付録 C Trusted Extensions の構成チェックリスト

このチェックリストでは、Trusted Extensions. の主な構成タスクの概要を示します。これらの主なタスクに、細かいタスクの概略が含まれています。このチェックリストだけでは、このマニュアルに記述されている各手順を実行することはできません。

Trusted Extensions を構成するためのチェックリスト

次のリストは、サイトで Trusted Extensions を有効化および構成するために必要な事項を示します。ほかの場所に記載されているタスクは、相互参照されます。

1. 次を参照します。

   • 『Oracle Solaris Trusted Extensions 管理の手順』の最初の 5 つの章を読みます。

   • サイトのセキュリティー要件を把握します。

   • 「サイトのセキュリティーポリシーと Trusted Extensions」を読みます。

2. 次の準備をします。

   • root パスワードを決定します。

   • PROM または BIOS のセキュリティーレベルを決定します。

   • PROM または BIOS のパスワードを決定します。

   • 周辺機器の接続を許可するかを決定します。

   • 遠隔プリンタへのアクセスを許可するかを決定します。

   • ラベルなしネットワークへのアクセスを許可するかを決定します。

   • ゾーン作成方法を決定します。

3. Trusted Extensions を有効にします。

   1. Solaris OS をインストールします。

      • 遠隔管理の場合、開発者グループか、それより大きなグループの Solaris パッケージをインストールします。

      • ゾーンのクローン作成メソッドの場合、カスタムインストールを選択し、/zone パーティションを配置します。

   2. Trusted Extensions サービス svc:/system/labeld を有効にします。

4. Trusted Extensions の IPv6 を有効化します (IPv6 を使用する場合)。

5. 1 以外の DOI を使用する場合には、/etc/system および /etc/security/tsol/tnrhtp ファイル内にその DOI を設定します。

6. (省略可能) ゾーンのクローン作成用の ZFS プールを作成します。

7. ラベルを設定します。

   1. サイトの label_encodings ファイルをファイナライズします。

   2. ファイルをチェックしてインストールします。

   3. 再起動します。

8. 大域ゾーン用およびラベル付きゾーン用のインタフェースを設定します。

9. Solaris 管理コンソールを設定します。

10. ネームサービスを設定します。

    • ファイルネームサービスを使用します。これに必要な設定はありません。

    • または、LDAP を設定します。

      1. Trusted Extensions プロキシサーバーまたは Trusted Extensions LDAP サーバーを作成します。

      2. Solaris 管理コンソール サーバーがネットワーク接続を受け付けるようにします。

      3. Solaris 管理コンソール を LDAP に登録します。

      4. Solaris 管理コンソール 用の LDAP ツールボックスを作成します。

11. LDAP 用のネットワーク接続を設定します。

    • LDAP サーバーまたはプロキシサーバーを遠隔ホストテンプレートの cipso ホストタイプに割り当てます。

    • ローカルシステムを遠隔ホストテンプレートの cipso ホストタイプに割り当てます。

    • ローカルシステムを LDAP サーバーのクライアントにします。

12. ラベル付きゾーンを作成します。

    • オプション 1: txzonemgr スクリプト を使用します。

    • オプション 2: Trusted CDE アクションを使用します。

      1. ラベル付きゾーンの設定

         1. Solaris 管理コンソール で、ゾーン名を特定のラベルに関連付けます。

         2. 「ゾーンを構成」アクションを実行します。

      2. 「ゾーンのインストール」アクションを実行します。

      3. 「LDAP 用ゾーンを初期化」アクションを実行します。

      4. 「ゾーンを起動」アクションを実行します。

      5. 実行中のゾーンをカスタマイズします。

      6. 「ゾーンのシャットダウン」アクションを実行します。

      7. ゾーンのシャットダウン中にゾーンをカスタマイズします。

      8. (省略可能) ZFS スナップショットを作成します。

      9. 残りのゾーンを最初から作成するか、「ゾーンをコピー」アクションまたは「ゾーンのクローンを作成」アクションを使用して作成します。

13. ネットワークを設定します。『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。

    • 単一ラベルのホストおよび制限範囲のホストを特定します。

    • ラベルなしホストからの受信データに適用するラベルを決定します。

    • 遠隔ホストテンプレートをカスタマイズします。

    • 各ホストをテンプレートに割り当てます。

    • サブネットをテンプレートに割り当てます。

14. 静的経路指定を設定します。『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions での経路の構成とネットワーク情報のチェック (作業マップ)」を参照してください。

15. ローカルユーザーおよびローカル管理役割を設定します。

    • 責務分離を強制するには、カスタマイズした権利プロファイルを作成します。

    • セキュリティー管理者役割を作成します。

    • セキュリティー管理者役割になれるローカルユーザーを作成します。

    • その他の役割を作成し、場合によって、その役割になるローカルユーザーを作成します。

16. NFS サーバーにホームディレクトリを作成します。

    • ユーザーがアクセスできるすべてのラベルでユーザーごとにホームディレクトリを作成します。

    • (省略可能) 下位レベルのホームディレクトリをユーザーが読み取れないようにします。

17. 印刷を設定します。『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions での印刷の管理 (作業マップ)」を参照してください。

18. デバイスを設定します。『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions でのデバイスの扱い (作業マップ)」を参照してください。

    1. デバイス管理プロファイルまたはシステム管理者プロファイルを役割に割り当てます。

    2. デバイスを使用可能にするには、次のいずれかを実行します。

       • システムごとに、デバイスを割り当て可能にします。

       • 選択したユーザーおよび役割にデバイスの割り当て承認を割り当てます。

19. Solaris 機能を構成します。

    • 監査を設定します。

    • セキュリティーの設定を設定します。

    • 特定の LDAP クライアントが LDAP 管理システムになるようにします。

    • LDAP でユーザーを設定します。

    • LDAP でネットワークの役割を設定します。

    • ファイルシステムをマウントおよび共有します。『Oracle Solaris Trusted Extensions 管理の手順』の第 11 章「Trusted Extensions でのファイルの管理とマウント (手順)」を参照してください。