test

Oracle Solaris Trusted Extensions 構成ガイド

第 6 章 Trusted Extensions とヘッドレスシステムの構成 (タスク)

Netra シリーズなどのヘッドレスシステム上の Trusted Extensions ソフトウェアを構成および管理するには、そのヘッドレスシステムのセキュリティー設定を変更して遠隔アクセスを可能にする必要があります。遠隔 Trusted Extensions システムを管理する場合にも同様の設定が必要になります。管理 GUI を実行するには、そのプロセスを遠隔システム上で実行し、その GUI をデスクトップシステム上で表示する必要がある場合があります。

要件の説明については、『Oracle Solaris Trusted Extensions 管理の手順』の第 8 章「Trusted Extensions での遠隔管理 (手順)」を参照してください。

注 –

ヘッドレスシステムや遠隔システムで必要とされる構成方法は、評価された構成の基準を満たしません。詳細は、「サイトのセキュリティーポリシーについて」を参照してください。

Trusted Extensions でのヘッドレスシステムの構成 (作業マップ)

ヘッドレスシステムでは、コンソールはシリアル回線によって端末エミュレータウィンドウに接続されます。この回線は、通常、tip コマンドによって保護されます。利用可能な増設システムのタイプに応じて、次の方法のいずれかを使用してヘッドレスシステムを構成できます。次の表では、安全性が高い方法から順に示します。これらの手順は遠隔システムにも適用されます。

作業 

説明 

参照先 

root ユーザーによる遠隔ログインを有効にします。

LDAP を使用していない場合、最初に root としてヘッドレスシステムにログインします。LDAP を使用している場合、この手順は省略できます。

「Trusted Extensions での root による遠隔ログインを有効にする」

遠隔ログインを有効にします。 

root 役割または別の管理役割になれるユーザーの遠隔ログインを有効にします。

「Trusted Extensions での役割による遠隔ログインを有効にする」

ラベルなしシステムから Trusted Extensions システムの管理を有効にします。 

「ラベルなしシステムからの遠隔ログインを有効にする」

ヘッドレスシステム上の大域ゾーンにユーザーがアクセスできるようにします。 

『Oracle Solaris Trusted Extensions 管理の手順』「特定のユーザーが Trusted Extensions の大域ゾーンに遠隔でログインできるようにする」

(省略可能) 管理 GUI の表示を有効にします。 

ヘッドレスシステム上で実行されている管理 GUI をデスクトップシステム上で表示できるようにします。 

「管理 GUI の遠隔表示を有効にする」

(省略可能) 仮想ネットワークコンピューティング (virtual network computing、vnc) を有効にします。 

任意のクライアントから、遠隔 Trusted Extensions で Xvnc サーバーを使用して、クライアントにマルチレベルセッションを表示します。 

『Oracle Solaris Trusted Extensions 管理の手順』「Xvnc を使用して Trusted Extensions システムに遠隔アクセスする」

ヘッドレスシステムを設定するための構成と管理の方法を選択します。 

遠隔システムを管理するための、スーパーユーザーまたは役割になります。 

rlogin または ssh コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする」

ヘッドレスシステム上で Solaris 管理コンソール を使用します。 

「遠隔の Solaris 管理コンソール を使用してファイルスコープで管理する」

ウィンドウ表示システムがない場合、シリアルログインをスーパーユーザーとして使用できます。この手順は安全ではありません。 

構成は不要です。 

注 –

セキュリティーポリシーを確認して、サイトで許可されている遠隔管理の方法を判定します。

ProcedureTrusted Extensions での root による遠隔ログインを有効にする

Solaris OS の場合と同じように、CONSOLE エントリが無効なとき、root はラベル付きシステムから遠隔でログインできます。

ローカルファイルを編集して遠隔システムを管理する場合、次の手順に従います。

  1. トラステッドエディタで、/etc/default/login ファイルの CONSOLE= 行をコメントアウトします。


    # /usr/dt/bin/trusted_edit /etc/default/login

    編集した行は次のようになります。


    #CONSOLE=/dev/console

  2. ssh 接続での root ユーザーログインを許可します。

    /etc/ssh/sshd_config ファイルを変更します。デフォルトでは、ssh は Solaris システムで有効です。


    # /usr/dt/bin/trusted_edit /etc/ssh/sshd_config

    編集した行は次のようになります。


    PermitRootLogin yes
次の手順

また、ラベルなしシステムから root ユーザーとしてログインするには、「ラベルなしシステムからの遠隔ログインを有効にする」を完了してください。

役割による遠隔ログインを有効にするには、引き続き 「Trusted Extensions での役割による遠隔ログインを有効にする」を実行してください。

ProcedureTrusted Extensions での役割による遠隔ログインを有効にする

rlogin または ssh コマンドを使用してヘッドレスシステムを管理する必要がある場合のみ、この手順に従ってください。

構成エラーは遠隔でデバッグできます。

始める前に

ローカルファイルを使用して遠隔システムを管理している場合、「Trusted Extensions での root による遠隔ログインを有効にする」を完了しておきます。次に、root ユーザーとして、次のタスクを両方のシステム上で実行します。

  1. 両方のシステム上で、互いのシステムをラベル付きシステムとして認識します。

    デスクトップシステムおよびヘッドレスシステムは、同じセキュリティーテンプレートを使用して互いに相手を特定する必要があります。手順については、『Oracle Solaris Trusted Extensions 管理の手順』「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

    一時ラベルを割り当てるには、例 6–1 を参照してください。

  2. 両方のシステム上で、同一のユーザーと役割を作成します。

    両方のシステム上で、名前と ID を同じにして、役割をユーザーに割り当てます。ユーザーと役割を作成するには、「Trusted Extensions での役割とユーザーの作成」を参照してください。

  3. 遠隔の Solaris 管理コンソール にアクセスするには、両方のシステム上で次の手順を実行します。

    1. 互いのシステムのホスト名および IP アドレスを /etc/hosts ファイルに追加します。


      # /usr/dt/bin/trusted_edit /etc/hosts


      127.0.0.1	localhost	
192.168.66.66	local-system-name	loghost
192.168.66.12	remote-system-name

    2. 遠隔役割の引き受けを許可するには、pam.conf ファイルを変更して PAM ポリシーを緩和します。

      1. /etc/pam.conf ファイルを /etc/pam.conf.orig にコピーします。


        # cp /etc/pam.conf /etc/pam.conf.orig

      2. トラステッドエディタで、pam.conf ファイルを開きます。


        # /usr/dt/bin/trusted_edit /etc/pam.conf

      3. デフォルトエントリをアカウントの管理にコピーします。

      4. 互いのコピーされたエントリで、othersmcconsole に変更します。

      5. コピーされた pam_roles.so.1 エントリに、allow_remote を追加します。

        Tab キーを使用してフィールドを移動します。このセクションは次のようになります。


        # Solaris Management Console definition for Account management
#
smcconsole   account requisite   pam_roles.so.1   allow_remote
smcconsole   account required    pam_unix_account.so.1
smcconsole   account required    pam_tsol_account.so.1

# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
other   account requisite    pam_roles.so.1
other   account required     pam_unix_account.so.1
other   account required     pam_tsol_account.so.1

      6. ファイルを保存し、エディタを終了します。

      7. (省略可能) ファイルを /etc/pam.conf.site にコピーします。


        # cp /etc/pam.conf /etc/pam.conf.site

        システムを新しいリリースにアップグレードする場合、変更内容を /etc/pam.conf.site から pam.conf ファイルにコピーするべきかどうかを評価してください。

例 6–1 Trusted Extensions ホストタイプの一時的な定義の作成

この例では、管理者は、ホストタイプの定義が設定される前に遠隔 Trusted Extensions システムの構成を開始します。管理者はそのために、次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを一時的に定義します。


remote-TX# tnctl -h desktop-TX:cipso

その後、管理者は、Trusted Extensions が構成されていないデスクトップシステムから遠隔 Trusted Extensions システムにアクセスします。この場合、管理者は次のように遠隔システム上で tnctl コマンドを使用して、デスクトップシステムのホストタイプを ADMIN_LOW ラベルで動作するラベルなしシステムとして一時的に定義します。


remote-TX# tnctl -h desktop-TX:admin_low

Procedureラベルなしシステムからの遠隔ログインを有効にする

始める前に

この手順は安全ではありません。

「Trusted Extensions での役割による遠隔ログインを有効にする」の説明に従って、遠隔役割の引き受けを許可するよう PAM ポリシーを緩和しておきます。

  1. トラステッドシステム上で、適切なセキュリティーテンプレートをラベルなしシステムに適用します。

    注意 – 注意 –

    デフォルトの設定では、別のラベルなしシステムが遠隔システムにログインしてその管理を行える可能性があります。したがって、0.0.0.0 ネットワークのデフォルトを ADMIN_LOW から別のラベルに変更してください。手順については、『Oracle Solaris Trusted Extensions 管理の手順』「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。

  2. トラステッドエディタで、/etc/pam.conf ファイルを開きます。


    # /usr/dt/bin/trusted_edit /etc/pam.conf

  3. smcconsole エントリを検索します。

  4. allow_unlabeledtsol_account モジュールに追加します。

    Tab キーを使用してフィールドを移動します。


    smcconsole   account required  pam_tsol_account.so.1 allow_unlabeled

    編集後のこのセクションは、次のようになります。


    # Solaris Management Console definition for Account management
#
smcconsole  account  requisite      pam_roles.so.1    allow_remote
smcconsole  account  required       pam_unix_account.so.1
smcconsole  account  required       pam_tsol_account.so.1 allow_unlabeled

Procedure遠隔の Solaris 管理コンソール を使用してファイルスコープで管理する

LDAP を使用せずに、遠隔システム上で Solaris 管理コンソール を使用する場合は、コンソールへの遠隔接続を有効にします。ただし、次の手順では、LDAP スコープのアクセスを有効にすることはできません。

LDAP スコープのアクセスを有効にするには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」の手順をすべて完了してください。

始める前に

システムは両方ともラベル付きシステムです。

次の手順を完了しておきます。

  1. 「Solaris 管理コンソール でのネットワーク接続の受け付けを有効にする」を完了します。

  2. デスクトップシステムで、両方のシステム上で同じように定義されているユーザーになります。

  3. デスクトップシステムで、両方のシステム上で同じように定義されている役割になります。

  4. デスクトップシステムで Solaris 管理コンソール を起動します。


    # /usr/sbin/smc &

  5. 「サーバー」ダイアログボックスで、ヘッドレスシステムの名前を入力します。

    次に、Scope=Files ツールボックスを選択します。


    このコンピュータ (remote-system: Scope=Files, Policy=TSOL)

Procedure管理 GUI の遠隔表示を有効にする

デスクトップ上での遠隔表示の手順は、Trusted Extensions が構成されていない Solaris システム上での手順と同じです。この手順は、利便性を考慮して記載されています。

  1. デスクトップシステムで、ヘッドシステムからのプロセスが表示されるようにします。

    1. ヘッドレスシステムがデスクトップシステム上の X サーバーにアクセスできるようにします。


      desktop $ xhost + headless-host

    2. デスクトップの DISPLAY 変数の値を指定します。


      desktop $ echo $DISPLAY
:n.n

  2. ヘッドレスシステム上で、DISPLAY 変数をデスクトップシステムに設定します。


    headless $ DISPLAY=desktop:n.n
headless $ export DISPLAY=n:n

Procedurerlogin または ssh コマンドを使用して Trusted Extensions のヘッドレスシステムにログインする

この手順では、コマンド行および txzonemgr GUI を使用してスーパーユーザーまたは役割としてヘッドレスシステムを管理できます。

注 –

rlogin コマンドを使用した遠隔ログインは、ssh コマンドを使用した遠隔ログインよりも安全性が低くなります。

Solaris 管理コンソール を使用して遠隔システムを管理する場合、遠隔ログインコマンドを使用する必要はありません。手順については、『Oracle Solaris Trusted Extensions 管理の手順』「Trusted Extensions システムから Solaris 管理コンソールを使ってシステムを遠隔管理する」を参照してください。

始める前に

「Trusted Extensions での役割による遠隔ログインを有効にする」を完了しました。

あなたは、通常と同じユーザー名とユーザー ID でヘッドレスシステムにログインすることを許可されたユーザーであり、ヘッドレスシステム上でもデスクトップシステム上でなれるのと同じ役割になることができます。

  1. デスクトップシステムで、ヘッドシステムからのプロセスが表示されるようにします。


    desktop $ xhost + headless-host
desktop $ echo $DISPLAY
:n.n

  2. 両方のシステムで同じように定義されているユーザーになっている必要があります。

  3. 端末ウィンドウから遠隔にヘッドレスシステムにログインします。

    • 次のように ssh コマンドを使用してログインします。


      desktop $ ssh -l identical-username headless
Password: Type the  user's password
headless $

    • 次のように rlogin コマンドを使用してログインします。


      desktop # rlogin headless
Password: Type the user's password
headless $

  4. 両方のシステムで同じように定義されている役割になります。

    同じ端末ウィンドウを使用します。たとえば、root の役割になります。


    headless $ su - root
Password: Type the root password

    大域ゾーンになります。これで、この端末を使用してコマンド行からヘッドレスシステムを管理できるようになりました。

  5. ヘッドレスシステム上のプロセスがデスクトップシステム上に表示されるようにします。

    注 –

    また、ssh -X コマンドでログインして、遠隔 GUI を表示することもできます。詳細は、ssh(1) のマニュアルページを参照してください。例については、例 6–2 を参照してください。


    headless $  DISPLAY desktop:n.n
headless $ export DISPLAY=n:n

    Trusted Extensions の GUI を使用してヘッドレスシステムを管理できるようになります。たとえば、次のようにして txzonemgr GUI を起動します。


    headless $ /usr/sbin/txzonemgr

    Labeled Zone Manager は遠隔システム上で実行され、デスクトップシステム上に表示されます。

  6. (省略可能) Trusted CDE アクションにアクセスします。

    アプリケーションマネージャーのオープンと安全なクローズを行うには、『Oracle Solaris Trusted Extensions 管理の手順』「dtappsession で Trusted Extensions を遠隔管理する」を参照してください。

例 6–2 ヘッドレスシステムでのラベル付きゾーンの設定

この例では、管理者が txzonemgr GUI を使用して、ラベル付きデスクトップシステムからラベル付きヘッドレスシステム上のラベル付きゾーンを設定します。Solaris OS と同様に、管理者は ssh コマンドに -X オプションを使用して、デスクトップシステムへの X サーバーのアクセスを許可します。ユーザー install1 は両方のシステムで同じように定義されているので、役割 remoterole になることができます。


TXdesk1 $ xhost + TXnohead4
TXdesk1 $ whoami
install1
 

TXdesk1 $ ssh -X -l install1 TXnohead4
Password: Ins1PwD1
TXnohead4 $

大域ゾーンに到達するには、管理者は役割 remoterole になります。この役割は、両方のシステムで同じように定義されています。


TXnohead4 # su - remoterole
Password: abcd1EFG

次に、管理者は txzonemgr GUI を起動します。


TXnohead4 $ /usr/sbin/txzonemgr &

Labeled Zone Manager はヘッドレスシステム上で実行され、デスクトップシステム上に表示されます。