test

Oracle Solaris Trusted Extensions 構成ガイド

ProcedureTrusted Extensions で役割になれるユーザーを作成する

ローカルユーザーを作成するには、次の手順の代わりに、例 4–7 のようにコマンド行インタフェースを使用することもできます。サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。

セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成し、セキュリティー管理者役割がパスワードなどのセキュリティー関連の属性を割り当てます。

始める前に

スーパーユーザーになるか、root 役割、セキュリティー管理者役割、または主管理者役割になる必要があります。セキュリティー管理者役割には、ユーザー作成に必要な最低限の権限があります。

Solaris 管理コンソールが表示されます。詳細は、「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。

  1. Solaris 管理コンソールで、「ユーザーアカウント」をダブルクリックします。

  2. 「アクション」メニューから「ユーザーを追加」 -> 「ウィザードを使用」を選択します。

    注意 – 注意 –

    役割およびユーザーの名前と ID は、同じプールが元になります。追加するユーザーに既存の名前や ID を使用しないでください。

  3. オンラインヘルプに従います。

    『System Administration Guide: Basic Administration』「How to Add a User With the Solaris Management Console’s Users Tool」の手順に従うこともできます。

  4. ユーザーを作成したら、作成したユーザーをダブルクリックして設定を変更します。

    注 –

    役割になれるユーザーのユーザーアカウントは常に有効にし、パスワード有効期限を設定しないでください。

    次のフィールドが正しく設定されていることを確認します。

    • 「説明」– ここには機密情報を入力しません。

    • 「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。

      注 –

      初期設定チームは推測されにくいパスワードを選択しなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。

    • 「アカウントの有効/無効」– 常に有効です。

    • 「Trusted Extensions 属性」– デフォルトが正しいです。

      単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。

    • 「アカウントの使用方法」– アイドル時間およびアイドルアクションを設定します。

      「アカウントのロック」– 役割になれるユーザーに対して「いいえ」を設定します。

  5. Solaris 管理コンソールを閉じます。

  6. ユーザーの環境をカスタマイズします。

    1. 簡易認証の割り当て

      サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。このプロファイルによって、ユーザーはデバイスの割り当て、PostScript ファイルの印刷、ラベルなしの印刷、遠隔からのログイン、およびシステムのシャットダウンを行えます。プロファイルを作成するには、『Oracle Solaris Trusted Extensions 管理の手順』「便利な承認のための権利プロファイルを作成する」を参照してください。

    2. ユーザー初期設定ファイルをカスタマイズします。

      『Oracle Solaris Trusted Extensions 管理の手順』の第 7 章「Trusted Extensions でのユーザー、権利、役割の管理 (手順)」を参照してください。

      『Oracle Solaris Trusted Extensions 管理の手順』「Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)」も参照してください。

    3. マルチラベルのコピーおよびリンクファイルの作成

      マルチラベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、『Oracle Solaris Trusted Extensions 管理の手順』「.copy_files ファイルと .link_files ファイル」を参照してください。

例 4–7 ローカルユーザーを作成するための useradd コマンドの使用

この例では、root ユーザーが、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。

最初に、root ユーザーは、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。


# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

次に、root ユーザーは表 1–2 を確認してから、ユーザーを作成します。


# useradd -c "Local user for Security Admin" -d /export/home1 \
-K  idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe

root ユーザーは初期パスワードを指定します。


# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

最後に、root ユーザーは、セキュリティー管理者役割をユーザーの定義に追加します。役割は、「Trusted Extensions でセキュリティー管理者役割を作成する」で作成されました。


# usermod -R secadmin jandoe