JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 管理者の手順     Oracle Solaris 10 1/13 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Trusted Extensions の管理の概念

2.  Trusted Extensions 管理ツール

3.  Trusted Extensions 管理者として開始 (タスク)

4.  Trusted Extensions システムのセキュリティー要件 (概要)

5.  Trusted Extensions でのセキュリティー要件の管理 (タスク)

6.  Trusted Extensions でのユーザー、権利、および役割 (概要)

7.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

8.  Trusted Extensions でのリモート管理 (タスク)

9.  Trusted Extensions と LDAP (概要)

10.  Trusted Extensions でのゾーンの管理 (タスク)

11.  Trusted Extensions でのファイルの管理とマウント (タスク)

12.  トラステッドネットワーク (概要)

13.  Trusted Extensions でのネットワークの管理 (タスク)

トラステッドネットワークの管理 (タスクマップ)

トラステッドネットワークデータベースの構成 (タスクマップ)

サイト固有のセキュリティーテンプレートが必要かどうかを判断する

トラステッドネットワーキングのツールを開く

リモートホストテンプレートを構築する

システムの既知のネットワークにホストを追加する

セキュリティーテンプレートをホストまたはホストのグループに割り当てる

トラステッドネットワーク上で接続できるホストを制限する

Trusted Extensions での経路の構成とネットワーク情報のチェック (タスクマップ)

セキュリティー属性を使用して経路を構成する

トラステッドネットワークデータベースの構文をチェックする

トラステッドネットワークデータベース情報とカーネルキャッシュを比較する

カーネルキャッシュとトラステッドネットワークデータベースを同期する

トラステッドネットワークのトラブルシューティング (タスクマップ)

ホストのインタフェースが稼働していることを確認する

Trusted Extensions ネットワークをデバッグする

LDAP サーバーへのクライアント接続をデバッグする

14.  Trusted Extensions でのマルチレベルメール (概要)

15.  ラベル付き印刷の管理 (タスク)

16.  Trusted Extensions のデバイス (概要)

17.  Trusted Extensions でのデバイス管理 (タスク)

18.  Trusted Extensions での監査 (概要)

19.  Trusted Extensions のソフトウェア管理 (タスク)

A.  Trusted Extensions 管理の手引き

B.  Trusted Extensions マニュアルページのリスト

索引

トラステッドネットワークのトラブルシューティング (タスクマップ)

次のタスクマップでは、ネットワークをデバッグするためのタスクについて説明します。

タスク
説明
参照先
2 つのホストが通信できない原因を特定します。
1 台のシステムでインタフェースが稼働していることを確認します。
「ホストのインタフェースが稼働していることを確認する」
2 つのホストが相互に通信できないときにデバッグ用のツールを使用します。
「Trusted Extensions ネットワークをデバッグする」
LDAP クライアントが LDAP サーバーに到達できない原因を特定します。
LDAP サーバーとクライアントの間の接続障害をトラブルシューティングします。
「LDAP サーバーへのクライアント接続をデバッグする」

ホストのインタフェースが稼働していることを確認する

システムが期待どおりにほかのシステムと通信しない場合は、この手順を使います。

始める前に

ネットワーク設定をチェックできる役割で、大域ゾーンにいる必要があります。セキュリティー管理者役割とシステム管理者役割が、これらの設定をチェックできます。

  1. システムのネットワークインタフェースが稼働していることを確認します。

    次の出力は、システムに hme0hme0:3 の 2 つのネットワークインタフェースがあることを示しています。どちらのインタフェースも稼働していません。

    # ifconfig -a
...
hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255
hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255
  2. インタフェースが稼動していない場合、インタフェースを起動させて、稼動していることを確認します。

    次の出力は、両方のインタフェースが稼動していることを示します。

    # ifconfig hme0 up
# ifconfig -a
...
hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,...
hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..

Trusted Extensions ネットワークをデバッグする

期待どおりに通信していない 2 つのホストをデバッグする場合、Trusted Extensions と Solaris のデバッグ用のツールを使用できます。たとえば、snoopnetstat など Oracle Solaris のネットワークデバッグコマンドを使用できます。詳細は、snoop(1M) および netstat(1M) のマニュアルページを参照してください。Trusted Extensions に固有のコマンドについては、表 2-4 を参照してください。

始める前に

ネットワーク設定をチェックできる役割で、大域ゾーンにいる必要があります。セキュリティー管理者役割またはシステム管理者役割が、これらの設定をチェックできます。

  1. tnd デーモンをトラブルシュートするには、ポーリング間隔を変更し、デバッグ情報を収集します。

    注 - tnd サービスが実行されているのは、ldap サービスが実行されている場合だけです。

    詳しくは、tnd(1M) のマニュアルページを参照してください。

  2. 通信できないホスト同士が同じネームサービスを使用していることを確認します。
    1. 各ホストで、nsswitch.conf ファイルを確認します。
      1. nsswitch.conf ファイルで、Trusted Extensions データベースの値を確認します。

        たとえば、ネットワークの管理に LDAP を使用するサイトでは、エントリは次のようになります。

        # Trusted Extensions
tnrhtp: files ldap
tnrhdb: files ldap
      2. 値が異なる場合、nsswitch.conf ファイルを修正します。

        これらのエントリを修正する場合、システム管理者は「ネームサービススイッチ」アクションを使用します。詳細は、「Trusted Extensions の CDE 管理アクションを起動する」を参照してください。このアクションでは、必要な DAC および MAC ファイルのアクセス権が維持されます。

    2. LDAP ネームサービスが構成されていることを確認します。
      $ ldaplist -l
    3. 両方のホストが LDAP ネームサービスにあることを確認します。
      $ ldaplist -l hosts | grep hostname
  3. 各ホストが正しく定義されていることを確認します。
    1. Solaris 管理コンソールを使用して定義を確認します。

      • 「セキュリティーテンプレート」ツールで、各ホストが他方のホストのセキュリティーテンプレートと互換性のあるセキュリティーテンプレートに割り当てられていることを確認します。

      • ラベルなしシステムの場合、デフォルトのラベル割り当てが正しいことを確認します。

      • 「トラステッドネットワークゾーン」ツールで、マルチレベルポート (MLP) が正しく構成されていることを確認します。

    2. コマンド行を使用して、カーネルのネットワーク情報が最新であることを確認します。

      各ホストのカーネルキャッシュでの割り当てが、ネットワーク上およびほかのホスト上の割り当てに一致することを確認します。

      伝送のソース、宛先、ゲートウェイホストのセキュリティー情報を取得するには、tninfo コマンドを使用します。

      • 任意のホストの IP アドレスと、割り当てられたセキュリティーテンプレートを表示します。
        $ tninfo -h hostname
IP Address: IP-address
Template: template-name
      • テンプレート定義を表示します。
        $ tninfo -t template-name
template: template-name
host_type: one of CIPSO or UNLABELED
doi: 1
min_sl: minimum-label
hex: minimum-hex-label
max_sl: maximum-label
hex: maximum-hex-label
      • ゾーンの MLP を表示します。
        $ tninfo -m zone-name
private: ports-that-are-specific-to-this-zone-only
shared: ports-that-the-zone-shares-with-other-zones
  4. 正しくない情報があれば修正します。

    • ネットワークセキュリティー情報を変更または確認するには、Solaris 管理コンソール ツールを使用します。詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。

    • カーネルキャッシュを更新するには、情報が最新でないホストで tnctl サービスを再起動します。このプロセスが完了するにはしばらく時間がかかります。次に、tnd サービスをリフレッシュします。リフレッシュに失敗した場合は、tnd サービスの再起動を試みます。詳細は、「カーネルキャッシュとトラステッドネットワークデータベースを同期する」を参照してください。

      注 - tnd サービスが実行されているのは、ldap サービスが実行されている場合だけです。

      リブートするとカーネルキャッシュが消去されます。ブート時に、キャッシュにデータベース情報が生成されます。カーネルへの情報生成にローカルデータベースと LDAP データベースのどちらが使用されるかは、nsswitch.conf ファイルで決まります。

  5. デバッグに役立つ伝送情報を収集します。
    • ルーティング構成を確認します。

      route コマンドの get サブコマンドを使用します。

      $ route get [ip] -secattr sl=label,doi=integer

      詳しくは、route(1M) のマニュアルページを参照してください。

    • パケットのラベル情報を表示します。

      snoop -v コマンドを使用します。

      -v オプションを使用すると、ラベル情報などパケットヘッダーの詳細が表示されます。このコマンドでは多くの情報が表示されるため、コマンドで調べられるパケットを制限できます。詳細は、snoop(1M) のマニュアルページを参照してください。

    • ルーティングテーブルのエントリとソケットのセキュリティー属性を表示します。

      netstat -a|-r コマンドで、-R オプションを使用します。

      -aR オプションを使用すると、ソケットの拡張セキュリティー属性が表示されます。-rR オプションを使用すると、ルーティングテーブルのエントリが表示されます。詳細は、netstat(1M) のマニュアルページを参照してください。

LDAP サーバーへのクライアント接続をデバッグする

LDAP サーバーでクライアントエントリの構成が誤っていると、クライアントがサーバーと通信できない場合があります。同様に、クライアント上のファイルの構成が誤っていると通信できない場合があります。クライアントサーバー間の通信問題をデバッグするときは、次のエントリとファイルを確認します。

始める前に

LDAP クライアント上の大域ゾーンで、セキュリティー管理者役割である必要があります。

  1. LDAP サーバーと LDAP サーバーへのゲートウェイのリモートホストテンプレートが正しいことを確認します。
    # tninfo -h LDAP-server
# route get LDAP-server
# tninfo -h gateway-to-LDAP-server

    リモートホストテンプレートの割り当てが正しくない場合、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、ホストを正しいテンプレートに割り当てます。

  2. /etc/hosts ファイルを確認し、修正します。

    使用しているシステム、システム上のラベル付きゾーンのインタフェース、LDAP サーバーへのゲートウェイ、および LDAP サーバーがファイルに一覧表示されている必要があります。さらに多くのエントリがある可能性があります。

    重複しているエントリを捜します。ほかのシステムのラベル付きゾーンであるエントリを削除します。たとえば、Lserver が LDAP サーバーの名前であり、LServer-zones がラベル付きゾーンの共有インタフェースである場合、/etc/hosts から LServer-zones を削除します。

  3. DNS を使用している場合、resolv.conf ファイルのエントリを確認し修正します。
    # more resolv.conf
search list of domains
domain domain-name
nameserver IP-address

...
nameserver IP-address
  4. nsswitch.conf ファイルの tnrhdb および tnrhtp エントリが正しいことを確認します。
  5. サーバー上で、クライアントが正しく構成されていることを確認します。
    # ldaplist -l tnrhdb client-IP-address
  6. ラベル付きゾーンのインタフェースが LDAP サーバー上で正しく構成されていることを確認します。
    # ldaplist -l tnrhdb client-zone-IP-address
  7. 現在実行中のすべてのゾーンから LDAP サーバーを ping できること確認します。
    # ldapclient list
...
NS_LDAP_SERVERS= LDAP-server-address
# zlogin zone-name1 ping LDAP-server-address
LDAP-server-address is alive
# zlogin zone-name2 ping LDAP-server-address
LDAP-server-address is alive
...
  8. LDAP を構成してリブートします。
    1. 手順については、『Trusted Extensions Configuration Guide』の「Make the Global Zone an LDAP Client in Trusted Extensions」を参照してください。
    2. 各ラベル付きゾーンで、ゾーンを LDAP サーバーのクライアントとして再構築します。
      # zlogin zone-name1
# ldapclient init \
-a profileName=profileName \
-a domainName=domain \
-a proxyDN=proxyDN \
-a proxyPassword=password LDAP-Server-IP-Address
# exit
# zlogin zone-name2 ...
    3. すべてのゾーンを停止し、ファイルシステムをロックしてリブートします。

      Oracle Solaris ZFS を使用している場合は、リブートする前にゾーンを停止し、ファイルシステムをロックします。ZFS を使用していない場合は、ゾーンの停止とファイルシステムのロックを行わずにリブートすることができます。

      # zoneadm list
# zoneadm -z zone-name halt
# lockfs -fa
# reboot
Copyright © 1992, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ