リモートホストとネットワークにラベルを付ける前に、提供されているセキュリティーテンプレートを調べて、リモートホストとネットワークに到達できることを確認します。手順については、次を参照してください。
セキュリティーテンプレートを表示します。セキュリティーテンプレートを表示するを参照してください。
カスタマイズしたセキュリティーテンプレートがサイトに必要かどうかを判断します。サイト固有のセキュリティーテンプレートが必要かどうかを判断するを参照してください。
システムとネットワークをトラステッドネットワークに追加します。システムの既知のネットワークにホストを追加するを参照してください。
セキュリティーテンプレートの一覧と各テンプレートの内容を表示できます。この手順で示す例では、デフォルトのセキュリティーテンプレートを使用します。
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
この cipso セキュリティーテンプレートの 127.0.0.1/32 エントリにより、このシステムがラベル付きとして識別されます。ピアが host_type cipso のリモートホストテンプレートにこのシステムを割り当てた場合、その 2 つのシステムはラベル付きパケットを交換できます。
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
この admin_low セキュリティーテンプレートの 0.0.0.0/0 エントリは、セキュリティーテンプレートに明示的に割り当てられていないすべてのホストがこのシステムに接続できるようにします。これらのホストはラベルなしとして認識されます。
0.0.0.0/0 エントリの利点は、サーバーやゲートウェイなど、ブート時にこのシステムで必要となるすべてのホストを検出できることです。
0.0.0.0/0 エントリの欠点は、このシステムのネットワーク上の任意のホストがこのシステムに接続できることです。このシステムに接続できるホストを制限するには、トラステッドネットワーク上で接続できるホストを制限するを参照してください。
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
adapt テンプレートは adaptive ホストを示します。これはデフォルトのラベルを持つことができない信頼できないシステムです。代わりに、そのラベルは受信側のトラステッドシステムによって割り当てられます。ラベルは、ラベル付きシステムの netif テンプレートで指定されている、パケットを受信する IP インタフェースのデフォルトラベルから派生します。
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
netif テンプレートは、リモートホストではなく、信頼できるローカルネットワークインタフェースを指定します。netif テンプレートのデフォルトラベルは、そのテンプレート内のホストアドレスと一致する IP アドレスを持つ専用ネットワークインタフェースを備えているすべてのゾーンのラベルと等しくなければなりません。また、一致するゾーンインタフェースに対応する下位リンクは、同じラベルを共有するほかのゾーンにのみ割り当てることができます。
ホストやホストのグループをシステムの /etc/hosts ファイルに追加すると、それらのホストはシステムに認識されます。セキュリティーテンプレートに追加できるのは、既知のホストだけです。
始める前に
大域ゾーンで root 役割になっています。
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network