この手順では、各ラベル付きゾーンで、ネームサービスデーモン (nscd) を個別に構成します。この構成がサポートする環境では、各ゾーンがそのゾーンのラベルで動作するサブネットに接続されており、そのサブネットワークにはそのラベル用の独自のネームサーバーがあります。ラベル付きゾーンでは、インストールする予定のパッケージがそのラベルのユーザーアカウントを必要とする場合、ゾーンごとに個別のネームサービスを構成することができます。背景情報については、ラベル付きゾーンに制限されているアプリケーションおよび Trusted Extensions でユーザーを作成する前に必要な決定事項を参照してください。
始める前に
Labeled Zone Manager が表示されています。この GUI を開くには、ラベル付きゾーンを対話形式で作成するを参照してください。大域ゾーンで root 役割になっています。
補足情報については、nscd(1M) のマニュアルページを参照してください。
# /usr/sbin/reboot
root 役割になってStep 1 で Labeled Zone Manager を実行したユーザーのアカウントが、リブート後に各ゾーン内に構成されます。ラベル付きゾーンに固有のほかのアカウントは、ゾーンに手動で追加する必要があります。
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
システム管理者が、ゾーンごとのネームサービスデーモンをテストしたあとで、ラベル付きゾーンからネームサービスデーモンを削除し、大域ゾーンでのみデーモンを実行することにしました。管理者はシステムをデフォルトのネームサービス構成に戻すために、txzonemgr GUI を開き、大域ゾーンを選択して、「Unconfigure per-zone name service」、「OK」の順に選択します。この選択により、すべてのラベル付きゾーンで nscd デーモンが削除されます。次に、管理者はシステムをリブートします。
次のステップ
各ゾーンのユーザーおよび役割のアカウントを構成する場合の選択肢は、3 つあります。
マルチレベルの LDAP ディレクトリサーバーに LDAP アカウントを作成できます。
個々の LDAP ディレクトリサーバー (ラベルごとに 1 つずつ) に LDAP アカウントを作成できます。
ローカルアカウントを作成できます。
各ラベル付きゾーンでネームサービスデーモンを個別に構成すると、すべてのユーザーのパスワード処理に影響が及びます。ユーザーは、デフォルトラベルに対応するゾーンも含め、どのラベル付きゾーンにアクセスする際にも、自身を認証する必要があります。さらに、管理者が各ゾーン内でローカルにアカウントを作成する必要があるか、あるいは、ゾーンが LDAP クライアントになっている場合には LDAP ディレクトリ内にアカウントが存在している必要があります。
大域ゾーン内のアカウントが Labeled Zone Manager txzonemgr を実行しているような特殊な場合には、少なくともそのアカウントが各ゾーンにログインできるように、そのアカウントの情報が各ラベル付きゾーンにコピーされます。デフォルトでは、このアカウントが初期ユーザーアカウントになります。