役割がない状態で遠隔ログインできるようにするには、ユーザーのデフォルトのラベル範囲とゾーンのデフォルト動作を変更します。この手順は、ラベル付きシステムを遠隔で使用しているテスターに対して実行する場合があります。セキュリティーのため、テスターのシステムはほかのユーザーと無関係のラベルで実行されている必要があります。
このユーザーが大域ゾーンにログインする正当な理由が必要です。
大域ゾーンでセキュリティー管理者役割になります。
特定のユーザーが大域ゾーンにログインできるようにするためには、そのユーザーに管理ラベルの範囲を割り当てます。
Solaris 管理コンソールを使用して、ADMIN_HIGH の認可上限と、ADMIN_LOW の最小ラベルを各ユーザーに割り当てます。詳細は、「Solaris 管理コンソールでユーザーのラベル範囲を修正する」を参照してください。
ユーザーのラベル付きゾーンもログインを許可する必要があります。
ラベル付きゾーンから大域ゾーンに遠隔ログインできるようにするには、次のようにします。
遠隔ログイン用マルチレベルポートを大域ゾーンに追加します。
Solaris 管理コンソールを使用します。TCP プロトコル上のポート 513 で遠隔ログインが可能です。例については、「ゾーンにマルチレベルポートを作成する」を参照してください。
tnzonecfg の変更をカーネルに読み込みます。
# tnctl -fz /etc/security/tsol/tnzonecfg |
遠隔ログインサービスを再起動します。
# svcadm restart svc:/network/login:rlogin |