ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
Trusted Extensions で IPv6 ネットワークを有効化する
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルで遠隔ホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーが遠隔ホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
ラップトップやワークステーションなど、ビットマップディスプレイが直接接続されたデスクトップを実行する際には、Trusted Extensions システムはネットワークを必要としません。ただし、ほかのシステムと通信するにはネットワークの構成が必要となります。txzonemgr GUI を使用すると、ほかのシステムに接続するようにラベル付きゾーンや大域ゾーンを簡単に構成できます。ラベル付きゾーンの構成オプションについては、「ラベル付きゾーンへのアクセス」を参照してください。次の作業マップでは、ネットワーク構成タスクについて説明し、それらのタスクへのリンクを示します。
|
この手順を実行すれば、システムのすべてのゾーンが 1 つの IP アドレス、具体的には大域ゾーンの IP アドレスを使用して、ほかの同一のラベルを持つゾーンまたはホストに到達できるようになります。この構成がデフォルトです。ネットワークインタフェースを異なる方法で構成したあと、システムをデフォルトのネットワーク構成に戻す必要が生じた場合に、この手順を実行する必要があります。
始める前に
大域ゾーンで root 役割になっている必要があります。
# txzonemgr &
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI については、「ラベル付きゾーンを対話形式で作成する」を参照してください。
インタフェースのリストが表示されます。次の特性が記載されたインタフェースを探します。
タイプ phys
ホスト名の IP アドレス
状態 up
すべてのゾーンがこの共有 IP アドレスを使用して、自身と同じラベルの遠隔システムと通信できます。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
共有 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。
この手順では、1 つ以上のラベル付きゾーンのために、IP インスタンスつまりゾーンごとのアドレスを作成します。ラベル付きゾーンは自身のゾーンごとのアドレスを使用して、ネットワーク上で同じラベルの付いたゾーンとの通信を行います。
始める前に
大域ゾーンで root 役割になっている必要があります。
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。
構成オプションの一覧が表示されます。
たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。
プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。
注 - デフォルトのルーターを削除または変更するには、エントリを削除してから IP インスタンスを再度作成します。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
排他的 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。
この手順では、VNIC を作成し、それをラベル付きゾーンに割り当てます。
始める前に
大域ゾーンで root 役割になっている必要があります。
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。
構成オプションの一覧が表示されます。
システムに複数の VNIC カードがある場合は、複数の選択肢が表示されます。目的のインタフェースを含むエントリを選択します。
たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。
プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。
注 - デフォルトのルーターを削除または変更するには、エントリを削除してから VNIC を再度作成します。
VNIC のエントリが表示されます。internal_0 のように、zonename_n という名前がシステムによって割り当てられます。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
この手順では、Trusted Extensions システムから接続可能な遠隔ホストを追加することで、Trusted Extensions のネットワークを定義します。
始める前に
Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。
参照
この手順では、各ラベル付きゾーンで、ネームサービスデーモン (nscd) を個別に構成できます。この構成は、評価された構成の条件を満たしません。評価された構成では、nscd デーモンは大域ゾーンでのみ実行されます。各ラベル付きゾーン内の door は、そのゾーンを大域の nscd デーモンに接続します。
この構成がサポートする環境では、各ゾーンがそのゾーンのラベルで動作するサブネットワークに接続されており、そのサブネットワークにはそのラベル用の独自のネームサーバーがあります。
注 - この構成では、高度なネットワークスキルが要求されます。
始める前に
Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。
注 - このオプションは、初期システム構成時に一度だけ使用されるように意図されています。
補足情報については、nscd(1M) のマニュアルページを参照してください。
# /usr/sbin/reboot
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2011 10:10:11 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
例 4-3 各ラベル付きゾーンからのネームサービスキャッシュの削除
システム管理者が、ゾーンごとのネームサービスデーモンをテストしたあとで、ラベル付きゾーンからネームサービスデーモンを削除し、大域ゾーンでのみデーモンを実行することにしました。管理者はシステムをデフォルトのネームサービス構成に戻すために、txzonemgr GUI を開き、大域ゾーンを選択して、「Unconfigure per-zone name service」、「OK」の順に選択します。この選択により、すべてのラベル付きゾーンで nscd デーモンが削除されます。次に、管理者はシステムをリブートします。
次の手順
各ゾーンのユーザーおよび役割のアカウントを構成する場合の選択肢は、3 つあります。
マルチレベルの LDAP ディレクトリサーバーに LDAP アカウントを作成できます。
個々の LDAP ディレクトリサーバー (ラベルごとに 1 つずつ) に LDAP アカウントを作成できます。
ローカルアカウントを作成できます。
各ラベル付きゾーンでネームサービスデーモンを個別に構成すると、すべてのユーザーのパスワード処理に影響が及びます。ユーザーは、デフォルトラベルに対応するゾーンも含め、どのラベル付きゾーンにアクセスする際にも、自身を認証する必要があります。さらに、管理者が各ゾーン内でローカルにアカウントを作成する必要があるか、あるいは、ゾーンが LDAP クライアントになっている場合には LDAP ディレクトリ内にアカウントが存在している必要があります。
大域ゾーン内のアカウントが Labeled Zone Manager txzonemgr を実行しているような特殊な場合には、少なくともそのアカウントが各ゾーンにログインできるように、そのアカウントの情報が各ラベル付きゾーンにコピーされます。デフォルトでは、このアカウントが初期ユーザーアカウントになります。