トラステッドネットワークの構成

restricted および webservice ゾーンには、すでに共有している IP アドレスのほかに、プライベート IP アドレスを割り当てます。各プライベート IP アドレスはマルチレベルポートを構成し、制限されたラベルセットに関連付けられます。

次の表は、それぞれのラベル付けされたゾーンのネットワーク構成を示します。

最初に、新しいゾーンを作成します。public ゾーンなどの既存のゾーンを複製できます。これらのゾーンを作成したら、zonecfg コマンドを使用して、表に示したアドレスのネットワークおよびローカルインタフェース名を追加します。

たとえば、次のコマンドは、10.4.5.6 の IP アドレスおよび bge0 インタフェースを restricted ゾーンに関連付けます。

# zonecfg -z restricted
add net
set address=10.4.5.6
set physical=bge0
end
exit

それぞれのラベル付けされたゾーンに IP アドレスおよびネットワークインタフェースを指定したら、Solaris 管理コンソールを使用して表の残りの値を設定します。このツールを使用する場合、必ず Scope=Files および Policy=TSOL のツールボックスを選択してください。

次の手順に従ってゾーン構成を終了します。

1. スーパーユーザーとして Solaris 管理コンソールを起動します。

   # &

2. 「ナビゲーション」パネルから「このコンピュータ」を選択し、「システム構成」をクリックします。

3. 「コンピュータおよびネットワーク」アイコンをクリックします。

4. 「コンピュータ」アイコンをクリックし、「アクションからコンピュータを追加」メニューを選択します。

5. proxy ホストおよび webservice ホストのホスト名および IP アドレスを追加します。

6. 「ナビゲーション」パネルから「信頼できるネットワークゾーン」を選択します。

   列を拡張する必要のある場合があります。ゾーン名がリストに表示されない場合、「アクション」メニューから「ゾーン構成を追加」を選択します。

7. 各ゾーンにラベルを割り当て、「ローカル IP アドレスの MLP 構成」フィールドに適切なポートおよびプロトコルを指定します。

8. 「ナビゲーション」パネルから「セキュリティーファミリ」アイコンをクリックし、「アクション」メニューから「テンプレートを追加」を選択します。

   表の情報に基づいて proxy ホスト名および webservices ホスト名のテンプレートを追加します。

   1. テンプレート名の該当するホスト名を指定します。

   2. 「ホストタイプ」フィールドで CIPSO を指定します。

   3. 「最下位ラベル」および「最上位ラベル」フィールドで該当するゾーンラベルを指定します。

   4. 「セキュリティーラベルセット」フィールドで該当するセキュリティーラベルを指定します。

   5. 「明示的に割り当てられたホスト」タブをクリックします。

   6. 「エントリを追加」セクションで、 該当するローカル IP アドレスを各テンプレートに追加します。

9. Solaris 管理コンソールを終了します。

Solaris 管理コンソールを終了したら、影響があるゾーンを起動または再起動します。大域ゾーンで、新しいアドレスのルートを追加します。shared-IP-addr は共有 IP アドレスです。

# route add proxy shared-IP-addr
# route add webservice shared-IP-addr