Trusted Extensions でのネットワークインタフェースの構成

ラップトップやワークステーションなど、ビットマップディスプレイが直接接続されたデスクトップを実行する際には、Trusted Extensions システムはネットワークを必要としません。ただし、ほかのシステムと通信するにはネットワークの構成が必要となります。txzonemgr GUI を使用すると、ほかのシステムに接続するようにラベル付きゾーンや大域ゾーンを簡単に構成できます。ラベル付きゾーンの構成オプションについては、「ラベル付きゾーンへのアクセス」を参照してください。次の作業マップでは、ネットワーク構成タスクについて説明し、それらのタスクへのリンクを示します。

すべてのゾーンで単一の IP アドレスを共有する

この手順を実行すれば、システムのすべてのゾーンが 1 つの IP アドレス、具体的には大域ゾーンの IP アドレスを使用して、ほかの同一のラベルを持つゾーンまたはホストに到達できるようになります。この構成がデフォルトです。ネットワークインタフェースを異なる方法で構成したあと、システムをデフォルトのネットワーク構成に戻す必要が生じた場合に、この手順を実行する必要があります。

始める前に

大域ゾーンで root 役割になっている必要があります。

1. オプションを一切指定せずに txzonemgr コマンドを実行します。

   # txzonemgr &

   Labeled Zone Manager にゾーンの一覧が表示されます。この GUI については、「ラベル付きゾーンを対話形式で作成する」を参照してください。

2. 大域ゾーンをダブルクリックします。
3. 「Configure Network Interfaces」をダブルクリックします。

   インタフェースのリストが表示されます。次の特性が記載されたインタフェースを探します。

   • タイプ phys

   • ホスト名の IP アドレス

   • 状態 up

4. ホスト名に対応するインタフェースを選択します。
5. コマンドの一覧から「Share with Shared-IP Zones」を選択します。

   すべてのゾーンがこの共有 IP アドレスを使用して、自身と同じラベルの遠隔システムと通信できます。

6. 「取消し」をクリックしてゾーンコマンド一覧に戻ります。

次の手順

システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。

ラベル付きゾーンに IP インスタンスを追加する

共有 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。

この手順では、1 つ以上のラベル付きゾーンのために、IP インスタンスつまりゾーンごとのアドレスを作成します。ラベル付きゾーンは自身のゾーンごとのアドレスを使用して、ネットワーク上で同じラベルの付いたゾーンとの通信を行います。

始める前に

大域ゾーンで root 役割になっている必要があります。

Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。

1. Labeled Zone Manager で、IP インスタンスを追加するラベル付きゾーンをダブルクリックします。
2. 「ネットワークインタフェースの構成」をダブルクリックします。

   構成オプションの一覧が表示されます。

3. 「Add an IP instance」を選択します。
4. システムに複数の IP アドレスがある場合は、目的のインタフェースを含むエントリを選択します。
5. このラベル付きゾーンの IP アドレスと接頭辞長を指定します。

   たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。

6. 「了解」をクリックします。
7. デフォルトのルーターを追加するには、追加したばかりのエントリをダブルクリックします。

   プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。

   ---

   注 - デフォルトのルーターを削除または変更するには、エントリを削除してから IP インスタンスを再度作成します。

   ---

8. 「取消し」をクリックしてゾーンコマンド一覧に戻ります。

次の手順

システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。

ラベル付きゾーンに仮想ネットワークインタフェースを追加する

排他的 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。

この手順では、VNIC を作成し、それをラベル付きゾーンに割り当てます。

始める前に

大域ゾーンで root 役割になっている必要があります。

Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。

1. Labeled Zone Manager で、仮想インタフェースを追加するラベル付きゾーンをダブルクリックします。
2. 「ネットワークインタフェースの構成」をダブルクリックします。

   構成オプションの一覧が表示されます。

3. 「Add a virtual interface (VNIC)」をダブルクリックします。

   システムに複数の VNIC カードがある場合は、複数の選択肢が表示されます。目的のインタフェースを含むエントリを選択します。

4. ホスト名を割り当てるか、IP アドレスと接頭辞長を割り当てます。

   たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。

5. デフォルトのルーターを追加するには、追加したばかりのエントリをダブルクリックします。

   プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。

   ---

   注 - デフォルトのルーターを削除または変更するには、エントリを削除してから VNIC を再度作成します。

   ---

6. 「取消し」をクリックしてゾーンコマンド一覧に戻ります。

   VNIC のエントリが表示されます。internal_0 のように、zonename_n という名前がシステムによって割り当てられます。

次の手順

システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。

Trusted Extensions システムをほかの Trusted Extensions システムに接続する

この手順では、Trusted Extensions システムから接続可能な遠隔ホストを追加することで、Trusted Extensions のネットワークを定義します。

始める前に

Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。

1. Labeled Zone Manager で大域ゾーンをダブルクリックします。
2. 「Add Multilevel Access to Remote Host」を選択します。
   1. 別の Trusted Extensions システムの IP アドレスを入力します。
   2. その別の Trusted Extensions システム上で対応するコマンドを実行します。
3. 「取消し」をクリックしてゾーンコマンド一覧に戻ります。
4. Labeled Zone Manager でラベル付きゾーンをダブルクリックします。
5. 「Add Access to Remote Host」を選択します。
   1. 別の Trusted Extensions システム上の同じラベルの付いたゾーンの IP アドレスを入力します。
   2. その別の Trusted Extensions システムのゾーン内で、対応するコマンドを実行します。

参照

• 第 15 章トラステッドネットワーク (概要)

• 「ホストおよびネットワークへのラベル付け (作業マップ)」

ラベル付きゾーンごとに異なるネームサービスを構成する

この手順では、各ラベル付きゾーンで、ネームサービスデーモン (nscd) を個別に構成できます。この構成は、評価された構成の条件を満たしません。評価された構成では、nscd デーモンは大域ゾーンでのみ実行されます。各ラベル付きゾーン内の door は、そのゾーンを大域の nscd デーモンに接続します。

この構成がサポートする環境では、各ゾーンがそのゾーンのラベルで動作するサブネットワークに接続されており、そのサブネットワークにはそのラベル用の独自のネームサーバーがあります。

始める前に

Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。

1. Labeled Zone Manager で、「Configure per-zone name service」を選択し、「了解」をクリックします。

   ---

   注 - このオプションは、初期システム構成時に一度だけ使用されるように意図されています。

   ---

2. 各ゾーンの nscd サービスを構成します。

   補足情報については、nscd(1M) のマニュアルページを参照してください。

3. システムをリブートします。

   # /usr/sbin/reboot

4. ゾーンごとに、ルートとネームサービスデーモンを確認します。
   1. ゾーンコンソールで nscd サービスを表示します。

      zone-name # svcs -x name-service/cache
      svc:/system/name-service/cache:default (name service cache)
       State: online since September 10, 2011  10:10:11 AM PDT
         See: nscd(1M)
         See: /var/svc/log/system-name-service-cache:default.log
      Impact: None.

   2. サブネットワークへのルートを確認します。

      zone-name # netstat -rn

例 4-3 各ラベル付きゾーンからのネームサービスキャッシュの削除

システム管理者が、ゾーンごとのネームサービスデーモンをテストしたあとで、ラベル付きゾーンからネームサービスデーモンを削除し、大域ゾーンでのみデーモンを実行することにしました。管理者はシステムをデフォルトのネームサービス構成に戻すために、txzonemgr GUI を開き、大域ゾーンを選択して、「Unconfigure per-zone name service」、「OK」の順に選択します。この選択により、すべてのラベル付きゾーンで nscd デーモンが削除されます。次に、管理者はシステムをリブートします。

次の手順

各ゾーンのユーザーおよび役割のアカウントを構成する場合の選択肢は、3 つあります。

• マルチレベルの LDAP ディレクトリサーバーに LDAP アカウントを作成できます。

• 個々の LDAP ディレクトリサーバー (ラベルごとに 1 つずつ) に LDAP アカウントを作成できます。

• ローカルアカウントを作成できます。

各ラベル付きゾーンでネームサービスデーモンを個別に構成すると、すべてのユーザーのパスワード処理に影響が及びます。ユーザーは、デフォルトラベルに対応するゾーンも含め、どのラベル付きゾーンにアクセスする際にも、自身を認証する必要があります。さらに、管理者が各ゾーン内でローカルにアカウントを作成する必要があるか、あるいは、ゾーンが LDAP クライアントになっている場合には LDAP ディレクトリ内にアカウントが存在している必要があります。

大域ゾーン内のアカウントが Labeled Zone Manager txzonemgr を実行しているような特殊な場合には、少なくともそのアカウントが各ゾーンにログインできるように、そのアカウントの情報が各ラベル付きゾーンにコピーされます。デフォルトでは、このアカウントが初期ユーザーアカウントになります。