この章では、Trusted Extensions ソフトウェアの有効化および構成を行うための作業について説明します。
Trusted Extensions 用 Solaris OS が、使用する Trusted Extensions の機能をサポートしていることを確認します。次の作業マップで説明する 2 つのタスクのいずれかを完了します。
作業 |
参照先 |
---|---|
Trusted Extensions のために既存またはアップグレード済みの Solaris インストールを準備します。 | |
Trusted Extensions の機能を考慮して Solaris OS をインストールします。 |
Trusted Extensions システムを構成する前にその準備を整えるには、次の作業マップで説明するタスクを完了してください。
作業 |
参照先 |
---|---|
Solaris システムの準備を完了します。 | |
システムをバックアップします。 |
Trusted Solaris 8 シテムの場合、使用しているリリースのマニュアルにある説明に従って、システムをバックアップします。ラベル付きバックアップは、それぞれ、同じラベルを持つゾーンに復元できます。 |
Solaris システムの場合は、『Solaris のシステム管理 (基本編)』を参照してください。 |
|
システムおよび Trusted Extensions ネットワークに関する情報を収集し、必要な事項を決定します。 | |
Trusted Extensions を有効にします。 | |
システムを構成します。 |
モニター付きのシステムの場合、「作業マップ: Trusted Extensions の構成」を参照してください。 |
ヘッドレスシステムの場合、「Trusted Extensions でのヘッドレスシステムの構成 (作業マップ)」を参照してください。 |
|
Sun Ray については、『Sun Ray Server Software 4.1 Installation and Configuration Guide for the Solaris Operating System 』を参照してください。Sun Ray 5 リリースについては、Sun Ray Server 4.2 および Sun Ray Connector 2.2 マニュアルの Web サイトを参照してください。このサーバーとクライアントは、合わせて Sun Ray 5 パッケージを構成しています。 初期クライアントサーバー通信を設定するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。 |
|
ノートパソコンの場合、OpenSolaris Community: Security Web ページを参照してください。「Trusted Extensions」をクリックします。「Trusted Extensions」ページの「Laptop Configurations」にある「Laptop instructions」をクリックします。 |
|
ネットワークが大域ゾーンと通信しないようにするため、vni0 インタフェースを構成します。例については、「Laptop instructions」を参照してください。 Solaris 10 10/08 リリースから、vni0 インタフェースを構成する必要はありません。デフォルトでは、lo0 インタフェースは all-zones インタフェースです。Trusted Extensions で DHCP を使用する場合、ノートパソコンに関するほかの手順も参照してください。 |
セキュリティー保護された構成プロセスを実現するには、早い段階で役割を作成してください。役割によってシステムを構成する際のタスクの順序を、次の作業マップに示します。
1. 大域ゾーンを構成します。 |
||
---|---|---|
タスク |
参照先 |
|
ハードウェア設定を変更する際にパスワードの入力を求めることによって、マシンハードウェアを保護します。 |
『System Administration Guide: Security Services』の「Controlling Access to System Hardware」 |
|
ラベルを設定します。ラベルはサイトに合わせて設定する必要があります。デフォルトの label_encodings ファイルを使用する場合、このタスクは省略できます。 | ||
IPv6 ネットワークを実行する場合、ラベル付きパケットが IP によって認識されるように /etc/system ファイルを変更します。 | ||
ネットワークノードの CIPSO 解釈ドメイン (DOI) が 1 でない場合は、/etc/system ファイル内でその DOI を指定します。 | ||
ゾーンのクローンを作成するために Solaris ZFS スナップショットを使用する場合は、ZFS プールを作成します。 | ||
ラベル付きの環境をアクティブにするために起動します。ログインすると、大域ゾーンになります。システムの label_encodings ファイルによって必須アクセス制御 (MAC) を実施します。 | ||
Solaris 管理コンソールを初期化します。この GUI は、いくつかあるほかのタスクの中で、ゾーンにラベルを付けるために使用します。 | ||
セキュリティー管理者役割およびローカルに使用するその他の役割を作成します。これらの役割は Solaris OS の場合と同様に作成します。 このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。 |
ローカルファイルを使用してシステムの管理を行っている場合は、次の一連の手順を省略します。
2. ネームサービスを構成します。 |
||
---|---|---|
タスク |
参照先 |
|
ファイルを使用して Trusted Extensions を管理する場合、次のタスクを省略できます。 |
ファイルのネームサービスには、何も構成する必要はありません。 |
|
既存の Sun Java System Directory Server (LDAP サーバー) がある場合、そのサーバーに Trusted Extensions データベースを追加します。次に、最初の Trusted Extensions システムを LDAP サーバーのプロキシにします。 LDAP サーバーがない場合、最初のシステムをサーバーとして構成します。 | ||
Solaris 管理コンソールの LDAP ツールボックスを手動で設定します。このツールボックスを使用して、ネットワークオブジェクトに関する Trusted Extensions 属性を変更できます。 | ||
LDAP サーバーでもプロキシサーバーでもないシステムの場合、それを LDAP クライアントにします。 | ||
LDAP スコープで、セキュリティー管理者役割および使用するつもりであるその他の役割を作成します。 このタスクは最後まで延期できます。その結果については、「Trusted Extensions の構成ストラテジの作成」を参照してください。 |
3. ラベル付きゾーンを作成します。 |
||
---|---|---|
タスク |
参照先 |
|
txzonemgr コマンドを実行します。 ネットワークインタフェースを構成するメニューに従って、最初のラベル付きゾーンを作成し、カスタマイズします。次に、残りのゾーンをコピーするか、そのゾーンのクローンを作成します。 | ||
あるいは、Trusted CDE アクションを使用します。 | ||
(省略可能) すべてのゾーンが正常にカスタマイズされたあとで、ゾーン固有のネットワークアドレスおよびデフォルトのルーティングをラベル付きゾーンに追加します。 |
使用する環境によっては、次のタスクが必要になる場合があります。
4. システムの設定を完了します。 |
||
---|---|---|
タスク |
参照先 |
|
ラベルを必要とする追加の遠隔ホスト、1 つ以上のマルチレベルのポート、または異なる制御メッセージポリシーを特定します。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」 |
|
マルチレベルのホームディレクトリサーバーを作成し、インストールされたゾーンを自動マウントします。 | ||
ユーザーによるシステムへのログインを有効にする前に、監査の設定、ファイルシステムのマウント、およびその他のタスクを実行します。 | ||
NIS 環境から LDAP サーバーにユーザーを追加します。 | ||
ホストとそのラベル付きゾーンを LDAP サーバーに追加します。 |
『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」 |