特定のユーザーが Trusted Extensions の大域ゾーンに遠隔でログインできるようにする

役割がない状態で遠隔ログインできるようにするには、ユーザーのデフォルトのラベル範囲とゾーンのデフォルト動作を変更します。この手順は、ラベル付きシステムを遠隔で使用しているテスターに対して実行する場合があります。セキュリティーのため、テスターのシステムはほかのユーザーと無関係のラベルで実行されている必要があります。

始める前に

このユーザーが大域ゾーンにログインする正当な理由が必要です。

大域ゾーンでセキュリティー管理者役割になります。

1. 特定のユーザーが大域ゾーンにログインできるようにするためには、そのユーザーに管理ラベルの範囲を割り当てます。

   Solaris 管理コンソールを使用して、ADMIN_HIGH の認可上限と、ADMIN_LOW の最小ラベルを各ユーザーに割り当てます。詳細は、「Solaris 管理コンソールでユーザーのラベル範囲を修正する」を参照してください。

   ユーザーのラベル付きゾーンもログインを許可する必要があります。

2. ラベル付きゾーンから大域ゾーンに遠隔ログインできるようにするには、次のようにします。

   1. 遠隔ログイン用マルチレベルポートを大域ゾーンに追加します。

      Solaris 管理コンソールを使用します。TCP プロトコル上のポート 513 で遠隔ログインが可能です。例については、「ゾーンにマルチレベルポートを作成する」を参照してください。

   2. tnzonecfg の変更をカーネルに読み込みます。

      # tnctl -fz /etc/security/tsol/tnzonecfg

   3. 遠隔ログインサービスを再起動します。

      # svcadm restart svc:/network/login:rlogin