名前 | 形式 | 機能説明 | 使用例 | 属性 | ファイル | 関連項目 | 警告 | 注意事項
/etc/security/tsol/tnrhdb
tnrhdb データベースは、分散システム内の各ホスト (ローカルホストを含む) で使用する遠隔ホストテンプレートを指定します。tnrhdb は tnrhtp(4) データベースと協調動作するため、管理者は各ホストのセキュリティーおよびネットワーク認可属性を確立できます。ホストの IP アドレスを tnrhdb データベース内のエントリと一致させることができない場合、そのホストとの通信は許可されません。
トラステッドネットワークソフトウェアは、ネットワークの「一致するビットの最長接頭辞」機構を使用してホストの tnrhdb エントリを検索します。このソフトウェアは、最初にホスト固有のエントリを検索します。一致するエントリを検出できない場合、このソフトウェアは、一致するビットパターンのもっとも長い接頭辞を持つエントリから検索を開始します。
この機構では、システムのサブネットアドレスの実際の数値またはその他のサブネット情報 (netmasks(4) ファイルから取得可能な情報など) は考慮されません。
IPv4 ワイルドカードエントリ (IPv4 アドレス 0.0.0.0) は、「一致するビットの最長接頭辞」機構を使用して 0 の接頭辞長を持つため、任意の IPv4 アドレスに一致させることが可能です。
tnrhdb 内の各エントリ行は次の形式になります。IP-address:template。
このフィールドは、tnrhtp(4) データベースで定義された template により指定されたセキュリティープロパティーを持つホストまたはネットワークの IP アドレスです。
エントリは、10.100.100.201 や fe80\:\:9\:20ff\:fea0\:21f7 の形式のホストアドレスにできます。または、IPv4 または IPv6 サブネットアドレスをエントリにすることもできます。
IPv4 サブネットのエントリは、明示的な接頭辞長を持つサブネットアドレス形式 (10.100.128.0/17)、または接頭辞長を示すゼロオクテットを末尾に持つサブネットアドレス形式 (10.100.0.0) にできます。
IPv6 サブネットエントリは、接頭辞長を持つサブネットアドレス形式 (fe80\:\:/10) にできます。tnrhdb エントリ内でのバックスラッシュの使用方法については、「注意事項」を参照してください。
示された接頭辞長形式を使って IPv4 サブネットエントリを指定する場合、末尾のゼロオクテットが 4、3、2、または 1 であれば、実際の接頭辞長はそれぞれ値 0、8、16、または 24 になります。末尾のオクテットにゼロ以外の値を持つエントリは、ホストアドレスとして解釈され、接頭辞長が 32 であることを意味します。IPv4 エントリの例については、「使用例」を参照してください。
この値は、tnrhtp データベース内の有効なテンプレート名である必要があります。セキュリティー属性の詳細は、tnrhtp(4) を参照してください。
複数の IP アドレスで、1 つのテンプレートを使用可能です。ネットワークが稼働中にこのデータベースが変更された場合、tnctl(1M) を使って遠隔ホストエントリを更新するまで、変更は有効になりません。管理者は、ネットワークの稼働中に新規エントリの追加および既存エントリの変更を行えます。template フィールドに、空白文字を含めることはできません。
tnrhdb データベースを変更するたびに、管理者は tnchkdb(1M) を実行して構文を検査するようにしてください。ネットワークの稼働中にこのデータベースが変更された場合、tnctl(1M) によりカーネルが更新されるまで、変更は有効になりません。
IPv4 Entry Host Address Implied Prefix or Wildcard? Length ============== ============== ============== 0.0.0.0 Wildcard 0 10.0.0.0 Wildcard 8 10.100.0.0 Wildcard 16 10.0.100.0 Wildcard 24 10.0.100.100 Host Address 32 |
次の例で使用するテンプレートは、tnrhtp 内で定義されたあとで、tnrhdb ファイル内で使用されます。この例では、テンプレート cipso を使用するホスト、テンプレート public を使用するホスト、およびテンプレート needtoknow を使用するホストを示します。2 つのサブネットが存在します。一方のサブネットではテンプレート internal を使用し、他方のサブネットではテンプレート secret を使用します。ほかのすべてのホストは、IPv4 ホストおよび IPv6 ホスト用のワイルドカードエントリで指定されたテンプレート default-template を使用します。
# # Assume that templates default-template, cipso, public, # internal, needtoknow, and secret are defined in the # tnrhtp database. # # the first two entries are addresses of the IPv4 and # IPv6 loopback interfaces 127.0.0.1:cipso \:\:1:cipso 10.0.0.1:cipso 192.168.120.6:public 192.168.120.0:internal 192.168.120.7:needtoknow 192.168.121.0:secret 0.0.0.0:default-template 0\:\:0/0:default-template fe80\:\:a00\:20ff\:fea0\:21f7:cipso |
次の属性については、attributes(5) を参照してください。
属性タイプ |
属性値 |
---|---|
使用条件 |
SUNWtsg |
安定性 |
プロジェクト非公開 |
smtnrhdb(1M), hosts(4), ipnodes(4), netmasks(4), tnchkdb(1M), tnctl(1M), tnd(1M), tninfo(1M), tnrhtp(4), tnzonecfg(4), attributes(5)
ネットワークの稼働中にテンプレートを変更すると、不特定数のホストのセキュリティー表示が変更される可能性があります。
コロン (:) は、データベース区切り文字です。コロンをデータフィールドの一部に使用する場合は、fe80\:\:a00\:20ff\:fea0\:21f7 のように、バックスラッシュ (\) を使ってエスケープする必要があります。
管理者が、Trusted Extensions ソフトウェアを実行するホストごとに 1 つの tnrhdb エントリを作成する一方、同一のセキュリティー属性を持つラベル付けされていないすべてのホストに適用できるサブネット単位のエントリを作成したい場合があります。この場合、管理者は、異なるセキュリティー属性セットを割り当てる必要のあるホストごとにエントリを個別に作成できます。