SunVTS のセキュリティー

SunVTS のセキュリティー機構は、以下の 2 つから選択することができます。

• 基本セキュリティー ― SunVTS の使用を許可された有効なユーザー、グループ、ホストを記述したローカルファイルを保守します。このレベルのセキュリティーでは、ネットワークの認証を安全に行うことはできません。セキュリティー保護が必要なネットワークでは使用を控えてください。

• SEAM セキュリティー ― Sun Enterprise Authentication Mechanism^TM (SEAM) を使用して、ユーザー認証を安全に行い、データの完全性と機密性を確保します。このセキュリティー機構は、Kerberos V5 テクノロジを使用してネットワーク経由でトランザクションを行うためのものです。

SunVTS をインストールするときには、使用するセキュリティー機構を指定するよう求められます。上記のセキュリティーのうちいずれかを選択してください。インストールの際に表示されるすべての質問に対してリターンキーのみで答えた場合は、デフォルトとして SEAM セキュリティーが設定されます。

基本セキュリティー

SunVTS ユーザーインタフェース (vtsui、vtsui.ol、vtstty) を使用してテストを制御するには、先にユーザーインタフェースを SunVTS のカーネル (vtsk) に接続する必要があります。SunVTS カーネルは、SunVTS インタフェースからの "connect to" 要求を、SunVTS のインストールディレクトリ/bin/.sunvts_sec ファイルのエントリに基づいて選択的に受け付けます。接続アクセス権は、このファイルの 3 つのカテゴリによって、以下のように制御されます。

• HOSTS-ユーザーが、HOSTS カテゴリに属しているホストで作業している場合は、その接続要求は認証なしで許可されます。

• GROUPS-ユーザーが、GROUPS カテゴリに属しているグループのメンバーである場合は、パスワードの入力を求められます。SunVTS カーネルは、このパスワードをテスト実行中システム (SUT) のパスワードデータベースと比較します。パスワードが一致しない、あるいはこのユーザーが登録されていない場合は、接続は拒否されます。

• USERS-ユーザーが、USERS カテゴリのメンバーである場合は、パスワードの入力を求められます。SunVTS カーネルは、このパスワードを SUT のパスワードデータベースと比較します。パスワードが一致しない、あるいはこのユーザーが登録されていない場合は、接続は拒否されます。

上記のカテゴリにプラス (+) のエントリがある場合は、そのカテゴリのすべてのホスト、グループ、またはユーザーがパスワードなしでアクセスできることを意味します。

認証に必要なユーザーパスワードは、SUT へのログインで使用されるものと同じです。

接続アクセス権に対する検査は、HOSTS、GROUPS、USERS カテゴリの順で行われます。接続要求とエントリが一致すると、直ちにその接続が承認されます。

セキュリティーファイルのエントリが無効である、またはファイルにエントリが存在しない場合は、root (スーパーユーザー) を除くすべてのアクセスはローカルマシン上で拒否されます。ただし、このファイルのエントリは、SunVTS カーネルの動作中でも修正が可能です。

SunVTS カーネルの起動時に -e オプションを指定した場合は、.sunvts_sec ファイルのエントリに関係なく、すべてのホストからの "connect to" 要求はSunVTS カーネルで受け付けられます。

SunVTS 3.1 以降では、.sunvts_sec ファイルは、デフォルトでテスト実行中システムの root に構成されています。その他のすべての "connect to" 要求は拒否されます。

SEAM セキュリティーを有効にすると、.sunvts_sec ファイルは省略されます。

デフォルトの .sunvts_sec ファイルの内容を以下に示します。

セキュリティーファイル (.sunvts_sec) のコーディング例

#This file should be <SunVTS 4.3 install directory>

/bin/.sunvts_sec
#
#Any line beginning with a # is a comment line
#
# Trusted Hosts entry
# One hostname per line.
# A "+" entry on a line indicates that ALL hosts are Trusted
Hosts.
# No password authentication is done.
# The line with the label HOSTS: is required to have the
list of hosts
#
HOSTS:
#+
#host1
#host2
#
# Trusted Groups entry
# One groupname per line.
# A "+" entry on a line indicates that ALL groups are Trusted Groups.
# User password authentication is done.
# The line with the label GROUPS: is required to have the
list of groups
#
GROUPS:
#group1
#
# Trusted Users entry
# One username per line.
# A "+" entry on a line indicates that ALL users are Trusted
Users.
# User password authentication is done.
# The line with the label USERS: is required to have the
list of users.
USERS:
root
#user1
#user2

SEAM セキュリティー

SunVTS で SEAM セキュリティー機能を使用するには、以下のことが必要です。

• SEAM 1.0.1 の完全なクライアント/サーバーアプリケーションがインストールされ、ネットワーク環境で動作している必要がある。

• SunVTS のインストール先のシステムに、最低限、SEAM 1.0.1 クライアントソフトウェアがインストールされている。

• SunVTS をインストールする際に、SEAM セキュリティー (Kerberos V5) を選択する。

SEAM の詳細については、以下のドキュメントを参照してください。 o 『Sun Enterprise Administration Mechanism 1.0.1 Guide』 o 『SEAM 1.0.1 Installation and Release Notes』 これらのドキュメントは、Sun Enterprise Authentication Mechanism 1.0.1 AnswerBook Collection の一部であり、http://docs.sun.com からアクセスできます。 SEAM ソフトウェアは、Solaris のリリースに付属しています。

SunVTS の SEAM セキュリティーシステムは、チケットの概念を中心とする Kerberos V5 テクノロジに基づいています。チケットとは、電子情報のセットであり、ユーザーまたはサービスの識別に使用されます。SunVTS 経由で別のホストに接続する場合は、チケットの要求が透過的に Key Distribution Center (KDC) に送信され、そこからデータベースにアクセスして、ユーザーの本人確認が行われます。別のホストへのアクセス権が承認されると、KDCからチケットが返されます。

「透過的」とは、ユーザーが明示的にチケットを要求する必要がないことを意味します。つまり、チケット要求は、遠隔接続の一環としてバックグラウンドで行われるということです。ネットワーク上でパスワードの送信は行われません。認証を受けたユーザーだけが、特定のサービスへのチケットを取得できます。したがって、他のクライアントが ID を偽ってアクセス権を得ることはできません。

SunVTS セキュリティーの制御

インストール時に SunVTS セキュリティーモードを制御する

SunVTS セキュリティーモードの制御は、SunVTS をインストールするときに確立するのが最適です。

1. SunVTS で使用するセキュリティーレベルを決定する。

   安全性の高い SEAM セキュリティーを選択する場合は、お使いのシステムが SEAM 上で動作していることを確認してください。

2. 「SunVTS のインストール」 に従って、SunVTS をインストールする。

   インストールプログラムから、SEAM セキュリティーを有効にするかどうかを尋ねられます。以下の説明に従って答えてください。

   • y (はい) (デフォルト)-SunVTS の Kerberos SEAM セキュリティーが有効になります。SunVTS のセキュリティー管理で必要な操作はこれだけです。SunVTS は、実際のネットワーク環境で SEAM ソフトウェアを構成する際に定義された認証方法によって、SunVTS へのアクセスを許可または拒否します。ネットワーク環境に SEAM ソフトウェアがインストール・構成されていない場合は、このセキュリティスキーマは使用しないでください。

   • n (いいえ)-基本セキュリティーファイルが使用され、SEAM セキュリティーは有効になりません。インストールが完了すると、テスト実行中システムのスーパーユーザーとして SunVTS にアクセスできます。別のユーザーを承認するには、.sunvts_sec ファイルを変更してください。

インストール後に SunVTS セキュリティーを切り替える

SunVTS をインストールした後で、セキュリティーを SEAM から基本へ、またはその逆に切り替える場合は、以下の手順に従ってください。

1. スーパーユーザーになる。

2. SunVTS が起動していないことを確認する。

3. 以下のように、ディレクトリを SunVTS バイナリディレクトリに変更する。

   # cd /opt/SUNWvts/bin

   ---

   注 -

   SunVTS を /opt 以外のディレクトリにインストールする場合は、参照ディレクトリもそれに合わせて変更してください。

   ---

4. テキストエディタで .sunvts_sec_gss ファイルを開く。

   このファイルには、後ろに以下のいずれかを付加した行が含まれています。

   • ON-SEAM セキュリティーが有効であることを示します。

   • OFF-SEAM セキュリティーが無効であり、基本セキュリティーが使用されていることを示します。

5. ON (または OFF) を反対に変更し、変更内容を保存し、テキストエディタを終了する。

   ---

   注 -

   ON と OFF は大文字で入力してください。大文字と小文字を区別します。

   ---

6. SunVTS を起動する。

   指定したセキュリティー機構が有効になります。