この節では、新しいセキュリティ機能について説明します。
この Solaris リリースでは、多くのシステムファイルとシステムディレクトリのデフォルト所有権が以前のリリースから変更になり、アクセス権が以前のリリースより厳格になりました。デフォルトの所有権とアクセス権は次のように変更されました。
ファイルとディレクトリのデフォルト所有権は bin から root に変わった
デフォルトのアクセス権が従来 775 であったファイルとディレクトリは、デフォルトのアクセス権が 755 になる
デフォルトのアクセス権が従来 664 であったファイルとディレクトリは、デフォルトのアクセス権が 644 になる
システムのデフォルト umask は 022
Solaris 8 が動作するシステムに追加するパッケージを作成する場合は、次の点に注意してください。
すべてのファイルとディレクトリのデフォルト所有者は root でなければならない
ディレクトリと実行可能ファイルのデフォルトアクセス権は 555 か 755 でなければならない
通常ファイルのデフォルトアクセス権は 644 か 444 でなければならない
setuid や setgid 所有権をもつファイルに所有者が書き込むためには、所有者が root でなければならない
これらの変更がこのリリースのすべてのファイルやディレクトリに適用されるわけではありません。たとえば、OpenWindows や CDE のファイルやディレクトリには、これらの変更は適用されません。
役割によるアクセス制御 (RBAC) は、スーパーユーザー特権をパッケージ化してユーザーアカウントに割り当てる柔軟な方法を提供します。この方法を利用すれば、特定の問題を解決しなければならないユーザーにすべてのスーパーユーザー特権を与える必要がなくなります。
詳細は、第 19 章「役割によるアクセス制御」を参照してください。
この機能は、Pluggable Authentication Module (PAM) を拡張する Kerberos V5 クライアント側インフラストラクチャと、NFS サービスなど RPC に基づくアプリケーションのセキュリティを保護するユーティリティプログラムを提供します。Kerberos は、ユーザーやサーバーレベルでの強力な認証、統合、またはプライバシサポートを提供します。選択可能な SEAS 3.0 の一部である Sun Enterprise Authentication Mechanism (SEAM) または Kerberos V5 ソフトウェア (たとえば、MIT ディストリビューション) と Kerberos クライアントをともに使用すれば、ネットワークへの完全なシングルサインオンを実現できます。
詳細は、第 21 章「SEAM の概要」を参照してください。