txzonemgr スクリプトを使用すると、ラベル付きゾーンを構成する次のタスクをすべて順に実行できます。
txzonemgr の手順を使用するには、Trusted Extensions の Solaris 10 8/07 リリース以降を実行している必要があります。または、Solaris 10 11/06 リリースのすべてのパッチをインストールしてください。
Solaris 10 11/06 リリースを現在のパッチを適用しないで実行している場合、付録 B Trusted Extensions での CDE アクションを使用したゾーンのインストールの手順を使用してラベル付きゾーンを構成します。
この節の手順で、最大 2 つの IP アドレスに割り当てられているシステム上にラベル付きゾーンを構成します。その他の設定については、「作業マップ: Trusted Extensions の準備と有効化」の構成オプションを参照してください。
作業 |
説明 |
参照先 |
---|---|---|
1. txzonemgr スクリプトを実行します。 |
txzonemgr スクリプトで、ゾーンの構成時に適したタスクを提示する GUI を作成します。 | |
2. 大域ゾーンでネットワークインタフェースを管理します。 |
大域ゾーンでインタフェースを構成します。つまり、論理インタフェースを作成して、それらのインターフェースを大域ゾーンで構成します。 | |
3. ゾーンに名前を付けてラベルを付けます。 |
ゾーンにそのラベルのバージョンを使って名前を付けて、ラベルに割り当てます。 | |
4. ゾーンをインストールして起動します。 |
パッケージをゾーンにインストールします。サービスをゾーンで構成します。ゾーン端末コンソールによって、ゾーンにアクティビティを表示できます。 | |
5. ゾーンのステータスを確認します。 |
ラベル付きゾーンが実行されており、そのゾーンが大域ゾーンと通信できることを確認します。 | |
6. ゾーンをカスタマイズします。 |
不要なサービスをゾーンから削除します。 ゾーンを使用してその他のゾーンを作成する場合は、このゾーンにのみ限定される情報を削除します。 | |
7. その他のゾーンを作成します。 |
選択した方法を使用して、2 つめのゾーンを作成します。ゾーンの作成方法については、「Trusted Extensions でのゾーン計画」を参照してください。 | |
8. (省略可能) ゾーン固有のネットワークインタフェースを追加します。 |
ネットワークの遮断を行うには、1 つ以上のネットワークインタフェースをラベル付きゾーンに追加します。一般に、そのような構成はラベル付きサブネットを切り離すために使用します。 |
このスクリプトで、ラベル付きゾーンを適切に構成、インストール、初期化、および起動するタスクを順に実行します。このスクリプトでは、各ゾーンに名前を付けてその名前とラベルを関連付け、パッケージをインストールして仮想 OS を作成し、ゾーンを起動してそのゾーンでサービスを開始します。このスクリプトには、ゾーンのコピーおよびゾーンのクローン作成のタスクが含まれています。また、ゾーンの停止、ゾーンの状態の変更、ゾーン固有のネットワークインタフェースの追加もできます。
このスクリプトによって動的に決定されるメニューが提示され、現在の状況に有効な選択のみが表示されます。たとえば、ゾーンのステータスを設定する場合には、ゾーンをインストールするためのメニュー項目は表示されません。完了済みのタスクはリストに表示されません。
スーパーユーザーになります。
ゾーンのクローンを作成する場合は、ゾーンのクローン作成の準備を完了しておきます。独自のセキュリティーテンプレートを使用する場合は、そのテンプレートを作成しておきます。
端末ウィンドウを大域ゾーンで開きます。
txzonemgr スクリプトを実行します。
# /usr/sbin/txzonemgr |
このスクリプトで、「Labeled Zone Manager」ダイアログボックスが開きます。この「zenity」ダイアログボックスで、インストールの現在の状態に応じて、適切なタスクを実行するよう求められます。
タスクを実行するには、メニュー項目を選択してから、Return キーを押すかまたは「了解」をクリックします。テキストの入力を求められた場合は、テキストを入力してから Return キーを押すかまたは「了解」をクリックします。
ゾーン完了の現在の状態を表示するには、Labeled Zone Manager の「Return to Main Menu」をクリックします。
DHCP を使用するようにシステムを構成する場合、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。
Solaris 10 10/08 リリースから、各ラベル付きゾーンが独自のサブネットにあるシステムを構成する場合は、この手順を省略して、「ゾーンに名前およびラベルを付ける」に進むことができます。ゾーンのインストールとカスタマイズを終えたら、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」で各ラベル付きゾーンのネットワークインタフェースを追加します。
このタスクで、ネットワーキングを大域ゾーンで構成します。all-zones インタフェースを 1 つだけ作成する必要があります。all-zones インタフェースは、ラベル付きゾーンと大域ゾーンで共有されます。この共有インタフェースは、ラベル付きゾーンと大域ゾーンの間のトラフィックの経路制御に使用されます。このインタフェースを構成するには、次のいずれかを実行します。
物理インタフェースから論理インタフェースを作成した後、物理インタフェースを共有します。
この構成が、管理者にとって、もっとも簡単です。システムが 2 つの IP アドレスを割り当てられている場合に、この構成を選択します。この手順では、論理インタフェースは大域ゾーンの固有アドレスとなり、物理インタフェースは大域ゾーンとラベル付きゾーン間で共有されます。
物理インタフェースを共有します
システムが 1 つの IP アドレスを割り当てられている場合に、この構成を選択します。この構成では、大域ゾーンとラベル付きゾーン間で物理インタフェースが共有されます。
仮想ネットワークインタフェース vni0 を共有します
DHCP を構成する場合や、各サブネットワークのラベルが異なっている場合に、この構成を選択します。手順例については、OpenSolaris Community: Security Web ページの Trusted Extensions 節にあるノートパソコンに関する指示を参照してください。
Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。そのため、vni0 共有インタフェースを作成する必要はありません。
ゾーン固有のネットワークインタフェースを追加するには、インタフェースを追加する前に、ゾーンの作成を終了して確認します。手順については、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」を参照してください。
大域ゾーンでスーパーユーザーになります。
Labeled Zone Manager が表示されています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
「Labeled Zone Manager」で、「Manage Network Interfaces」を選択して、「了解」をクリックします。
インタフェースのリストが表示されます。
この例では、物理インタフェースにホスト名と IP アドレスがインストール時に割り当てられています。
物理インタフェースを選択します。
インタフェースが 1 つあるシステムには、次のようなメニューが表示されます。参考のために注記を追加しています。
vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface |
このネットワークインタフェースに適したタスクを選択します。
次の、3 つのオプションが提示されます。
View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing |
1 つの IP アドレスを持つシステムでは、物理インタフェースを共有します。
この構成では、ホストの IP アドレスがすべてのゾーンに適用されます。したがって、ホストのアドレスは all-zones アドレスです。このホストをマルチレベルサーバーとして使用することはできません。たとえば、ユーザーはこのシステムからのファイルを共有することはできません。このシステムは、LDAP プロキシサーバー、NFS ホームディレクトリサーバー、プリンタサーバーとすることはできません。
「Share」を選択して「了解」をクリックします。
共有インタフェースが表示されたダイアログボックスで、「了解」をクリックします。
eri0 all-zones 10.10.9.8 cipso Up |
物理インタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。「ゾーンに名前およびラベルを付ける」に進みます。
2 つの IP アドレスを持つシステムでは、論理インタフェースを作成します。
その後、物理インタフェースを共有します。
これはもっともシンプルな Trusted Extensions ネットワーク構成です。 この構成では、メインの IP アドレスはほかのシステムがこのシステム上の任意のゾーンに到達するために使用し、論理インタフェースは大域ゾーンに固有とすることができます。大域ゾーンはマルチレベルサーバーとして使用できます。
「Create Logical Interface」を選択して「了解」をクリックします。
新しい論理インタフェースの作成を確認するダイアログボックスを閉じます。
「Set IP address」を選択して「了解」をクリックします。
プロンプトで論理インタフェースのホスト名を指定し、「了解」をクリックします。
たとえば、論理インタフェースのホスト名として machine1-services を指定します。この名前は、このホストがマルチレベルサービスを提供することを示しています。
プロンプトで論理インタフェースの IP アドレスを指定し、「了解」をクリックします。
たとえば、論理インタフェースの IP アドレスとして 10.10.9.2 を指定します。
論理インタフェースをもう一度選択して、「了解」をクリックします。
「Bring Up」を選択して「了解」をクリックします。
インタフェースが Up として表示されます。
eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up |
物理インタフェースを共有します。
少なくとも 1 つのインタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。
大域ゾーンに一意のインタフェースがあり、ラベル付きゾーンが別のインタフェースを大域ゾーンと共有するシステムでは、/etc/hosts ファイルは次のようになります。
# cat /etc/hosts ... 127.0.0.1 localhost 192.168.0.11 machine1 loghost 192.168.0.12 machine1-services |
デフォルト構成では、tnrhdb ファイルは次のようになります。
# cat /etc/security/tsol/tnrhdb ... 127.0.0.1:cipso 192.168.0.11:cipso 192.168.0.12:cipso 0.0.0.0:admin_low |
all-zones インタフェースが tnrhdb ファイル内にない場合、インタフェースはデフォルトの cipso になります。
この例では、管理者がシステムをマルチレベルサーバーとして使用する計画はありません。IP アドレスを節約するため、すべてのラベル付きゾーンと IP アドレスを共有するように大域ゾーンが構成されます。
管理者は、システムの hme0 インタフェースとして「Share」を選択します。このソフトウェアにより、すべてのゾーンに論理 NIC があるよう設定されます。これらの論理 NIC は、大域ゾーンで 1 つの物理的な NIC を共有します。
管理者は ifconfig -a コマンドを実行して、ネットワークインタフェース 192.168.0.11 にある物理インタフェース hme0 が共有されることを確認します。all-zones の値が表示されます。
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 all-zones inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
管理者は /etc/hostname.hme0 ファイルの内容も調べます。
192.168.0.11 all-zones |
label_encodings ファイル中のラベルごとにゾーンを作成する必要はありませんが、作成することもできます。管理 GUI により、このシステムで GUI 用に作成されたゾーンを持つことのできるラベルが列挙されます。
大域ゾーンでスーパーユーザーになります。「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。ネットワークインタフェースを大域ゾーンに構成しています。
必要なセキュリティーテプレートを作成しています。セキュリティーテンプレートで、属性の中で特に、ネットワークインタフェースに割り当てることができるラベル範囲を定義します。デフォルトのセキュリティーテンプレートでも必要性は満たされることはあります。
セキュリティーテンプレートの概要については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。
Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。
「Labeled Zone Manager」で、「Create a new zone」をクリックして、「了解」をクリックします。
プロンプトで名前の入力を求められます。
ゾーンの名前を入力します。
ゾーンのラベルに似た名前をゾーンに付けます。たとえば、ラベルが CONFIDENTIAL: RESTRICTED であるゾーンには、restricted という名前を付けます。
たとえば、デフォルトの label_encodings ファイルには次のラベルが含まれています。
PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL |
ラベルごとにゾーンを 1 つ作成できますが、次のゾーンを作成することを検討してください。
すべてのユーザーのシステムでは、PUBLIC ラベルに 1 つのゾーン、および CONFIDENTIAL ラベルに 3 つのゾーンを作成します。
開発者用のシステムでは、SANDBOX: PLAYGROUND ラベルにゾーンを 1 つ作成します。SANDBOX: PLAYGROUND は開発者用の不連続ラベルとして定義され、開発者が使用するシステムにのみ、このラベルにゾーンが必要です。
MAX LABEL ラベルにはゾーンを作成しないでください。これは認可上限として定義されます。
「了解 (OK)」をクリックします。
ダイアログボックスでは、タスクのリストの上に zone-name :configured が表示されます。
ゾーンにラベルを付けるには、次のいずれかを選択します。
カスタマイズした label_encodings ファイルを使用している場合、トラステッドネットワークゾーンツールを使用してゾーンにラベルを付けます。
トラステッドネットワークゾーンツールを Solaris 管理コンソールで開きます。
ゾーンごとに、適切なラベルとゾーン名を関連付けます。
「アクション」->「ゾーン構成の追加」を選択します。
ダイアログボックスに、割り当てられているラベルがないゾーンの名前が表示されます。
ゾーン名を確認してから「編集」をクリックします。
ラベルビルダーで、ゾーン名に該当するラベルをクリックします。
間違ったラベルをクリックした場合、そのラベルをもう一度クリックして選択を解除し、正しいラベルをクリックします。
割り当てを保存します。
「トラステッドネットワークゾーンのプロパティー」ダイアログボックスで「了解」をクリックします。
必要なゾーンがすべてパネルに表示されたら終了です。あるいは、「ゾーン構成の追加」メニュー項目をクリックすると、ゾーン名の値がないダイアログボックスが開かれます。
デフォルトの label_encodings ファイルを使用している場合、Labeled Zone Manager を使用します。
「Select Label」メニュー項目をクリックして「了解」をクリックし、使用可能なラベルのリストを表示します。
大域ゾーンでスーパーユーザーになります。ゾーンが構成されており、割り当て済みのネットワークインタフェースがあります。
「Labeled Zone Manager」ダイアログボックスが表示され、zone-name:configured というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
Labeled Zone Manager から「Install」を選択して「了解」をクリックします。
このプロセスが終了するまでしばらく時間がかかります。このタスクの実行中は、ほかのタスクを実行しないでください。
システムで、大域ゾーンから非大域ゾーンにパッケージがコピーされます。このタスクによって、ラベル付きの仮想オペレーティングシステムがゾーンにインストールされます。この例を続行するため、このタスクで public ゾーンがインストールされます。GUI に次のような出力が表示されます。
# Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation. |
cannot create ZFS dataset zone/zonename: dataset already exists のようなメッセージは、情報メッセージです。ゾーンは既存のデータセットを使用します。
インストールが完了すると、ホストの名前の入力を 要求するプロンプトが表示されます。名前が表示されます。
そのホストの名前をそのまま使用します。
ダイアログボックスでは、タスクのリストの上に zone-name:installed が表示されます。
次のような警告が表示されます。 「Installation of these packages generated errors: SUNW pkgname」が表示された場合、インストールログを読み、パッケージのインストールを終了します。
大域ゾーンでスーパーユーザーになります。ゾーンがインストールされており、割り当て済みのネットワークインタフェースがあります。
「Labeled Zone Manager」ダイアログボックスが表示され、 zone-name:installed というサブタイトルが付いています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
「Labeled Zone Manager」で「Zone Console」を選択して「了解」をクリックします。
現在のラベル付きゾーンに、別のコンソールウィンドウが表示されます。
「Boot」を選択します。
「ゾーン端末コンソール」は、ゾーン起動の進捗を追跡します。ゾーンを最初から作成する場合は、次のようなメッセージがコンソールに表示されます。
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting] |
このタスクの実行中は、ほかのタスクを実行しないでください。
4 つのデフォルトのゾーンが構成されて起動されると、Labeled Zone Manager では次のようにゾーンが表示されます。
場合によっては、エラーメッセージが表示されてゾーンが再起動しないことがあります。ゾーン端末コンソールで Return キーを押します。再起動するために y の入力を求めるプロンプトが表示されたら、y を入力して Return キーを押します。ゾーンが再起動されます。
このゾーンが別のゾーンからコピーされたかまたはクローン作成された場合は、「ゾーンのステータスを確認する」に進みます。
このゾーンが最初のゾーンである場合は、「ラベル付きゾーンをカスタマイズする」に進みます。
X サーバーが大域ゾーンで実行されます。それぞれのラベル付きゾーンがこの X サーバーを使用するには、大域ゾーンに接続できなければなりません。そのため、ゾーンネットワークが機能しなければ、ゾーンを使用することはできません。背景の説明については、「マルチレベルアクセスの計画」を参照してください。
ゾーンが完全に起動されていることを確認します。
zone-name: ゾーン端末コンソールで、root としてログインします。
hostname console login: root Password: Type root password |
ゾーン端末コンソールで、クリティカルサービスが実行されていることを確認します。
# svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ... |
sendmail および print サービスは、クリティカルサービスではありません。
ゾーンに妥当な IP アドレスがあることを確認します。
# ifconfig -a |
たとえば、次の出力には hme0 インタフェースの IP アドレスが表示されます。
# ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
(省略可能) ゾーンが大域ゾーンと通信できることを確認します。
DISPLAY
変数が X サーバーをポイントするよう設定します。
# DISPLAY=global-zone-hostname:n.n # export DISPLAY |
端末ウィンドウから GUI を表示します。
たとえば、クロックを表示します。
# /usr/openwin/bin/xclock |
ゾーンのラベルでクロックが表示されない場合は、 ゾーンのネットワーキングが正しく構成されていません。デバックに関する提案事項は、「ラベル付きゾーンが X サーバーにアクセスできない」を参照してください。
GUI を閉じて続行します。
大域ゾーンから、ラベル付きゾーンのステータスを確認します。
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared |
これでラベル付きゾーンの構成は完了です。ゾーン固有のネットワークインタフェースをゾーンに追加するか、ラベル付きゾーンごとにデフォルトルーティングを確立するには、「ネットワークインタフェースをラベル付きゾーンに追加し、ルーティングする」に進みます。そうでない場合は、「Trusted Extensions での役割とユーザーの作成」に進みます。
ゾーンのクローンを作成する、またはゾーンをコピーする場合、この手順によって、ゾーンがほかのゾーンのテンプレートになるように構成されます。さらに、この手順によって、使用するテンプレートから作成されていないゾーンを構成します。
大域ゾーンでスーパーユーザーになります。「ゾーンのステータスを確認する」を完了しておきます。
ゾーン端末コンソールで、ラベル付きゾーンで不要なサービスを無効にします。
このゾーンをコピーまたはクローンを作成する場合、無効にしたサービスは新しいゾーンで無効にされます。システムでオンラインであるサービスは、そのゾーンのサービスマニフェストによって異なります。netservices limited コマンドを使用して、ラベル付きゾーンで必要としないサービスをオフにします。
多数の不要なサービスを削除します。
# netservices limited |
そのほかのサービスを一覧にします。
# svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ... |
グラフィカルログインを無効にします。
# svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default |
サービス管理フレームワークの詳細は、smf(5) のマニュアルページを参照してください。
続行する前に、ゾーンがシャットダウンされていることを確認します。
zone-name: ゾーン端末コンソールで、次のメッセージによって、ゾーンがシャットダウンされていることが示されます。
[ NOTICE: Zone halted] |
このゾーンをコピーまたはそのクローンを作成するのではない場合、この最初のゾーンを作成したのと同じ方法で残りのゾーンを作成します。そのほかの場合は、次の手順に進みます。
このゾーンをほかのゾーンのテンプレートとして使用する場合、次のとおりに実行します。
auto_home_zone-name ファイルを削除します。
大域ゾーンの端末ウィンドウで、zone-name ゾーンからこのファイルを削除します。
# cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name |
たとえば、public ゾーンがほかのゾーンのクローン作成元テンプレートである場合、auto_home_public ファイルを次のように削除します。
# cd /zone/public/root/etc # rm auto_home_public |
このゾーンのクローンを作成する場合、次の手順で ZFS スナップショットを作成してから、「Trusted Extensions でゾーンのコピーまたはクローンを行う」に進みます。
このゾーンをコピーする場合は、手順 6 を完了してから「Trusted Extensions でゾーンのコピーまたはクローンを行う」に進みます。
その他のゾーンのクローンを作成するためのゾーンテンプレートを作成するには、「Create Snapshot」を選択して「了解」をクリックします。
スナップショットのゾーンは、ZFS ファイルシステム内になければなりません。「ゾーンのクローンを作成するために ZFS プールを作成する」でゾーンに ZFS ファイルシステムが作成されます。
カスタマイズしたゾーンがまだ使用できることを確認するには、「Labeled Zone Manager」から「Boot」を選択します。
ゾーン端末コンソールは、ゾーン起動の進捗を追跡します。次のようなメッセージがコンソールに表示されます。
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename |
ログインプロンプトに対して Return キーを押します。root としてログインできます。
「ラベル付きゾーンをカスタマイズする」を完了しておきます。
「Labeled Zone Manager」ダイアログボックスが表示されます。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
ゾーンを作成します。
詳細は、「ゾーンに名前およびラベルを付ける」を参照してください。
次の方法のいずれかを選択して、ゾーン作成ストラテジを続行します。
新規のゾーンごとに次の手順を繰り返します。
ラベルを付けたゾーンをコピーします。
「Labeled Zone Manager」から「コピー」を選択して「了解」をクリックします。
ゾーンテンプレートを選択して「了解」をクリックします。
ウィンドウにコピーのプロセスが表示されます。プロセスが完了すると、ゾーンがインストールされます。
「Labeled Zone Manager」に「zone-name :configured」と表示された場合は、次の手順に進みます。それ以外の場合は、手順 e に進みます。
メニュー項目「Select another zone」を選択して「了解」をクリックします。
新規にインストールされたゾーンを選択して、「了解」をクリックします。
「ラベル付きゾーンを起動する」を完了します。
「ゾーンのステータスを確認する」を完了します。
ラベルを付けたゾーンのクローンを作成します。
「Labeled Zone Manager」で「クローン」を選択して「了解」をクリックします。
リストから ZFS スナップショットを選択して「了解」をクリックします。
たとえば、public からスナップショットを作成した場合は、zone/public@snapshot を選択します。
クローン作成のプロセスが完了すると、ゾーンがインストールされます。手順 c に進みます。
ゾーンコンソールを開き、ゾーンを起動します。
手順については、「ラベル付きゾーンを起動する」を参照してください。
「ゾーンのステータスを確認する」を完了します。
すべてのゾーンに対して 「ゾーンのステータスを確認する」を完了していて、各ゾーンをそれぞれ別の物理ネットワークに配置する場合は、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」に進みます。
まだ役割を作成していない場合は、「Trusted Extensions での役割とユーザーの作成」に進みます。
すでに役割を作成済みの場合は、「Trusted Extensions でのホームディレクトリの作成」に進みます。