ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
Trusted Extensions で IPv6 CIPSO ネットワークを構成する方法
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーがリモートホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
ラップトップやワークステーションなど、ビットマップディスプレイが直接接続されたデスクトップを実行する際には、Trusted Extensions システムはネットワークを必要としません。ただし、ほかのシステムと通信するにはネットワークの構成が必要となります。txzonemgr GUI を使用すると、ほかのシステムに接続するようにラベル付きゾーンや大域ゾーンを簡単に構成できます。ラベル付きゾーンの構成オプションについては、「ラベル付きゾーンへのアクセス」を参照してください。次のタスクマップでは、ネットワーク構成タスクについて説明し、それらのタスクへのリンクを示します。
|
この手順を実行すれば、システムのすべてのゾーンが 1 つの IP アドレス、具体的には大域ゾーンの IP アドレスを使用して、ほかの同一のラベルを持つゾーンまたはホストに到達できるようになります。この構成がデフォルトです。ネットワークインタフェースを異なる方法で構成したあと、システムをデフォルトのネットワーク構成に戻す必要が生じた場合に、この手順を実行する必要があります。
始める前に
大域ゾーンで root 役割になっている必要があります。
# txzonemgr &
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI については、「ラベル付きゾーンを対話形式で作成する」を参照してください。
インタフェースのリストが表示されます。次の特性が記載されたインタフェースを探します。
タイプ phys
ホスト名の IP アドレス
状態 up
すべてのゾーンがこの共有 IP アドレスを使用して、自身と同じラベルのリモートシステムと通信できます。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
共有 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。
この手順では、1 つ以上のラベル付きゾーンのために、IP インスタンスつまりゾーンごとのアドレスを作成します。ラベル付きゾーンは自身のゾーンごとのアドレスを使用して、ネットワーク上で同じラベルの付いたゾーンとの通信を行います。
始める前に
大域ゾーンで root 役割になっている必要があります。
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。
構成オプションの一覧が表示されます。
たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。
プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。
注 - デフォルトのルーターを削除または変更するには、エントリを削除してから IP インスタンスを再度作成します。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
排他的 IP スタックとゾーンごとのアドレスを使用し、ラベル付きゾーンをネットワーク上のほかのシステムのラベル付きゾーンに接続する予定である場合に、この手順が必要となります。
この手順では、VNIC を作成し、それをラベル付きゾーンに割り当てます。
始める前に
大域ゾーンで root 役割になっている必要があります。
Labeled Zone Manager にゾーンの一覧が表示されます。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。構成対象のラベル付きゾーンは停止されている必要があります。
構成オプションの一覧が表示されます。
システムに複数の VNIC カードがある場合は、複数の選択肢が表示されます。目的のインタフェースを含むエントリを選択します。
たとえば、192.168.1.2/24 と入力します。接頭辞長を末尾に指定しなかった場合は、ネットマスクの入力を求められます。この例と同等のネットマスクは、255.255.255.0 です。
プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。
注 - デフォルトのルーターを削除または変更するには、エントリを削除してから VNIC を再度作成します。
VNIC のエントリが表示されます。internal_0 のように、zonename_n という名前がシステムによって割り当てられます。
次の手順
システムの外部ネットワークを構成するには、「Trusted Extensions システムをほかの Trusted Extensions システムに接続する」に進みます。
この手順では、Trusted Extensions システムから接続可能なリモートホストを追加することで、Trusted Extensions のネットワークを定義します。
始める前に
Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。
参照
この手順では、各ラベル付きゾーンで、ネームサービスデーモン (nscd) を個別に構成します。この構成がサポートする環境では、各ゾーンがそのゾーンのラベルで動作するサブネットワークに接続されており、そのサブネットワークにはそのラベル用の独自のネームサーバーがあります。ラベル付きゾーンでは、インストールする予定のパッケージがそのラベルのユーザーアカウントを必要とする場合、ゾーンごとに個別のネームサービスを構成することができます。背景情報については、「ラベル付きゾーンに制限されているアプリケーション」および 「Trusted Extensions でユーザーを作成する前に必要な決定事項」を参照してください。
始める前に
Labeled Zone Manager が表示されています。この GUI を開くには、「ラベル付きゾーンを対話形式で作成する」を参照してください。大域ゾーンで root 役割になっています。
注 - このオプションは、初期システム構成時に一度だけ使用されるように意図されています。
補足情報については、nscd(1M) のマニュアルページを参照してください。
# /usr/sbin/reboot
root 役割になって手順 1 で Labeled Zone Manager を実行したユーザーのアカウントが、リブート後に各ゾーン内に構成されます。ラベル付きゾーンに固有のほかのアカウントは、ゾーンに手動で追加する必要があります。
注 - LDAP リポジトリに格納されたアカウントは、引き続き大域ゾーンから管理されます。
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
例 4-3 各ラベル付きゾーンからのネームサービスキャッシュの削除
システム管理者が、ゾーンごとのネームサービスデーモンをテストしたあとで、ラベル付きゾーンからネームサービスデーモンを削除し、大域ゾーンでのみデーモンを実行することにしました。管理者はシステムをデフォルトのネームサービス構成に戻すために、txzonemgr GUI を開き、大域ゾーンを選択して、「Unconfigure per-zone name service」、「OK」の順に選択します。この選択により、すべてのラベル付きゾーンで nscd デーモンが削除されます。次に、管理者はシステムをリブートします。
次の手順
各ゾーンのユーザーおよび役割のアカウントを構成する場合の選択肢は、3 つあります。
マルチレベルの LDAP ディレクトリサーバーに LDAP アカウントを作成できます。
個々の LDAP ディレクトリサーバー (ラベルごとに 1 つずつ) に LDAP アカウントを作成できます。
ローカルアカウントを作成できます。
各ラベル付きゾーンでネームサービスデーモンを個別に構成すると、すべてのユーザーのパスワード処理に影響が及びます。ユーザーは、デフォルトラベルに対応するゾーンも含め、どのラベル付きゾーンにアクセスする際にも、自身を認証する必要があります。さらに、管理者が各ゾーン内でローカルにアカウントを作成する必要があるか、あるいは、ゾーンが LDAP クライアントになっている場合には LDAP ディレクトリ内にアカウントが存在している必要があります。
大域ゾーン内のアカウントが Labeled Zone Manager txzonemgr を実行しているような特殊な場合には、少なくともそのアカウントが各ゾーンにログインできるように、そのアカウントの情報が各ラベル付きゾーンにコピーされます。デフォルトでは、このアカウントが初期ユーザーアカウントになります。