test

Oracle Solaris Trusted Extensions 管理の手順

Trusted Extensions のゾーン

適切に構成された Trusted Extensions システムは、オペレーティングシステムのインスタンスである大域ゾーンと、1 つ以上のラベル付きの非大域ゾーンで構成されます。構成中に Trusted Extensions は各ゾーンに一意のラベルを添付し、それによってラベル付きゾーンが作成されます。ラベルは、label_encodings ファイルから取得されます。管理者はすべてのラベルにゾーンを作成できますが、必須ではありません。システム上で、ラベル付きゾーンの数より多くのラベルを持つことができます。ラベルの数より多くのラベル付きゾーンを持つことはできません。

Trusted Extensions システムで、ゾーンのファイルシステムは通常、ループバックファイルシステム (lofs) としてマウントされます。ラベル付きゾーンの書き込み可能なファイルおよびディレクトリには、ゾーンと同じラベルが付いています。デフォルトでは、ユーザーは自身の現在のラベルより下位のラベルのゾーンにあるファイルを表示できます。この構成によって、ユーザーは現在のワークスペースのラベルより下位のラベルのホームディレクトリを表示することができます。ユーザーは下位のラベルのファイルを表示できますが、それらを変更することはできません。ユーザーは、ファイルと同じラベルのプロセスからしかファイルを変更できません。

Trusted Extensions では、大域ゾーンが管理ゾーンです。ラベル付きゾーンは一般ユーザー用です。ユーザーは、自身の認可範囲内にあるラベルのゾーンで作業することができます。

各ゾーンには、関連付けられた IP アドレスとセキュリティー属性があります。ゾーンは、マルチレベルポート (MLP) を使用して構成できます。また、ゾーンには ping などの ICMP (Internet Control Message Protocol) ブロードキャストのポリシーで構成することができます。

ラベル付きゾーンのディレクトリの共有とラベル付きゾーンのディレクトリの遠隔マウントについては、第 11 章Trusted Extensions でのファイルの管理とマウント (手順)を参照してください。

Trusted Extensions のゾーンは、Solaris ゾーン製品の上に構築されます。詳細は、『System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones』のパート II「Zones」を参照してください。具体的には、パッチとパッケージのインストールの問題が Trusted Extensions に影響します。詳細は、『System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones』の第 25 章「About Packages and Patches on a Solaris System With Zones Installed (Overview)」『System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones』の第 30 章「Troubleshooting Miscellaneous Solaris Zones Problems」を参照してください。

Trusted Extensions のゾーンと IP アドレス

初期設定チームは、大域ゾーンとラベル付きゾーンに IP アドレスを割り当てています。3 タイプの構成については、『Oracle Solaris Trusted Extensions 構成ガイド』「ラベル付きゾーンの作成」に説明されています。

非大域ゾーン用の排他的 IP インスタンスの導入に伴って、Solaris OS では 4 番目の構成タイプを使用できるようになりました。Solaris 10 8/07 リリース以降、非大域ゾーンにそれぞれの IP インスタンスを割り当てて、非大域ゾーンでそれぞれの物理インタフェースを管理できるようになりました。この構成では、各ゾーンは別個のシステムであるかのように動作します。詳細は、『System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones』「Zone Network Interfaces」を参照してください。

ただし、このような構成では、各ラベル付きゾーンは別個のシングルラベル付きシステムのように動作します。Trusted Extensions のマルチレベルネットワーク機能は、共有 IP スタックの機能に依存しています。Trusted Extensions の管理手順は、ネットワーク接続が大域ゾーンによって完全に制御されることを前提としています。したがって、初期設定チームが排他的 IP インスタンスでラベル付きゾーンをインストールした場合は、サイト固有のマニュアルを用意するか参照する必要があります。

ゾーンとマルチレベルポート

デフォルトでは、ゾーンはほかのゾーンとの間でパケットを送受信できません。マルチレベルポート (MLP) を使用すると、ポート上の特定のサービスがラベルの範囲内の、またはラベルセットからの要求を受け取ることができます。これらの特権サービスは、要求のラベルで返信できます。たとえば、すべてのラベルで待機できるが、その返信はラベルによって制限されるような特権 Web ブラウザポートを作成することができます。デフォルトでは、ラベル付きゾーンは MLP を持ちません。

MLP で受け取れるパケットを制約するラベル範囲またはラベルセットは、ゾーンの IP アドレスに基づきます。tnrhdb データベースで、IP アドレスに遠隔ホストテンプレートが割り当てられます。遠隔ホストテンプレートのラベル範囲またはラベルセットによって、MLP が受け取れるパケットが制約されます。

ラベル付きゾーンに MLP を追加する例については、例 13–16 を参照してください。

Trusted Extensions のゾーンと ICMP

ネットワークはブロードキャストメッセージを送信し、ネットワーク上のシステムに ICMP パケットを送信します。マルチレベルシステムでは、これらの送信が各ラベルでシステムの容量を超えることがあります。ラベル付きゾーンのデフォルトのネットワークポリシーでは、一致するラベルでだけ ICMP パケットが受け取られるようにする必要があります。