Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

Trusted Extensions での NFS サーバーとクライアントの構成

上位レベルのゾーンのユーザーが下位レベルのディレクトリを表示できるようにすることができます。下位レベルのディレクトリの NFS サーバーは、Trusted Extensions システムか信頼できないシステムです。

    トラステッドシステムにはサーバー構成が必要です。信頼できないシステムにはクライアント構成が必要です。

  • トラステッドシステムの NFS サーバー構成 – トラステッドシステムの下位レベルのディレクトリをラベル付きゾーンで表示できるようにするには、サーバーを構成する必要があります。

    • NFS サーバーの大域ゾーンで、NFS サービスをマルチレベルサービスとして構成する必要があります。

    • 大域ゾーンから、net_bindmlp 特権をラベル付きゾーンの limitpriv 特権セットに追加する必要があります。

    • ラベル付きゾーンで、共有プロパティーを設定することで ZFS ファイルシステムをエクスポートします。ラベル付きゾーンのステータスが running の場合、そのゾーンのラベルでファイルシステムが共有されます。手順については、ラベル付きゾーンのファイルシステムを共有するを参照してください。

  • 信頼できない NFS サーバーの NFS クライアント構成 – サーバーは信頼されていないため、NFS クライアントは信頼できるクライアントでなければなりません。初期ゾーン構成中に使用されるゾーン構成ファイルで、net_mac_aware 特権を指定する必要があります。そのため、下位ホームディレクトリの表示をすべて許可されているユーザーは、最小ゾーンを除く各ゾーンで net_mac_aware 特権を持っている必要があります。例については、ラベル付きゾーンでファイルを NFS マウントするを参照してください。

Trusted Extensions でのホームディレクトリの作成

Trusted Extensions で、ホームディレクトリは特別な存在です。

  • ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。

  • また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。

  • NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。

    注 - txzonemgr スクリプトは、ホームディレクトリが /export/home としてマウントされるものと仮定します。

  • Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、Trusted Extensions のオートマウンタに対する変更を参照してください。

ホームディレクトリは、ユーザーの作成時に作成されます。ただし、そのホームディレクトリは、ホームディレクトリサーバーの大域ゾーン内に作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。

注 - ユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、Trusted Extensions システムからユーザーアカウントを削除するを参照してください。

ただし、リモート NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリを作成するには、各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにするを参照してください。

Trusted Extensions のオートマウンタに対する変更

Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofsauto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。

+auto_home_global
*       -fstype=lofs    :/export/home/&

下位レベルのゾーンのマウントを許可するゾーンがブートすると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/zone-name/export/home 以下に読み取り専用でマウントされます。auto_home_zone-name マップにより、/zone パスが、/zone/zone-name/home/username への lofs 再マウントのソースディレクトリとして指定されます。

たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-level マップにおける auto_home_public エントリは、次のようになります。

+auto_home_public
*   public-zone-IP-address:/export/home/&

txzonemgr スクリプトは、この PUBLIC エントリを大域ゾーンの auto_master ファイル内で設定します。

+auto_master
/net		-hosts		-nosuid,nobrowse
/home		auto_home	-nobrowse
/zone/public/home      auto_home_public      -nobrowse

    ホームディレクトリが参照され、その名前が auto_home_zone-name マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。

  1. マップが、一致するループバックマウント指定を検出する

  2. ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する

オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。

Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ