ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
Trusted Extensions での LDAP ネームサービスの使用法
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。svc:/system/name-service/switch サービスによって、どのネームサービスが使用されるかが決まります。LDAP は、Trusted Extensions で推奨されるネームサービスです。
ディレクトリサーバーは、Trusted Extensions および Oracle Solaris クライアントに LDAP ネームサービスを提供できます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者がシステム構成時にマルチレベルポートを指定します。
Trusted Extensions は、ディレクトリサーバーに 2 つのトラステッドネットワークデータベース、tnrhdb および tnrhtp を追加します。
Oracle Solaris での LDAP ネームサービスの使用方法については、『Oracle Solaris Administration: Naming and Directory Services 』を参照してください。
Trusted Extensions に対するディレクトリサーバーの設定については、第 5 章Trusted Extensions のための LDAP の構成 (手順)を参照してください。Trusted Extensions システムを Oracle Solaris ディレクトリサーバーのクライアントにするには、Trusted Extensions で構成されたディレクトリサーバープロキシを使用します。
Trusted Extensions ディレクトリサーバーのクライアントの設定方法については、「Trusted Extensions LDAP クライアントの作成」を参照してください。
注 - Trusted Extensions が設定されたシステムは、NIS マスターのクライアントになることはできません。
サイトでネームサービスを使用していない場合は、ユーザー、システム、ネットワークの構成情報がすべてのシステムで同じであることを、管理者が確認する必要があります。1 つのシステムで行なった変更は、すべてのシステムで行う必要があります。
ローカルで管理されている Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリ内のファイルに格納されます。
Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。
属性の定義は次のとおりです。
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
オブジェクトクラスの定義は次のとおりです。
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP での cipso テンプレート定義は、次のようなものです。
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal