test

Solaris のシステム管理 (セキュリティサービス)

Procedureユーザーの RBAC プロパティーを変更する方法

ユーザーのプロパティーには、パスワード、権利プロファイル、役割、および承認が含まれます。ユーザーに管理機能を与える最も安全な方法として、ユーザーに役割を与えます。詳細については、「セキュリティー属性を直接割り当てる場合に考慮すべきセキュリティー事項」を参照してください。

始める前に

Primary Administrator 権利プロファイルを含む役割を引き受けるか、root ユーザーに切り替える必要があります。

  1. 次のいずれかの方法で、ユーザーの RBAC プロパティーを変更します。

    • Solaris 管理コンソールの「ユーザー」ツールを使用します。

      コンソールの起動については、「Solaris 管理コンソールで役割を引き受ける方法」を参照してください。左側の区画の指示に従って、「ユーザーアカウント (User Accounts) 」のユーザーを変更します。詳細は、オンラインヘルプを参照してください。

      ヒント –

      承認、特権、または権利プロファイルをユーザーに直接割り当てることはお勧めできません。役割をユーザーに割り当てることが望ましい方法です。その後、ユーザーが、特権付きの操作を実行するための役割を引き受けます。

    • usermod コマンドを使用します。

      このコマンドは、ローカルのネームサービスで定義されるユーザーの属性を変更します。


      $ usermod -R rolename username
      -R rolename

      既存のローカル役割の名前です。

      username

      変更する既存のローカルユーザーの名前です。

      コマンドオプションの詳細については、usermod(1M) のマニュアルページを参照してください。

    • modify サブコマンドを持つ smuser コマンドを使用します。

      このコマンドは、NIS、NIS+、LDAP などの分散ネームサービスでユーザーの属性を変更します。Solaris 管理コンソールサーバーのクライアントとして動作します。


      $ /usr/sadm/bin/smuser -D domain-name \ 
-r admin-role -l <Type admin-role password> \
modify -- -n username -a rolename
      -D domain-name

      管理対象のドメインの名前です。

      -r admin-role

      役割を変更できる管理役割の名前です。管理役割は solaris.role.assign 承認を得る必要があります。引き受けた役割を変更する場合、役割は solaris.role.delegate 承認を得る必要があります。

      -l

      admin-role のパスワードに対するプロンプトです。

      --

      認証オプションとサブコマンドオプションの間に必要な区切り文字です。

      -n username

      rolename を割り当てられるユーザーの名前です。

      -a rolename

      username に割り当てる役割の名前です。複数の -a rolename オプションを指定することができます。

      コマンドオプションの詳細については、smuser(1M) のマニュアルページを参照してください。

例 9–21 コマンド行からのローカルユーザーの RBAC プロパティーの変更

この例では、ユーザー jdoe が System Administrator の役割を引き受けることができるようになります。


$ usermod -R sysadmin jdoe

この役割は、ユーザーが引き受けることのできる役割に追加されます。

例 9–22 smuser コマンドを使用したユーザーの RBAC プロパティーの変更

この例では、ユーザー jdoe に、System Administrator と Operator の 2 つの役割が割り当てられます。ユーザーと役割はローカルに定義されるため、-D オプションは必要ありません。


$ /usr/sadm/bin/smuser -r primaryadm -l <Type primaryadm password> \
modify -- -n jdoe -a sysadmin -a operadm

次の例では、ユーザーは NIS ネームサービスで定義されます。したがって、-D オプションは必要です。2 つの役割が、ネームサービスで定義されます。一方の役割、root は、ローカルに定義されます。


$ /usr/sadm/bin/smuser -D nis:/examplehost/example.domain \
-r primaryadm -l <Type primaryadm password> \
modify -- -n jdoe -a sysadmin -a operadm -a root