DHCP を使用するようにシステムを構成する場合、OpenSolaris Community: Security Web ページの Trusted Extensions の節にあるノートパソコンに関する指示を参照してください。
Solaris 10 10/08 リリースから、各ラベル付きゾーンが独自のサブネットにあるシステムを構成する場合は、この手順を省略して、「ゾーンに名前およびラベルを付ける」に進むことができます。ゾーンのインストールとカスタマイズを終えたら、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」で各ラベル付きゾーンのネットワークインタフェースを追加します。
このタスクで、ネットワーキングを大域ゾーンで構成します。all-zones インタフェースを 1 つだけ作成する必要があります。all-zones インタフェースは、ラベル付きゾーンと大域ゾーンで共有されます。この共有インタフェースは、ラベル付きゾーンと大域ゾーンの間のトラフィックの経路制御に使用されます。このインタフェースを構成するには、次のいずれかを実行します。
物理インタフェースから論理インタフェースを作成した後、物理インタフェースを共有します。
この構成が、管理者にとって、もっとも簡単です。システムが 2 つの IP アドレスを割り当てられている場合に、この構成を選択します。この手順では、論理インタフェースは大域ゾーンの固有アドレスとなり、物理インタフェースは大域ゾーンとラベル付きゾーン間で共有されます。
物理インタフェースを共有します
システムが 1 つの IP アドレスを割り当てられている場合に、この構成を選択します。この構成では、大域ゾーンとラベル付きゾーン間で物理インタフェースが共有されます。
仮想ネットワークインタフェース vni0 を共有します
DHCP を構成する場合や、各サブネットワークのラベルが異なっている場合に、この構成を選択します。手順例については、OpenSolaris Community: Security Web ページの Trusted Extensions 節にあるノートパソコンに関する指示を参照してください。
Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。そのため、vni0 共有インタフェースを作成する必要はありません。
ゾーン固有のネットワークインタフェースを追加するには、インタフェースを追加する前に、ゾーンの作成を終了して確認します。手順については、「既存のラベル付きゾーンを経路指定するためにネットワークインタフェースを追加する」を参照してください。
大域ゾーンでスーパーユーザーになります。
Labeled Zone Manager が表示されています。この GUI を開くには、「txzonemgr スクリプトを実行する」を参照してください。
「Labeled Zone Manager」で、「Manage Network Interfaces」を選択して、「了解」をクリックします。
インタフェースのリストが表示されます。
この例では、物理インタフェースにホスト名と IP アドレスがインストール時に割り当てられています。
物理インタフェースを選択します。
インタフェースが 1 つあるシステムには、次のようなメニューが表示されます。参考のために注記を追加しています。
vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface |
このネットワークインタフェースに適したタスクを選択します。
次の、3 つのオプションが提示されます。
View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing |
1 つの IP アドレスを持つシステムでは、物理インタフェースを共有します。
この構成では、ホストの IP アドレスがすべてのゾーンに適用されます。したがって、ホストのアドレスは all-zones アドレスです。このホストをマルチレベルサーバーとして使用することはできません。たとえば、ユーザーはこのシステムからのファイルを共有することはできません。このシステムは、LDAP プロキシサーバー、NFS ホームディレクトリサーバー、プリンタサーバーとすることはできません。
「Share」を選択して「了解」をクリックします。
共有インタフェースが表示されたダイアログボックスで、「了解」をクリックします。
eri0 all-zones 10.10.9.8 cipso Up |
物理インタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。「ゾーンに名前およびラベルを付ける」に進みます。
2 つの IP アドレスを持つシステムでは、論理インタフェースを作成します。
その後、物理インタフェースを共有します。
これはもっともシンプルな Trusted Extensions ネットワーク構成です。 この構成では、メインの IP アドレスはほかのシステムがこのシステム上の任意のゾーンに到達するために使用し、論理インタフェースは大域ゾーンに固有とすることができます。大域ゾーンはマルチレベルサーバーとして使用できます。
「Create Logical Interface」を選択して「了解」をクリックします。
新しい論理インタフェースの作成を確認するダイアログボックスを閉じます。
「Set IP address」を選択して「了解」をクリックします。
プロンプトで論理インタフェースのホスト名を指定し、「了解」をクリックします。
たとえば、論理インタフェースのホスト名として machine1-services を指定します。この名前は、このホストがマルチレベルサービスを提供することを示しています。
プロンプトで論理インタフェースの IP アドレスを指定し、「了解」をクリックします。
たとえば、論理インタフェースの IP アドレスとして 10.10.9.2 を指定します。
論理インタフェースをもう一度選択して、「了解」をクリックします。
「Bring Up」を選択して「了解」をクリックします。
インタフェースが Up として表示されます。
eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up |
物理インタフェースを共有します。
少なくとも 1 つのインタフェースが all-zones インタフェースになっていれば、手順は正常に完了しています。
大域ゾーンに一意のインタフェースがあり、ラベル付きゾーンが別のインタフェースを大域ゾーンと共有するシステムでは、/etc/hosts ファイルは次のようになります。
# cat /etc/hosts ... 127.0.0.1 localhost 192.168.0.11 machine1 loghost 192.168.0.12 machine1-services |
デフォルト構成では、tnrhdb ファイルは次のようになります。
# cat /etc/security/tsol/tnrhdb ... 127.0.0.1:cipso 192.168.0.11:cipso 192.168.0.12:cipso 0.0.0.0:admin_low |
all-zones インタフェースが tnrhdb ファイル内にない場合、インタフェースはデフォルトの cipso になります。
この例では、管理者がシステムをマルチレベルサーバーとして使用する計画はありません。IP アドレスを節約するため、すべてのラベル付きゾーンと IP アドレスを共有するように大域ゾーンが構成されます。
管理者は、システムの hme0 インタフェースとして「Share」を選択します。このソフトウェアにより、すべてのゾーンに論理 NIC があるよう設定されます。これらの論理 NIC は、大域ゾーンで 1 つの物理的な NIC を共有します。
管理者は ifconfig -a コマンドを実行して、ネットワークインタフェース 192.168.0.11 にある物理インタフェース hme0 が共有されることを確認します。all-zones の値が表示されます。
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
Solaris 10 10/08 リリースから、Trusted Extensions のループバックインタフェースは all-zones インタフェースとして作成されます。
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 all-zones inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255 |
管理者は /etc/hostname.hme0 ファイルの内容も調べます。
192.168.0.11 all-zones |