ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
Trusted Extensions での LDAP ネームサービスの使用法
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。LDAP はネームサービスの一例です。どのネームサービスを使用するかは、nsswitch.conf ファイルによって決定されます。LDAP は、Trusted Extensions で推奨されるネームサービスです。
ディレクトリサーバーは、Trusted Extensions および Oracle Solaris クライアントに LDAP ネームサービスを提供できます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者は、Trusted Extensions を構成する際にマルチレベルポートを指定します。
Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、 tnrhdb および tnrhtp を追加します。これらのデータベースは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して管理されます。Scope=LDAP, Policy=TSOL のツールボックスは構成の変更をディレクトリサーバーに格納します。
Oracle Solaris OS での LDAP ネームサービスの使用については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。
Trusted Extensions クライアントに対するディレクトリサーバーの設定については、『Trusted Extensions Configuration Guide 』を参照してください。Trusted Extensions システムを Oracle Solaris LDAP サーバーのクライアントにするには、Trusted Extensions で構成された LDAP プロキシサーバーを使用します。
注 - Trusted Extensions が構成されたシステムは、NIS または NIS+ マスターのクライアントになることはできません。
サイトでネームサービスを使用していない場合は、ユーザー、ホスト、ネットワークの構成情報がすべてのホストで同じであることを、管理者が確認する必要があります。1 つのホストで行なった変更は、すべてのホストで行う必要があります。
ネットワーク接続されていない Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリに格納されます。Trusted_Extensions フォルダ内のアクションによって、一部の構成情報を変更できます。Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用すると、ネットワークデータベースのパラメータを修正することができます。ユーザー、役割、権利は、「ユーザーアカウント」、「管理役割」、および「権利」の各ツールで修正します。このコンピュータ Scope=Files, Policy=TSOL のツールボックスにローカルの構成変更が格納されています。
Trusted Extensions では、ディレクトリサーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。
属性の定義は次のとおりです。
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
オブジェクトクラスの定義は次のとおりです。
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP での cipso テンプレート定義は、次のようなものです。
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal