デバイス割り当ての管理 (タスク)

デバイス割り当ては、周辺機器に対するアクセスの制限または防止を行う作業です。制限は、ユーザーの割り当て時に適用されます。デフォルトでは、割り当て可能デバイスにアクセスする場合、ユーザーは承認を必要とします。

デバイス割り当ての管理 (タスクマップ)

次のタスクマップは、デバイス割り当ての有効化と構成について説明した箇所を示しています。デフォルトではデバイス割り当ては有効になっていません。デバイス割り当てを有効にしたあと、デバイスを割り当てるための手順について「デバイスの割り当て (タスク)」を参照してください。

タスク	説明	参照先
デバイスを割り当て可能にします。デバイス割り当てを無効にします。	デバイスを一度に 1 人のユーザーに割り当てられるようにします。すべてのデバイスの割り当て制限を解除します。	「デバイス割り当てを有効にする方法」
ユーザーによるデバイス割り当てを承認します。	デバイス割り当ての承認をユーザーに与えます。	「ユーザーによるデバイス割り当てを承認する方法」
システム上の割り当て可能なデバイスを表示します。	割り当てが可能なデバイスと、そのデバイスの状態を一覧表示します。	「デバイスの割り当て情報を表示する方法」
デバイスを強制的に割り当てます。	デバイスを、ただちに必要とするユーザーに割り当てます。	「デバイスの強制的な割り当て」
デバイスの割り当てを強制的に解除します。	現在ユーザーに割り当てられているデバイスの割り当てを解除します。	「デバイスの強制的な割り当て解除」
デバイスの割り当てプロパティーを変更します。	デバイスを割り当てるための要件を変更します。	「割り当て可能デバイスの変更方法」
デバイスクリーンスクリプトを作成します。	物理デバイスからデータを一掃します。	「新しいデバイスクリーンスクリプトの作成」
デバイス割り当ての監査を行います	デバイス割り当てを監査トレールに記録します	「デバイス割り当てを監査する方法」

デバイス割り当てを有効にする方法

始める前に

Device Security 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。

デバイス割り当てサービスを有効にし、このサービスが有効になっていることを確認します。

# svcadm enable svc:/system/device/allocate
# svcs -x allocate
svc:/system/device/allocate:default (device allocation)
 State: online since September 10, 2011 01:10:11 PM PDT
   See: allocate(1)
   See: deallocate(1)
   See: list_devices(1)
   See: device_allocate(1M)
   See: mkdevalloc(1M)
   See: mkdevmaps(1M)
   See: dminfo(1M)
   See: device_maps(4)
   See: /var/svc/log/system-device-allocate:default.log
Impact: None.

デバイス割り当てサービスを無効にするには、disable サブコマンドを使用します。

# svcadm disable device/allocate

ユーザーによるデバイス割り当てを承認する方法

始める前に

User Security 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。
適切な承認とコマンドが入った権利プロファイルを作成します。
一般には、solaris.device.allocate 承認を含む権利プロファイルを作成します。「権利プロファイルを作成または変更する方法」に挙げられている説明に従って操作してください。権利プロファイルに、次に示すような適切なプロパティーを指定します。
- 権利プロファイル名: Device Allocation
- 付与される承認: solaris.device.allocate
- セキュリティー属性が割り当てられたコマンド: exec_attr データベースでは、sys_mount 特権が割り当てられた mount、および sys_mount 特権が割り当てられた umount
権利プロファイルの役割を作成します。
「役割を作成する方法」の手順に従います。次に示す役割プロパティーを参考にしてください。
- 役割名: devicealloc
- 役割の完全名: Device Allocator
- 役割の説明: Allocates and mounts allocated devices
- 権利プロファイル: Device Allocation
  
  この権利プロファイルは、この役割に含まれているプロファイルのリストの先頭に存在する必要があります。
デバイス割り当てを許可する各ユーザーに、この役割を割り当てます。
これらのユーザーにデバイス割り当ての方法を教えます。
リムーバブルメディアの割り当て例は、「デバイスを割り当てる方法」を参照してください。

デバイスの割り当て情報を表示する方法

始める前に

「デバイス割り当てを有効にする方法」を完了している必要があります。

Device Security 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。
システム上の割り当て可能デバイスについての情報を表示します。
```
# list_devices device-name
```
device-name は次のいずれかです。
- audio[n] – マイクとスピーカーです。
- fd[n] – フロッピーディスクドライブです。
- rmdisk[n] – リムーバブルメディアデバイスです。
- sr[n] – CD-ROM ドライブです。
- st[n] – テープドライブです。

注意事項

list_devices コマンドが次のようなエラーメッセージを返す場合は、デバイス割り当てが有効になっていないか、情報を取得するために必要なアクセス権がありません。

list_devices: No device maps file entry for specified device.

コマンドを実行するには、デバイス割り当てを有効にし、solaris.device.revoke 承認のある役割になります。

デバイスの強制的な割り当て

強制的な割り当ては、誰かがデバイスの割り当て解除を忘れた場合や、デバイスをただちに使用する必要がある場合などに行います。

始める前に

solaris.device.revoke 承認が割り当てられている必要があります。

自分の役割に適切な承認が含まれているか確認します。
```
$ auths
solaris.device.allocate solaris.device.revoke
```
デバイスを必要としているユーザーにデバイスを強制的に割り当てます。
この例では、テープドライブがユーザー jdoe に強制的に割り当てられます。
```
$ allocate -U jdoe
```

デバイスの強制的な割り当て解除

ユーザーが割り当てたデバイスは、プロセスの終了時やそのユーザーのログアウトの際に自動的に割り当てが解除されることはありません。強制的な割り当て解除は、ユーザーがデバイスの割り当てを解除することを忘れた場合に行います。

始める前に

solaris.device.revoke 承認が割り当てられている必要があります。

自分の役割に適切な承認が含まれているか確認します。
```
$ auths
solaris.device.allocate solaris.device.revoke
```
デバイスの割り当てを強制的に解除します。
この例では、プリンタの割り当てが強制的に解除されます。現在、このプリンタはほかのユーザーが割り当てを行える状態にあります。
```
$ deallocate -f /dev/lp/printer-1
```

割り当て可能デバイスの変更方法

始める前に

この作業を行うには、デバイス割り当てが有効になっていなければなりません。デバイス割り当てを有効にするには、「デバイス割り当てを有効にする方法」を参照してください。スーパーユーザーでなければなりません。

承認が必要であるかどうかを指定するか、あるいは solaris.device.allocate 承認を指定します。
device_allocate ファイルのデバイスエントリにある 5 つ目のフィールドを変更します。
```
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
```
solaris.device.allocate は、デバイスの使用に solaris.device.allocate 承認が必要であることを示します。

例 5-4 任意のユーザーによるデバイス割り当てを許可する

次の例では、システム上のどのユーザーも任意のデバイスを割り当てることができます。device_allocate ファイルの各デバイスエントリ内にある 5 番目のフィールドは、単価記号 (@) に変更されました。

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

例 5-5 一部の周辺機器の使用を防止する

次の例では、オーディオデバイスの使用が禁止されています。device_allocate ファイルのオーディオデバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

例 5-6 すべての周辺機器の使用を防止する

次の例では、使用できる周辺機器はありません。device_allocate ファイルの各デバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

デバイス割り当てを監査する方法

デフォルトでは、デバイス割り当てコマンドは、監査クラス other の状態です。

始める前に

Audit Configuration 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。
ot 監査クラスを事前選択します。
```
# auditconfig -getflags
current-flags
# auditconfig -setflags current-flags,ot
```
詳細な手順については、「監査クラスを事前選択する方法」を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語)