ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
Trusted Extensions での経路の構成とネットワーク情報のチェック (タスクマップ)
トラステッドネットワークデータベース情報とカーネルキャッシュを比較する
カーネルキャッシュとトラステッドネットワークデータベースを同期する
トラステッドネットワークのトラブルシューティング (タスクマップ)
Trusted Extensions ネットワークをデバッグする
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
Trusted Extensions ソフトウェアには、tnrhtp および tnrhdb データベースが含まれています。これらのデータベースが、システムに接続するリモートホストにラベルを提供します。Solaris 管理コンソールには、これらのデータベースの管理に使用する GUI が用意されています。
次のタスクマップでは、セキュリティーテンプレートを作成し、それらをホストに適用するためのタスクについて説明します。
|
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ローカルホストにある tnrhtp ファイルをお読みください。ファイル内のコメントが役に立ちます。セキュリティー属性値は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールでも確認できます。
デフォルトのテンプレートは、どのインストールにも一致します。各テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
cipso テンプレートでは、DOI が 1 である CIPSO ホストタイプが定義されます。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
admin_low テンプレートでは、DOI が 1 であるラベルなしホストが定義されます。テンプレートのデフォルトラベルは ADMIN_LOW です。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。デフォルト構成では、アドレス 0.0.0.0 がこのテンプレートに割り当てられます。したがって、CIPSO 以外のすべてのホストは、ADMIN_LOW のセキュリティーラベルで動作するホストとして扱われます。
サポートの目的上、デフォルトのテンプレートは削除したり修正したりしないでください。これらのデフォルトのテンプレートが割り当てられているホストは変更できます。例については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
ホスト、またはホストのグループのラベル範囲を制限します。
シングルラベルホストを作成します。
複数の個別のラベルを認識するホストを作成します。
1 以外の DOI を使用します。
ADMIN_LOW でないラベルなしホストにデフォルトのラベルを要求します。
詳細は、「リモートホストテンプレートを構築する」を参照してください。
始める前に
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。
LDAP ツールボックスを使用する場合は、『Trusted Extensions Configuration Guide』の「Configuring the Solaris Management Console for LDAP (Task Map)」を完了しておいてください。
詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
テンプレートを修正するには、「セキュリティーテンプレート」ツールを使用します。
現在定義されているすべてのテンプレートが右側のペインに表示されます。テンプレートを選択または作成すると、左側のペインでオンラインヘルプを使用できます。
テンプレートにホストを割り当てるには、「セキュリティーテンプレート」ツールを使用します。
テンプレートに割り当て可能なホストを作成するには、「コンピュータとネットワーク」ツールを使用します。
ゾーンにラベルを割り当てるには、「トラステッドネットワークゾーン」ツールを使用します。Trusted Extensions のゾーンについては、第 10 章Trusted Extensions でのゾーンの管理 (タスク)を参照してください。
始める前に
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。
詳細な手順については、「トラステッドネットワーキングのツールを開く」を参照してください。
既存のテンプレートは、「表示」ペインに表示されます。これらのテンプレートには、このシステムが接続できるホストのセキュリティー属性が記述されています。このようなホストには、Trusted Extensions を実行している CIPSO ホストや、ラベルなしホストがあります。
このテンプレートがすでに割り当てられているホストとネットワークを表示します。
このテンプレートがすでに割り当てられているホストとネットワークを表示します。
用意されているテンプレートで、このシステムと通信できるホストに関する記述が不十分な場合、「アクション」メニューから「テンプレートの追加」を選択します。
詳細はオンラインヘルプを参照してください。ホストをテンプレートに割り当てる前に、サイトで必要なテンプレートをすべて作成します。
テンプレートをダブルクリックします。詳細はオンラインヘルプを参照してください。割り当てられているホストまたはネットワークを変更することができます。
例 13-1 異なる DOI 値を持つセキュリティーテンプレートの作成
この例では、セキュリティー管理者のネットワークに、1 以外の値を持つ DOI が含まれています。最初にシステムを構成したチームは、『Trusted Extensions Configuration Guide』の「Configure the Domain of Interpretation」を完了しています。
最初に、セキュリティー管理者が /etc/system ファイルに含まれる DOI の値を確認します。
# grep doi /etc/system set default_doi = 4
次に、「セキュリティーテンプレート」ツールで、管理者がテンプレートを作成するたびに、doi の値が 4 に設定されます。例 13-2 で説明されているシングルラベルシステムの場合、セキュリティー管理者は次のテンプレートを作成します。
template: CIPSO_PUBLIC host_type: CIPSO doi: 4 min_sl: PUBLIC max_sl: PUBLIC
例 13-2 シングルラベルを持つセキュリティーテンプレートの作成
この例では、セキュリティー管理者が、シングルラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを作成します。管理者は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、テンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ゲートウェイホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
gateway-1 192.168.131.75
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。 テンプレート内の値は次のとおりです。
template: CIPSO_PUBLIC host_type: CIPSO doi: 1 min_sl: PUBLIC max_sl: PUBLIC
ツールで、PUBLIC の 16 進値 0X0002-08-08 が提供されます。
最後に、gateway-1 のホストは、その名前と IP アドレスでテンプレートに割り当てられます。
gateway-1 192.168.131.75
ローカルホストで、tnrhtp エントリが次のようになります。
cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;
ローカルホストで、tnrhdb エントリが次のようになります。
# gateway-1 192.168.131.75:cipso_public
例 13-3 ラベルなしルーター用のセキュリティーテンプレートの作成
IP ルーターは、明示的にラベルをサポートしていない場合でも、CIPSO ラベルの付いたメッセージを転送することができます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。
Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ルーターとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
router-1 192.168.131.82
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: UNL_PUBLIC Host Type: UNLABELED DOI: 1 Default Label: PUBLIC Minimum Label: ADMIN_LOW Maximum Label: ADMIN_HIGH
ツールで、ラベルの 16 進値が提供されます。
最後に、router-1 のルーターは、その名前と IP アドレスでテンプレートに割り当てられます。
router-1 192.168.131.82
例 13-4 制限されたラベル範囲を持つセキュリティーテンプレートの作成
この例では、セキュリティー管理者が、パケットを狭いラベル範囲に制限するゲートウェイを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、ホストとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
gateway-ir 192.168.131.78
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: CIPSO_IUO_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY Maximum Label: CONFIDENTIAL : RESTRICTED
ツールで、ラベルの 16 進値が提供されます。
最後に、gateway-ir のゲートウェイは、その名前と IP アドレスでテンプレートに割り当てられます。
gateway-ir 192.168.131.78
例 13-5 セキュリティーラベルセットを持つセキュリティーテンプレートの作成
この例では、セキュリティー管理者が、2 つのラベルのみを認識するセキュリティーテンプレートを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。
最初に、このテンプレートを使用する各ホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。
host-slset1 192.168.132.21 host-slset2 192.168.132.22 host-slset3 192.168.132.23 host-slset4 192.168.132.24
次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。
Template Name: CIPSO_PUB_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: PUBLIC Maximum Label: CONFIDENTIAL : RESTRICTED SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED
ツールで、ラベルの 16 進値が提供されます。
最後に、IP アドレスの範囲をテンプレートに割り当てるには、「ワイルドカード」ボタンと接頭辞を使用します。
192.168.132.0/17
例 13-6 ラベル PUBLIC でのラベルなしテンプレートの作成
この例で、セキュリティー管理者は Oracle Solaris システムのサブネットワークに、トラステッドネットワークの PUBLIC ラベルを付けることを許可します。テンプレートには次の値があります。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 Wildcard Entry: 10.10.0.0 Prefix: 16
10.10.0.0 サブネットワーク上のすべてのシステムは、PUBLIC ラベルで処理されます。
例 13-7 開発者用のラベル付きテンプレートの作成
この例では、セキュリティー管理者が SANDBOX テンプレートを作成します。このテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。このテンプレートを割り当てられた 2 つのシステムでは、ラベル付きプログラムを作成およびテストします。ただし、そのテストでほかのラベル付きシステムが影響を受けることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。
Template Name: cipso_sandbox Host Type: CIPSO Minimum Label: SANDBOX Maximum Label: SANDBOX DOI: 1 Hostname: DevMachine1 IP Address: 196.168.129.129 Hostname: DevMachine2 IP Address: 196.168.129.102
これらのシステムを使用する開発者は、SANDBOX ラベルで相互に通信できます。
Solaris 管理コンソール の「コンピュータ」ツールは、Oracle Solaris OS の「コンピュータ」ツールと同じです。この手順は、利便性を考慮して記載されています。ホストが既知になったら、ホストをセキュリティーテンプレートに割り当てます。
始める前に
ネットワークを管理できる管理者である必要があります。たとえば、Network Management または System Administrator の権利プロファイルを持つ役割が、ネットワークを管理できます。
詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。
静的ルーターや監査サーバーなど、このシステムが接続する可能性のあるホストをすべて追加する必要があります。
オンラインヘルプに従い、ネットワーク IP アドレスを使用して、ホストのグループを追加します。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
テンプレートに割り当てるホストはすべて、「コンピュータとネットワーク」ツールに存在する必要があります。詳細は、「システムの既知のネットワークにホストを追加する」を参照してください。
詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。
例 13-8 ワイルドカードエントリとして IPv4 ネットワークを追加
この例では、セキュリティー管理者が複数の IPv4 サブネットワークを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 192.168.113.0 IP address: 192.168.75.0
例 13-9 ワイルドカードエントリとして IPv4 ホストのリストを追加
次の例では、セキュリティー管理者が、オクテット境界にない連続 IPv4 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 192.168.113.100 Prefix Length: 25
このワイルドカードエントリは、192.168.113.0 から 192.168.113.127 までのアドレス範囲をカバーします。このアドレスには、192.168.113.100 が含まれます。
例 13-10 ワイルドカードエントリとして IPv6 ホストのリストを追加
この例では、セキュリティー管理者が連続する IPv6 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。
IP Address: 2001:a08:3903:200::0 Prefix Length: 56
このワイルドカードエントリは、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までのアドレス範囲をカバーします。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。
この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールする場合、このデフォルトのテンプレートでネットワーク上のすべてのホストが定義されます。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルの tnrhdb ファイルは、ブート時のネットワーク接続に使用されます。デフォルトでは、CIPSO テンプレートで提供されない各ホストはadmin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各システム ( 0.0.0.0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ブート時に接続されるすべてのホストは、「コンピュータとネットワーク」ツールに存在している必要があります。
ファイルの有効範囲は、ブート中にシステムを保護します。「セキュリティーテンプレート」ツールへのアクセスについては、「トラステッドネットワーキングのツールを開く」を参照してください。
追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。
追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
このホストが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
追加される各ホストには、ブート時に接続できます。
追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
LDAP サーバーを追加します。
このホストが通信時に経由する必要のある、 Trusted Extensions を実行してしていないオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
例 13-11 0.0.0.0 tnrhdb エントリのラベルの変更
この例では、セキュリティー管理者が公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0 エントリを削除し、そのエントリを public という名前のラベルなしテンプレートに割り当てます。システムは、その tnrhdb ファイルにリストされていないシステムを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
公共ゲートウェイ用に特別に作成されたラベルなしテンプレートは、次のとおりです。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1
例 13-12 tnrhdb データベースでブート中に接続するコンピュータの列挙
次の例は、2 つのネットワークインタフェースを持つ LDAP クライアント用のエントリを持つローカルの tnrhdb データベースを示しています。クライアントは、ほかのネットワークおよびルーターと通信します。
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address
例 13-13 ホストアドレス 0.0.0.0 を有効な tnrhdb エントリにする
この例では、セキュリティー管理者は、潜在的なクライアントからの初期接続要求を受け入れるように Sun Ray サーバーを構成します。サーバーは、プライベートトポロジおよび標準設定を使用します。
# utadm -a bge0
まず、管理者は Solaris 管理コンソールのドメイン名を決定します。
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM
次に、管理者は、Sun Ray サーバーの tnrhdb データベースにクライアントの初期接続用のエントリを追加します。管理者がテストしている段階なので、すべての不明なアドレスに対してデフォルトのワイルドカードアドレスを使用します。
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful.
このコマンドの実行後、tnhrdb データベースは次のようになります。smtnrhdb コマンドの結果は強調表示されています。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot
# tnchkdb -h /etc/security/tsol/tnrhdb
テストがこの段階まで成功したあと、管理者は、構成の安全性を高めるためにデフォルトのワイルドカードアドレスを削除し、tnrhdb データベースの構文をチェックしてから再度テストを実行します。最終的な tnhrdb データベースは次のようになります。
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot