セキュリティー保護された構成プロセスを実現するには、早い段階で役割を作成してください。役割によってシステムを構成する際のタスクの順序を、次の作業マップに示します。
1. 大域ゾーンを構成します。 |
||
---|---|---|
タスク |
参照先 |
|
ハードウェア設定を変更する際にパスワードの入力を求めることによって、マシンハードウェアを保護します。 |
『System Administration Guide: Security Services』の「Controlling Access to System Hardware」 |
|
ラベルを設定します。ラベルはサイトに合わせて設定する必要があります。デフォルトの label_encodings ファイルを使用する場合、このタスクは省略できます。 | ||
IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように /etc/system ファイルを変更します。 | ||
ネットワークノードの CIPSO 解釈ドメイン (DOI) が 1 でない場合は、/etc/system ファイル内でその DOI を指定します。 | ||
ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。 | ||
ラベル付きの環境をアクティブにするために起動します。ログインすると、大域ゾーンになります。システムの label_encodings ファイルによって必須アクセス制御 (MAC) を実施します。 | ||
Solaris 管理コンソールを初期化します。この GUI は、いくつかあるほかのタスクの中で、ゾーンにラベルを付けるために使用します。 | ||
セキュリティー管理者役割およびローカルに使用するその他の役割を作成します。これらの役割は Solaris OS の場合と同様に作成します。 このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。 |
ローカルファイルを使用してシステムの管理を行っている場合は、次の一連の手順を省略します。
2. ネームサービスを構成します。 |
||
---|---|---|
タスク |
参照先 |
|
ファイルを使用して Trusted Extensions を管理する場合、次のタスクを省略できます。 |
ファイルのネームサービスには、何も構成する必要はありません。 |
|
既存の Sun Java System Directory Server (LDAP サーバー) がある場合、そのサーバーに Trusted Extensions データベースを追加します。次に、最初の Trusted Extensions システムを LDAP サーバーのプロキシにします。 LDAP サーバーがない場合、最初のシステムをサーバーとして構成します。 | ||
Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。 | ||
LDAP サーバーでもプロキシサーバーでもないシステムの場合、それを LDAP クライアントにします。 | ||
LDAP スコープで、セキュリティー管理者役割および使用するつもりであるその他の役割を作成します。 このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。 |
3. ラベル付きゾーンを作成します。 |
||
---|---|---|
タスク |
参照先 |
|
txzonemgr コマンドを実行します。 ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。次に、残りのゾーンをコピーするか、そのゾーンのクローンを作成します。 | ||
あるいは、Trusted CDE アクションを使用します。 | ||
(省略可能) すべてのゾーンが正常にカスタマイズされたあとで、ゾーン固有のネットワークアドレスおよびデフォルトのルーティングをラベル付きゾーンに追加します。 |
使用する環境によっては、次のタスクが必要になる場合があります。
4. システムの設定を完了します。 |
||
---|---|---|
タスク |
参照先 |
|
ラベルを必要とする追加の遠隔ホスト、1 つ以上のマルチレベルのポート、または異なる制御メッセージポリシーを特定します。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」 |
|
マルチレベルのホームディレクトリサーバーを作成し、インストールされたゾーンを自動マウントします。 | ||
ユーザーによるシステムへのログインを有効にする前に、監査の設定、ファイルシステムのマウント、およびその他のタスクを実行します。 | ||
NIS 環境から LDAP サーバーにユーザーを追加します。 | ||
ホストとそのラベル付きゾーンを LDAP サーバーに追加します。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」 |