このセクションでは、Oracle Solaris Cluster が提供する具体的なセキュリティーメカニズムについて説明します。
セキュアなインストールを行うには、次のクリティカルなセキュリティー機能を使用します。
役割に基づくアクセス制御 (RBAC) – クラスタにアクセスするには、RBAC 承認 solaris.cluster.modify、solaris.cluster.admin、および solaris.cluster.read を使用します。役割のほとんどのセキュリティー属性を変更するには、User Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の権利使用の管理およびOracle Solaris Cluster 4.3 システム管理 のOracle Solaris Cluster RBAC の権利プロファイルを参照してください。
新しいノード – クラスタにノードを追加するには、権限のある claccess コマンドまたは clsetup ユーティリティーを使用します。詳細は、Oracle Solaris Cluster 4.3 システム管理 の第 8 章クラスタノードの管理を参照してください。
アクセスステータスのデフォルト設定は claccess deny-all です。この設定を変更するのは、新しいノードの追加など、特権付きの操作を実行する場合のみです。操作を終了したら deny-all ステータスを元に戻す必要があります。クラスタ構成を頻繁に変更することが予想される場合は、/usr/cluster/bin/claccess -p protocol=authentication-protocol コマンドを使用してよりセキュアな認証プロトコルを選択することで、新しいシステムの信頼を最大限に確保できます。詳細は、claccess(1CL) のマニュアルページおよびOracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の第 10 章ネットワークサービスの認証の構成を参照してください。
Trusted Extensions – Oracle Solaris Trusted Extensions 機能はゾーンクラスタで使用するように設定できます。詳細は、Oracle Solaris Cluster 4.3 ソフトウェアのインストール のゾーンクラスタにおける Trusted Extensions のガイドラインおよびOracle Solaris Cluster 4.3 ソフトウェアのインストール のTrusted Extensions をインストールおよび構成する方法を参照してください。
ゾーンクラスタ – ゾーンクラスタは、cluster 属性が設定された solaris ブランド、solaris10 ブランド、または labeled ブランドの 1 つ以上の非大域ゾーンで構成されます。labeled ブランドゾーンクラスタは、Oracle Solaris ソフトウェアの Trusted Extensions でのみ使用します。
clzonecluster コマンドまたは clsetup ユーティリティーを使用して、ゾーンクラスタを作成します。Oracle Solaris ゾーンで提供される分離を含めて、グローバルクラスタと同様にゾーンクラスタでサポートされるサービスを実行できます。詳細は、Oracle Solaris Cluster 4.3 ソフトウェアのインストール のゾーンクラスタの作成および構成およびOracle Solaris Cluster 4.3 システム管理 のゾーンクラスタに関する作業を参照してください。
クラスタコンソールへのセキュア接続 – クラスタノードのコンソールにはセキュアシェル接続を確立する必要があります。pconsole ユーティリティーの詳細は、Oracle Solaris Cluster 4.3 システム管理 のクラスタコンソールに安全に接続する方法を参照してください。
共通エージェントコンテナ – Oracle Solaris Cluster Manager GUI は強力な暗号化技術を使用して、各クラスタノード上にある Oracle Solaris Cluster 管理スタック間の通信をセキュリティー保護します。詳細は、Oracle Solaris Cluster 4.3 システム管理 のOracle Solaris Cluster Manager のトラブルシューティングを参照してください。
ロギング – Oracle Solaris Cluster ソフトウェアでは、syslogd コマンドを使用して、エラーメッセージおよびステータスメッセージを記録します。メッセージの格納場所を制御する /etc/syslog.conf ファイルを必ず設定してください。また、/var/adm/messages ファイルなどのログファイルのセキュリティー保護も必要です。詳細は、Oracle Solaris Cluster 4.3 システム管理 のクラスタの管理を参照してください。
監査 – Oracle Solaris Cluster は、Oracle Solaris OS に配置されていれば、デフォルトで有効になっています。監査機能によって、実行されたすべてのコマンドが /var/cluster/logs/commandlog ファイルに保存されます。このファイルは必要に応じて保護設定する必要があります。詳細は、Oracle Solaris Cluster 4.3 システム管理 のOracle Solaris Cluster のコマンドログの内容を表示する方法を参照してください。
Oracle Solaris OS の強化 – Oracle Solaris Cluster はセキュリティー強化技術を使用して Oracle Solaris OS を強化された状態に再構成します。さらに、Oracle Solaris システムの監査をアクティブ化できます。