Solaris Trusted Extensions リファレンスマニュアル

システム管理コマンド

add_allocatable(1M)

名前 | 形式 | 機能説明 | オプション | エラー | 属性 | 関連項目

名前

add_allocatable – 割り当てデータベースへのエントリの追加

形式

/usr/sbin/add_allocatable [-f] [-s] [-d] -n name -t type -l device-list 
    [-a authorization] [-c clean] [-o key=value]

機能説明

add_allocatable は、ユーザーが割り当て可能なデバイス用の新規エントリを作成します。このデバイスは、デバイス割り当て機構により管理されます。add_allocatable を使用して、この種のデバイスの既存エントリを更新することもできます。

add_allocatable を使用して、デバイス割り当て機構によりラベル範囲が管理される、プリンタなどの割り当て不可能なデバイスのエントリを作成および更新することもできます。

add_allocatable をシェルスクリプト (ドライバパッケージのインストールスクリプトなど) 内で実行して、新規デバイスの設定に関する管理作業を自動化できます。

割り当て可能なデバイスの名前とタイプ、属性、およびデバイスパスについては、list_devices(1) を参照してください。

オプション

-f

指定された情報を使って、既存のエントリを強制的に更新します。このオプションを指定しない場合、指定したデバイス名を持つエントリが既に存在すると、add_allocatable はエラーを出力して終了します。

-s

サイレントモードを有効にします。add_allocatable は、エラーや警告メッセージを一切出力しません。

-d

このオプションが指定されている場合、add_allocatable は、-t で指定されたデバイスタイプのシステム指定のデフォルト属性を更新します。

-n name

name で指定されたデバイスのエントリを追加または更新します。

-t type

type で指定されたタイプのデバイスエントリを追加または更新します。

-l device-list

-n で指定されたデバイスへのデバイスパスを追加または更新します。device-list 内の複数のパスは、空白文字で区切る必要があります。また、リストは引用符で囲む必要があります。

-a authorization

-n で指定されたデバイス、または -t で指定されたタイプのデバイスに関連付けられている承認を追加または更新します。複数の承認を指定する場合は、リストをコンマで区切り、引用符で囲む必要があります。デバイスが割り当て不可能な場合、authorization をアスタリスク (*) を使って指定し、引用符で囲む必要があります。すべてのユーザーがデバイスを割り当て可能である場合は、authorization をアットマーク (@) を使って指定し、引用符で囲む必要があります。デフォルトの承認は '@' です。

-c clean

-n で指定されたデバイス、または -t で指定されたデバイスタイプに対して device_clean(5) プログラム clean を使用するように指定します。デフォルトの clean プログラムは /bin/true です。

-o key= value

-n で指定されたデバイス、または -t で指定されたデバイスタイプに対して、コロンで区切られた key=value ペアの文字列を受け入れます。現在、システムにより解釈されるキーを次に示します。

minlabel: デバイスを使用可能な最下位のラベル。
maxlabel: デバイスを使用可能な最上位のラベル。
class: デバイスの論理グループを指定します。たとえば、すべての Sun Ray^TM デバイスの、すべてのデバイスタイプは論理グループです。class キーワードにはデフォルト値はありません。
xdpy: X セッションの表示名を指定します。このキーワードは、X セッションに関連するデバイスを特定するために使用します。xdpy キーワードにはデフォルト値はありません。

エラー

成功した場合、add_allocate は終了ステータス 0 (真) を返します。エラーが発生した場合、add_allocate は、0 以外の終了ステータスを返します。終了コードとその意味を次に示します。

1: 呼び出し時の構文エラー
2: 原因不明のシステムエラー
3: 指定されたデバイスのエントリは既に存在する。このエラーは、-f オプションが指定されていない場合にのみ発生する。
4: アクセス権が拒否された。ユーザーは、DAC または MAC アクセス記録の更新を保持していない。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
インタフェースの安定性	下記を参照

呼び出しは不確実です。オプションは不確実です。出力は非インタフェースです。

atohexlabel(1M)

名前

atohexlabel – 人間が読めるラベルの内部テキスト形式への変換

形式

/usr/sbin/atohexlabel [human-readable-sensitivity-label]

/usr/sbin/atohexlabel -c [human-readable-clearance]

インタフェースレベル

このファイルは、米国国防情報局 (DIA) の必須アクセス制御 (MAC) ポリシーの一部です。このファイルは、Solaris Trusted Extensions ソフトウェアの将来のリリース向けに作成されるその他の MAC ポリシーには適用されない可能性があります。

機能説明

atohexlabel は、人間が読むことのできるラベルを、公開オブジェクトに安全に格納可能な内部テキスト表現に変換します。オプションが指定されない場合、ラベルは機密ラベルと見なされます。

内部変換をあとで構文解析することで、同じ値に戻すことができます。多くの場合、内部形式は 16 進数で記述されます。変換されたラベルは、標準出力ファイルに書き込まれます。人間が読めるラベルを指定しない場合、標準入力ファイルからラベルが読み取られます。このコマンドは、内部データベース内に格納されているラベルを緊急に修復する場合に使用できます。

オプション

-c: 人間の読めるラベルを認可上限として識別します。

終了ステータス

次の終了ステータスが返されます。

0: 正常終了。
1: エラーが発生した。診断は標準エラーファイルに書き込まれる。

ファイル

/etc/security/tsol/label_encodings: ラベルエンコーディングファイルには、このシステムの定義済みラベルに対する格付け名、語句、制約、および値が含まれます。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性レベル	後述の「`注意事項`」を参照

注意事項

コマンド出力の安定性は、同一の label_encodings ファイルを使用する場合は「安定」です。コマンド呼び出しの安定性は、DIA MAC ポリシーを実装するシステムでは「安定」です。

SunOS 5.10 最終更新日 2005 年 8 月 31 日

chk_encodings(1M)

名前

chk_encodings – ラベルエンコーディングファイルの構文の検査

形式

/usr/sbin/chk_encodings [-a] [-c maxclass] [pathname]

インタフェースレベル

機能説明

chk_encodings は、pathname で指定されたラベルエンコーディングファイルの構文を検査します。-a オプションを使用すると、chk_encodings は、pathname で指定されたラベルエンコーディングファイルの意味解析も出力します。pathname が指定されない場合、chk_encodings は /etc/security/tsol/label_encodings ファイルを検査および解析します。

ラベルエンコーディングファイルの解析が要求された場合、エラーが検出された場合でも、実施可能な解析が標準出力ファイルに書き込まれます。

オプション

-a: ラベルエンコーディングファイルの意味解析を実行します。
-c maxclass: ラベルエンコーディングファイルの CLASSIFICATIONS セクションに指定可能な最大格付け値 maxclass (デフォルトは 255) を指定します。

エラー

正常終了時、chk_encodings は終了ステータス 0 (真) を返し、pathname 内にエラーが検出されなかったことを示すメッセージを標準出力ファイルに書き込みます。エラーが検出された場合、chk_encodings はゼロ以外 (偽) の終了コードを返し、診断メッセージを標準出力ファイルに書き込みます。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性レベル	混在。後述の「`注意事項`」を参照

ファイル

/etc/security/tsol/label_encodings: ラベルエンコーディングファイルには、このシステムの定義済みラベルに対する格付け名、語句、制約、および値が含まれます。

注意事項

構文検査の安定性は標準と考えられており、DIA ドキュメント DDS-2600-6216-93、『コンパートメントモードワークステーションのラベル作成: エンコード形式』(1993 年 9 月) により制御されています。コマンド出力の安定性は、未定義です。コマンド呼び出しの安定性は、DIA MAC ポリシーを実装するシステムでは、安定です。

SunOS 5.10 最終更新日 2006 年 3 月 16 日

hextoalabel(1M)

名前

hextoalabel – 内部テキストラベルの人間が読める形式への変換

形式

/usr/sbin/hextoalabel [internal-text-sensitivity-label]

/usr/sbin/hextoalabel -c [internal-text-clearance]

インタフェースレベル

機能説明

hextoalabel は、内部テキストラベルを人間が読める形式に変換し、結果を標準出力ファイルに書き込みます。多くの場合、内部形式は 16 進数で記述されます。オプションが指定されない場合、ラベルは機密ラベルと見なされます。

内部テキストラベルを指定しない場合、標準入力ファイルからラベルが読み取られます。このコマンドは、内部データベース内に格納されているラベルを緊急に修復する場合に使用できます。

オプション

-c: 内部テキストラベルを認可上限として識別します。

終了ステータス

次の終了ステータスが返されます。

0: 正常終了。
1: エラーが発生した。診断は標準エラーファイルに書き込まれる。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性レベル	後述の「`注意事項`」を参照

ファイル

/etc/security/tsol/label_encodings: ラベルエンコーディングファイルには、このシステムの定義済みラベルに対する格付け名、語句、制約、および値が含まれます。

注意事項

SunOS 5.10 最終更新日 2005 年 8 月 31 日

remove_allocatable(1M)

名前 | 形式 | 機能説明 | オプション | エラー | 属性 | 関連項目

名前

remove_allocatable – 割り当てデータベースからのエントリの削除

形式

/usr/sbin/remove_allocatable  [-f] -n name

/usr/sbin/remove_allocatable  [-f] [-d] -t dev-type

機能説明

remove_allocatable は、デバイス割り当て機構からユーザーが割り当て可能なデバイスのエントリを削除します。remove_allocatable は、この機構によりラベル範囲が管理される、一部の割り当て不可能なデバイス (プリンタなど) のエントリも削除します。

オプション

-d: -t で指定されたデバイスタイプの、システム提供のデフォルト属性を削除します。
-f: エントリを強制的に削除します。このオプションを指定しない場合、指定したデバイス名を持つエントリがもはや存在しないと、remove_allocatable はエラーを出力して終了します。
-n name: デバイス name のエントリを削除します。
-t dev-type: デバイスタイプが dev-type であるデバイスを削除します。

エラー

成功した場合、remove_allocatable は終了ステータス 0 (真) を返します。エラーが発生した場合、remove_allocatable は、0 以外の終了ステータスを返します。終了コードとその意味を次に示します。

1: 呼び出し時の構文エラー
2: 原因不明のシステムエラー
3: デバイス name または dev-type が見つからない。このエラーは、-f オプションが指定されていない場合にのみ発生する。
4: アクセス権が拒否された。ユーザーは、データベースに対する DAC または MAC アクセス権を持っていない。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
インタフェースの安定性	下記を参照

呼び出しは不確実です。オプションは不確実です。出力は非インタフェースです。

smtnrhdb(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 終了ステータス | ファイル | 属性 | 関連項目

名前

smtnrhdb – tnrhdb データベース内のエントリの管理

形式

/usr/sadm/bin/smtnrhdb subcommand [auth_args] -- subcommand_args]

機能説明

smtnrhdb コマンドは、tnrhdb データベース内のエントリの追加、変更、削除、および一覧表示を行います。

smtnrhdb のサブコマンドを次に示します。

add: tnrhdb データベースに新規エントリを追加します。エントリを追加するには、管理者が solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。
delete: tnrhdb データベース内のエントリを削除します。エントリを削除するには、管理者が solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。
list: tnrhdb データベース内のすべてのエントリを一覧表示します。エントリを一覧表示するには、管理者が solaris.network.host.read および solaris.network.security.read 承認を保持している必要があります。
modify: tnrhdb データベース内のエントリを変更します。エントリを変更するには、管理者が solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。

オプション

smtnrhdb の認証引数 auth_args は、smc 引数セットから派生します。これらの引数は、使用するサブコマンドに関係なく同じです。smtnrhdb コマンドを成功させるには、Solaris 管理コンソールを初期化する必要があります smc(1M) を参照)。Solaris 管理コンソールサーバーのリブート後に、最初の smc 接続がタイムアウトする可能性があります。この場合は、コマンドを再度実行してください。

サブコマンド固有のオプション subcommand_args の前に、-- オプションを指定する必要があります。

`auth_args`

有効な auth_args は -D、-H、-l、-p、-r、および -u です。これらの指定は任意です。auth_args を指定しない場合、デフォルト値が指定されたものと見なされて、認証用パスワードなどの追加情報の入力がユーザーに求められることがあります。これらの文字の代わりに、二重ダッシュ記号に続けて等価の単語を指定することもできます。たとえば、-D または --domain を使用できます。

-D | --domain domain

管理対象のデフォルトドメインを指定します。domain の構文は、type:/host_name/domain_name です。ここで、type は dns、ldap、file のいずれか、host_name はサーバーの名前、domain_name は管理対象のドメインの名前です。

このオプションを指定しない場合、Solaris 管理コンソールは、管理対象として選択したサーバーの file デフォルトドメインと見なします。つまり、変更はサーバーに対してローカルであることになります。ツールボックスでは、ドメインをツールごとに変更できます。このオプションにより、その他すべてのツール用のドメインが指定されます。

-H | --hostname host_name:port

接続先の host_name および port を指定します。port を指定しない場合、システムはデフォルトポート 898 に接続されます。 host_name:port を指定しない場合、Solaris 管理コンソールは、ローカルホストのポート 898 に接続します。

-l | --rolepassword role_password

role_name のパスワードを指定します。role_name を指定するが、role_password を指定しない場合、システムにより role_password の入力が求められます。コマンド行に指定したパスワードは、システムのすべてのユーザーが表示できます。このため、このオプションは安全ではないと見なされます。

-p | --password password

user_name のパスワードを指定します。パスワードを指定しない場合、システムによりパスワードの入力が求められます。コマンド行に指定したパスワードは、システムのすべてのユーザーが表示できます。このため、このオプションは安全ではないと見なされます。

-r | --rolename role_name

認証に使用する役割名を指定します。このオプションを指定しない場合、役割なしと見なされます。

-u | --username user_name

認証に使用するユーザー名を指定します。このオプションを指定しない場合、コンソールプロセスを実行しているユーザーの ID が想定されます。

--

このオプションは必須であり、常に先行するオプションのあとに指定する必要があります。先行するオプションを入力しない場合でも、-- オプションを入力する必要があります。

`subcommand_args`

注: 空白文字を含む説明およびその他の引数オプションは、二重引用符で囲む必要があります。

-h: コマンドの使用方法を表示します。
-H hostname: ホストの名前を指定します。list サブコマンドの場合は、hostname 引数は指定しません。ipaddress サブコマンド引数を指定した場合、この指定は不要です。
-i ipaddress: ホストの IP アドレスを指定します。hostname サブコマンド引数を指定した場合、この指定は不要です。
-n templatename: テンプレートの名前を指定します。
-p prefixlen: IP アドレスのワイルドカード表現の接頭辞の長さを指定します (単位はビット)。接頭辞は、IP アドレスの一番左の部分です。
-w ipaddress-wildcard: ワイルドカードを使ってサブネットの IP アドレスを指定します。

サブコマンド add では、次のいずれかの引数セットを指定する必要があります。

-H hostname -n templatename |
-i ipaddress -n templatename |
-w ipaddress-wildcard -n templatename [ -p prefixlen ] |
-h

サブコマンド modify では、次のいずれかの引数セットを指定する必要があります。

-H hostname -n templatename |
-i ipaddress -n templatename |
-w ipaddress-wildcard -n templatename [ -p prefixlen ] |
-h

サブコマンド delete では、次のいずれかの引数セットを指定する必要があります。
-H hostname | -i ipaddress | -w ipaddress-wildcard [ -p prefixlen ] | -h
サブコマンド list には次の引数を指定します。
-h

使用例

例 1 ワイルドカード IP アドレスのテンプレート名を指定する

管理役割は、ローカルのファイルシステム上で IP アドレスワイルドカード 192.168.113.0 を使用する一連のホストに対して、テンプレート名 cipso_lan を指定します。認証引数が指定されなかったため、管理者は、デフォルトの file ドメインタイプを使用して、ローカルサーバー上のローカルホストのポート 898 に接続します。管理者には、管理パスワードの入力が求められます。

$ /usr/sadm/bin/smtnrhdb add -- -w 192.168.113.0 -n cipso_lan

例 2 `tnrhdb` データベース内のエントリを削除する

管理役割は、LDAP サーバーのポート 898 (デフォルト、これ以外のポートも使用可) に接続し、IP アドレス 192.168.113.8 を指定して、データベースからホストエントリを削除します。ドメインが指定されていないため、デフォルトの file ドメインタイプおよびローカルサーバーが使用されます。管理者には、管理パスワードの入力が求められます。

/usr/sadm/bin/smtnrhdb delete \
-D ldap:/example.domain -i 192.168.113.8

終了ステータス

次の終了ステータスが返されます。

0: 正常終了。
1: 無効なコマンド構文。使用方法を示すメッセージが表示される。
2: コマンドの実行中にエラーが発生した。エラーメッセージが表示される。

ファイル

smtnrhdb コマンドにより、次のファイルが使用されます。

/etc/security/tsol/tnrhdb: トラステッドネットワーク遠隔ホストデータベース。tnrhdb(4) を参照。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWmgts

smtnrhtp(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 終了ステータス | ファイル | 属性 | 関連項目

名前

smtnrhtp – トラステッドネットワークテンプレートデータベース内のエントリの管理

形式

/usr/sadm/bin/smtnrhtp subcommand [auth_args] -- [subcommand_args]

機能説明

smtnrhtp コマンドは、tnrhtp データベース内のエントリの追加、変更、削除、および一覧表示を行います。

smtnrhtp のサブコマンドを次に示します。

add: tnrhtp データベースに新規エントリを追加します。エントリを追加するには、管理者が solaris.network.security.read および solaris.network.security.write 承認を保持している必要があります。
modify: tnrhtp データベース内のエントリを変更します。エントリを変更するには、管理者が solaris.network.security.read および solaris.network.security.write 承認を保持している必要があります。
delete: tnrhtp データベース内のエントリを削除します。エントリを削除するには、管理者が solaris.network.security.read および solaris.network.security.write 承認を保持している必要があります。
list: tnrhtp データベース内のエントリを一覧表示します。エントリを一覧表示するには、管理者が solaris.network.security.read 承認を保持している必要があります。

オプション

smtnrhtp 認証の引数 auth_args は、smc 引数セットから派生し、使用するサブコマンドに関係なく同じです。smtnrhtp コマンドを成功させるには、Solaris 管理コンソールを初期化する必要があります (smc(1M) を参照)。Solaris 管理コンソールサーバーのリブート後に、最初の smc 接続がタイムアウトする可能性があります。この場合は、コマンドを再度実行してください。

サブコマンド固有のオプション subcommand_args の前に、-- オプションを指定する必要があります。

`auth_args`

-D | --domain domain

-H | --hostname host_name:port

接続先の host_name および port を指定します。port を指定しない場合、システムはデフォルトポート 898 に接続されます。host_name:port を指定しない場合、Solaris 管理コンソールは、ローカルホストのポート 898 に接続します。

-l | --rolepassword role_password

role_name のパスワードを指定します。role_name を指定するが、role_password を指定しない場合、システムにより role_password の入力が求められます。コマンド行に指定したパスワードは、システムのすべてのユーザーが見ることができます。このため、このオプションは安全ではないと考えられます。

-p | --password password

user_name のパスワードを指定します。パスワードを指定しない場合、システムによりパスワードの入力が求められます。コマンド行に指定したパスワードは、システムのすべてのユーザーが見ることができます。このため、このオプションは安全ではないと考えられます。

-r | --rolename role_name

認証に使用する役割名を指定します。このオプションを指定しない場合、役割なしと見なされます。

-u | --username user_name

認証に使用するユーザー名を指定します。このオプションを指定しない場合、コンソールプロセスを実行しているユーザーの ID が想定されます。

--

`subcommand_args`

注: 空白文字を含む説明およびその他の引数オプションは、二重引用符で囲む必要があります。

-h: コマンドの使用方法を表示します。
-n templatename: テンプレートの名前を指定します。
-t hosttype: 新規ホストのホストタイプを指定します。有効な値は、unlabeled および cipso です。
-x doi=doi-value: DOI 値を指定します。
-x max=maximum-label: 最上位のラベルを指定します。値は、16 進数値または文字列 (admin_high など) で指定できます。
-x min=minimum-label: 最下位のラベルを指定します。値は、16 進数値または文字列 (admin_low など) で指定できます。
-x label=default-label: ホストタイプが unlabeled の場合の、デフォルトラベルを指定します。hosttype が CIPSO の場合、このオプションは適用されません。値は、16 進数値または文字列 (admin_low など) で指定できます。
-x slset=l1, l2,l3,l4: 機密ラベルのセットを指定します。4 つまでのラベル値を、コンマで区切って指定できます。値は、16 進数値または文字列 (admin_low など) で指定できます。

サブコマンド add では、次のいずれかの引数セットを指定する必要があります。
-n template name (
)
サブコマンド modify では、次のいずれかの引数セットを指定する必要があります。
-n template name (
)
注: ホストタイプを変更した場合は、新規ホストタイプ用のすべてのオプションを指定する必要があります。
サブコマンド delete では、次のいずれかの引数セットを指定する必要があります。
-n templatename | -h
サブコマンド list では、次の引数を指定できます。
-n templatename | -h

使用例

例 1 ネットワークテンプレートデータベースに新規エントリを追加する

管理役割は LDAP サーバーのポート 898 に接続して、tnrhtp データベース内に unlabeled_ntk エントリを作成します。新規テンプレートには、ホストタイプ unlabeled、解釈ドメイン 1、最下位のラベル public、最上位のラベル restricted、デフォルトラベル needtoknow が割り当てられます。管理者には、管理パスワードの入力が求められます。

$ /usr/sadm/bin/smtnrhtp \
add -D ldap:directoryname -H servername:898 -- \
-n unlabeled_ntk -t unlabeled -x DOI=1 \
-x min=public -x max=restricted -x label="need to know"

終了ステータス

次の終了ステータスが返されます。

0: 正常終了。
1: 無効なコマンド構文。使用方法を示すメッセージが表示される。
2: コマンドの実行中にエラーが発生した。エラーメッセージが表示される。

ファイル

smtnrhtp コマンドにより、次のファイルが使用されます。

/etc/security/tsol/tnrhtp: トラステッドネットワーク遠隔ホストテンプレート。tnrhtp(4) を参照。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWmgts

smtnzonecfg(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 終了ステータス | ファイル | 属性 | 関連項目

名前

smtnzonecfg – Trusted Extensions ネットワーキング用ゾーン構成データベース内のエントリの管理

形式

/usr/sadm/bin/smtnzonecfg subcommand [auth_args] -- [subcommand_args]

機能説明

smtnzonecfg コマンドは、tnzonecfg データベース内のエントリの追加、変更、削除、および一覧表示を行います。

smtnzonecfg のサブコマンドを次に示します。

add: tnzonecfg データベースに新規エントリを追加します。エントリを追加するには、管理者が solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。
modify: tnzonecfg データベース内のエントリを変更します。エントリを変更するには、管理者は solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。
delete: tnzonecfg データベースからエントリを削除します。エントリを削除するには、管理者は solaris.network.host.write および solaris.network.security.write 承認を保持している必要があります。
list: tnzonecfg データベース内のエントリを一覧表示します。エントリを一覧表示するには、管理者が solaris.network.host.read および solaris.network.security.read 承認を保持している必要があります。

オプション

smtnzonecfg の認証引数 auth_args は、smc 引数セットから派生し、使用するサブコマンドに関係なく同じです。smtnzonecfg コマンドを成功させるには、Solaris 管理コンソールを初期化する必要があります (smc(1M) を参照)。Solaris 管理コンソールサーバーのリブート後に、最初の smc 接続がタイムアウトする可能性があります。この場合は、コマンドを再度実行してください。

サブコマンド固有のオプション subcommand_args の前に、-- オプションを指定する必要があります。

`auth_args`

-D | --domain domain

このオプションを指定しない場合、Solaris 管理コンソールは、管理対象として選択したサーバーの file デフォルトドメインと見なします。つまり、変更はサーバーに対してローカルであることになります。ツールボックスを使用すると、ドメインをツール単位で変更できます。このオプションでは、その他すべてのツール用のドメインを指定します。

-H | --hostname host_name:port

接続先の host_name および port を指定します。port を指定しない場合、システムはデフォルトポート 898 に接続されます。host_name:port を指定しない場合、Solaris 管理コンソールは、ローカルホストのポート 898 に接続します。

-l | --rolepassword role_password

-p | --password password

user_name のパスワードを指定します。パスワードを指定しない場合、システムによりパスワードの入力が求められます。コマンド行に指定したパスワードは、システムのすべてのユーザーが表示できます。このため、このオプションは安全ではないと考えられます。

-r | --rolename role_name

認証に使用する役割名を指定します。このオプションを指定しない場合、役割なしと見なされます。

-u | --username user_name

認証に使用するユーザー名を指定します。このオプションを指定しない場合、コンソールプロセスを実行しているユーザーの ID が想定されます。

--

`subcommand_args`

注: 空白文字を含む説明およびその他の引数オプションは、二重引用符で囲む必要があります。

-h

コマンドの使用方法を表示します。

-n zonename

エントリのゾーン名を指定します。この名前は、ゾーンの構成時に使用されます。zonename では、大文字と小文字が区別されます。指定するゾーン名は、システムの構成済みのゾーンのいずれかである必要があります。次のコマンドは、構成済みのゾーンの一覧を返します。

/usr/sbin/zoneadm list -c

-l label

ゾーンのラベルを指定します。このフィールドは、ゾーン起動時のゾーンへのラベル付けで使用されます。

-x policymatch=0| 1

非トランスポートトラフィックのポリシー一致レベルを指定します。指定可能な値は、0 (ラベルに一致する) または 1 (ゾーンのラベル範囲内にある) だけです。詳細は、tnzonecfg(4) を参照してください。このサブコマンド引数は省略可能です。指定しない場合、デフォルト値の 0 が使用されます。

-x mlpzone=“”|port/protocol

ゾーン固有 IP アドレス用のマルチレベルポート構成エントリを指定します。複数の port/protocol を、セミコロンで区切って指定できます。既存の MLP ゾーン値すべてを削除する場合は、空の文字列を指定できます。このサブコマンド引数は省略可能です。

-x mlpshared=“”|port/protocol

共有 IP アドレス用のマルチレベルポート構成エントリを指定します。複数の port/protocol を、セミコロンで区切って指定できます。既存の MLP 共有値すべてを削除する場合は、空の文字列を指定できます。このサブコマンド引数は省略可能です。

サブコマンド add では、次のいずれかの引数セットを指定する必要があります。

-n zonename -l label [-x policymatch=policy-match-level \
-x mlpzone=port/protocol;.... | -x mlpshared=port/protocol;.... ] 

-h

サブコマンド modify では、次のいずれかの引数セットを指定する必要があります。

-n zonename [-l label] [-x policymatch=policy-match-level \
-x mlpzone=port/protocol;.... | -x mlpshared=port/protocol;.... ] 

-h

サブコマンド delete では、次のいずれかの引数を指定する必要があります。
-n zonename | -h
サブコマンド list では、次の引数を指定できます。
-n zonename | -h

使用例

例 1 ゾーン構成データベースに新規エントリを追加する

管理役割は、ラベル public、ポリシー一致レベル 1、共有 MLP ポート 666、およびプロトコル TCP を使って、新規ゾーンエントリ public を作成します。管理者には、管理パスワードの入力が求められます。

$ /usr/sadm/bin/smtnzonecfg add -- -n public -l public \
-x policymatch=1 -x mlpshared=666/tcp

例 2 ゾーン構成データベース内のエントリを変更する

管理役割は、tnzonecfg データベース内の public エントリを needtoknow に変更します。管理者には、管理パスワードの入力が求められます。

$ /usr/sadm/bin/smtnzonecfg modify -- -n public -l needtoknow

例 3 ゾーン構成データベースを一覧表示する

管理役割は、tnzonecfg データベース内のエントリを一覧表示します。管理者には、管理パスワードの入力が求められます。

$ /usr/sadm/bin/smtnzonecfg list --

終了ステータス

次の終了ステータスが返されます。

0: 正常終了。
1: 無効なコマンド構文。使用方法を示すメッセージが表示される。
2: コマンドの実行中にエラーが発生した。エラーメッセージが表示される。

ファイル

smtnzonecfg コマンドにより、次のファイルが使用されます。

/etc/security/tsol/tnzonecfg: トラステッドゾーン構成データベース。tnzonecfg(4) を参照。

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWmgts

tnchkdb(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 属性 | ファイル | 関連項目 | 注意事項

名前

tnchkdb – トラステッドネットワークデータベースのファイル構文の検査

形式

/usr/sbin/tnchkdb  [-h path] [-t path] [-z path]

機能説明

tnchkdb は、tnrhtp(4)、tnrhdb(4)、および tnzonecfg(4) データベースの構文を検査します。デフォルトでは、各ファイルのパスは次のとおりです。

/etc/security/tsol/tnrhtp
/etc/security/tsol/tnrhdb
/etc/security/tsol/tnzonecfg

コマンド行で -h (tnrhdb)、-t (tnrhtp)、および -z (tnzonecfg) オプションとともにパスを指定することで、一部またはすべてのファイルの代替パスを指定できます。このオプションは、変更したファイルセットを新規システムデータベースとしてインストールする前にテストする場合に便利です。

3 つのデータベースファイルすべての整合性が検査されます。すべてのファイルが構文的に正しく、かつ可能な範囲内で意味的に正しい場合、tnchkdb は終了ステータス 0 を返します。1 つ以上のファイルにエラーが存在する場合、終了ステータス 1 が返されます。ファイルを読み込むことができないなど、コマンド行の指定に問題がある場合は、終了ステータス 2 が返されます。エラーは、標準エラーに書き込まれます。

tnrhtp 内にエラーが存在する場合、エラーが階層的に発生することを防ぐために、tnrhdb 内のテンプレート名は検査されません。

tnchkdb は任意のラベルで実行できますが、標準の /etc/security/tsol ファイルを表示できるのは大域ゾーンだけです。

オプション

-h [ path ]: path を検査して、tnrhdb の構文が適切かどうかを調べます。path が指定されない場合は、/etc/security/tsol/tnrhdb を検査します。
-t [ path ]: path を検査して、tnrhtp の構文が適切かどうかを調べます。path が指定されない場合は、/etc/security/tsol/tnrhtp を検査します。
-z [ path ]: path を検査して、tnzonecfg の構文が適切かどうかを調べます。path が指定されない場合は、/etc/security/tsol/tnzonecfg を検査します。

使用例

例 1 エラーメッセージの例

tnchkdb コマンドは、CIPSO エラーを検査します。この例では、admin_low テンプレートのデフォルトラベルが、不正な値 ADMIN_HIGH です。

# tnchkdb
checking /etc/security/tsol/tnrhtp ...
tnchkdb: def_label classification 7fff is invalid for cipso labels:
line 14 entry admin_low
tnchkdb: def_label compartments 241-256 must be zero for cipso labels:
line 14 entry admin_low
checking /etc/security/tsol/tnrhdb ...
checking /etc/security/tsol/tnzonecfg ...

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性 (コマンド行)	開発中
安定性 (出力)	不安定

ファイル

/etc/security/tsol/tnrhdb: トラステッドネットワーク遠隔ホストデータベース
/etc/security/tsol/tnrhtp: トラステッドネットワーク遠隔ホストテンプレート
/etc/security/tsol/tnzonecfg: トラステッドゾーン構成データベース

注意事項

LDAP を使って欠落したテンプレートを提供する場合、tnrhtp および tnrhdb の構成が一貫してはいなくても有効であることがあります。

SunOS 5.10 最終更新日 2006 年 6 月 26 日

名前 | 形式 | 機能説明 | オプション | 使用例 | 属性 | ファイル | 関連項目 | 注意事項

tnctl(1M)

名前 | 形式 | 機能説明 | オプション | 属性 | ファイル | 関連項目 | 注意事項 | 警告

名前

tnctl – Trusted Extensions ネットワークパラメータの構成

形式

/usr/sbin/tnctl [-dfv] [-h host [/prefix] [:template]] [-m zone:mlp:shared-mlp]
 [-t template [:key=val [;key=val]]] [-HTz] file]

機能説明

tnctl は、Solaris カーネル内のトラステッドネットワークパラメータを操作するためのインタフェースを提供します。

システムの起動時に、Solaris Trusted Extensions の初期化処理の一部として、smf(5) スクリプトにより tnctl が大域ゾーン内で実行されます。tnctl は、通常のシステム管理での使用を意図したコマンドではありません。Solaris 管理コンソールを使用せずにローカルのトラステッドネットワークデータベースファイルが変更された場合、管理者は最初に tnchkdb(1M) を発行して構文を検査してから、このコマンドを使ってカーネルのコピーを更新します。

# svcadm restart svc:/network/tnctl

実行中のシステム上の遠隔ホストおよびテンプレート情報を変更することの危険については、「警告」を参照してください。

オプション

-d

一致するエントリをカーネルから削除します。デフォルトでは、新規エントリを追加します。

MLP を削除する場合は、MLP の範囲が正確に一致している必要があります。MLP の指定は、次の形式で行います。

port[-port]/protocol

ここで、port には 1 〜 65535 の範囲の値、または既知の任意のサービスを指定できます (services(4) を参照)。protocol には、1 〜 255 の範囲の値または既知の任意のプロトコルを指定できます (protocols(4) を参照)。

-f

コマンド行で指定されたエントリをロードする前に、すべてのカーネルエントリをフラッシュします。1 つ以上のエントリの構文解析が成功しない場合、フラッシュは実行されません。

-v

冗長モードを有効にします。

-h host[/ prefix][:template]

指定された host についてのカーネル遠隔ホストキャッシュを更新します。テンプレート名が指定されている場合は、指定された template を使ってカーネルのキャッシュを変更します。prefix が指定されていない場合、tnrhdb(4) の解釈に使用した規則に従って、示された接頭辞の長さが決定されます。-d を指定する場合は、テンプレート名は指定できません。

-m zone: mlp:shared-mlp

指定された zone に対するカーネルのマルチレベルポート (MLP) 構成キャッシュを変更します。zone には、更新するゾーンを指定します。mlp および shared-mlp は、ゾーン固有および共有の IP アドレス用の MLP を指定します。shared-mlp フィールドは、大域ゾーンのみで有効です。

-t template[ key=val[;key=val]]

template のカーネルテンプレートキャッシュを更新します。また、key=val ペアのリストが指定された場合は、カーネルのキャッシュを変更して指定されたエントリを使用します。-d が指定された場合は、key=val ペアは指定できません。エントリの形式については、tnrhtp(4) を参照してください。

-T file

file 内のテンプレートエントリすべてをカーネルキャッシュに読み込みます。

-H file

file 内の遠隔ホストエントリすべてをカーネルキャッシュに読み込みます。

-z file

大域ゾーンの MLP だけを file からカーネルキャッシュに読み込みます。非大域ゾーンの MLP の再読み込むを行うには、ゾーンを再起動します。

# zoneadm -z non-global zone reboot

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性レベル	不安定

ファイル

/etc/security/tsol/tnrhdb: トラステッドネットワーク遠隔ホストデータベース
/etc/security/tsol/tnrhtp: トラステッドネットワーク遠隔ホストテンプレート
/etc/security/tsol/tnzonecfg: トラステッドゾーン構成データベース
/etc/nsswitch.conf: ネームサービススイッチの構成ファイル

注意事項

tnctl サービスは、サービス管理機能 smf(5) により、サービス識別子の下で管理されます。

svc:/network/tnctl

サービスのステータスは、svcs(1) を使って問い合わせることができます。このサービスに対する管理操作 (カーネルキャッシュの更新など) は、svcadm(1M) を使って実行できます。次に例を示します。

svcadm refresh svc:/network/tnctl

警告

ネットワークの稼働中にテンプレートを変更すると、不特定数のホストのセキュリティー表示が変更される可能性があります。

SunOS 5.10 最終更新日 2006 年 6 月 26 日

名前 | 形式 | 機能説明 | オプション | 属性 | ファイル | 関連項目 | 注意事項 | 警告

tnd(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 属性 | ファイル | 関連項目 | 注意事項

名前

tnd – トラステッドネットワークデーモン

形式

/usr/sbin/tnd [-p poll-interval]

機能説明

tnd (トラステッドネットワークデーモン) は、トラステッドネットワークデータベースを使ってカーネルを初期化し、また要求に従って LDAP サーバーおよびローカルファイルからデータベースの再読み込みを行います。tnd は、設定データベースを読み込む際、nsswitch.conf(4) は、ブート処理の冒頭で起動されます。tnd は、ブート処理の冒頭で起動されます。

tnd は、次の 2 つのデータベースをカーネルに読み込みます。遠隔ホストデータベース tnrhdb(4) および遠隔ホストテンプレートデータベース tnrhtp(4) です。これらのデータベースの内容、およびデータベースがトラステッドネットワークに与える影響については、それぞれのマニュアルページを参照してください。関連する LDAP データベースまたはローカルデータベースが変更されると、tnd はローカルカーネルのキャッシュを、決められた間隔で更新します。

ローカルのトラステッドネットワークデータベースファイルが変更された場合、管理者は tnchkdb(1M) を実行して構文を検査するとともに、svcadm refresh svc:/network/tnd を実行して tnd によるデータベース走査をすぐに開始する必要があります。

tnd は smf(5) スクリプトから起動され、大域ゾーンで実行されることを前提としています。次に示すシグナルは、svcadm の特定の処理を引き起こします。

SIGHUP

svcadm refresh svc:/network/tnd を実行します。

ローカルおよび LDAP tnrhdb と tnrhtp データベースの再走査が開始されます。tnd は、検出された変更点を使ってカーネルデータベースを更新します。

SIGTERM

svcadm disable svc:/network/tnd を実行します。

tnd デーモンを停止します。カーネルデータベースは変更されません。

オプション

-p poll-interval: ポーリング間隔を poll-interval 秒に設定します。デフォルトの poll-interval は 1800 秒 (30 分) です。

使用例

例 1 ポーリング間隔の変更

次のコマンドは、ポーリング間隔を 1 時間に変更して、この間隔を SMF リポジトリに格納します。次回のブート時に、tnd のポーリング間隔は 1 時間になります。

# svccfg -s network/tnd setprop tnd/poll_interval=3600

次のコマンドは、ポーリング間隔を変更しますが、リポジトリの更新は行いません。次回のブート時、tnd のポーリング間隔はデフォルトの 30 分のままです。

# tnd -p 3600

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性レベル (コマンド)	安定
安定性レベル (サービス)	プロジェクト非公開

ファイル

/etc/security/tsol/tnrhdb: トラステッドネットワーク遠隔ホストデータベース
/etc/security/tsol/tnrhtp: トラステッドネットワーク遠隔ホストテンプレート
/etc/security/tsol/tnzonecfg: トラステッドゾーン構成データベース
/etc/nsswitch.conf: ネームサービススイッチの構成ファイル

注意事項

tnd サービスは、サービス管理機能 smf(5) により、サービス識別子の下で管理されます。

svc:/network/tnd

サービスの状態は、svcs(1) を使って問い合わせることができます。このサービスに対する管理操作 (デーモンの再起動要求など) は、svcadm(1M) を使って実行できます。次に例を示します。

svcadm restart svc:/network/tnd

SunOS 5.10 最終更新日 2006 年 6 月 26 日

名前 | 形式 | 機能説明 | オプション | 使用例 | 属性 | ファイル | 関連項目 | 注意事項

tninfo(1M)

名前 | 形式 | 機能説明 | オプション | 使用例 | 属性 | ファイル | 関連項目

名前

tninfo – カーネルレベルのネットワークに関する情報と統計の出力

形式

/usr/sbin/tninfo [-h hostname] [-m zone-name] [-t template]

機能説明

tninfo は、カーネルレベルのネットワーク情報と統計を取得して表示するためのインタフェースを提供します。

オプション

-h hostname: 遠隔ホストキャッシュ内にある、指定されたホストのセキュリティー構造を表示します。出力には、tnrhdb データベース内で指定された内容が反映されます。
-m zone-name: 指定したゾーンに関連付けられた MLP 構成を表示します。出力には、tnzonecfg データベース内で指定された内容が反映されます。
-t template: 指定した template に関連付けられている構造を表示します。出力には、tnrhtp データベース内で指定された内容が反映されます。

使用例

例 1 カーネル内にキャッシュされた遠隔ホスト構造を表示する

この例では、カーネル内にキャッシュされた遠隔ホスト構造を表示します。出力には、tnrhdb データベース内の定義が反映されます。

# tninfo -h machine1
   IP address= 192.168.8.61
   Template = cipso

例 2 大域ゾーンのマルチレベルポートを表示する

この例では、カーネルでキャッシュされた大域ゾーンの MLP を表示します。出力には、tnzonecfg データベース内の定義、および動的に割り当てられたすべての MLP が反映されます。private は、ゾーン固有の MLP を示します。

# tninfo -m global
private:23/tcp;111/tcp;111/udp;515/tcp;2049/tcp;6000-6003/tcp;
        32812/tcp;36698/ip;38634/tcp;64365/ip
shared: 6000-6003/tcp

例 3 `cipso` テンプレート定義を表示する

この例では、カーネルでキャッシュされた cipso テンプレート定義を表示します。出力には、tnrhtp データベース内の定義が反映されます。

# tninfo -t cipso
=====================================
   Remote Host Template Table Entries:
   __________________________
   template: cipso
   host_type: CIPSO
   doi: 1
   min_sl: ADMIN_LOW
   hex: ADMIN_LOW
   max_sl: ADMIN_HIGH
   hex: ADMIN_HIGH

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性 (コマンド行)	開発中
安定性 (出力)	不安定

ファイル

/etc/security/tsol/tnrhdb: トラステッドネットワーク遠隔ホストデータベース
/etc/security/tsol/tnrhtp: トラステッドネットワーク遠隔ホストテンプレート
/etc/security/tsol/tnzonecfg: トラステッドゾーン構成データベース

updatehome(1M)

名前 | 形式 | 機能説明 | オプション | 戻り値 | 使用例 | 属性 | ファイル | 関連項目

名前

updatehome – 現在のラベル用のホームディレクトリのコピーファイルとリンクファイルの更新

形式

/usr/bin/updatehome [-cirs]

機能説明

updatehome は、ユーザーの最下位ラベルのコピーおよびリンク制御ファイル (.copy_files と .link_files) を読み込みます。これらのファイルには、コピーするファイルの一覧、およびユーザーの最下位ラベルのホームディレクトリから現在のラベルのホームディレクトリへシンボリックリンクするファイルの一覧が含まれます。

Solaris Trusted Extensions dtsession プログラムは、新たにラベル付けされたワークスペースが作成されるたびに updatehome を実行します。これにより、ユーザーが使用したいファイルが利用可能になります。たとえば、たいていの場合、ユーザーは .profile、.login、.cshrc、.exrc、.mailrc、および ~/bin などのファイルへのシンボリックリンクを必要とします。updatehome は、このシンボリックリンクを実現する便利な機構を提供します。ユーザーは、コピーするファイルのリスト (.copy_files) およびシンボリックリンクを設定するファイルのリスト (.link_files) にファイルを追加できます。

オプション

-c: 現在のラベルを持つ既存のホームディレクトリのコピーを置換します。デフォルトでは、既存のコピーの置換は実行しません。
-i: エラーが発生しても無視します。デフォルトでは、エラー発生時は異常終了します。
-r: 現在のラベルを持つ既存のホームディレクトリのコピーまたはシンボリックリンクを置換します。このオプションは、-c および -s オプションを合わせた意味を持ちます。デフォルトでは、既存のコピーやシンボリックリンクの置換は実行しません。
-s: 現在のラベルを持つ既存のホームディレクトリのシンボリックリンクを置換します。デフォルトでは、既存のシンボリックリンクの置換は実行しません。

戻り値

正常終了時に、updatehome は 0 を返します。エラー終了時には、updatehome は 1 を返して、診断メッセージを標準エラー出力に書き込みます。

使用例

例 1 `.copy_files` ファイルの例

.copy_files に記述されているファイルは、すべてのユーザーラベルで変更できます。

.cshrc 
.mailrc 
.mozilla/bookmarks.html

例 2 `.link_files` ファイルの例

.link_files に記述されているファイルは、最下位のラベルで変更できます。変更は、ユーザーが利用可能なほかのラベルに伝達されます。

~/bin
.mozilla/preferences
.xrc
.rhosts

例 3 リンクファイルとコピーファイルを更新する

.copy_files および .link_files は、ユーザーにより最下位のラベルで更新されました。ユーザーは、より高位のラベルでコピーおよびリンクを更新します。このコマンドを実行するのに権限は不要です。

% updatehome -r

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsu
安定性	安定

ファイル

$HOME/.copy_files: コピーするファイルのリスト
$HOME/.link_files: シンボリックリンクを作成するファイルのリスト

システム管理コマンド

add_allocatable(1M)

名前

形式

機能説明

オプション

エラー

属性

関連項目

atohexlabel(1M)

名前

形式

インタフェースレベル

機能説明

オプション

終了ステータス

ファイル

属性

関連項目

注意事項

chk_encodings(1M)

名前

形式

インタフェースレベル

機能説明

オプション

エラー

属性

ファイル

関連項目

注意事項

hextoalabel(1M)

名前

形式

インタフェースレベル

機能説明

オプション

終了ステータス

属性

ファイル

関連項目

注意事項

remove_allocatable(1M)

名前

形式

機能説明

オプション

エラー

属性

関連項目

smtnrhdb(1M)

名前

形式

機能説明

オプション

auth_args

subcommand_args

使用例

例 1 ワイルドカード IP アドレスのテンプレート名を指定する

例 2 tnrhdb データベース内のエントリを削除する

終了ステータス

ファイル

属性

関連項目

smtnrhtp(1M)

名前

形式

機能説明

オプション

auth_args

subcommand_args

使用例

例 1 ネットワークテンプレートデータベースに新規エントリを追加する

終了ステータス

ファイル

属性

関連項目

smtnzonecfg(1M)

名前

形式

`auth_args`

`subcommand_args`

例 2 `tnrhdb` データベース内のエントリを削除する

`auth_args`

`subcommand_args`

`auth_args`

`subcommand_args`

例 3 `cipso` テンプレート定義を表示する

例 1 `.copy_files` ファイルの例

例 2 `.link_files` ファイルの例