Trusted Extensions で構成されたシステムとの間の通信はすべて、ある単一の CIPSO 解釈ドメイン (DOI) のラベル付け規則に従う必要があります。各メッセージ内で使用される DOI は、CIPSO IP Option ヘッダーの整数値によって識別されます。デフォルトで、Trusted Extensions の DOI は 1 になっています。
使用する DOI が 1 でない場合、/etc/system ファイルにエントリを追加し、デフォルトのセキュリティーテンプレートの doi 値を変更する必要があります。
/etc/system ファイルに次の DOI エントリを入力します。
set default_doi = n |
このゼロでない正数は、使用するノードおよびそのノードと通信するシステムの tnrhtp データベースに含まれている DOI 番号に一致する必要があります。
tnrhtp データベースを LDAP サーバーに追加する前に、デフォルトエントリとローカルアドレスに対するすべてのエントリの doi 値を変更します。
Trusted Extensions の tnrhtp データベース内には、cipso と admin_low の 2 つのテンプレートが用意されています。ローカルアドレスのエントリを追加した場合には、それらのエントリも変更します。
tnrhtp データベースをトラステッドエディタで開きます。
# /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp |
Solaris Trusted Extensions (CDE) では代わりに、アプリケーションマネージャーの Trusted_Extensions フォルダ内の「管理エディタ」アクションを使用します。
cipso テンプレートエントリを別の行にコピーします。
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
いずれかの cipso エントリをコメントにします。
#cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
コメントにされていない cipso エントリの doi 値を変更します。
この値を、/etc/system ファイル内の default_doi の値と同じにします。
#cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
admin_low エントリの doi 値を変更します。
#admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW |
tnrhtp データベース内のすべてのエントリのすべての doi 値が同じになったら作業は完了です。
/etc/system ファイルで 1 以外の default_doi 値が設定されていて、かつこのシステムのセキュリティーテンプレートでその default_doi 値に一致しない値が設定されていた場合、インタフェースの構成時にシステムコンソール上に次のようなメッセージが表示されます。
NOTICE: er10 failed: 10.17.1.12 has wrong DOI 4 instead of 1
Failed to configure IPv4 interface(s): er10
インタフェースの構成に失敗した場合、次のようにログインが失敗する可能性があります。
Hostname: unknown
unknown console login: root
Oct 10 10:10:20 unknown login: pam_unix_cred: cannot load hostname Error 0
この問題を修正するには、システムをシングルユーザーモードでブートし、この手順で説明した方法でセキュリティーテンプレートを修正します。
DOI の詳細については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。
作成するセキュリティーテンプレートの doi 値を変更するには、『Oracle Solaris Trusted Extensions 管理の手順』の「遠隔ホストテンプレートを構築する」を参照してください。
ユーザーが選択したエディタを信頼できるエディタとして使用するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドエディタとして任意のエディタを割り当てる」を参照してください。