名前 | 形式 | 機能説明 | 使用例 | 属性 | ファイル | 関連項目
/etc/security/tsol/tnzonecfg
tnzonecfg データベースは、ローカルホスト用の Solaris Trusted Extensions ゾーン構成エントリのリストです。このデータベースでは、ゾーン名を使ってインデックスが作成されます。各構成エントリでは、ゾーンのラベル、マルチレベルポート (MLP)、およびゾーン作成用のその他のゾーン関連情報を指定します。
ゾーン構成データベース内の各エントリは、5 つのフィールドで構成されます。各エントリは、各フィールドがコロン (:) で区切られた 1 つの長い行になっています。
zone-name:label:network-policy:zone-mlp-list:shared-mlp-list global:ADMIN_LOW:1:6000-6003/tcp:6000-6003/tcp |
行の先頭のポンド記号 (#) はコメント行であることを示し、コメント行は無視されます。
ゾーンの名前。この名前は、ゾーンの構成時に使用されます。ゾーン名の制限については、zonecfg(1M) の -z zonename オプションを参照してください。
ゾーンのラベル。ゾーンの起動時に、このフィールドを使ってゾーンがラベル付けされます。ラベルには、短縮化された 16 進数形式、またはテキスト形式を使用できます。ラベルは、label_encodings ファイル内で定義されます。各ゾーンのラベルは一意でなければなりません。
すべての非トランスポートトラフィックを処理するためのポリシー。正確なゾーンラベルが必須であるか、ラベル範囲の一致が許可される場合に、このフィールドを使って非 MLP トラフィック用のポリシーが決定されます。値 0 は、受信パケットに対してゾーンラベルが厳密に一致することを示します。このフィールドが 1 に設定されている場合、受信側のホストは、ホストの認可範囲内でパケットを受信します。
大域ゾーンの network-policy フィールドが 1 に設定されている場合、大域ゾーンの IP アドレス上で受信する ICMP パケットは、大域ゾーンの tnrhtp エントリのラベル範囲に基づいて受け入れられます。ゾーンに対してこのフィールドが 0 に設定されている場合、ゾーンはラベルの異なるホストからの ICMP エコー要求に応答しません。
ゾーンに所属する IP アドレス上にある、そのゾーンのマルチレベルポート構成エントリ。zone-mlp-list は、セミコロンで区切られた MLP 構成エントリのリストです。各 MLP 構成エントリは、port/protocol または port-range/protocol で指定されます。たとえば、6001-6003/tcp は、tcp ポート 6001、6002、および 6003 がすべて MLP であることを意味します。
MLP は、大域ゾーンと非大域ゾーンの両方でマルチレベルサービスを提供するために使用されます。非大域ゾーンで MLP を使用する方法を示す例として、2 つのラベル付きゾーン internal および public を設定する場合を考えましょう。internal ゾーンは、会社のネットワークにアクセスできます。public ゾーンは公開されたインターネットにアクセスできますが、会社の内部ネットワークにはアクセスできません。ブラウズを安全に行うため、internal ゾーン内のユーザーがインターネットをブラウズする場合、internal ゾーンのブラウザは URL を public ゾーンに転送します。その後、Web コンテンツが public ゾーンの Web ブラウザに表示されます。このため、public ゾーン内へのダウンロードが原因で Web ブラウザが危殆化する場合でも、会社の内部ネットワークが影響を受けることはありません。この設定を行うために、 public ゾーン内の tcp ポート 8080 は MLP (8080/tcp) になります。また、public ゾーンの tnrhtp テンプレートが PUBLIC から INTERNAL のラベル範囲を保持するようにします。
共有 IP アドレスのマルチレベルポート構成エントリです。shared-mlp-list は、セミコロンで区切られた MLP 構成エントリのリストです。各 MLP 構成エントリの指定には、port/protocol の形式を使用します。ほかのゾーンは共有インタフェース上にあるこの port/protocol にはアクセスできません。2 つ以上のゾーンで shared-mlp-list フィールドに同じ port/protocol を指定すると構成エラーとなります。
共有 IP アドレスを使用すると、特に大量のゾーンを構成する場合に、システムで必要とされる IP アドレスの総数を減らすことができます。ネットワークトラフィックが共有インタフェース上の、ゾーンの shared-mlp-list で指定されているポートで受信された場合、ほかのゾーンがそのトラフィックを受信することはできません。
tnzonecfg データベースを変更するごとに、管理者はあとで tnchkdb(1M) を実行して構文を検査するようにしてください。ネットワークの稼働中にこのデータベースが変更された場合、tnctl(1M) によりカーネルが更新されるまで、変更は有効になりません。
各ゾーンエントリは、データベースファイル内で 1 行で記述されます。
この例では、4 つの非大域ゾーン public、internal、 needtoknow、および restricted が存在します。大域ゾーンと public ゾーンだけが MLP を保持します。
大域エントリ内の zone-mlp-list 値 111/tcp;111/udp;2049/tcp;6000-6003/tcp は、これらのポートを大域ゾーン専用の MLP として指定します。shared-mlp-list 値の 6000-6003/tcpは、これらのポートを共有 IP アドレス (ラベル付けされたゾーン) 用の MLP として指定します。network-policy が 1 であるため、大域ゾーンだけが、自分自身とは異なるラベルを持つホストからの着信パケットを受け入れます。
public エントリ内の network-policy 値 0 は、受信を public 非トランスポートトラフィックだけに制限します。zone-mlp-list 値の 8080/tcp は、public ゾーンの Web ブラウザポートを MLP にします。
その他のゾーン内の 8080 tcp ポートは、単一レベルのポートであるため、リストには含められません。同様に、ラベル付けされた各ゾーンは単一レベルの 111 ポート、2049 ポートなどを保持します。
# # Sample global zone configuration file # # Multilevel Port (MLP) specification: # # MLP PURPOSE # --- ------- # 111 Port Mapper # 2049 NFSv4 server # 6000-6003 Multilevel Desktop # global:ADMIN_LOW:1:111/tcp;111/udp;2049/tcp;6000-6003/tcp:6000-6003/tcp public:PUBLIC:0:8080/tcp: internal:0x0004-08-48:0:: needtoknow:0x0004-08-68:0:: restricted:0x0004-08-78:0:: |
次の属性については、attributes(5) を参照してください。
属性タイプ |
属性値 |
---|---|
使用条件 |
SUNWtsg |
安定性 |
プロジェクト非公開 |