ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
Trusted Extensions でのファイルの共有とマウント
Trusted Extensions での NFS マウントされたファイルシステムへのアクセス
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次の作業マップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているファイルシステムを共有およびマウントする場合に使用される、一般的なタスクについて説明します。
|
始める前に
Media Backup 権利プロファイルが割り当てられている必要があります。大域ゾーンにいます。
注意 - ラベルを保持できるのは次のコマンドだけです。 |
大規模なバックアップの場合は、/usr/lib/fs/ufs/ufsdump
小規模バックアップの場合は、/usr/sbin/tar cT
これらのいずれかのコマンドを呼び出すスクリプト
ufsdump(1M) のマニュアルページを参照してください。tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
始める前に
大域ゾーンで root 役割になっています。
注意 - ラベルを保持できるのは次のコマンドだけです。 |
大規模な復元の場合は、/usr/lib/fs/ufs/ufsrestore
小規模な復元の場合は、/usr/sbin/tar xT
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
ラベル付きゾーンで作成されたディレクトリをマウントまたは共有するには、そのファイルシステムに適切な ZFS 共有プロパティーを設定したあと、ゾーンを再起動してそのラベル付きディレクトリを共有します。
始める前に
ZFS File System Management 権利プロファイルが割り当てられている必要があります。
詳細は、『Trusted Extensions ユーザーガイド』の「自分の最下位ラベルでワークスペースを追加する方法」を参照してください。
# zfs create rpool/wdocs1
たとえば、次の一連のコマンドを実行すると、ライター向けの文書ファイルシステムが共有されます。このファイルシステムは、ライターがこのサーバー上のドキュメントを変更できるように、読み取り/書き込み権付きで共有されます。setuid プログラムは許可されません。
# zfs set share=name=wdocs1,path=/wdocs1,prot=nfs,setuid=off, exec=off,devices=off rpool/wdocs1 # zfs set sharenfs=on rpool/wdocs1
コマンド行は、表示の都合上、折り返して記載されています。
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもファイルシステムを共有できます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
大域ゾーンの root 役割として次のコマンドを実行します。
# zfs get all rpool
詳細は、『Oracle Solaris の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの情報のクエリー検索を行う」を参照してください
例 14-1 PUBLIC ラベルで /export/share ファイルシステムを共有する
PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/reference ファイルシステムにある文書を読めるようにします。
まず、管理者はワークスペースのラベルを public ワークスペースに変更し、端末ウィンドウを開きます。管理者はこのウィンドウ内で、選択された share プロパティーを /reference ファイルシステムに設定します。次のコマンドは、表示の都合上、折り返して記載されています。
# zfs set share=name=reference,path=/reference,prot=nfs, setuid=off,exec=off,devices=off,rdonly=on rpool/wdocs1
次に、管理者はファイルシステムを共有します。
# zfs set sharenfs=on rpool/reference
管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのファイルサーバーへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルシステムを共有します。
# zoneadm -z public ready
共有されたファイルシステムがユーザーのシステムにマウントされると、ユーザーはそのファイルシステムにアクセスできるようになります。
Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。ラベルなし、およびラベル付きホストのファイルシステムは、Trusted Extensions のラベル付きシステムにマウントできます。システムは、マウント先ゾーンのラベルでファイルサーバーへの経路を持っている必要があります。
シングルラベルホストのファイルを読み取り/書き込み権付きでマウントするには、その遠隔ホストに割り当てられたラベルがマウント先ゾーンのラベルと一致する必要があります。2 つの遠隔ホスト構成が可能です。
マウント先のゾーンと同じラベルが遠隔ホストに割り当てられている。
遠隔ホストがマルチレベルサーバーであり、マウント先ゾーンのラベルを含んでいる。
上位ゾーンによってマウントされるファイルシステムは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。
Trusted Extensions では、Oracle Solaris と同じマウントインタフェースが使用されます。
デフォルトでは、ファイルシステムは起動時にマウントされます。
ファイルシステムを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。
始める前に
クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。マウントするファイルシステムが共有されていることを確認します。オートマウンタを使用する場合を除き、File System Management 権利プロファイルが割り当てられている必要があります。下位レベルのサーバーからマウントする場合、このクライアント上のゾーンを net_mac_aware 特権で構成してください。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Trusted Extensions ユーザーガイド』の「自分の最下位ラベルでワークスペースを追加する方法」を参照してください。
ラベル付きゾーンで、mount コマンドを使用します。
始める前に
マウントしようとするファイルシステムのラベルでゾーン内にいる必要があります。root 役割である必要があります。
このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。
そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、遠隔ファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。