| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
マウントされたファイルシステムに対する Trusted Extensions ポリシー
シングルレベルのデータセットに対する Trusted Extensions ポリシー
マルチレベルのデータセットに対する Trusted Extensions ポリシー
MAC 読み取り/書き込みポリシーには特権のオーバーライドなし
Trusted Extensions でのファイルシステムの共有とマウントの結果
mlslabel プロパティーとシングルレベルのファイルシステムのマウント
Trusted Extensions での NFS サーバーとクライアントの構成
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次のタスクマップでは、ラベル付きファイルシステムからデータをバックアップおよび復元する場合と、ラベル付けされているファイルシステムを共有およびマウントする場合に使用される、一般的なタスクについて説明します。
|
始める前に
Media Backup 権利プロファイルが割り当てられている必要があります。大域ゾーンにいます。
次のコマンドではラベルが維持されます。
大規模なバックアップの場合は、zfs send -r | -R filesystem@snap
リモートサーバーへのバックアップの送信など、使用できる方法については、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS データを送信および受信する」を参照してください。
小規模バックアップの場合は、/usr/sbin/tar cT
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
zfs または tar バックアップコマンドを呼び出すスクリプト
始める前に
大域ゾーンで root 役割になっています。
次のコマンドでラベル付きバックアップを復元できます。
大規模な復元の場合は、zfs receive -vF filesystem@snap
リモートサーバーからのバックアップの復元など、使用できる方法については、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS データを送信および受信する」を参照してください。
小規模な復元の場合は、/usr/sbin/tar xT
tar コマンドの T オプションについては、tar(1) のマニュアルページを参照してください。
zfs または tar 復元コマンドを呼び出すスクリプト
ラベル付きゾーンで作成されたディレクトリをマウントまたは共有するには、そのファイルシステムに適切な ZFS 共有プロパティーを設定したあと、ゾーンを再起動してそのラベル付きディレクトリを共有します。
始める前に
ZFS File System Management 権利プロファイルが割り当てられている必要があります。
詳細は、『Trusted Extensions ユーザーズガイド』の「自分の最下位ラベルでワークスペースを追加する方法」を参照してください。
# zfs create rpool/wdocs1
たとえば、次の一連のコマンドを実行すると、ライター向けのドキュメントファイルシステムが共有されます。このファイルシステムは、ライターがこのサーバー上のドキュメントを変更できるように、読み取り/書き込み権付きで共有されます。setuid プログラムは許可されません。
# zfs set share=name=wdocs1,path=/wdocs1,prot=nfs,setuid=off, exec=off,devices=off rpool/wdocs1 # zfs set sharenfs=on rpool/wdocs1
コマンド行は、表示の都合上、折り返して記載されています。
大域ゾーンで、ゾーンごとに次のいずれかのコマンドを実行します。各ゾーンは、これらのどの方法でもファイルシステムを共有できます。実際の共有は、各ゾーンが ready または running 状態になったときに実行されます。
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
大域ゾーンの root 役割として次のコマンドを実行します。
# zfs get all rpool
詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの情報のクエリー検索を行う」を参照してください
例 14-1 PUBLIC ラベルで /export/share ファイルシステムを共有する
PUBLIC ラベルで実行されるアプリケーションの場合、システム管理者はユーザーが public ゾーンの /export/reference ファイルシステムにあるドキュメントを読めるようにします。
まず、管理者はワークスペースのラベルを public ワークスペースに変更し、端末ウィンドウを開きます。管理者はこのウィンドウ内で、選択された share プロパティーを /reference ファイルシステムに設定します。次のコマンドは、表示の都合上、折り返して記載されています。
# zfs set share=name=reference,path=/reference,prot=nfs, setuid=off,exec=off,devices=off,rdonly=on rpool/wdocs1
次に、管理者はファイルシステムを共有します。
# zfs set sharenfs=on rpool/reference
管理者は public ワークスペースから出て、トラステッドパスワークスペースに戻ります。ユーザーはこのファイルサーバーへのログインが許可されていないため、管理者はゾーンを実行可能状態にしてファイルシステムを共有します。
# zoneadm -z public ready
共有されたファイルシステムがユーザーのシステムにマウントされると、ユーザーはそのファイルシステムにアクセスできるようになります。
Trusted Extensions では、ラベル付きゾーンによってゾーン内のファイルのマウントが管理されます。ラベルなし、およびラベル付きホストのファイルシステムは、Trusted Extensions のラベル付きシステムにマウントできます。システムは、マウント先ゾーンのラベルでファイルサーバーへの経路を持っている必要があります。
シングルラベルホストのファイルを読み取り/書き込み権付きでマウントするには、そのリモートホストに割り当てられたラベルがマウント先ゾーンのラベルと一致する必要があります。2 つのリモートホスト構成が可能です。
マウント先のゾーンと同じラベルが信頼できないリモートホストに割り当てられています。
信頼できるリモートホストがマルチレベルサーバーであり、マウント先ゾーンのラベルを含んでいます。
上位ゾーンによってマウントされるファイルシステムは読み取り専用です。
Trusted Extensions では、auto_home 構成ファイルはゾーンごとにカスタマイズされます。ファイルにはゾーン名ごとに名前が付けられます。たとえば、大域ゾーンおよび公共ゾーンのあるシステムには、auto_home_global と auto_home_public の 2 つの auto_home ファイルがあります。
Trusted Extensions では、Oracle Solaris と同じマウントインタフェースが使用されます。
デフォルトでは、ファイルシステムはブート時にマウントされます。
ファイルシステムを動的にマウントするには、ラベル付きゾーンで mount コマンドを使用します。
ホームディレクトリを自動マウントするには、auto_home_ zone-name ファイルを使用します。
ほかのディレクトリを自動マウントするには、標準の自動マウントマップを使用します。
始める前に
クライアントシステム上で、マウントしようとするファイルのラベルのゾーンにいる必要があります。マウントするファイルシステムが共有されていることを確認します。オートマウンタを使用する場合を除き、File System Management 権利プロファイルが割り当てられている必要があります。下位レベルのサーバーからマウントする場合、このクライアント上のゾーンを net_mac_aware 特権で構成してください。
ほとんどの手順には、特定ラベルでのワークスペースを作成する方法が含まれています。ワークスペースの作成方法は、『Trusted Extensions ユーザーズガイド』の「自分の最下位ラベルでワークスペースを追加する方法」を参照してください。
ラベル付きゾーンで、mount コマンドを使用します。
始める前に
マウントしようとするファイルシステムのラベルでゾーン内にいる必要があります。root 役割である必要があります。
このアドレスは、直接割り当てられる場合も、ワイルドカードを使用して間接的に割り当てられる場合もあります。アドレスは、ラベル付きテンプレートのものでも、ラベルなしテンプレートのものでもかまいません。
そのラベルは、ファイルをマウントしようとしているラベルと一致している必要があります。
ラベルがマウント済みファイルシステムのラベルよりも上位である場合、リモートファイルシステムが読み取り/書き込み権付きでエクスポートされたときでも、マウントに書き込みはできません。マウントのラベルでは、マウント済みファイルシステムにのみ書き込み可能です。
これらのサーバーからファイルシステムをマウントするには、サーバーにラベルなしテンプレートを割り当てる必要があります。
|
