Trusted Extensions では、Secure Shell プロトコルとホストベースの認証を使用してリモートシステムに到達し、管理する必要があります。ホストベースの認証を使用すると、同じ名前を持つユーザーアカウントがリモート Trusted Extensions 上で役割になることができます。
ホストベースの認証を使用する場合、Secure Shell クライアントは、元のユーザー名と役割名の両方をリモートシステムであるサーバーに送信します。サーバーはこの情報に基づいて、ユーザーアカウントがサーバーにログインしなくても役割になれるだけの内容を、pam_roles モジュールに渡すことができます。
Trusted Extensions では、次のリモート管理方式が可能です。
Trusted Extensions システムからの管理 – もっともセキュアなリモート管理を行えるように、両方のシステムで、相手のシステムを CIPSO セキュリティーテンプレートに割り当てます。使用例 17を参照してください。
ラベルなしシステムからの管理 – Trusted Extensions システムによる管理が実用的でない場合は、PAM スタックで pam_tsol_account モジュールに allow_unlabeled オプションを指定することにより、ネットワークプロトコルのポリシーを引き下げることができます。
このポリシーを引き下げた場合、任意のシステムが大域ゾーンに到達できないようにデフォルトのセキュリティーテンプレートを変更する必要があります。admin_low テンプレートはひかえめに使用するようにし、ワイルドカードアドレス 0.0.0.0 のデフォルトを ADMIN_LOW ラベルにしないようにする必要があります。詳細は、トラステッドネットワーク上で接続できるホストを制限するを参照してください。
どちらの管理シナリオの場合も、root 役割を使用してリモートログインを行うには、pam_roles モジュールに allow_remote オプションを指定して PAM ポリシーを引き下げる必要があります。
通常、管理者は ssh コマンドを使用することで、コマンド行からリモートシステムを管理します。–X オプションを指定すれば、Trusted Extensions の管理 GUI を使用できます。
また、Xvnc サーバーでリモート Trusted Extensions を構成することもできます。その場合、仮想ネットワークコンピューティング (VNC) 接続を使用することで、リモートマルチレベルデスクトップの表示とシステムの管理を行うことができます。リモートアクセス用に Xvnc で Trusted Extensions システムを構成するを参照してください。