この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールする場合、このデフォルトのテンプレートでネットワーク上のすべてのホストが定義されます。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルの tnrhdb ファイルは、起動時のネットワーク接続に使用されます。デフォルトでは、CIPSO テンプレートで提供されない各ホストはadmin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各システム ( 0.0.0.0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0 ワイルドカードエントリを削除することができます。このエントリは、起動時にシステムが接続する各ホストのエントリに置き換える必要があります。
たとえば、0.0.0.0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターがローカルの tnrhdb ファイルになければなりません。
アプリケーションが最初にクライアントをホストアドレス 0.0.0.0 で認識する場合には、0.0.0.0/32:admin_low というホストエントリを tnrhdb データベースに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続要求を受信するには、Sun Ray サーバーにこのエントリを含めます。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントを CIPSO クライアントとして接続します。
大域ゾーンでセキュリティー管理者役割になります。
起動時に接続されるすべてのホストは、「コンピュータとネットワーク」ツールに存在している必要があります。
Solaris 管理コンソールのファイルの有効範囲で、「セキュリティーテンプレート」ツールを開きます。
ファイルの有効範囲は、起動中にシステムを保護します。「セキュリティーテンプレート」ツールへのアクセスについては、「トラステッドネットワーキングのツールを開く」を参照してください。
admin_low テンプレートに割り当てられているホストを修正します。
admin_low テンプレートをダブルクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
「テンプレートに割り当てるホスト」タブをクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
起動時に接続する必要のある各ラベルなしホストを追加します。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
このホストが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
起動時に接続する必要のあるホストの範囲を追加します。
0.0.0.0 エントリを削除します。
cipso テンプレートに割り当てられているホストを修正します。
cipso テンプレートをダブルクリックします。
追加される各ホストには、起動時に接続できます。
「テンプレートに割り当てるホスト」タブをクリックします。
追加される各ホストには、ラベル ADMIN_LOW で起動中に接続できます。
起動時に接続する必要のある各ラベル付きホストを追加します。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
LDAP サーバーを追加します。
このホストが通信時に経由する必要のある、 Trusted Extensions を実行してしていないオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
起動時に接続する必要のあるホストの範囲を追加します。
ホスト割り当てによってシステムの起動が許可されていることを確認します。
この例では、セキュリティー管理者が公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0 エントリを削除し、そのエントリを public という名前のラベルなしテンプレートに割り当てます。システムは、その tnrhdb ファイルにリストされていないシステムを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
公共ゲートウェイ用に特別に作成されたラベルなしテンプレートは、次のとおりです。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 |
次の例は、2 つのネットワークインタフェースを持つ LDAP クライアント用のエントリを持つローカルの tnrhdb データベースを示しています。クライアントは、ほかのネットワークおよびルーターと通信します。
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address |
この例では、セキュリティー管理者は、潜在的なクライアントからの初期接続要求を受け入れるように Sun Ray サーバーを構成します。サーバーは、プライベートトポロジおよび標準設定を使用します。
# utadm -a bge0 |
まず、管理者は Solaris 管理コンソールのドメイン名を決定します。
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM |
次に、管理者は、Sun Ray サーバーの tnrhdb データベースにクライアントの初期接続用のエントリを追加します。管理者がテストしている段階なので、すべての不明なアドレスに対してデフォルトのワイルドカードアドレスを使用します。
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful. |
このコマンドの実行後、tnhrdb データベースは次のようになります。smtnrhdb コマンドの結果は強調表示されています。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot |
# tnchkdb -h /etc/security/tsol/tnrhdb |
テストがこの段階まで成功したあと、管理者は、構成の安全性を高めるためにデフォルトのワイルドカードアドレスを削除し、tnrhdb データベースの構文をチェックしてから再度テストを実行します。最終的な tnhrdb データベースは次のようになります。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot |