ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
Trusted Extensions で IPv6 ネットワークを有効化する
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions では、ユーザーは、ユーザーが作業するすべてのラベルでホームディレクトリにアクセスする必要があります。デフォルトでは、各ゾーン内で実行されているオートマウンタによってホームディレクトリが自動作成されます。ただし、NFS サーバーを使用してホームディレクトリを集中管理する場合は、ホームディレクトリへのアクセスをユーザーのすべてのラベルで有効化する必要があります。
始める前に
大域ゾーンで root 役割になっています。
ユーザーがログイン可能なすべてのラベルでホームディレクトリが必要になるため、すべてのユーザーラベルでホームディレクトリサーバーを作成します。たとえば、デフォルトの構成を作成する場合は、PUBLIC ラベル用と INTERNAL ラベル用のホームディレクトリサーバーを 1 つずつ作成します。
この手順では、ユーザーが各ホームディレクトリサーバーに直接ログインできるようにすることで、ユーザーが各ラベルのホームディレクトリを作成できるようにします。中央サーバー上に各ホームディレクトリが作成されると、ユーザーは自身のホームディレクトリに任意のシステムからアクセスできるようになります。
あるいは、管理者としてスクリプトを実行してからオートマウンタを変更することで、各ホームディレクトリサーバー上にマウントポイントを作成することもできます。この方法については、「各サーバーでオートマウンタを構成することでユーザーが遠隔ホームディレクトリにアクセスできるようにする」を参照してください。
始める前に
Trusted Extensions ドメインのホームディレクトリサーバーが構成されました。
通常、NFS サーバーはラベルごとに 1 つずつ作成されています。
ログインが成功すると、サーバーのラベルにあるユーザーのホームディレクトリが使用可能になります。
デフォルトラベルのホームディレクトリが、ホームディレクトリサーバーから使用可能になります。ユーザーがセッションのラベルを変更したり、異なるラベルでワークスペースを追加したりすると、そのラベルのユーザーのホームディレクトリがマウントされます。
次の手順
デフォルトラベルとは異なるラベルでログインするには、ログイン時にラベルビルダーから異なるラベルを選択します。
この手順では、各 NFS サーバーでホームディレクトリのマウントポイントを作成するスクリプトを実行します。次に、そのサーバーのラベルで auto_home エントリを変更してマウントポイントを追加します。これでユーザーがログインできるようになります。
始める前に
Trusted Extensions ドメインのホームディレクトリサーバーが LDAP クライアントとして構成されました。-S ldap オプション付きの useradd コマンドを使用して、LDAP サーバー上にユーザーアカウントが作成されています。root 役割になっている必要があります。
サンプルスクリプトでは次のことを仮定しています。
LDAP サーバーは NFS ホームディレクトリサーバーとは異なるサーバーである。
クライアントシステムも異なるシステムである。
hostname エントリは、ゾーンつまりそのラベルに対する NFS ホームディレクトリサーバーの外部 IP アドレスを指定している。
このスクリプトは、NFS サーバー上で、そのラベルのクライアントにサービスを提供するゾーン内で実行される。
#!/bin/sh hostname=$(hostname) scope=ldap for j in $(getent passwd|tr ' ' _); do uid=$(echo $j|cut -d: -f3) if [ $uid -ge 100 ]; then home=$(echo $j|cut -d: -f6) if [[ $home == /home/* ]]; then user=$(echo $j|cut -d: -f1) echo Updating home directory for $user homedir=/export/home/$user usermod -md ${hostname}:$homedir -S $scope $user mp=$(mount -p|grep " $homedir zfs" ) dataset=$(echo $mp|cut -d" " -f1) if [[ -n $dataset ]]; then zfs set sharenfs=on $dataset fi fi fi done