JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 管理者の手順     Oracle Solaris 10 1/13 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Trusted Extensions の管理の概念

2.  Trusted Extensions 管理ツール

3.  Trusted Extensions 管理者として開始 (タスク)

4.  Trusted Extensions システムのセキュリティー要件 (概要)

5.  Trusted Extensions でのセキュリティー要件の管理 (タスク)

6.  Trusted Extensions でのユーザー、権利、および役割 (概要)

7.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

8.  Trusted Extensions でのリモート管理 (タスク)

9.  Trusted Extensions と LDAP (概要)

10.  Trusted Extensions でのゾーンの管理 (タスク)

Trusted Extensions のゾーン

Trusted Extensions のゾーンと IP アドレス

ゾーンとマルチレベルポート

Trusted Extensions のゾーンと ICMP

大域ゾーンプロセスとラベル付きゾーン

Trusted Extensions でのゾーン管理ユーティリティー

ゾーンの管理 (タスクマップ)

作成済みまたは実行中のゾーンを表示する

マウントされたファイルのラベルを表示する

通常はラベル付きゾーンから表示されないファイルをループバックマウントする

下位ファイルのマウントを無効にする

ラベル付きゾーンの ZFS データセットを共有する

ラベル付きゾーンからファイルに再ラベル付けできるようにする

udp で NFSv3 のマルチレベルポートを構成する

How to Create a Multilevel Port for a Zone

11.  Trusted Extensions でのファイルの管理とマウント (タスク)

12.  トラステッドネットワーク (概要)

13.  Trusted Extensions でのネットワークの管理 (タスク)

14.  Trusted Extensions でのマルチレベルメール (概要)

15.  ラベル付き印刷の管理 (タスク)

16.  Trusted Extensions のデバイス (概要)

17.  Trusted Extensions でのデバイス管理 (タスク)

18.  Trusted Extensions での監査 (概要)

19.  Trusted Extensions のソフトウェア管理 (タスク)

A.  Trusted Extensions 管理の手引き

B.  Trusted Extensions マニュアルページのリスト

索引

大域ゾーンプロセスとラベル付きゾーン

Trusted Extensions では、大域ゾーンのプロセスを含むすべてのプロセスに MAC ポリシーが適用されます。大域ゾーンのプロセスは ADMIN_HIGH ラベルで実行されます。大域ゾーンのファイルが共有される場合、ADMIN_LOW ラベルで共有されます。MAC では上位のラベルの付いたプロセスが下位のオブジェクトを変更できないため、通常、大域ゾーンは NFS マウントシステムに書き込むことができません。

ただし、限定的ではあるものの、ラベル付きゾーンのアクションでは、大域ゾーンのプロセスにそのゾーンのファイルの変更を要求することがあります。

大域ゾーンのプロセスが読み取り/書き込み権を持つリモートファイルシステムをマウントできるようにするには、リモートファイルシステムのラベルと一致するラベルを持ったゾーンのゾーンパスの下にマウントする必要があります。ただし、そのゾーンのルートパスの下にマウントしてはいけません。

PUBLIC というラベルで public という名前のゾーンを考えてみましょう。「ゾーンパス」/zone/public/ です。このゾーンパスの下にあるディレクトリはすべて、次のように、PUBLIC ラベルになります。

/zone/public/dev
/zone/public/etc
/zone/public/home/username
/zone/public/root
/zone/public/usr

ゾーンパスの下のディレクトリの中では、/zone/public/root の下にあるファイルのみ public ゾーンから表示できます。ほかの PUBLIC ラベルのディレクトリとファイルはすべて、大域ゾーンからのみアクセスできます。/zone/public/root は「ゾーンルートパス」です。

ゾーンルートパスは、public ゾーン管理者には / として表示されます。同様に、public ゾーン管理者は、ゾーンパスのユーザーのホームディレクトリである、/zone/public/home/username ディレクトリにはアクセスできません。そのディレクトリは、大域ゾーンからのみ表示できます。Public ゾーンはそのディレクトリをゾーンルートパスに /home/ username としてマウントします。そのマウントは、大域ゾーンには /zone/public/root/home/ username として表示されます。

Public ゾーン管理者は /home/ username を変更できます。ユーザーのホームディレクトリのファイルを変更する必要がある場合、大域ゾーンプロセスはそのパスを使用しません。大域ゾーンは、ゾーンパスのユーザーのホームディレクトリ /zone/public/home/username を使用します。

たとえば、ユーザーがデバイスを public ゾーンに割り当てる場合、ADMIN_HIGH ラベルで実行される大域ゾーンプロセスでは、ゾーンパス /zone/public/devdev ディレクトリが変更されます。同様に、ユーザーがデスクトップ構成を保存する場合、デスクトップ構成ファイルは /zone/public/home/username の大域ゾーンプロセスによって変更されます。最後に、ラベル付きゾーンのファイルを共有する場合、大域ゾーン管理者は構成ファイル dfstab をゾーンパス /zone/public/etc/dfs/dfstab に作成します。ラベル付きゾーン管理者はそのファイルにアクセスできません。また、ラベル付きゾーンのファイルも共有できません。ラベル付きディレクトリを共有する場合は、「ラベル付きゾーンのディレクトリを共有する」を参照してください。

Copyright © 1992, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ