test

Oracle Solaris Trusted Extensions 管理の手順

Procedureラベル付きゾーンでファイルを NFS マウントする

Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。

ラベルなし、およびラベル付きホストのファイルは、Trusted Extensions のラベル付きホストにマウントすることができます。

Trusted Extensions では、Solaris OS と同じマウントインタフェースが使用されます。

始める前に

クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。オートマウンタを使用しない限り、スーパーユーザーまたはシステム管理者役割のいずれかである必要があります。下位レベルのサーバーからマウントする場合、ゾーンを net_mac_aware 特権で構成してください。

  1. ラベル付きゾーンでファイルを NFS マウントするには、次の手順に従います。

    ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Oracle Solaris Trusted Extensions ユーザーズガイド』「特定のラベルのワークスペースを追加する」を参照してください。

    • ファイルを動的にマウントします。

      ラベル付きゾーンで、mount コマンドを使用します。ファイルを動的にマウントする例は、例 11–3 を参照してください。

    • ゾーンの起動時にファイルをマウントします。

      ラベル付きゾーンで、マウントを vfstab ファイルに追加します。

      ラベル付きゾーンの起動時にファイルをマウントする例については、例 11–4 および例 11–5 を参照してください。

    • LDAP で管理されるシステムに対してホームディレクトリをマウントします。

      1. すべてのラベルで、auto_home_ zone-name ファイルにユーザー指定を追加します。

      2. 次に、これらのファイルを使用して、LDAP サーバー上で auto_home_ zone-name データベースを生成します。

      例については、例 11–6 を参照してください。

    • ファイルで管理されるシステムに対してホームディレクトリをマウントします。

      1. /export/home/auto_home_lowest-labeled-zone-name ファイルを作成し、生成します。

      2. 新しく生成されたファイルをポイントするように、/etc/auto_home_lowest-labeled-zone-name ファイルを編集します。

      3. 手順 a で作成したファイルをポイントするように、すべての上位ゾーンで /etc/auto_home_lowest-labeled-zone-name ファイルを変更します。

      例については、例 11–7 を参照してください。

例 11–3 mount コマンドを使用してラベル付きゾーンでファイルをマウントする

この例では、システム管理者が public ゾーンから遠隔ファイルシステムをマウントします。Public ゾーンはマルチレベルサーバー上にあります。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。そのワークスペースで、管理者は mount コマンドを実行します。


# zonename
public
# mount -F nfs remote-sys:/zone/public/root/opt/docs  /opt/docs

PUBLIC ラベルのシングルラベルファイルサーバーには、マウント対象の文書も含まれています。


# mount -F nfs public-sys:/publicdocs  /opt/publicdocs

remote-sys ファイルサーバーの public ゾーンが ready または running 状態である場合、remote-sys ファイルはこのシステムに正しくマウントされます。public-sys ファイルサーバーが動作している場合、ファイルは正しくマウントされます。

例 11–4 vfstab ファイルを修正してラベル付きゾーンにファイルを読み書き可能な状態でマウントする

この例では、 public ゾーンの起動時に、システム管理者がローカルシステムの public ゾーンに PUBLIC ラベルで 2 つの遠隔ファイルシステムをマウントします。1 つのファイルシステムマウントはマルチレベルシステムからで、もう 1 つのファイルシステムマウントはシングルラベルシステムからです。

システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。作成したワークスペースで、管理者はそのゾーンの vfstab ファイルを修正します。


## Writable books directories at PUBLIC
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  rw
public-sys:/publicdocs    - /opt/publicdocs  nfs no yes rw

マルチレベルシステムのラベル付き遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。シングルラベルシステムへのパスは、Solaris システム上で使用されるパスと同じです。

PUBLIC ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–5 vfstab ファイルを修正してラベル付きゾーンで下位レベルファイルをマウントする

この例では、システム管理者は public ゾーンの遠隔ファイルシステムをローカルシステムの internal ゾーンにマウントします。システム管理者役割になったあと、管理者は INTERNAL ラベルでワークスペースを作成し、次に、そのゾーンで vfstab ファイルを修正します。


## Readable books directory at PUBLIC
## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  ro

ラベル付きの遠隔ゾーンのファイルにアクセスする場合、vfstab エントリが遠隔システムの public ゾーンのゾーンルートパス /zone/public/root をマウント対象のディレクトリへのディレクトリパス名として使用します。

Internal ゾーンのユーザーからは、/opt/docs でファイルにアクセスできます。

INTERNAL ラベルの端末ウィンドウで、管理者はファイルをマウントします。


# mountall
例 11–6 LDAP を使用して管理されているネットワークでラベル付きホームディレクトリをマウントする

この例で、システム管理者は新規ユーザー ikuk がすべてのラベルで自身のホームディレクトリにアクセスできるようにします。このサイトはホームディレクトリサーバーを 2 つ使用し、LDAP を使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。新規ユーザーはこのリストに追加されます。

最初に、システム管理者役割になったあと、管理者は大域ゾーンの /etc ディレクトリにある auto_home_zone-name ファイルを修正して、2 つめのホームディレクトリサーバー上の新規ユーザーを取り込みます。


## auto_home_global file
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_internal file
## Mount the home directory from the internal zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&
 

## auto_home_public
## Mount the home directory from the public zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

次に、ユーザーがすべてのラベルでログインできるようにするために、管理者はすべてのラベルで auto_home_zone-name ファイルに対してこれらの編集を繰り返します。

最後に、このシステム上のすべての auto_home_zone-name ファイルを修正したあと、管理者はこれらのファイルを使用して、LDAP データベースにエントリを追加します。

Solaris OS と同様に、 /etc/auto_home_zone-name ファイルの +auto_home_public エントリは、オートマウンタに LDAP エントリを使用するよう指示します。ネットワーク上のほかのシステムにある auto_home_ zone-name ファイルは、LDAP データベースから更新されます。

例 11–7 ファイルを使用して管理されるシステムで下位レベルのホームディレクトリをマウントする

この例では、システム管理者はユーザーがすべてのラベルで自身のホームディレクトリにアクセスできるようにします。サイトのラベルは PUBLICINTERNAL および NEEDTOKNOW です。このサイトはホームディレクトリサーバーを 2 つ使用し、ファイルを使用して管理されます。2 つめのサーバーには、ユーザー jdoe および pkai のホームディレクトリが含まれます。

このタスクを遂行するために、システム管理者は public ゾーンで public ゾーン NFS ホームディレクトリを定義し、この構成を internal ゾーンと needtoknow ゾーンで共有します。

最初に、システム管理者役割になったあと、管理者は PUBLIC ラベルでワークスペースを作成します。このワークスペースで、管理者は新規ファイル /export/home/auto_home_public を作成します。このファイルには、ユーザー別のカスタマイズされた NFS 指定エントリがすべて含まれます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
*      homedir-server:/export/home/&

次に、管理者は、この新規ファイルを使用するように /etc/auto_home_public ファイルを修正します。


## /etc/auto_home_public file in the public zone
## Use /export/home/auto_home_public for the user entries
## +auto_home_public
+ /export/home/auto_home_public

このエントリにより、オートマウンタはローカルファイルの内容を使用するように指示されます。

最後に、管理者は internal ゾーンと needtoknow ゾーンにある /etc/auto_home_public ファイルを同様に修正します。管理者は internal ゾーンと needtoknow ゾーンに表示される public ゾーンへのパス名を使用します。


## /etc/auto_home_public file in the internal zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public


## /etc/auto_home_public file in the needtoknow zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

管理者が新規ユーザー ikuk を追加すると、PUBLIC ラベルで /export/home/auto_home_public ファイルに新規ユーザーの追加が行われます。


## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk   homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

上位ゾーンは下位レベルを読み取り、下位の public ゾーンからユーザー別のホームディレクトリを入手します。