DES セキュリティ (レベル 2) システムの作成
DES セキュリティシステム (レベル 2) を作成する手順は、使用しているシステムの構成によって異なります。以下に、NIS または NIS+ のネームサービスを使用しているシステム、およびネームサービスなしのシステムに、レベル 2 の DES セキュリティを設定する手順について説明します。
ネームサービスなしの場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind --S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを files に変更します。
以下のような行を、
publickey: nis [NOTFOUND=return] files
次のように変更します。
publickey: files
-
sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
sadmind -S 2 を実行するシステムのうちの 1 台に、スーパーユーザーとしてログインします。
-
admintool を実行する各ユーザーに対して、次のコマンドを実行します。
# newkey -u username
注 -sysadmin グループのメンバーでないユーザーに対しても、上記のコマンドを実行する必要があります。sysadmin グループのメンバーでなく、資格も持っていない場合、sadmind デーモンにはユーザーとして認識されないので、処理を何も実行することができません。また、スーパーユーザーになる必要がない処理も実行することができません。この場合、newkey プログラムの実行時に、ユーザーのパスワードを入力する必要があります。
-
sadmind デーモンを実行できるように設定したすべてのホストに対して、次のコマンドを実行します。
# newkey -h hostname
各ホストに対して、スーパーユーザーのパスワードを入力する必要があります。
-
現在ログインしているシステムの /etc/publickey ファイルを、各ホストへコピー (上書き) します。
このファイルには、各ユーザーおよびホスト用の資格が記述されています。
注 -すべてのシステムでは newkey を実行しないでください。すべてのシステム上で実行すると、異なる公開鍵と非公開鍵の組み合わせが作成され、ネットワーク上の公開鍵が無効になります。/etc/publickey ファイルは 1 台のシステム上のみに作成し、それをその他のシステムにコピーしてください。
-
各システムにスーパーユーザーとしてログインし、次のコマンドを実行してルートの非公開鍵を /etc/.rootkey に置きます。
# keylogin -r
この手順によって、システムのブート時に自動的にルートの keylogin が作成されるので、admintool を実行するシステムごとに、毎回スーパーユーザーとして keylogin を実行する必要がなくなります。
-
-
各システムの各ユーザーについて /etc/netid ファイルを作成し、すべてのシステム上に置きます。
-
publickey ファイル中に記述されているすべてのユーザーについて、/etc/netid ファイル中に次のようなエントリを作成します。
unix.uid@domainname uid: uid: gid,gid, ...
-
このユーザーがメンバーとして登録されているすべてのグループを表示します。sysadmin グループのメンバーを確認するには、/etc/group ではなく、sadmind -S 2 や netid に依存しているファイルを利用します。
-
publickey ファイルに記述されている各ホストで、/etc/netid ファイル中に次のようなエントリを追加します。
unix.hostname@domainname 0:hostname
-
/etc/netid ファイル内に記述されているすべてのシステムに、/etc/netid ファイルをコピーします。
-
-
すべてのシステムをリブートします。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトすることができます。明示的に keylogout を実行したりシステムをリブートするまで、鍵は keyserv デーモン中に保存されます。
NIS の場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを nis に変更します。
以下のような行を、
publickey: nis [NOTFOUND=return] files
次のように変更します。
publickey: nis
-
sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
NIS サーバーに、スーパーユーザーとしてログインします。
-
admintool を実行する各ユーザーに対して、次のコマンドを実行します。
# newkey -u username -s files
注 -sysadmin グループのメンバーでないユーザーに対しても、上記のコマンドを実行する必要があります。sysadmin グループのメンバーでなく資格も持っていない場合、sadmind デーモンにはユーザーとして認識されないので、処理を何も実行することができません。また、スーパーユーザーになる必要がない処理も実行することができません。この場合、newkey プログラムの実行時に、ユーザーのパスワードを入力する必要があります。
-
sadmind デーモンを実行できるように設定したすべてのホストに対して、次のコマンドを実行します。
# newkey -h hostname
各ホストに対して、スーパーユーザーのパスワードを入力する必要があります。
-
現在ログインしている NIS サーバー上の /etc/publickey ファイルを、/var/yp/Makefile ファイル中に指定されているソースファイルにコピーします。nis マップを作成し直してプッシュします。
# cd /var/yp; make
-
-
nis の group マップを参照して、sysadmin グループのメンバーになっていることを確認します。
-
スーパーユーザーとしてログインします。
-
/var/yp/Makefile ファイル中に指定されているソースファイルのあるディレクトリに移動します。
-
/etc/group ファイルを編集した場合と同様に、グループファイルを編集して自分自身を sysadmin グループのメンバーに追加します。
-
/var/yp ディレクトリに移動し、make を実行します。
# cd /var/yp; make
group マップがプッシュされると、メッセージが表示されます。
注 -セキュリティシステムは、NIS マップを参照して sysadmin グループのメンバーを確認します。/etc/nsswitch.conf ファイルに nis グループファイルがあるかどうかに関係なく、NIS マップに sysadmin グループのメンバーとして指定していない場合は、セキュリティシステムのエラーとなります。
sadmind デーモンが -S 2 モードで実行されている場合は、publickey のエントリによって、ユーザーの資格を調べるのにどのネームサービスを参照するかが決まります。/etc/nsswitch.conf ファイル内のエントリが nis になっている場合、sadmind デーモンは nis グループマップを参照して、ユーザーが sysadmin グループのメンバーであることを確認します。
-
-
各システムにスーパーユーザーとしてログインし、ルートの公開鍵を /etc/.rootkey に置きます。
# keylogin -r
この手順によって、システムのブート時に自動的にルートの keylogin が作成されるので、admintool を実行するシステムごとに、毎回スーパーユーザーとして keylogin を実行する必要がなくなります。
-
すべてのシステムをリブートし、nscd をフラッシュし (内部バッファに蓄積されたデーターをファイルに書き込み) ます。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトすることができます。明示的に keylogout を実行したりシステムをリブートするまで、鍵は keyserv デーモン中に保存されます。
NIS+ の場合
-
sadmind デーモンを実行している各システムで、/etc/inetd.conf ファイルを編集します。
以下のような行を、
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
次のように変更します。
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
-
sadmind デーモンを実行している各システムで、/etc/nsswitch.conf ファイルの publickey エントリを、nisplus に設定します。
以下のような行を、
publickey: nisplus [NOTFOUND=return] files
次のように変更します。
publickey: nisplus
-
NIS+ マスターサーバーにスーパーユーザーとしてログインし、sysadmin グループのメンバー全員と、sadmind -S 2 を実行するすべてのシステムに対して、資格を作成します。
-
NIS+ マスターサーバーにスーパーユーザーとしてログインし、AdminSuite を使用するすべてのユーザーを NIS+ の sysadmin グループに追加します。
# nistbladm -m members=username, username...[name-sysadmin], group.org_dir
注 -現在の sysadmin グループのメンバーは、この手順で入力したメンバーに変更されます。このため、新しく追加するメンバーだけを指定するのではなく、sysadmin グループのすべてのメンバーを指定してください。
-
AdminSuite を使用するすべてのユーザーを、NIS+ admin グループに追加します。
# nisgrpadm -a admin username
NIS_GROUP 環境変数が admin に設定されていることを確認してください。
-
admintool を使用するすべてのシステムで、以下のコマンドを実行します。
# keylogin -r
-
すべてのシステムをリブートし、nscd をフラッシュし (内部バッファに蓄積されたデーターをファイルに書き込み) ます。
-
アプリケーションを実行する各システムにログインし、keylogin を実行します (sysadmin グループのメンバーである必要があります)。
keylogin を実行すると安全にログアウトすることができます。明示的に keylogout を実行したりシステムをリブートするまで、鍵は keyserv デーモン中に保存されます。
- © 2010, Oracle Corporation and/or its affiliates