Netra シリーズなどのヘッドレスシステム上の Trusted Extensions ソフトウェアを構成および管理するには、そのヘッドレスシステムのセキュリティー設定を変更して遠隔アクセスを可能にする必要があります。遠隔 Trusted Extensions システムを管理する場合にも同様の設定が必要になります。管理 GUI を実行するには、そのプロセスを遠隔システム上で実行し、その GUI をデスクトップシステム上で表示する必要がある場合があります。
要件の説明については、『Oracle Solaris Trusted Extensions 管理の手順』の第 8 章「Trusted Extensions での遠隔管理 (手順)」を参照してください。
ヘッドレスシステムや遠隔システムで必要とされる構成方法は、評価された構成の基準を満たしません。詳細は、「サイトのセキュリティーポリシーについて」を参照してください。
ヘッドレスシステムでは、コンソールはシリアル回線によって端末エミュレータウィンドウに接続されます。この回線は、通常、tip コマンドによって保護されます。利用可能な増設システムのタイプに応じて、次の方法のいずれかを使用してヘッドレスシステムを構成できます。次の表では、安全性が高い方法から順に示します。これらの手順は遠隔システムにも適用されます。
作業 |
説明 |
参照先 |
---|---|---|
root ユーザーによる遠隔ログインを有効にします。 |
LDAP を使用していない場合、最初に root としてヘッドレスシステムにログインします。LDAP を使用している場合、この手順は省略できます。 | |
遠隔ログインを有効にします。 |
root 役割または別の管理役割になれるユーザーの遠隔ログインを有効にします。 | |
ラベルなしシステムから Trusted Extensions システムの管理を有効にします。 | ||
ヘッドレスシステム上の大域ゾーンにユーザーがアクセスできるようにします。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「特定のユーザーが Trusted Extensions の大域ゾーンに遠隔でログインできるようにする」 |
|
(省略可能) 管理 GUI の表示を有効にします。 |
ヘッドレスシステム上で実行されている管理 GUI をデスクトップシステム上で表示できるようにします。 | |
(省略可能) 仮想ネットワークコンピューティング (virtual network computing、vnc) を有効にします。 |
任意のクライアントから、遠隔 Trusted Extensions で Xvnc サーバーを使用して、クライアントにマルチレベルセッションを表示します。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「Xvnc を使用して Trusted Extensions システムに遠隔アクセスする」 |
ヘッドレスシステムを設定するための構成と管理の方法を選択します。 |
遠隔システムを管理するための、スーパーユーザーまたは役割になります。 |
「rlogin または ssh コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」 |
ヘッドレスシステム上で Solaris 管理コンソール を使用します。 | ||
ウィンドウ表示システムがない場合、シリアルログインをスーパーユーザーとして使用できます。この手順は安全ではありません。 |
構成は不要です。 |
セキュリティーポリシーを確認して、サイトで許可されている遠隔管理の方法を判定します。
Solaris OS の場合と同じように、CONSOLE エントリが無効なとき、root はラベル付きシステムから遠隔でログインできます。
ローカルファイルを編集して遠隔システムを管理する場合、次の手順に従います。
トラステッドエディタで、/etc/default/login ファイルの CONSOLE= 行をコメントアウトします。
# /usr/dt/bin/trusted_edit /etc/default/login |
編集した行は次のようになります。
#CONSOLE=/dev/console |
ssh 接続での root ユーザーログインを許可します。
/etc/ssh/sshd_config ファイルを変更します。デフォルトでは、ssh は Solaris システムで有効です。
# /usr/dt/bin/trusted_edit /etc/ssh/sshd_config |
編集した行は次のようになります。
PermitRootLogin yes |
また、ラベルなしシステムから root ユーザーとしてログインするには、「ラベルなしシステムからの遠隔ログインを有効にする」を完了してください。
役割による遠隔ログインを有効にするには、引き続き 「Trusted Extensions での役割による遠隔ログインを有効にする」を実行してください。
rlogin または ssh コマンドを使用してヘッドレスシステムを管理する必要がある場合のみ、この手順に従ってください。
構成エラーは遠隔でデバッグできます。
ローカルファイルを使用して遠隔システムを管理している場合、「Trusted Extensions での root による遠隔ログインを有効にする」を完了しておきます。次に、root ユーザーとして、次のタスクを両方のシステム上で実行します。
両方のシステム上で、互いのシステムをラベル付きシステムとして認識します。
デスクトップシステムおよびヘッドレスシステムは、同じセキュリティーテンプレートを使用して互いに相手を特定する必要があります。手順については、『Oracle Solaris Trusted Extensions 管理の手順』の「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
一時ラベルを割り当てるには、例 6–1 を参照してください。
両方のシステム上で、同一のユーザーと役割を作成します。
両方のシステム上で、名前と ID を同じにして、役割をユーザーに割り当てます。ユーザーと役割を作成するには、「Trusted Extensions での役割とユーザーの作成」を参照してください。
遠隔の Solaris 管理コンソール にアクセスするには、両方のシステム上で次の手順を実行します。
互いのシステムのホスト名および IP アドレスを /etc/hosts ファイルに追加します。
# /usr/dt/bin/trusted_edit /etc/hosts |
127.0.0.1 localhost 192.168.66.66 local-system-name loghost 192.168.66.12 remote-system-name |
遠隔役割の引き受けを許可するには、pam.conf ファイルを変更して PAM ポリシーを緩和します。
/etc/pam.conf ファイルを /etc/pam.conf.orig にコピーします。
# cp /etc/pam.conf /etc/pam.conf.orig |
トラステッドエディタで、pam.conf ファイルを開きます。
# /usr/dt/bin/trusted_edit /etc/pam.conf |
デフォルトエントリをアカウントの管理にコピーします。
互いのコピーされたエントリで、other を smcconsole に変更します。
コピーされた pam_roles.so.1 エントリに、allow_remote を追加します。
Tab キーを使用してフィールドを移動します。このセクションは次のようになります。
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1 |
ファイルを保存し、エディタを終了します。
(省略可能) ファイルを /etc/pam.conf.site にコピーします。
# cp /etc/pam.conf /etc/pam.conf.site |
システムを新しいリリースにアップグレードする場合、変更内容を /etc/pam.conf.site から pam.conf ファイルにコピーするべきかどうかを評価してください。
この例では、管理者は、ホストタイプの定義が設定される前に遠隔 Trusted Extensions システムの構成を開始します。管理者はそのために、次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを一時的に定義します。
remote-TX# tnctl -h desktop-TX:cipso |
その後、管理者は、Trusted Extensions が構成されていないデスクトップシステムから遠隔 Trusted Extensions システムにアクセスします。この場合、管理者は次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを ADMIN_LOW ラベルで動作するラベルなしシステムとして一時的に定義します。
remote-TX# tnctl -h desktop-TX:admin_low |
この手順は安全ではありません。
「Trusted Extensions での役割による遠隔ログインを有効にする」の説明に従って、遠隔役割の引き受けを許可するよう PAM ポリシーを緩和しておきます。
トラステッドシステム上で、適切なセキュリティーテンプレートをラベルなしシステムに適用します。
デフォルトの設定では、別のラベルなしシステムが遠隔システムにログインしてその管理を行える可能性があります。したがって、0.0.0.0 ネットワークのデフォルトを ADMIN_LOW から別のラベルに変更してください。手順については、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
トラステッドエディタで、/etc/pam.conf ファイルを開きます。
# /usr/dt/bin/trusted_edit /etc/pam.conf |
smcconsole エントリを検索します。
allow_unlabeled を tsol_account モジュールに追加します。
Tab キーを使用してフィールドを移動します。
smcconsole account required pam_tsol_account.so.1 allow_unlabeled |
編集後のこのセクションは、次のようになります。
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 allow_unlabeled |
LDAP を使用せずに、遠隔システム上で Solaris 管理コンソール を使用する場合は、コンソールへの遠隔接続を有効にします。ただし、次の手順では、LDAP スコープのアクセスを有効にすることはできません。
LDAP スコープのアクセスを有効にするには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」の手順をすべて完了してください。
システムは両方ともラベル付きシステムです。
次の手順を完了しておきます。
デスクトップシステムで、両方のシステム上で同じように定義されているユーザーになります。
デスクトップシステムで、両方のシステム上で同じように定義されている役割になります。
デスクトップシステムで Solaris 管理コンソール を起動します。
# /usr/sbin/smc & |
「サーバー」ダイアログボックスで、ヘッドレスシステムの名前を入力します。
次に、Scope=Files ツールボックスを選択します。
このコンピュータ (remote-system: Scope=Files, Policy=TSOL) |
デスクトップ上での遠隔表示の手順は、Trusted Extensions が構成されていない Solaris システム上での手順と同じです。この手順は、利便性を考慮して記載されています。
デスクトップシステムで、ヘッドシステムからのプロセスが表示されるようにします。
ヘッドレスシステム上で、DISPLAY 変数をデスクトップシステムに設定します。
headless $ DISPLAY=desktop:n.n headless $ export DISPLAY=n:n |
この手順では、コマンド行および txzonemgr GUI を使用してスーパーユーザーまたは役割としてヘッドレスシステムを管理できます。
rlogin コマンドを使用した遠隔ログインは、ssh コマンドを使用した遠隔ログインよりも安全性が低くなります。
Solaris 管理コンソール を使用して遠隔システムを管理する場合、遠隔ログインコマンドを使用する必要はありません。手順については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions システムから Solaris 管理コンソールを使ってシステムを遠隔管理する」を参照してください。
「Trusted Extensions での役割による遠隔ログインを有効にする」を完了しました。
あなたは、通常と同じユーザー名とユーザー ID でヘッドレスシステムにログインすることを許可されたユーザーであり、ヘッドレスシステム上でもデスクトップシステム上でなれるのと同じ役割になることができます。
デスクトップシステムで、ヘッドシステムからのプロセスが表示されるようにします。
desktop $ xhost + headless-host desktop $ echo $DISPLAY :n.n |
両方のシステムで同じように定義されているユーザーになっている必要があります。
端末ウィンドウから遠隔にヘッドレスシステムにログインします。
両方のシステムで同じように定義されている役割になります。
同じ端末ウィンドウを使用します。たとえば、root の役割になります。
headless $ su - root Password: Type the root password |
大域ゾーンになります。これで、この端末を使用してコマンド行からヘッドレスシステムを管理できるようになりました。
ヘッドレスシステム上のプロセスがデスクトップシステム上に表示されるようにします。
また、ssh -X コマンドでログインして、遠隔 GUI を表示することもできます。詳細は、ssh(1) のマニュアルページを参照してください。例については、例 6–2 を参照してください。
headless $ DISPLAY desktop:n.n headless $ export DISPLAY=n:n |
Trusted Extensions の GUI を使用してヘッドレスシステムを管理できるようになります。たとえば、次のようにして txzonemgr GUI を起動します。
headless $ /usr/sbin/txzonemgr |
Labeled Zone Manager は遠隔システム上で実行され、デスクトップシステム上に表示されます。
(省略可能) Trusted CDE アクションにアクセスします。
アプリケーションマネージャーのオープンと安全なクローズを行うには、『Oracle Solaris Trusted Extensions 管理の手順』の「dtappsession で Trusted Extensions を遠隔管理する」を参照してください。
この例では、管理者が txzonemgr GUI を使用して、ラベル付きデスクトップシステムからラベル付きヘッドレスシステム上のラベル付きゾーンを設定します。Solaris OS と同様に、管理者は ssh コマンドに -X オプションを使用して、デスクトップシステムへの X サーバーのアクセスを許可します。ユーザー install1 は両方のシステムで同じように定義されているので、役割 remoterole になることができます。
TXdesk1 $ xhost + TXnohead4 TXdesk1 $ whoami install1 |
TXdesk1 $ ssh -X -l install1 TXnohead4 Password: Ins1PwD1 TXnohead4 $ |
大域ゾーンに到達するには、管理者は役割 remoterole になります。この役割は、両方のシステムで同じように定義されています。
TXnohead4 # su - remoterole Password: abcd1EFG |
次に、管理者は txzonemgr GUI を起動します。
TXnohead4 $ /usr/sbin/txzonemgr & |
Labeled Zone Manager はヘッドレスシステム上で実行され、デスクトップシステム上に表示されます。