JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 構成と管理     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

パート I Trusted Extensions の初期構成

1.  Trusted Extensions のセキュリティー計画

2.  Trusted Extensions の構成ロードマップ

3.  Oracle Solaris への Trusted Extensions 機能の追加 (タスク)

4.  Trusted Extensions の構成 (タスク)

5.  Trusted Extensions のための LDAP の構成 (タスク)

パート II Trusted Extensions の管理

6.  Trusted Extensions の管理の概念

7.  Trusted Extensions 管理ツール

8.  Trusted Extensions システムのセキュリティー要件 (概要)

9.  Trusted Extensions での一般的なタスクの実行

10.  Trusted Extensions でのユーザー、権利、および役割 (概要)

11.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

12.  Trusted Extensions でのリモート管理 (タスク)

13.  Trusted Extensions でのゾーンの管理

14.  Trusted Extensions でのファイルの管理とマウント

15.  トラステッドネットワーク (概要)

16.  Trusted Extensions でのネットワークの管理 (タスク)

17.  Trusted Extensions と LDAP (概要)

Trusted Extensions での LDAP ネームサービスの使用法

ローカルで管理される Trusted Extensions システム

Trusted Extensions LDAP データベース

Trusted Extensions の LDAP ネームサービスに関するクイックリファレンス

18.  Trusted Extensions でのマルチレベルメール (概要)

19.  ラベル付き印刷の管理 (タスク)

20.  Trusted Extensions のデバイス (概要)

21.  Trusted Extensions でのデバイス管理 (タスク)

22.  Trusted Extensions での監査 (概要)

23.  Trusted Extensions のソフトウェア管理

A.  サイトのセキュリティーポリシー

セキュリティーポリシーの作成と管理

サイトのセキュリティーポリシーと Trusted Extensions

コンピュータのセキュリティーに関する推奨事項

物理的セキュリティーに関する推奨事項

個人のセキュリティーに関する推奨事項

よくあるセキュリティー違反

その他のセキュリティー関連資料

B.  Trusted Extensions の構成チェックリスト

Trusted Extensions を構成するためのチェックリスト

C.  Trusted Extensions 管理の手引き

Trusted Extensions の管理インタフェース

Trusted Extensions による Oracle Solaris インタフェースの拡張

Trusted Extensions の厳密なセキュリティーデフォルト

Trusted Extensions で制限されるオプション

D.  Trusted Extensions マニュアルページのリスト

Trusted Extensions マニュアルページ (アルファベット順)

Trusted Extensions によって変更される Oracle Solaris マニュアルページ

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

Trusted Extensions での LDAP ネームサービスの使用法

複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。svc:/system/name-service/switch サービスによって、どのネームサービスが使用されるかが決まります。LDAP は、Trusted Extensions で推奨されるネームサービスです。

LDAP サーバーは、Trusted Extensions および Oracle Solaris クライアントに LDAP ネームサービスを提供できます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者がシステム構成時にマルチレベルポートを指定します。

通常、このマルチレベルポートは、大域ゾーンで大域ゾーン向けに構成されます。したがって、ラベル付きゾーンには LDAP ディレクトリへの書き込みアクセス権がありません。代わりに、ラベル付きゾーンは、そのシステムまたはネットワーク上の別のトラステッドシステムで実行されているマルチレベルプロキシサービスを介して、読み取りリクエストを送信します。Trusted Extensions では、ラベルごとに 1 つのディレクトリサーバーを使用する LDAP 構成もサポートされます。そのような構成は、ユーザーがラベルごとに異なる資格を持っている場合に必要になります。

Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、tnrhdb および tnrhtp を追加します。

ローカルで管理される Trusted Extensions システム

サイトで分散ネームサービスを使用していない場合は、ユーザー、システム、ネットワークの構成情報がすべてのシステムで同じであることを、管理者が確認する必要があります。1 つのシステムで行なった変更は、すべてのシステムで行う必要があります。

ローカルで管理されている Trusted Extensions システムでは、構成情報は /etc/etc/security、および /etc/security/tsol ディレクトリ内のファイルと、name-service/switch SMF サービスの構成プロパティーによって保持されます。

Trusted Extensions LDAP データベース

Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。

属性の定義は次のとおりです。

ipTnetNumber
   ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber'
     DESC 'Trusted network host or subnet address'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )
ipTnetTemplateName
   ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName'
     DESC 'Trusted network template name'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )

オブジェクトクラスの定義は次のとおりです。

ipTnetTemplate
   ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL
     DESC 'Object class for Trusted network host templates'
     MUST ( ipTnetTemplateName )
     MAY ( SolarisAttrKeyValue ) )

ipTnetHost
   ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY
     DESC 'Object class for Trusted network host/subnet address
           to template mapping'
     MUST ( ipTnetNumber $ ipTnetTemplateName ) )

LDAP での cipso テンプレート定義は、次のようなものです。

ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=organizationalUnit
 ou=ipTnet

 ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 ipTnetTemplateName=cipso
 SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;

 ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 objectClass=ipTnetHost
 ipTnetNumber=0.0.0.0
 ipTnetTemplateName=internal