複数の Trusted Extensions システムを使用するセキュリティードメイン内でユーザー、ホスト、ネットワーク属性の一貫性を達成するために、ほとんどの構成情報の配布にはネームサービスを使用します。svc:/system/name-service/switch サービスによって、どのネームサービスが使用されるかが決まります。LDAP は、Trusted Extensions で推奨されるネームサービスです。
LDAP サーバーは、Trusted Extensions および Oracle Solaris クライアントに LDAP ネームサービスを提供できます。サーバーには Trusted Extensions ネットワークデータベースが含まれている必要があり、Trusted Extensions クライアントはマルチレベルポートでサーバーに接続する必要があります。セキュリティー管理者がシステム構成時にマルチレベルポートを指定します。
通常、このマルチレベルポートは、大域ゾーンで大域ゾーン向けに構成されます。したがって、ラベル付きゾーンには LDAP ディレクトリへの書き込みアクセス権がありません。代わりに、ラベル付きゾーンは、そのシステムまたはネットワーク上の別のトラステッドシステムで実行されているマルチレベルプロキシサービスを介して、読み取りリクエストを送信します。Trusted Extensions では、ラベルごとに 1 つのディレクトリサーバーを使用する LDAP 構成もサポートされます。そのような構成は、ユーザーがラベルごとに異なる資格を持っている場合に必要になります。
Trusted Extensions は、LDAP サーバーに 2 つのトラステッドネットワークデータベース、tnrhdb および tnrhtp を追加します。
Oracle Solaris での LDAP ネームサービスの使用については、Oracle Solaris 11.3 ディレクトリサービスとネームサービスでの作業: LDAPを参照してください。
Trusted Extensions に対する LDAP サーバーの設定については、Trusted Extensions 用の LDAP の構成を参照してください。Trusted Extensions システムを Oracle Solaris LDAP サーバーのクライアントにするには、Trusted Extensions で構成されたプロキシを使用します。
Trusted Extensions LDAP サーバーのクライアントの設定方法については、Trusted Extensions LDAP クライアントの作成を参照してください。
サイトで分散ネームサービスを使用していない場合は、ユーザー、システム、ネットワークの構成情報がすべてのシステムで同じであることを、管理者が確認する必要があります。1 つのシステムで行なった変更は、すべてのシステムで行う必要があります。
ローカルで管理されている Trusted Extensions システムでは、構成情報は /etc、/etc/security、および /etc/security/tsol ディレクトリ内のファイルと、name-service/switch SMF サービスの構成プロパティーによって保持されます。
Trusted Extensions では、LDAP サーバーのスキーマを拡張して、tnrhdb データベースおよび tnrhtp データベースに対応しています。Trusted Extensions では、ipTnetNumber および ipTnetTemplateName の 2 つの属性と、ipTnetHost および ipTnetTemplate の 2 つのオブジェクトクラスが新しく定義されています。
属性の定義は次のとおりです。
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
オブジェクトクラスの定義は次のとおりです。
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP での cipso テンプレート定義は、次のようなものです。
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal