ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
マウントされたファイルシステムに対する Trusted Extensions ポリシー
シングルレベルのデータセットに対する Trusted Extensions ポリシー
マルチレベルのデータセットに対する Trusted Extensions ポリシー
MAC 読み取り/書き込みポリシーには特権のオーバーライドなし
Trusted Extensions でのファイルシステムの共有とマウントの結果
mlslabel プロパティーとシングルレベルのファイルシステムのマウント
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
上位レベルのゾーンのユーザーが下位レベルのディレクトリを表示できるようにすることができます。下位レベルのディレクトリの NFS サーバーは、Trusted Extensions システムか信頼できないシステムです。
トラステッドシステムにはサーバー構成が必要です。信頼できないシステムにはクライアント構成が必要です。
トラステッドシステム の NFS サーバー構成 – トラステッドシステムの下位レベルのディレクトリをラベル付きゾーンで表示できるようにするには、サーバーを構成する必要があります。
NFS サーバーの大域ゾーンで、NFS サービスをマルチレベルサービスとして構成する必要があります。
大域ゾーンから、管理者が net_bindmlp 特権をラベル付きゾーンの limitpriv に追加する必要があります。
ラベル付きゾーンで、共有プロパティーを設定することで ZFS ファイルシステムをエクスポートします。ラベル付きゾーンのステータスが running の場合、そのゾーンのラベルでファイルシステムが共有されます。手順については、「ラベル付きゾーンのファイルシステムを共有する」を参照してください。
信頼できない NFS サーバーの NFS クライアント構成 – サーバーは信頼されていないため、NFS クライアントは信頼できるクライアントでなければなりません。初期ゾーン構成中に使用されるゾーン構成ファイルで、net_mac_aware 特権を指定する必要があります。そのため、下位ホームディレクトリの表示をすべて許可されているユーザーは、最小ゾーンを除く各ゾーンで net_mac_aware 特権を持っている必要があります。例については、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。
Trusted Extensions で、ホームディレクトリは特別な存在です。
ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。
また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。
NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。
注 - txzonemgr スクリプトは、ホームディレクトリが /export/home としてマウントされるものと仮定します。
Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、「Trusted Extensions のオートマウンタに対する変更」を参照してください。
ホームディレクトリは、ユーザーの作成時に作成されます。ただし、そのホームディレクトリは、ホームディレクトリサーバーの大域ゾーン内に作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。
注 - ユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、「Trusted Extensions システムからユーザーアカウントを削除する」を参照してください。
ただし、リモート NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリを作成するには、「各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにする」を参照してください。
Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofs が auto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。
+auto_home_global * -fstype=lofs :/export/home/&
下位レベルのゾーンのマウントを許可するゾーンがブートすると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/zone-name/export/home 以下に読み取り専用でマウントされます。auto_home_zone-name マップにより、/zone パスが、/zone/zone-name/home/username への lofs 再マウントのソースディレクトリとして指定されます。
たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-level マップにおける auto_home_public エントリは、次のようになります。
+auto_home_public * public-zone-IP-address:/export/home/&
txzonemgr スクリプトは、この PUBLIC エントリを大域ゾーンの auto_master ファイル内で設定します。
+auto_master /net -hosts -nosuid,nobrowse /home auto_home -nobrowse /zone/public/home auto_home_public -nobrowse
ホームディレクトリが参照され、その名前が auto_home_zone-name マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。
マップが、一致するループバックマウント指定を検出する
ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する
オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。