ゾーンにマルチレベルポートを作成する

この手順は、ラベル付きゾーンで実行されるアプリケーションがマルチレベルポート (MLP) とゾーンとの通信を必要としている場合に使用されます。この手順では、Web プロキシがゾーンと通信します。MLP の追加には Solaris 管理コンソールを使用します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。ラベル付きゾーンが存在する必要があります。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「ラベル付きゾーンの作成」を参照してください。

1. Solaris 管理コンソールを起動します。

   詳細は、「Solaris 管理コンソールでローカルシステムを管理する」を参照してください。

2. 「ファイル」ツールボックスを選択します。

   ツールボックスのタイトルには、Scope=Files, Policy=TSOL が含まれています。

3. コンピュータのリストに、プロキシホストと Web サービスホストを追加します。

   1. 「システム構成」で「コンピュータとネットワーク」ツールにナビゲートします。

   2. 「コンピュータ」ツールで「アクション」メニューをクリックし、「コンピュータの追加」を選択します。

   3. プロキシホストのホスト名と IP アドレスを追加します。

   4. 変更を保存します。

   5. Web サービスホストのホスト名と IP アドレスを追加します。

   6. 変更を保存します。

4. ゾーンと MLP を構成します。

   1. 「トラステッドネットワークゾーン」ツールにナビゲートします。

   2. ラベル付きゾーンを選択します。

   3. 「ローカル IP アドレスの MLP 構成」セクションで、適切なポートとプロトコルフィールドを指定します。

   4. 変更を保存します。

5. 次の手順に従って、ゾーンのテンプレートをカスタマイズします。

   1. 「セキュリティーテンプレート」ツールにナビゲートします。

      「アクション」メニューをクリックし、「テンプレートの追加」を選択します。

   2. テンプレート名には、ホスト名を使用します。

   3. 「ホストタイプ」に「CIPSO」を指定します。

   4. 「最小ラベル」および「最大ラベル」にはゾーンのラベルを使用します。

   5. 「機密ラベルセット」にゾーンラベルを割り当てます。

   6. 「明示的に割り当てられたホスト」タブを選択します。

   7. 「エントリの追加」セクションで、ゾーンに関連付ける IP アドレスを追加します。

   8. 変更を保存します。

6. Solaris 管理コンソールを閉じます。

7. ゾーンを起動します。

   # zoneadm -z zone-name boot

8. 大域ゾーンで、新しいアドレスの経路を追加します。

   たとえば、ゾーンに共有 IP アドレスがある場合は、次のようにします。

   # route add proxy labeled-zones-IP-address # route add webservice labeled-zones-IP-address