ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
Trusted Extensions でのデバイスの扱い (作業マップ)
Trusted Extensions でのデバイスの使用法 (作業マップ)
Trusted Extensions でのデバイスの管理 (作業マップ)
Trusted Extensions でデバイスを解除または再利用する
Trusted Extensions で割り当て不可のデバイスを保護する
Trusted Extensions で Device_Clean スクリプトを追加する
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次の作業マップでは、サイトでデバイス承認を変更する手順について説明します。
|
デバイスの作成時に承認が指定されない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が指定される場合、デフォルトでは承認されたユーザーのみがデバイスを使用できます。
承認を使わずに、割り当て可能なデバイスへのアクセスをすべて回避する方法については、例 21-1 を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などの任意のコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
詳細は、ldapaddent(1M) のマニュアルページを参照してください。
デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。
例 21-2 きめ細かいデバイス承認の作成
NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
次に、承認エントリをファイルに追加します。
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
行は表示のために分割されています。
auth_attr エントリでは、次の承認が作成されます。
NewCo のすべての承認を付与する承認
NewCo のデバイス承認を付与する承認
テープドライブを割り当てる承認
フロッピーディスクドライブを割り当てる承認
例 21-3 トラステッドパス承認と非トラステッドパス承認の作成
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーが遠隔 CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。
auth_attr データベースエントリは次のとおりです。
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
デバイスマネージャーの割り当ては次のとおりです。
トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイスマネージャーを使用できます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
非トラステッドパスでは、ユーザーが allocate コマンドを使用して遠隔でデバイスを割り当てることができます。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
権利プロファイルエントリは次のとおりです。
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
承認されたユーザーの権利プロファイルは次のとおりです。
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
始める前に
セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。
新しい承認は「必須でない」リストに表示されます。
「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。
詳細な手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。
次のプロファイルでは、役割がデバイスを割り当てることができます。
All Authorizations
Device Management
Media Backup
Media Restore
Object Label Management
Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
All Authorizations
Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
All Authorizations
Device Security
例 21-4 新しいデバイス承認の割り当て
この例では、セキュリティー管理者がシステムの新しいデバイス承認を構成し、新しい承認を持つ権利プロファイルを信頼できるユーザーに割り当てます。セキュリティー管理者は次を行います。
「新しいデバイス承認を作成する」に従って、新しいデバイス承認を作成します。
デバイスマネージャーで、テープドライブとフロッピーディスクドライブに新しいデバイス承認を追加します。
新しい承認を、権利プロファイル NewCo Allocation に配置します。
テープドライブとフロッピーディスクドライブの割り当てを承認されるユーザーと役割のプロファイルに、NewCo Allocation 権利プロファイルを追加します。
これで、承認されたユーザーと役割はこのシステムでテープドライブとフロッピーディスクドライブを使えるようになります。