リモート Trusted Extensions システムのリモート管理を有効にする

言語:

リモート Trusted Extensions システムのリモート管理を有効にする

この手順では、ある Oracle Solaris リモートシステム上でホストベースの認証を有効にしたあと、そのシステムに Trusted Extensions 機能を追加します。リモートシステムは Secure Shell サーバーです。

始める前に

リモートシステムに Oracle Solaris がインストールされており、そのシステムにアクセスできます。root 役割になっている必要があります。

両方のシステムでホストベースの認証を有効にします。
手順については、Oracle Solaris 11.3 での Secure Shell アクセスの管理 のホストに基づく認証を Secure Shell に設定する方法を参照してください。
注 - cat コマンドは使用しないでください。Secure Shell 接続経由で公開鍵をコピー & ペーストします。Secure Shell クライアントが Oracle Solaris システムでない場合は、プラットフォームの手順に従って、ホストベースの認証で Secure Shell クライアントを構成します。
この手順が完了すると、root 役割になれるユーザーアカウントが両方のシステム上に存在しています。これらのアカウントには同じ UID、GID、および役割割り当てが割り当てられています。また、生成された公開/非公開鍵ペアと共有公開鍵も存在しています。
Secure Shell サーバーで、ssh ポリシーを引き下げて root がリモートログインを行えるようにします。
```
# pfedit /etc/ssh/sshd_config
## Permit remote login by root
PermitRootLogin yes
```
あとの手順で、root ログインを特定のシステムとユーザーに制限します。
注 - 管理者は root 役割になるので、リモート root ログインを禁止するログインポリシーを引き下げる必要はありません。
Secure Shell サーバーで ssh サービスを再起動します。
```
# svcadm restart ssh
```
Secure Shell サーバーの root のホームディレクトリ内で、ホストベースの認証のためのホストとユーザーを指定します。
```
# cd
# pfedit .shosts
client-host username
```
この .shosts ファイルは、公開/非公開鍵が共有されている状態で、client-host システム上の username がサーバー上の root 役割になれるようにします。

Secure Shell サーバーで 2 つの PAM ポリシーを引き下げます。

/etc/pam.d/other を /etc/pam.d/other.orig にコピーします。
```
# cp /etc/pam.d/other /etc/pam.d/other.orig
```

pam_roles エントリを変更して、役割によるリモートログインを許可します。

# pfedit /etc/pam.d/other
...
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
...

このポリシーは、client-host システム上の username がサーバー上で役割になれるようにします。

pam_tsol_account エントリを変更して、ラベルなしホストから Trusted Extensions リモートシステムへの接続を許可します。

# pfedit /etc/pam.d/other
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
#
account required     pam_unix_account.so.1
#account required     pam_tsol_account.so.1
# Enable unlabeled access to TX system
account required     pam_tsol_account.so.1  allow_unlabeled

この構成をテストします。
1. リモートシステムで新しい端末を開きます。
2. client-host 上の username が所有するウィンドウ内で、リモートシステム上の root 役割になります。
```
% ssh -l root remote-system
```
構成が正しく機能することがわかったら、リモートシステムで Trusted Extensions を有効にし、リブートします。
```
# svcadm enable -s labeld
# /usr/sbin/reboot
```

使用例 17 リモート管理のための CIPSO ホストタイプの割り当て

この例では、管理者は Trusted Extensions システムを使用してリモート Trusted Extensions ホストを構成します。管理者はそのために、各システム上で tncfg コマンドを使用して、ピアシステムのホストタイプを定義します。

remote-system # tncfg -t cipso add host=192.168.1.12 クライアントホスト

client-host # tncfg -t cipso add host=192.168.1.22 リモートシステム

管理者がラベルなしシステムからリモート Trusted Extensions ホストを構成できるようにするため、管理者はリモートホストの pam.d/other ファイル内に allow_unlabeled オプションを残します。