset3 192.168.132.23 host-slset4 192.168.132.24 |
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: CIPSO_PUB_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: PUBLIC Maximum Label: CONFIDENTIAL : RESTRICTED SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED |
ツールで、ラベルの 16 進値が提供されます。
最後に、IP アドレスの範囲をテンプレートに割り当てるには、「ワイルドカード」ボタンと接頭辞を使用します。
192.168.132.0/17 |
この例では、セキュリティー管理者が、Solaris システムのサブネットワークにトラステッドネットワークで PUBLIC ラベルを付けることができるようにします。テンプレートには次の値があります。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 Wildcard Entry: 10.10.0.0 Prefix: 16 |
10.10.0.0 サブネットワーク上のすべてのシステムは、PUBLIC ラベルで処理されます。
この例では、セキュリティー管理者が SANDBOX テンプレートを作成します。このテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。このテンプレートを割り当てられた 2 つのシステムでは、ラベル付きプログラムを作成およびテストします。ただし、そのテストでほかのラベル付きシステムが影響を受けることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。
Template Name: cipso_sandbox Host Type: CIPSO Minimum Label: SANDBOX Maximum Label: SANDBOX DOI: 1 Hostname: DevMachine1 IP Address: 196.168.129.129 Hostname: DevMachine2 IP Address: 196.168.129.102 |
これらのシステムを使用する開発者は、SANDBOX ラベルで相互に通信できます。
Solaris 管理コンソールの「コンピュータ」ツールは、Solaris OS の「コンピュータ」ツールと同じです。この手順は、利便性を考慮して記載されています。ホストが既知になったら、ホストをセキュリティーテンプレートに割り当てます。
ネットワークを管理できる管理者である必要があります。たとえば、Network Management または System Administrator の権利プロファイルを持つ役割が、ネットワークを管理できます。
Solaris 管理コンソールで、「コンピュータ」ツールを開きます。
詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。
「コンピュータ」ツールで、ネットワーク上のすべてのコンピュータを表示することを確定します。
このシステムが接続できるホストを追加します。
静的ルーターや監査サーバーなど、このシステムが接続する可能性のあるホストをすべて追加する必要があります。
このシステムが接続できるホストのグループを追加します。
オンラインヘルプに従い、ネットワーク IP アドレスを使用して、ホストのグループを追加します。
大域ゾーンでセキュリティー管理者役割になります。
テンプレートに割り当てるホストはすべて、「コンピュータとネットワーク」ツールに存在する必要があります。詳細は、「システムの既知のネットワークにホストを追加する」を参照してください。
Solaris 管理コンソールで、「セキュリティーテンプレート」ツールを開きます。
詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。
適切なテンプレート名をダブルクリックします。
「テンプレートに割り当てるホスト」タブをクリックします。
1 つのホストにテンプレートを割り当てるには、次のようにします。
アドレスが連続しているホストのグループにテンプレートを割り当てるには、次のようにします。
この例では、セキュリティー管理者が複数の IPv4 サブネットワークを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 192.168.113.0 IP address: 192.168.75.0 |
次の例では、セキュリティー管理者が、オクテット境界にない連続 IPv4 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 192.168.113.100 Prefix Length: 25 |
このワイルドカードエントリは、192.168.113.0 から 192.168.113.127 までのアドレス範囲をカバーします。このアドレスには、192.168.113.100 が含まれます。
この例では、セキュリティー管理者が連続する IPv6 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 2001:a08:3903:200::0 Prefix Length: 56 |
このワイルドカードエントリは、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までのアドレス範囲をカバーします。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。
この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールする場合、このデフォルトのテンプレートでネットワーク上のすべてのホストが定義されます。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルの tnrhdb ファイルは、起動時のネットワーク接続に使用されます。デフォルトでは、CIPSO テンプレートで提供されない各ホストはadmin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各システム ( 0.0.0.0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0 ワイルドカードエントリを削除することができます。このエントリは、起動時にシステムが接続する各ホストのエントリに置き換える必要があります。
たとえば、0.0.0.0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターがローカルの tnrhdb ファイルになければなりません。
アプリケーションが最初にクライアントをホストアドレス 0.0.0.0 で認識する場合には、0.0.0.0/32:admin_low というホストエントリを tnrhdb データベースに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続要求を受信するには、Sun Ray サーバーにこのエントリを含めます。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントを CIPSO クライアントとして接続します。
大域ゾーンでセキュリティー管理者役割になります。
起動時に接続されるすべてのホストは、「コンピュータとネットワーク」ツールに存在している必要があります。
Solaris 管理コンソールのファイルの有効範囲で、「セキュリティーテンプレート」ツールを開きます。
ファイルの有効範囲は、起動中にシステムを保護します。「セキュリティーテンプレート」ツールへのアクセスについては、「トラステッドネットワーキングのツールを開く」を参照してください。
admin_low テンプレートに割り当てられているホストを修正します。
admin_low テンプレートをダブルクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
「テンプレートに割り当てるホスト」タブをクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
起動時に接続する必要のある各ラベルなしホストを追加します。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
このホストが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
起動時に接続する必要のあるホストの範囲を追加します。
0.0.0.0 エントリを削除します。
cipso テンプレートに割り当てられているホストを修正します。
cipso テンプレートをダブルクリックします。
追加される各ホストには、起動時に接続できます。
「テンプレートに割り当てるホスト」タブをクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
起動時に接続する必要のある各ラベル付きホストを追加します。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
LDAP サーバーを追加します。
このホストが通信時に経由する必要のある、 Trusted Extensions を実行してしていないオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
起動時に接続する必要のあるホストの範囲を追加します。
ホスト割り当てによってシステムの起動が許可されていることを確認します。
この例では、セキュリティー管理者が公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0 エントリを削除し、そのエントリを public という名前のラベルなしテンプレートに割り当てます。システムは、その tnrhdb ファイルにリストされていないシステムを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
公共ゲートウェイ用に特別に作成されたラベルなしテンプレートは、次のとおりです。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 |
次の例は、2 つのネットワークインタフェースを持つ LDAP クライアント用のエントリを持つローカルの tnrhdb データベースを示しています。クライアントは、ほかのネットワークおよびルーターと通信します。
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address |
この例では、セキュリティー管理者は、潜在的なクライアントからの初期接続要求を受け入れるように Sun Ray サーバーを構成します。サーバーは、プライベートトポロジおよび標準設定を使用します。
# utadm -a bge0 |
まず、管理者は Solaris 管理コンソールのドメイン名を決定します。
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM |
次に、管理者は、Sun Ray サーバーの tnrhdb データベースにクライアントの初期接続用のエントリを追加します。管理者がテストしている段階なので、すべての不明なアドレスに対してデフォルトのワイルドカードアドレスを使用します。
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful. |
このコマンドの実行後、tnhrdb データベースは次のようになります。smtnrhdb コマンドの結果は強調表示されています。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot |
# tnchkdb -h /etc/security/tsol/tnrhdb |
テストがこの段階まで成功したあと、管理者は、構成の安全性を高めるためにデフォルトのワイルドカードアドレスを削除し、tnrhdb データベースの構文をチェックしてから再度テストを実行します。最終的な tnhrdb データベースは次のようになります。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot |