解釈ドメインの構成

Trusted Extensions で構成されたシステムとの間の通信はすべて、ある単一の CIPSO 解釈ドメイン (DOI) のラベル付け規則に従う必要があります。各メッセージ内で使用される DOI は、CIPSO IP Option ヘッダーの整数値によって識別されます。デフォルトで、Trusted Extensions の DOI は 1 になっています。

使用する DOI が 1 でない場合、/etc/system ファイルにエントリを追加し、デフォルトのセキュリティーテンプレートの doi 値を変更する必要があります。

1. /etc/system ファイルに次の DOI エントリを入力します。

   set default_doi = n

   このゼロでない正数は、使用するノードおよびそのノードと通信するシステムの tnrhtp データベースに含まれている DOI 番号に一致する必要があります。

2. tnrhtp データベースを LDAP サーバーに追加する前に、デフォルトエントリとローカルアドレスに対するすべてのエントリの doi 値を変更します。

   Trusted Extensions の tnrhtp データベース内には、cipso と admin_low の 2 つのテンプレートが用意されています。ローカルアドレスのエントリを追加した場合には、それらのエントリも変更します。

   1. tnrhtp データベースをトラステッドエディタで開きます。

      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp

      Solaris Trusted Extensions (CDE) では代わりに、アプリケーションマネージャーの Trusted_Extensions フォルダ内の「管理エディタ」アクションを使用します。

   2. cipso テンプレートエントリを別の行にコピーします。

      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   3. いずれかの cipso エントリをコメントにします。

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   4. コメントにされていない cipso エントリの doi 値を変更します。

      この値を、/etc/system ファイル内の default_doi の値と同じにします。

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   5. admin_low エントリの doi 値を変更します。

      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

   tnrhtp データベース内のすべてのエントリのすべての doi 値が同じになったら作業は完了です。

注意事項

/etc/system ファイルで 1 以外の default_doi 値が設定されていて、かつこのシステムのセキュリティーテンプレートでその default_doi 値に一致しない値が設定されていた場合、インタフェースの構成時にシステムコンソール上に次のようなメッセージが表示されます。

• NOTICE: er10 failed: 10.17.1.12 has wrong DOI 4 instead of 1

• Failed to configure IPv4 interface(s): er10

インタフェースの構成に失敗した場合、次のようにログインが失敗する可能性があります。

• Hostname: unknown

• unknown console login: root

• Oct 10 10:10:20 unknown login: pam_unix_cred: cannot load hostname Error 0

この問題を修正するには、システムをシングルユーザーモードでブートし、この手順で説明した方法でセキュリティーテンプレートを修正します。

参照

DOI の詳細については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。

作成するセキュリティーテンプレートの doi 値を変更するには、『Oracle Solaris Trusted Extensions 管理の手順』の「遠隔ホストテンプレートを構築する」を参照してください。

ユーザーが選択したエディタを信頼できるエディタとして使用するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドエディタとして任意のエディタを割り当てる」を参照してください。