test

Oracle Solaris Trusted Extensions 構成ガイド

ProcedureTrusted Extensions での役割による遠隔ログインを有効にする

rlogin または ssh コマンドを使用してヘッドレスシステムを管理する必要がある場合のみ、この手順に従ってください。

構成エラーは遠隔でデバッグできます。

始める前に

ローカルファイルを使用して遠隔システムを管理している場合、「Trusted Extensions での root による遠隔ログインを有効にする」を完了しておきます。次に、root ユーザーとして、次のタスクを両方のシステム上で実行します。

  1. 両方のシステム上で、互いのシステムをラベル付きシステムとして認識します。

    デスクトップシステムおよびヘッドレスシステムは、同じセキュリティーテンプレートを使用して互いに相手を特定する必要があります。手順については、『Oracle Solaris Trusted Extensions 管理の手順』「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

    一時ラベルを割り当てるには、例 6–1 を参照してください。

  2. 両方のシステム上で、同一のユーザーと役割を作成します。

    両方のシステム上で、名前と ID を同じにして、役割をユーザーに割り当てます。ユーザーと役割を作成するには、「Trusted Extensions での役割とユーザーの作成」を参照してください。

  3. 遠隔の Solaris 管理コンソール にアクセスするには、両方のシステム上で次の手順を実行します。

    1. 互いのシステムのホスト名および IP アドレスを /etc/hosts ファイルに追加します。


      # /usr/dt/bin/trusted_edit /etc/hosts


      127.0.0.1	localhost	
192.168.66.66	local-system-name	loghost
192.168.66.12	remote-system-name

    2. 遠隔役割の引き受けを許可するには、pam.conf ファイルを変更して PAM ポリシーを緩和します。

      1. /etc/pam.conf ファイルを /etc/pam.conf.orig にコピーします。


        # cp /etc/pam.conf /etc/pam.conf.orig

      2. トラステッドエディタで、pam.conf ファイルを開きます。


        # /usr/dt/bin/trusted_edit /etc/pam.conf

      3. デフォルトエントリをアカウントの管理にコピーします。

      4. 互いのコピーされたエントリで、othersmcconsole に変更します。

      5. コピーされた pam_roles.so.1 エントリに、allow_remote を追加します。

        Tab キーを使用してフィールドを移動します。このセクションは次のようになります。


        # Solaris Management Console definition for Account management
#
smcconsole   account requisite   pam_roles.so.1   allow_remote
smcconsole   account required    pam_unix_account.so.1
smcconsole   account required    pam_tsol_account.so.1

# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
other   account requisite    pam_roles.so.1
other   account required     pam_unix_account.so.1
other   account required     pam_tsol_account.so.1

      6. ファイルを保存し、エディタを終了します。

      7. (省略可能) ファイルを /etc/pam.conf.site にコピーします。


        # cp /etc/pam.conf /etc/pam.conf.site

        システムを新しいリリースにアップグレードする場合、変更内容を /etc/pam.conf.site から pam.conf ファイルにコピーするべきかどうかを評価してください。

例 6–1 Trusted Extensions ホストタイプの一時的な定義の作成

この例では、管理者は、ホストタイプの定義が設定される前に遠隔 Trusted Extensions システムの構成を開始します。管理者はそのために、次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを一時的に定義します。


remote-TX# tnctl -h desktop-TX:cipso

その後、管理者は、Trusted Extensions が構成されていないデスクトップシステムから遠隔 Trusted Extensions システムにアクセスします。この場合、管理者は次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを ADMIN_LOW ラベルで動作するラベルなしシステムとして一時的に定義します。


remote-TX# tnctl -h desktop-TX:admin_low