test

Solaris 9 9/04 オペレーティング環境の概要

セキュリティの機能拡張

Solaris 9 リリースに含まれるセキュリティの機能拡張は、次のとおりです。

インターネットキー交換 (IKE) プロトコル

インターネットキー交換 (Internet Key Exchange、IKE) は、IPsec のキー管理を自動化します。IKE によって、IPv4 ネットワークでは手動によるキー割り当てと再読み込みが不要になります。IKE により、管理者は、セキュリティ保護されたより多くのネットワークを管理できるようになりました。

システム管理者は、IPsec を使用してセキュリティ保護された IPv4 ネットワークを設定します。in.iked デーモンは、ブート時にキーの導出、認証、および認証保護を行います。このデーモンは構成可能です。管理者は、構成ファイルにパラメータを設定します。パラメータを設定したあとは、キーを手動で再読み込みする必要はありません。

詳細は、『Solaris のシステム管理 (IP サービス)』の第 21 章「インターネットキー交換」を参照してください。

Solaris Secure Shell

Secure Shell を使用すると、セキュリティ保護されていないネットワークを介した場合でも、リモートホストに安全にアクセスすることができます。データ転送および対話型ユーザーネットワークのセッションは、盗聴、セッションの乗っ取り、中継サイトを利用した攻撃から保護されます。Solaris 9 Secure Shell は、SSHv1 および SSHv2 プロトコルバージョンをサポートしています。これにより、公開鍵暗号方式を使用する強力な認証が提供されます。X ウィンドウシステムとその他のネットワークサービスは、補助的な保護のために Secure Shell 接続で安全にトンネリングすることができます。

Secure Shell サーバーである sshd は、受信したネットワークサービスの要求の監視およびフィルタ処理をサポートします。要求を発信したクライアントホスト名をログに記録するようにサーバーを構成できるため、それによってネットワークのセキュリティ機能が向上します。sshd は、「フリーウェアの機能拡張」に記載されている Tcp-wrappers 7.6 ユーティリティと同じメカニズムを使用します。

詳細は、sshd(1M)hosts_access(4)、および hosts_options(4) のマニュアルページを参照してください。また、『Solaris のシステム管理 (セキュリティサービス)』の第 11 章「Solaris Secure Shell の使用 (手順)」も参照してください。

Kerberos Key Distribution Center (KDC) と管理ツール

システム管理者は、Kerberos V5 の認証、機密性、および整合性を利用してシステムのセキュリティを向上させることができます。NFS は、Kerberos V5 でセキュリティ保護されたアプリケーションの一例です。

以下のリストに、Kerberos V5 の新機能を示します。

詳細は、『Solaris のシステム管理 (セキュリティサービス)』「Kerberos データベースの管理」を参照してください。

セキュリティ保護された LDAP クライアント

Solaris 9 リリースでは、LDAP クライアントベースのセキュリティの新機能が追加されました。新しい LDAP ライブラリは、SSL (TLS) および CRAM-MD5 暗号化メカニズムを備えています。ユーザーはこれらの暗号化メカニズムを使用して、LDAP クライアントと LDAP サーバー間の回線を介した暗号化を導入することができます。

Sun ONE Directory Server 5.1 (旧名称は iPlanet Directory Server 5.1) は、LDAP ディレクトリサーバーです。このサーバーの詳細は、「ネットワークの機能拡張」を参照してください。

IPsec および Kerberos の暗号化モジュール

Solaris 9 リリースでは、IPsec および Kerberos のための強力な暗号化がサポートされます。これより前のリリースでは、暗号化モジュールは Solaris Encryption Kit CD-ROM または Web ダウンロードからしか入手できませんでした。現在、Solaris 9 オペレーティング環境には、多数のアルゴリズムがあります。それらのアルゴリズムには、Kerberos 用の 56 ビット DES 機密性サポートと、IPsec 用の 56 ビット DES および 128 ビット 3-key Triple-DES サポートが含まれています。

Solaris Encryption Kit CD-ROM または Web ダウンロードを利用することにより、より強力な暗号化もサポートされます。IPsec は、128 ビット、192 ビット、または 256 ビットの Advanced Encryption Standard (AES) と、32 ビットから 448 ビットまでの Blowfish (8 ビット増分) をサポートします。

IPsec サポートの詳細は、『Solaris のシステム管理 (IP サービス)』の第 19 章「IPsec (概要)」を参照してください。Kerberos サポートの詳細は、『Solaris のシステム管理 (セキュリティサービス)』の第 13 章「SEAM について」を参照してください。

IPv6 の IP セキュリティアーキテクチャ

Solaris 9 リリースでは、IPsec セキュリティフレームワークが拡張され、マシン間でセキュリティ保護された IPv6 ダイアグラムを使用できるようになりました。Solaris 9 リリースでは、IPv6 の IPsec を使用するときは手動によるキーの管理のみがサポートされています。

IPv4 の IPsec セキュリティフレームワークは、Solaris 8 リリースで導入されました。IPv4 の場合はインターネットキー交換 (IKE) プロトコルを使用できます。

詳細は、『Solaris のシステム管理 (IP サービス)』の第 19 章「IPsec (概要)」を参照してください。

役割によるアクセス制御 (RBAC) の機能向上

役割によるアクセス制御 (Role-Based Access Control、RBAC) データベースが、Solaris 管理コンソールグラフィカルインタフェースで管理できるようになりました。権利は、デフォルトで policy.conf ファイルで割り当てることができます。さらに、権利には他の権利を入れることができます。

RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の第 5 章「役割によるアクセス制御 (概要)」を参照してください。Solaris 管理コンソールの詳細は、「システム管理ツール」を参照してください。

Xserver のセキュリティオプション

新しいオプションにより、システム管理者が Solaris X サーバーに暗号化された接続のみを許可できるようになりました。詳細は、「デスクトップユーザーを対象にした Solaris 9 の機能」を参照してください。

Generic Security Services Application Programming Interface (GSS-API)

GSS-API (Generic Security Services Application Programming Interface) は、セキュリティのフレームワークです。GSS-API を使用すると、アプリケーションは転送データを保護できます。GSS-API は認証、整合性、および機密性のサービスをアプリケーションに提供します。このインタフェースを使用すると、各アプリケーションはセキュリティに関して全般的に「汎用」になります。アプリケーションは、実際に使用されているプラットフォーム (Solaris プラットフォームなど) やセキュリティ機構 (Kerberos など) を調べる必要がありません。これは、GSS-API を使用するアプリケーションの移植性が高くなることを意味します。

詳細は、『GSS-API のプログラミング』を参照してください。

その他のセキュリティソフトウェア

ファイアウォール製品である SunScreenTM 3.2 の詳細は、「追加ソフトウェア」を参照してください。

また、Solaris 9 リリースの Tcp-wrappers 7.6 フリーウェアの詳細は、「フリーウェアの機能拡張」を参照してください。 Tcp-wrappers 7.6 は、受信したネットワークサービスの要求を監視およびフィルタ処理する、小さいデーモンプログラムです。