パート I Solstice AdminSuite の概要
パート I では、以下のような構成で Solstice AdminSuite ソフトウェアの概要について説明しています。
- 第 1 章「概要」
-
Solstice AdminSuite 製品に含まれるソフトウェアの概要を説明します。
- 第 2 章「ネームサービス環境」
-
ネームサービス環境で Solstice AdminSuite ソフトウェアを使用する方法を説明します。
- 第 3 章「セキュリティ」
-
セキュリティに関する説明と各サイトのセキュリティ方針に従った Solstice AdminSuite ソフトウェアの使用方法を示します。
- 第 4 章「Solstice 起動ツールの概要」
-
Solstice 起動ツールを起動し、起動ツールにアプリケーションを追加する方法を説明します。
第 1 章 概要
Solstice AdminSuite は、ユーザー、グループ、ホスト、システムファイル、プリンタ、ディスク、ファイルシステム、端末、モデムなどを管理するための、グラフィカルユーザーインタフェースおよびコマンド群です。
本章では、次の項目について解説します。
Solstice AdminSuite 2.3 の新機能
Solstice AdminSuite 2.3 には以下のような新機能があります。
-
プリンタマネージャのプリンタ登録機能
プリンタマネージャを使用して、プリンタをネットワークに追加できるようになりました。プリンタマネージャに関する詳細は、オンラインヘルプまたは第 9 章「プリンタマネージャの使用」を参照してください。
-
パスワード機能
グループマネージャを使用して、グループまたはデータベースのパスワードを設定できるようになりました。さらに、ホストマネージャからシステムのルートのパスワードも設定できます。
-
複数のホームを持つホストエイリアスのサポート
ホストマネージャを使用して、複数のネットワークインタフェースを持つホストに対して IP アドレスを追加できるようになりました。複数のホームを持つマルチホームホストの設定については、第 6 章「ホストマネージャの使用」を参照してください。
-
JavaStationTM のサポート
ホストマネージャを使用して、JavaStation をネットワークに追加できるようになりました。詳細は、第 6 章「ホストマネージャの使用」を参照してください。
-
OS サービスの除去
ホストマネージャを使用して、OS サーバーから OS サービスを除去できるようになりました。詳細は、第 6 章「ホストマネージャの使用」を参照してください。
-
ハイシエラ形式のファイルシステムのサポート
ストレージマネージャでは、ハイシエラ形式のファイルシステムをマウント先として設定できるようになりました。詳細は、第 11 章「ストレージマネージャの使用」を参照してください。
-
スクリプト機能のサポート
ホストマネージャとユーザーマネージャでは、ユーザーの各種操作をカスタマイズするためのスクリプトを実行できるようになりました。たとえば、ユーザーをシステムに追加するときなどに、そのスクリプトを実行します。このスクリプト機能を使用すると、ユーザーマネージャを使用してユーザーを追加する時に、同時に指定したスクリプトを実行できます。
注 -Solstice AutoClientTM 2.1 は、Solstice AdminSuite 2.3 に含まれています。ホストマネージャには AutoClient を追加する機能がありますが、まず初めに AutoClient のライセンスを取得してから AutoClient を実行してください。
-
スーパーユーザー処理の更新
AdminSuite の以前のバージョンでは、実行可能なスーパーユーザーの操作に制限がありました。つまりスーパーユーザーとして AdminSuite を実行しているときに実行可能な操作はほんのわずかでした。AdminSuite 2.3 では、スーパーユーザーがより柔軟に AdminSuite アプリケーションを操作できるようになりました。
Solstice AdminSuite の目的
Solstice AdminSuite を使用して、以下のものをローカルおよびリモートで管理できます。
-
aliases や hosts などの重要なシステムデータベースファイル
-
ユーザーアカウント情報、グループ情報
-
ファイルシステム
-
ディスクスライス、fdisk パーティション
-
端末およびモデム
-
ディスクレスおよびデータレスクライアント
-
オートクライアントシステム
-
スタンドアロンシステム
-
JavaStation
-
サーバー
-
プリンタ
Solstice AdminSuite ソフトウェアへのアクセス制御の詳細は、第 2 章「ネームサービス環境」を参照してください。
Solstice AdminSuite の利点
Solstice AdminSuite ソフトウェアを使用して管理作業を行うと、以下の利点があります。
-
ツールとコマンドで、Solaris コマンドを複数組み合わせて使用するよりも高速に処理が行われます。
-
重要なシステムファイルの更新は自動的に行われるため、手動の編集による誤りが発生しません。
-
1 台のシステムから複数のシステムをリモートで管理できます。
Solstice AdminSuite ツールおよびコマンド行
表 1-1 に、OpenWindowsTM 環境などの X Window System で実行する Solstice AdminSuite ツールと、同等のコマンド名を示します。これらのコマンドは X Window System がなくても実行できます。パート II の各ツールに関する章には、AdminSuite のコマンド行を使用する例が記述されています。
注 -
コマンド行を利用する場合は、先に AdminSuite をインストールしてください。
表 1-1 Solstice AdminSuite ツールおよび同等機能を持つコマンド
|
AdminSuite ツール |
同等の AdminSuite コマンド |
管理対象 |
参照先 |
|---|---|---|---|
|
ホストマネージャ |
admhostadd admhostdel admnostmod admhostls |
AutoClient、スタンドアロンシステム、ディスクレスクライアント、データレスクライアントのシステム情報、サーバーサポート、JavaStation | |
|
グループマネージャ |
admgroupadd admgroupdel admgroupmod admgroupls |
UNIX グループ情報 | |
|
ユーザーマネージャ |
admuseradd admuserdel admusermod admuserls |
ユーザーアカウント情報 | |
|
シリアルポートプリンタマネージャ |
admserialdel admserialmod admserialls |
端末およびモデムのためのシリアルポートソフトウェア | |
|
プリンタマネージャ |
なし |
印刷サーバーおよびクライアントのためのプリンタソフトウェア | |
|
データベースマネージャ |
なし |
aliases や hosts などのネットワーク関連のシステムファイル | |
|
ストレージマネージャ (ディスクマネージャとファイルシステムマネージャで構成) |
なし |
単一のディスク、または同じ種類の複数ディスク上にあるディスクスライスおよび fdisk パーティション (ディスクマネージャ) 単一のサーバー、または単一サーバー上のクライアントグループのファイルシステム (ファイルシステムマネージャ) |
Solstice AdminSuite の起動方法
Solstice AdminSuite ツールは、Solstice 起動ツールから起動します。Solstice 起動ツールを起動するには、X Window System 上で次のコマンドを入力してください。
$ solstice & |
Solstice 起動ツールが表示されます。
図 1-1 Solstice 起動ツール
注 -
-display オプションを使用すると、Solstice 起動ツールを X Window System を実行している別のマシンのビットマップ画面に表示することもできます。
Solstice 起動ツールでは以下のことが行えます。
-
起動ツール内のアイコンをクリックして、各ツールを起動します。または Tab キーを使用してアイコンからアイコンへ移動し、スペースバーを押してツールを起動することもできます。
-
各ツールのメインウィンドウ左上隅にある ▽ ボタンをクリックすると、起動ツールおよび各ツールが閉じてアイコン状態になります。
起動ツールの使用方法については、第 4 章「Solstice 起動ツールの概要」を参照してください。
Solstice AdminSuite を使用するための必要条件
Solstice AdminSuite ツールを使用するための必要条件は、次のとおりです。
-
ビットマップディスプレイモニター
Solstice AdminSuite ツールは、SunTM ワークステーション付属の標準ディスプレイモニターなどのビットマップスクリーンのコンソールを持つシステムでのみ使用可能です。
ASCII 端末のコンソールを持つシステムで管理作業を行う場合は、Solstice AdminSuite ツールと等価なコマンド行を使用してください。
-
root 権限を持っているか、 sysadmin グループ (group 14) のメンバーとして登録されていて、NIS または NIS+ データベース管理のためのアクセス権が与えられていること。詳細は、第 2 章「ネームサービス環境」を参照してください。
注 -AdminSuite をスーパーユーザーとして実行できる内容が限られています。Solstice AdminSuite ツールを使用するユーザーは、スーパーユーザーとしてではなく、sysadmin グループ (group 14) 内のメンバーである通常ユーザーとして使用する必要があります。
その他の Solstice AdminSuite コマンド
表 1-2 Solstice AdminSuite コマンド|
コマンド |
動作 |
参照先 |
|---|---|---|
|
admclientpatch(1M) |
ディスクレスクライアントおよび AutoClient システムへのパッチの適用を一括処理で行う。その後追加された AutoClient システムまたはディスクレスクライアントには、ホストマネージャが自動的に同じパッチを適用する。 |
『Solstice AutoClient 2.1 管理者ガイド』 |
|
admtblloc(1M) |
ホストマネージャツールのネームサービスポリシーをカスタマイズする。 | |
|
admhalt(1M) |
1 つまたは複数のリモートシステムを停止する。 |
admhalt(1M) のマニュアルページ |
|
admreboot(1M) |
1 つまたは複数のリモートシステムをブートする。 |
admreboot(1M) のマニュアルページ |
|
cachefspack(1M) |
キャッシュとその中のファイルを保持する。このコマンドを使用すると、AutoClient 上でキャッシュをパックすることができる。 |
cachefspack(1M) のマニュアルページ |
|
filesync(1) |
filesync コマンドで同期 (sync) する必要があるすべてのファイル名を記録する。 |
filesync(1) のマニュアルページ |
第 2 章 ネームサービス環境
Solstice AdminSuite は、さまざまなネームサービス環境で使用できます。AdminSuite アプリケーションやコマンド行を利用する際には、必ず変更したいネームサービスの環境データを指定してください。
この章では、次の事項について説明します。
使用できるネームサービス
Solstice AdminSuite では、ローカルシステム上の情報を管理するだけでなく、ネームサービスを使用することにより、ネットワークを介して情報を管理できます。表 2-1 に Solstice AdminSuite で使用できるネームサービスを示します。
注 -
AdminSuite をネームサービスと共に使用するときは、ローカルのドメインにある情報のみ変更できます。AdminSuite では NIS や NIS+ サブドメインの変更はできません。サブドメインにある NIS や NIS+ のエントリを変更したい場合は、サブドメイン内にあるシステムにログインして AdminSuite を実行してください。
表 2-1 使用できるネームサービス
|
ネームサービス |
管理対象の情報 |
|---|---|
|
NIS+ テーブル情報。テーブルを変更するには、sysadmin グループ (group 14) のメンバーであり、適切な所有権とアクセス権を持っている必要があります。 |
|
|
NIS マップ情報。マップを更新するには、sysadmin グループのメンバーである必要があります。NIS マスターサーバーが Solaris 1.x で動作している場合は、NIS マスターサーバーへの明示的なアクセス権が必要です。つまり、ホスト名とユーザー名のエントリが、NIS マスターサーバーのルートの .rhosts ファイルに記述されている必要があります。 NIS マスターサーバーが Solaris 2.x またはネームサービス移行キット 1.2 で動作している場合、エントリは必要ありません。 |
|
|
なし |
ローカルシステム上の /etc 内のファイル。 ローカルシステムの sysadmin グループのメンバーである必要があります。 |
ネームサービスを使用する場合および使用しない場合の Solstice AdminSuite の使用方法については、「Solstice AdminSuite のアクセス権の設定」を参照してください。
/etc/nsswitch.conf ファイル
Solstice AdminSuite では、ツールの 1 つを使って変更を行なった時に、どのネームサービスのデータベースを更新するかを選択できます。ただし、各システムの /etc/nsswitch.conf ファイルには、ネームサービスの検索に関する規則が指定されています。
注意 - ツールの 1 つで選択したネームサービスと、/etc/nsswitch.conf ファイル中で指定したネームサービスを、一致させるようにしてください。一致していない場合、そのツールは正常に動作せず、エラーメッセージまたは警告メッセージが出力されます。ネームサービスのウィンドウの例を図 2-1 に示します。
/etc/nsswitch.conf ファイルの内容は、システム設定ファイルの更新処理には影響を与えません。/etc/nsswitch.conf ファイルには、データベースの参照先情報が指定されています。指定方法は複雑になりますが、複数のデータベースからデーターを検索するように指定することもできます。
しかし、更新時に使用するデータベースを /etc/nsswitch.conf ファイル中に指定するための規則はありません。したがって、ツールの起動時に選択したネームサービスによって、更新処理が制御されます。どこに対して更新処理を行うかを、システム管理者は決定する必要があります。
ホストマネージャを使用すると、1 回の操作で複数のシステムに対する管理作業を行うことができます。各システムの /etc/nsswitch.conf ファイルの設定内容が異なる場合は、ネットワークの管理がとても難しくなります。すべてのシステムの /etc/nsswitch.conf ファイルを同じにしておき、Solstice AutoClient ソフトウェアを使用して、標準の /etc/nsswitch.conf ファイル中に指定されている一次ネームサービスを管理することをお勧めします。
Solstice AdminSuite 2.3 では、admtblloc コマンドを使用することによって、ホストマネージャで更新する際に、より複雑な規則を定義できます。admtblloc コマンドの詳細は、admtblloc(1M) のマニュアルページおよび 「admtblloc コマンド」を参照してください。
ネームサービス環境の選択
Solstice 起動ツールを起動して、Solstice アプリケーションのアイコンをクリックすると、ネームサービスを選択するウィンドウが表示されます。使用する環境に適したネームサービスを選択してください。
グループマネージャの「読み込み」ウィンドウの例を示します。
図 2-1 グループマネージャ : 「読み込み」ウィンドウ
ネームサービス移行キット 1.2
ネームサービス移行キット 1.2 を使用すると、Solaris 2.x で動作している NIS サーバーを使用できます。ネームサービス移行キット 1.2 ソフトウェアのインストールと Solaris 2.x の NIS サーバーの設定については、『ネームサービス移行キット 1.2 の管理』を参照してください。Solstice AdminSuite は、ネームサービス移行キット 1.2 でインストールした Solaris 2.x NIS サーバーでサポートされている NIS ネームサービスを使用して、情報を管理できます。
Solaris 2.x、ネームサービス移行キット 1.2、Solstice AdminSuite ソフトウェアがインストールされた NIS サーバー上で AdminSuite を使用して、/etc ディレクトリにある構成ファイルを編集します (これらの構成ファイルは編集後に自動的に NIS マップに変換されます)。NIS サーバーに Solstice AdminSuite がインストールされていない場合は、/var/yp/Makefile ファイル中の変数 $DIR によって指定されたディレクトリにある構成ファイルを編集します。
Solstice AdminSuite のアクセス権の設定
Solstice AdminSuite を使用するには、sysadmin グループ (group 14) のメンバーでなければなりません。詳細は、「sysadmin グループへのユーザーの追加」を参照してください。
以下に、Solstice AdminSuite を使用するためのその他の必要条件を、各ネームサービスごとに示します。
NIS+ 環境の場合
Solstice AdminSuite を使用するための必要条件は次のとおりです。
NIS+ グループへユーザーを追加する方法、および NIS+ テーブルへのアクセス権を取得する方法については、『Solaris ネーミングの管理』を参照してください。
NIS 環境の場合
Solstice AdminSuite を使用するための必要条件は次のとおりです。
-
NIS マスターサーバーが Solaris 1.x で動作している場合は、NIS マスターサーバーのルートの .rhosts ファイルに、ホスト名とユーザー名のエントリが記述されていること。NIS マスターサーバーが Solaris 2.x またはネームサービス移行キット 1.2 で動作している場合は、AdminSuite がインストールされていればエントリは必要ありません。
注 -
ユーザーが所属している以外のドメインにある NIS マップ情報を管理するには、その NIS ドメインマスターが直接接続されたネットワーク上に存在していることが必要です。
sysadmin グループへのユーザーの追加
この節では、Solstice AdminSuite ツールの 1 つであるグループマネージャを使用して、ユーザーを sysadmin グループに追加する方法について説明します。グループマネージャは、sysadmin グループに属し、「Solstice AdminSuite のアクセス権の設定」に書かれている各ネームサービスの必要条件を満たしたユーザーのみ実行できます。
sysadmin グループのメンバーであるユーザーアカウントにアクセスできない場合は、『Solstice AdminSuite 2.3 ご使用にあたって』を参照して、ユーザーを sysadmin グループに追加してください。
-
「Solstice AdminSuite を使用するための必要条件」に書かれている条件を満たしていることを確認します。
-
次のように入力して、Solstice 起動ツールを実行します。
$ solstice &
Solstice 起動ツールが表示されます。
-
Group Manager アイコンをクリックします。
-
変更したいネームサービスを選択します。
-
「了解」をクリックします。
-
グループマネージャのメインウィンドウで、sysadmin グループを選択します。
-
「編集」メニューから「変更」を選択します。
「変更」ウィンドウが表示されます。
-
「メンバーリスト」テキストボックスに、メンバーをコンマで区切って追加します。
リストにはスペースを入れないでください。
第 3 章 セキュリティ
Solstice AdminSuite ソフトウェアを使用する際には、セキュリティ機能について理解し、管理データを保護するためのセキュリティ方針を設定することが重要です。
この章では、次の事項について説明します。
セキュリティ情報
Solstice AdminSuite は、ネットワークを介して管理作業を行う際に、分散型のシステム管理デーモン (sadmind) を使用して、セキュリティ処理を行います。sadmind デーモンは、クライアントの要求をサーバー上で実行し、Solstice AdminSuite を使用できるユーザーを制御します。
セキュリティの管理には、「ユーザーの認証」と「アクセス権の承認」があります。
-
認証とは、sadmind デーモンが要求を出したユーザーを確認することを意味します。
-
承認とは、認証されたユーザーが、サーバー上の Solstice AdminSuite の実行権を持っていることを sadmind デーモンが確認することを意味します。sadmind デーモンは、ユーザーを確認して得たユーザーの情報を使用して「承認」を行います。
Solstice AdminSuite の実行権を持っている場合でも、NIS+ マップを変更するには、作成権、削除権、変更権が必要です。NIS+ セキュリティの詳細は、『NIS+ と DNS の設定と構成』を参照してください。
承認では、ユーザーおよびグループの識別情報は次のように確認されます。
-
スーパーユーザー
スーパーユーザーには、ローカルシステム上のデータのみのアクセス権および変更権があります。サーバーがローカルシステムの場合 (つまり、一般のユーザーがサーバーにスーパーユーザーとしてログインした場合) 、一般のユーザーはスーパーユーザーとして Solstice AdminSuite 機能を実行できます。
-
sysadmin グループ (group 14) のメンバーであるユーザー
Solstice AdminSuite のアクセス権は、sysadmin グループのメンバーであるユーザーに与えられます。つまり、管理データを変更するには、変更を行うシステム上で sysadmin グループのメンバーになる必要があります。
セキュリティレベル
管理データを変更する要求には、ユーザー ID とユーザーが所属するグループ ID などの資格情報が含まれています。サーバーはこれらの資格情報を使用して、ユーザーとアクセス権を確認します。
認証セキュリティには、表 3-1 に示す 3 つのレベルがあります。
表 3-1 Solstice AdminSuite のセキュリティレベル|
レベル |
レベル名 |
説明 |
|---|---|---|
|
0 |
NONE |
サーバーはユーザー識別情報をチェックしません。すべてのユーザー ID は nobody に設定されます。おもにテストでこのレベルを使用します。 |
|
1 |
SYS |
サーバーは、クライアントシステムから元のユーザーおよびグループの識別情報を受け取り、それを確認して承認を行います。クライアントのユーザー ID がサーバー上の同じユーザーを示すかどうかは確認しません。つまり、管理者がネットワーク上のすべてのシステムにおいて、ユーザー ID とグループ ID の整合性を保つことを前提としています。このレベルでは、ユーザーが要求の実行権を持っているかどうかについて確認します。 |
|
2 |
DES |
DES 認証を使用して資格を確認し、ユーザーが要求の実行権を持っているかどうかを確認します。ユーザーの DES ネットワーク識別情報を、ローカルのユーザー ID およびグループ ID に割り当てることによって、ユーザーおよびグループの識別情報をサーバー上のファイルから取得します。サーバーで選択されるネームサービスによって、どのファイルが使用されるかが決まります。このレベルは、最も安全に管理作業を行うことができる環境を提供します。また、sadmind デーモンを実行しているすべてのサーバー、およびツールにアクセスするすべてのユーザーに対して、publickey エントリが必要です。 |
注 -
sadmind は、デフォルトではセキュリティレベルは 1 を使用します。
セキュリティレベルの変更
各システムの /etc/inetd.conf ファイルを編集し、sadmind エントリに -S 2 オプションを追加すると、セキュリティレベルを 1 から 2 へ変更できます。この場合、ドメイン上のサーバーが DES セキュリティを使用するように設定されていることを確認してください。
ネットワーク上のすべてのシステムについて、同じセキュリティレベルを設定しておく必要はありません。たとえば、ファイルサーバーなど厳密なセキュリティを必要とするシステムではセキュリティレベルを 2 とし、その他のシステムについてはデフォルトのセキュリティレベルを 1 にすることもできます。
NIS+ のセキュリティの設定方法については、『NIS+ と FNS の管理』を参照してください。
ネームサービス情報
sadmind デーモンは、ネームサービスが保持している情報を使用します。次の 3 つの情報源があります。
各システムの /etc/nsswitch.conf ファイルには、管理用のファイルと、情報を検索するために使用されるネームサービスを表わすキーワードが記述されています。複数のキーワードが記述されている場合、記述されている順にネームサービスが使用されます。
たとえば以下のようなエントリの場合、セキュリティ機能は、まずローカルの /etc/group ファイルでエントリを探します。
group: files nisplus |
エントリが見つかるとそのエントリ中の情報を使用し、エントリが見つからない場合は NIS+ の group ファイルを検索します。
Solaris 2.4 以降の OS を使用するシステムには、ローカル /etc/group ファイルに sysadmin グループのエントリがデフォルトで記述されています。ネットワーク全体の情報を使用できるようにシステムを設定するには、ローカルシステム上で sysadmin グループにメンバーを追加するのではなく、ネームサービスのグループテーブルにある sysadmin グループのエントリを変更してください。
セキュリティレベル 2 の場合、セキュリティ機能は公開鍵および非公開鍵の情報を使用します。publickey のエントリの後に nis または nisplus (使用しているネームサービス) のいずれかが記述されていることを確認してから、files を削除します。nsswitch.conf ファイルの詳細は、『NIS+ と FNS の管理』を参照してください。
セキュリティ方針決定時の注意
ネームサービス環境で Solstice AdminSuite ソフトウェアを使用するためのセキュリティ方針を作成する場合は、次の点に注意してください。
-
どの程度の信頼性が必要かを決定する
ネットワークが安全で、認証セキュリティを使用する必要がない場合は、デフォルトのレベル 1 のセキュリティで Solstice AdminSuite ソフトウェアを使用できます。
セキュリティのレベルを高くしたい場合は、sadmind のセキュリティレベルをレベル 2 に設定できます。
-
使用するネームサービスを決定する
使用するネームサービスによって、ユーザーおよびグループの識別情報をセキュリティ機能が取得する場所が決まります。ネームサービスは、/etc/nsswitch.conf ファイルに指定します (「ネームサービス情報」を参照してください)。
-
Solstice AdminSuite ソフトウェアにアクセスするユーザーを決定する
Solstice AdminSuite ソフトウェアを使用してネットワーク上で管理作業を行うユーザーを決め、そのユーザーをサーバーによってアクセスされる sysadmin グループのメンバーとして記述します。sysadmin グループは、Solstice AdminSuite ソフトウェアによって管理データが更新される各システムからアクセス可能でなければなりません。管理者が決定する方針に応じて、sysadmin グループは、各システムにローカルに設定したり、ネームサービスドメイン全体で使用できるように設定したりできます。
-
「グローバルの方針」(ネームサービスドメイン全体の方針) は、ネットワーク内のすべてのホストに影響を与えます。たとえば、NIS および NIS+ の group ファイルに、sysadmin グループのメンバーを追加できます。sysadmin グループのメンバーは、ネームサービスを一次情報源としているすべてのサーバー上で、管理作業を行うことができます。ネームサービスは、/etc/nsswitch.conf ファイルに記述されています。nsswitch.conf ファイルの詳細は、「ネームサービス情報」を参照してください。
ユーザーは、ローカルの /etc/group ファイルに sysadmin グループを作成して、ローカルシステムへのアクセス権を持つユーザーを記述することによって、グローバルの方針とは異なる、ローカルの方針を設定できます。このグループのメンバーは、そのローカルシステム上で Solstice AdminSuite ソフトウェアを実行して操作できます。
注 -
ローカルの方針を設定してもグローバルの方針は有効です。ネームサービスのアクセス権は、nsswitch.conf ファイルによって決まります。
-
Solstice AdminSuite ソフトウェアを使用して NIS+ ファイルを変更または更新する場合は、適切なアクセス権が必要です。また、NIS+ セキュリティ機能に対するアクセス権も必要です。NIS+ セキュリティ機能の詳細は、『NIS+ と FNS の管理』を参照してください。
-
NIS マスターサーバーで Solaris 1.x が稼働している場合、ユーザーが NIS ファイルを変更するためには NIS マスターサーバー上に .rhosts のエントリが必要です。NIS マスターサーバーで Solaris 2.x およびネームサービス移行キット 1.2 が稼働している場合、AdminSuite がインストールされていればエントリは必要ありません。NIS の変更は、標準の sysadmin グループの機能によって承認されます。
DES セキュリティ (レベル 2) システムの作成
DES セキュリティシステム (レベル 2) を作成する手順は、使用しているシステムの構成によって異なります。以下に、/etc、NIS、NIS+ の各ネームサービスを使用しているシステムに、レベル 2 の DES セキュリティを設定する手順について説明します。
/etc ネームサービスの場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを files に変更します。
以下のような行を、
publickey: nis [NOTFOUND=return] files
次のように変更します。
publickey: files
-
sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
sadmin -S 2 を実行するシステムのうちの 1 台に、スーパーユーザーとしてログインします。
-
AdminSuite を実行する各ユーザーに対して、次のコマンドを実行します。
# newkey -u username
注 -sysadmin グループのメンバーでないユーザーに対しても、上記のコマンドを実行する必要があります。sysadmin グループのメンバーでなく、資格も持っていない場合、sadmind デーモンにはユーザーとして認識されないので、処理を何も実行できません。また、スーパーユーザーになる必要がない処理も実行できません。この場合、newkey プログラムの実行時に、ユーザーのパスワードを入力する必要があります。
-
sadmind デーモンを実行できるように設定したすべてのホストに対して、次のコマンドを実行します。
# newkey -h hostname
各ホストに対して、スーパーユーザーのパスワードを入力する必要があります。
-
現在ログインしているシステムの /etc/publickey ファイルを、各ホストへコピー (上書き) します。
このファイルには、各ユーザーおよびホスト用の資格が記述されています。
注 -すべてのシステムでは newkey を実行しないでください。すべてのシステム上で実行すると、異なる公開鍵と非公開鍵の組み合わせが作成され、ネットワーク上の公開鍵が無効になります。/etc/publickey ファイルは 1 台のシステム上のみに作成し、それをその他のシステムにコピーしてください。
-
各システムにスーパーユーザーとしてログインし、次のコマンドを実行してルートの非公開鍵を /etc/.rootkey に置きます。
# keylogin -r
この手順によって、システムのブート時に自動的にルートの keylogin が作成されるので、admintool を実行するシステムごとに、毎回スーパーユーザーとして keylogin を実行する必要がなくなります。
-
-
各システムの各ユーザーについて /etc/netid ファイルを作成し、すべてのシステム上に置きます。
-
publickey ファイル中に記述されているすべてのユーザーについて、/etc/netid ファイル中に次のようなエントリを作成します。
unix.uid@domainname uid: uid: gid,gid,...
-
このユーザーがメンバーとして登録されているすべてのグループを表示します。
sysadmin グループのメンバーを確認するには、/etc/group ではなく、sadmind -S 2 や netid に依存しているファイルを利用してください。
-
publickey ファイルに記述されている各ホストで、/etc/netid ファイル中に次のようなエントリを追加します。
unix.hostname@domainname 0:hostname
-
/etc/netid ファイル内に記述されているすべてのシステムに、/etc/netid ファイルをコピーします。
-
-
すべてのシステムをリブートします。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトできます。明示的に keylogout を実行したりシステムをリブートしたりするまで、鍵は keyserv デーモン中に保存されます。
NIS ネームサービスの場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを nis に変更します。
以下のような行を、
publickey: nis [NOTFOUND=return] files
次のように変更します。
publickey: nis
-
sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
NIS サーバーに、スーパーユーザーとしてログインします。
-
admintool を実行する各ユーザーに対して、次のコマンドを実行します。
# newkey -u username -s files
注 -sysadmin グループのメンバーでないユーザーに対しても、上記のコマンドを実行する必要があります。sysadmin グループのメンバーでなく資格も持っていない場合、sadmind デーモンにはユーザーとして認識されないので、処理を何も実行できません。また、スーパーユーザーになる必要がない処理も実行できません。この場合、newkey プログラムの実行時に、ユーザーのパスワードを入力する必要があります。
-
sadmind デーモンを実行できるように設定したすべてのホストに対して、次のコマンドを実行します。
# newkey -h hostname
各ホストに対して、スーパーユーザーのパスワードを入力する必要があります。
-
現在ログインしている NIS サーバー上の /etc/publickey ファイルを、/var/yp/Makefile ファイル中に指定されているソースファイルにコピーします。nis マップを作成し直してプッシュします。
# cd /var/yp; make
-
-
nis の group マップを参照して、sysadmin グループのメンバーになっていることを確認します。
-
スーパーユーザーとしてログインします。
-
/var/yp/Makefile ファイル中に指定されているソースファイルのあるディレクトリに移動します。
-
/etc/group ファイルを編集した場合と同様に、グループファイルを編集して自分自身を sysadmin グループのメンバーに追加します。
-
/var/yp ディレクトリに移動し、make を実行します。
# cd /var/yp; make
group マップがプッシュされると、メッセージが表示されます。
注 -セキュリティシステムは、NIS マップを参照して sysadmin グループのメンバーを確認します。/etc/nsswitch.conf ファイルに nis グループファイルがあるかどうかに関係なく、NIS マップに sysadmin グループのメンバーとして指定していない場合は、セキュリティシステムのエラーとなります。
sadmind デーモンが -S 2 モードで実行されている場合は、publickey のエントリによって、ユーザーの資格を調べるのにどのネームサービスを参照するかが決まります。/etc/nsswitch.conf ファイル内のエントリが nis になっている場合、sadmind デーモンは nis グループマップを参照して、ユーザーが sysadmin グループのメンバーであることを確認します。
-
-
各システムにスーパーユーザーとしてログインし、ルートの公開鍵を /etc/.rootkey に置きます。
# keylogin -r
この手順によって、システムのブート時に自動的にルートの keylogin が作成されるので、admintool を実行するシステムごとに、毎回スーパーユーザーとして keylogin を実行する必要がなくなります。
-
すべてのシステムをリブートし、nscd をフラッシュします (内部バッファに蓄積されたデータをファイルに書き込みます) 。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトできます。明示的に keylogout を実行したりシステムをリブートしたりするまで、鍵は keyserv デーモン中に保存されます。
NIS+ ネームサービスの場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを、nisplus に設定します。
以下のような行を、
publickey: nisplus [NOTFOUND=return] files
次のように変更します。
publickey: nisplus
-
NIS+ マスターサーバーにスーパーユーザーとしてログインし、sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
NIS+ マスターサーバーにスーパーユーザーとしてログインし、admintool を使用するすべてのユーザーを NIS+ の sysadmin グループに追加します。
# nistbladm -m members=username, username...[name=sysadmin], group.org_dir
注 -現在の sysadmin グループのメンバーは、この手順で入力したメンバーに変更されます。このため、新しく追加するメンバーだけを指定するのではなく、sysadmin グループのすべてのメンバーを指定してください。
-
AdminSuite を使用するすべてのユーザーを、NIS+ の admin グループに追加します。
# nisgrpadm -a admin username
NIS_GROUP 環境変数が admin に設定されていることを確認してください。
-
AdminSuite を使用するすべてのシステムで、以下のコマンドを実行します。
# keylogin -r
-
すべてのシステムをリブートし、nscd をフラッシュします (内部バッファに蓄積されたデータをファイルに書き込みます) 。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトできます。明示的に keylogout を実行したりシステムをリブートしたりするまで、鍵は keyserv デーモン中に保存されます。
第 4 章 Solstice 起動ツールの概要
Solstice 起動ツールによって、Solstice 製品群の管理ツールにアクセスできます。起動ツールに表示されるツールは、システムに提供されている Solstice 製品により異なります。
本章で取り扱う項目は次のとおりです。
Solstice 起動ツールの起動方法
Solstice 起動ツールを起動するには、シェルツールまたはコマンドツールから次のように入力します。
$ solstice & |
次のような Solstice 起動ツールが表示されます。
図 4-1 Solstice 起動ツール
Solstice 起動ツールのメニューを表 4-1 に示します。
表 4-1 Solstice 起動ツールのメニュー|
メニュー |
使用するコマンド |
機能 |
|---|---|---|
|
起動ツール |
アプリケーション追加 |
起動ツールにアプリケーションを追加登録 |
|
|
属性 |
起動ツール内のアプリケーションの表示、非表示、削除、アイコンの並べ換え、起動ツールの幅の変更、アプリケーションプロパティの変更、またはアプリケーションの追加機能を提供 |
|
|
終了 |
Solstice 起動ツールを終了。開いた状態、およびアイコン化されたアプリケーションには影響なし |
アプリケーションの登録
Solstice 起動ツールには、ユーザー独自のアプリケーションを含むさまざまなアプリケーションを登録できます。また、登録を削除することもできます。
アプリケーションの登録は、次の 3 通りの方法で行います。
-
プライベート登録
登録されたアプリケーションは、ユーザー専用です。プライベート登録を行うには、「起動ツール」メニューから「アプリケーション追加」を選択してください。登録方法については、「プライベート登録」を参照してください。
プライベート登録したアプリケーションは、Solstice 起動ツールへ追加および削除できます。また、Solstice 起動ツールから属性を変更できます。
-
ローカル登録
登録されたアプリケーションは、システムにローカル (局所的) なものです。ローカル登録されたアプリケーションは、そのシステムのすべてのローカルユーザーが使用できます。ローカル登録は、/usr/snadm/bin/soladdapp コマンドでのみ可能です。登録方法については、「ローカル登録」を参照してください。
ローカル登録したアプリケーションは、soladdapp コマンドで追加し、soldelapp コマンドで削除できます。Solstice 起動ツールから属性を変更できません。
-
グローバル登録
登録されたアプリケーションは、特定の /opt ディレクトリ内の Solstice 起動ツールを使用する、すべてのローカルおよびリモートユーザーが共有できます。グローバル登録は、/usr/snadm/bin/soladdapp コマンドでのみ可能です。登録方法については、「グローバル登録」を参照してください。
グローバル登録したアプリケーションは、soladdapp コマンドで追加し、soldelapp コマンドで削除できます。Solstice 起動ツールから属性を変更できません。
ユーザーがローカル登録ファイルを持っていて、ローカル登録とグローバル登録の両方のファイルが所定の位置に存在する場合は、すべてのファイルに含まれているアプリケーションが表示されます。
プライベート登録
アプリケーションをユーザーの $HOME/.solstice_registry ファイルにプライベート登録する方法を説明します。
-
「アプリケーションの追加」ウィンドウに以下のアプリケーション情報を入力します。
-
「名前」テキストボックスにアプリケーション名を入力します。
この名前が、「Solstice 起動ツール」ウィンドウに表示されます。
-
「アプリケーションへのパス」テキストボックスにアプリケーションのパス名を入力します。
アプリケーションのパス名がはっきりしない場合は、「... 」ボタンをクリックし、「アプリケーションへのパスの選択」ウィンドウからパス名を選択してください。このウィンドウの使用方法については、「ファイル選択ウィンドウの使用」を参照してください。
-
「引数」テキストボックス内のアプリケーションについて、コマンド行の引き数があればそれを指定します。
これらの引き数は、起動されたアプリケーションに渡されます。
-
「アイコンへのパス」テキストボックスにアプリケーションアイコンのパス名を入力します。
アイコンのパス名がはっきりしない場合は、「... 」ボタンをクリックし、「アイコンへのパスの選択」ウィンドウからパス名を選択してください。このウィンドウの使用方法については、「ファイル選択ウィンドウの使用」を参照してください。
-
-
「追加」をクリックすると、アプリケーションが追加されます。
Mail Manager という名前のアプリケーションをプライベート登録する例を示します。
図 4-2 起動ツール :「アプリケーションの追加」ウィンドウ
プライベート登録の削除
-
「起動ツール」メニューで「属性」を選択します。
「属性」ウィンドウが表示されます。
-
「非表示」または「表示」リストからアプリケーションを選択します。
-
「属性」ウィンドウ内の「削除」ボタンをクリックします。
-
「了解」をクリックします。
ローカル登録
-
スーパーユーザーになります。
-
次のように soladdapp コマンドを入力してアプリケーションを登録します。
# /usr/snadm/bin/soladdapp ¥ -r /etc/.solstice_registry ¥ -n "tool " ¥ -i /opt/pkgname/etc/tool.icon ¥ -e /opt/pkgname/bin/command argsコマンドの意味は以下のとおりです。
/usr/snadm/bin/soladdapp
アプリケーションを登録する Solstice コマンド
-r /etc/.solstice_registry
Solstice ローカル登録ファイルのパス名を指定
-n "tool"
登録するツール名を指定
-i /opt/pkgname/etc/tool.icon
ツールアイコンのパス名を指定
-e /opt/pkgname/bin/command
実行可能ツールのパス名を指定
args
ツールで使用されるオプション引き数を指定
soladdapp コマンドを使用してアプリケーション Disk Manager をローカル登録する例を示します。
# /usr/snadm/bin/soladdapp ¥
-r /etc/.solstice_registry ¥
-n "Disk Manager" ¥
-i /opt/SUNWdsk/etc/diskmgr.xpm ¥
-e /opt/SUNWdsk/bin/diskmgr
|
ローカル登録の削除
-
スーパーユーザーになります。
-
次のように soldelapp コマンドを入力してアプリケーションを削除します。
# /usr/snadm/bin/soldelapp ¥ -r /etc/.solstice_registry ¥ -n "tool"コマンドの意味は以下のとおりです。
/usr/snadm/bin/soldelapp
ローカル登録ファイルからアプリケーションを削除する Solstice コマンド
-r /etc/.solstice_registry
Solstice ローカル登録ファイルのパス名を指定
-n "tool"
削除するツール名を指定
soldelapp コマンドを使用してアプリケーション Disk Manager を削除する例を示します。
# /usr/snadm/bin/soldelapp ¥ -r /etc/.solstice_registry ¥ -n "Disk Manager" |
グローバル登録
-
スーパーユーザーになります。
-
次のように soladdapp コマンドを入力してアプリケーションを登録します。
# /usr/snadm/bin/soladdapp ¥ -r /opt/SUNWadm/etc/.solstice_registry ¥ -n "tool" ¥ -i /opt/pkgname/etc/tool.icon ¥ -e /opt/pkgname/bin/command argsコマンドの意味は以下のとおりです。
/usr/snadm/bin/soladdapp
アプリケーションを登録する Solstice コマンド
-r /opt/SUNWadm/etc/.solstice_registry
Solstice グローバル登録ファイルのパス名を指定
-n "tool"
登録するツール名を指定
-i /opt/pkgname/etc/tool.icon
ツールアイコンのパス名を指定
-e /opt/pkgname/bin/command
実行可能ツールのパス名を指定
args
実行可能ツールで使用されるオプション引き数を指定
soladdapp コマンドを使用してアプリケーション Disk Manager をグローバル登録する例を示します。
# /usr/snadm/bin/soladdapp ¥
-r /opt/SUNWadm/etc/.solstice_registry ¥
-n "Mail Manager" ¥
-i /opt/SUNWdsk/etc/diskmgr.xpm ¥
-e /opt/SUNWdsk/bin/diskmgr
|
グローバル登録の削除
-
スーパーユーザーになります。
-
次のように soldelapp コマンドを入力してアプリケーションを削除します。
# /usr/snadm/bin/soldelapp ¥ -r /opt/SUNWadm/etc/.solstice_registry ¥ -n "tool"コマンドの意味は以下のとおりです。
/usr/snadm/bin/soldelapp
グローバル登録ファイルからアプリケーションを削除する Solstice コマンド
-r /opt/SUNWadm/etc/.solstice_registry
Solstice グローバル登録ファイルのパス名を指定
-n "tool"
削除するツール名を指定
soldelapp コマンドを使用してアプリケーション Disk Manager を削除する例を示します。
# /usr/snadm/bin/soldelapp ¥ -r /opt/SUNWadm/etc/.solstice_registry ¥ -n "Disk Manager" |
Solstice 起動ツールのカスタマイズ
アプリケーションの属性のカスタマイズ
起動ツール内のアプリケーションの属性をカスタマイズするには、以下のようにします。
カスタマイズ方法と、ボタンの使用方法は以下のとおりです。
表示または非表示
「Solstice 起動ツール」ウィンドウにアプリケーションを表示するか、非表示にするかを設定するには、「表示」および「非表示」ボタンを使用します。
-
アプリケーションを非表示にするには、「表示」リストからアプリケーションを選択して、「非表示」ボタンをクリックします。
アプリケーションは「非表示」リストに移動します。
-
アプリケーションを表示するには、「非表示」リストからアプリケーションを選択して、「表示」ボタンをクリックします。
アプリケーションは「表示」リストに移動します。
削除
アプリケーションをローカル登録ファイルから削除するには、「削除」ボタンを使用します。
ローカル登録したアプリケーションの削除方法については、「プライベート登録の削除」を参照してください。
追加
アプリケーションを「Solstice 起動ツール」ウィンドウに追加するには、「アプリケーションの追加」ボタンをクリックします。
「アプリケーションの追加」ウィンドウが表示されます。このウィンドウは、「起動ツール」メニューでの「アプリケーション追加」コマンドと同じです。
起動ツールへのアプリケーション追加方法については、「プライベート登録」を参照してください。
属性の変更
アプリケーションの属性を変更するには、「非表示」または「表示」リストのアプリケーションを選択して、「アプリケーションの属性」ボタンをクリックします。
「アプリケーションの属性」ウィンドウが表示されます。
ローカル登録したアプリケーションの属性の変更方法については、「アプリケーションのプロパティ変更」を参照してください。
アイコンの表示状態の変更
「Solstice 起動ツール」ウィンドウでのツールアイコンの表示状態を変更するには、以下のようにします。
-
アイコンの位置を変更するには、「表示」リストでアプリケーションを選択し、「Icon Order」の下の上下矢印キーをクリックします。
-
「Solstice 起動ツール」ウィンドウに表示されるカラム数を変更するには、「起動ツールの幅」の下の上下矢印キーを使用します。
-
アイコン数が増えて「Solstice 起動ツール」ウィンドウに表示しきれなくなった場合は、Solstice 起動ツール下部のスクロールバーを使用してウィンドウからはみだしたアイコンを表示できます。
次に、データベースマネージャ (Database Manager) を「非表示」リストに移動した例を示します。設定後、データベースマネージャ (Database Manager) は「Solstice 起動ツール」ウィンドウには表示されなくなります。
図 4-3 Solstice 起動ツール : 「属性」ウィンドウ
ローカル登録したアプリケーションのカスタマイズ
ローカル登録したアプリケーションは、次の方法でカスタマイズできます。
-
アプリケーションは、「表示」または「非表示」機能により起動ツールウィンドウ内で表示または非表示にできます。
-
「Solstice 起動ツール」ウィンドウ内のカラム数は変更可能で、これによりアプリケーションのアイコンの表示状態が変わります。
-
アプリケーションのアイコンを上下に移動して、その表示順序を変更することができます。
アプリケーションのカスタマイズ方法については、「アプリケーションの属性のカスタマイズ」を参照してください。
アプリケーションのプロパティ変更
-
「起動ツール」メニューで「属性」を選択します。
「属性」ウィンドウが表示されます。
-
「非表示」または「表示」リストからアプリケーションを選択します。
-
「アプリケーションの属性」ボタンをクリックします。
-
以下のアプリケーション属性を変更します。
-
「名前」テキストボックス内のアプリケーション名
注 -アプリケーションの属性を変更するには、アプリケーション名を変更する必要があります。
-
「アプリケーションへのパス」テキストボックス内のアプリケーションパス名
アプリケーションのパス名がはっきりしない場合は、「...」ボタンをクリックし、「アプリケーションへのパスの選択」ウィンドウからパス名を選択してください。このウィンドウの使用方法については、「ファイル選択ウィンドウの使用」を参照してください。
-
「引数」テキストボックス内のアプリケーションに対するコマンド行引き数
これらの引き数は、起動されたアプリケーションに渡されます。
-
「アイコンへのパス」テキストボックス内のアイコンパス名
アイコンパス名がはっきりしない場合は、「...」ボックスをクリックし、「アイコンへのパスの選択」ウィンドウからパス名を選択してください。このウィンドウの使用方法については、「ファイル選択ウィンドウの使用」を参照してください。
-
-
「追加」をクリックします。
ホストマネージャの実行可能ファイルおよびアイコンを変更する例を示します。
ファイル選択ウィンドウの使用
-
「アプリケーションへのパスの選択」ウィンドウ内の「フィルタ」テキストボックスに、ワイルドカード文字 (*) などの正規表現を使用してパス名を指定します。
新しい値を入力すると、「ディレクトリ」および「ファイル」リストがそれに従って更新されます。
-
「ファイル」リストでファイル名を選択し、「ファイルのオープン」テキストボックスを更新します。
-
「了解」をクリックします。
「ファイルのオープン」テキストボックスの値が、ファイル選択ウィンドウを呼び出した元のフィールドに設定されます。
アプリケーションのファイル名が、「アプリケーションの追加」ウィンドウ内の「アプリケーションへのパス」テキストボックスに表示されます。
「アプリケーションへのパスの選択」ウィンドウでフィルタを使用して、/opt/SUNWadm/2.3/bin ディレクトリ内のアプリケーションツールの実行可能ファイルを探す例を示します。実行可能ファイルは、「ファイル」リストに表示されます。
- © 2010, Oracle Corporation and/or its affiliates