Oracle Solaris Trusted Extensions 構成ガイド

Procedure解釈ドメインの構成

Trusted Extensions で構成されたシステムとの間の通信はすべて、ある単一の CIPSO 解釈ドメイン (DOI) のラベル付け規則に従う必要があります。各メッセージ内で使用される DOI は、CIPSO IP Option ヘッダーの整数値によって識別されます。デフォルトで、Trusted Extensions の DOI は 1 になっています。

使用する DOI が 1 でない場合、/etc/system ファイルにエントリを追加し、デフォルトのセキュリティーテンプレートの doi 値を変更する必要があります。

  1. /etc/system ファイルに次の DOI エントリを入力します。


    set default_doi = n
    

    このゼロでない正数は、使用するノードおよびそのノードと通信するシステムの tnrhtp データベースに含まれている DOI 番号に一致する必要があります。

  2. tnrhtp データベースを LDAP サーバーに追加する前に、デフォルトエントリとローカルアドレスに対するすべてのエントリの doi 値を変更します。

    Trusted Extensions の tnrhtp データベース内には、cipsoadmin_low の 2 つのテンプレートが用意されています。ローカルアドレスのエントリを追加した場合には、それらのエントリも変更します。

    1. tnrhtp データベースをトラステッドエディタで開きます。


      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp
      

      Solaris Trusted Extensions (CDE) では代わりに、アプリケーションマネージャーの Trusted_Extensions フォルダ内の「管理エディタ」アクションを使用します。

    2. cipso テンプレートエントリを別の行にコピーします。


      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
    3. いずれかの cipso エントリをコメントにします。


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
    4. コメントにされていない cipso エントリの doi 値を変更します。

      この値を、/etc/system ファイル内の default_doi の値と同じにします。


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
      cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
    5. admin_low エントリの doi 値を変更します。


      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW
      admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

    tnrhtp データベース内のすべてのエントリのすべての doi 値が同じになったら作業は完了です。

注意事項

/etc/system ファイルで 1 以外の default_doi 値が設定されていて、かつこのシステムのセキュリティーテンプレートでその default_doi 値に一致しない値が設定されていた場合、インタフェースの構成時にシステムコンソール上に次のようなメッセージが表示されます。

インタフェースの構成に失敗した場合、次のようにログインが失敗する可能性があります。

この問題を修正するには、システムをシングルユーザーモードでブートし、この手順で説明した方法でセキュリティーテンプレートを修正します。

参照

DOI の詳細については、『Oracle Solaris Trusted Extensions 管理の手順』「Trusted Extensions のネットワークセキュリティー属性」を参照してください。

作成するセキュリティーテンプレートの doi 値を変更するには、『Oracle Solaris Trusted Extensions 管理の手順』「遠隔ホストテンプレートを構築する」を参照してください。

ユーザーが選択したエディタを信頼できるエディタとして使用するには、『Oracle Solaris Trusted Extensions 管理の手順』「トラステッドエディタとして任意のエディタを割り当てる」を参照してください。