Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ)

次の作業マップでは、サイトでデバイス承認を変更する手順について説明します。

新しいデバイス承認を作成する

デバイスの作成時に承認が指定されない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が指定される場合、デフォルトでは承認されたユーザーのみがデバイスを使用できます。

承認を使わずに、割り当て可能なデバイスへのアクセスをすべて回避する方法については、例 21-1 を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. auth_attr ファイルを編集します。
2. 新しい承認の見出しを作成します。

   組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などの任意のコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。

   domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html

3. 新しい承認エントリを追加します。

   1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。

   domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
   help=CompanyGrant.html
   domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
   help=CompanyGrantDevice.html
   domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
   help=CompanyTapeAllocate.html
   domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
   help=CompanyFloppyAllocate.html

4. ファイルを保存してエディタを終了します。
5. ネームサービスとして LDAP を使用している場合は、Oracle Directory Server Enterprise Edition (Directory Server) 上の auth_attr エントリを更新します。

   詳細は、ldapaddent(1M) のマニュアルページを参照してください。

6. 新しい承認を適切な権利プロファイルに追加します。次に、そのプロファイルをユーザーと役割に割り当てます。
7. 承認を使用して、テープドライブとフロッピーディスクドライブへのアクセスを制限します。

   デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。

例 21-2 きめ細かいデバイス承認の作成

NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。

最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

次に、承認エントリをファイルに追加します。

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

行は表示のために分割されています。

auth_attr エントリでは、次の承認が作成されます。

• NewCo のすべての承認を付与する承認

• NewCo のデバイス承認を付与する承認

• テープドライブを割り当てる承認

• フロッピーディスクドライブを割り当てる承認

例 21-3 トラステッドパス承認と非トラステッドパス承認の作成

デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。

次の例では、サイトのセキュリティーポリシーが遠隔 CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。

セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。

• auth_attr データベースエントリは次のとおりです。

  com.someco.:::SomeCo Header::help=Someco.html
  com.someco.grant:::Grant All SomeCo Authorizations::
  help=SomecoGrant.html
  com.someco.grant.device:::Grant SomeCo Device Authorizations::
  help=SomecoGrantDevice.html
  com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
  help=SomecoCDAllocateLocal.html
  com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
  help=SomecoCDAllocateRemote.html

• デバイスマネージャーの割り当ては次のとおりです。

  トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイスマネージャーを使用できます。

  Device Name: cdrom_0
  For Allocations From: Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.local

  非トラステッドパスでは、ユーザーが allocate コマンドを使用して遠隔でデバイスを割り当てることができます。

  Device Name: cdrom_0
  For Allocations From: Non-Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.remote

• 権利プロファイルエントリは次のとおりです。

  # Local Allocator profile
  com.someco.device.cdrom.local
  
  # Remote Allocator profile
  com.someco.device.cdrom.remote

• 承認されたユーザーの権利プロファイルは次のとおりです。

  # List of profiles for regular authorized user
  Local Allocator Profile
  ...
  
  # List of profiles for role or authorized user
  Remote Allocator Profile
  ...

Trusted Extensions でサイト固有の承認をデバイスに追加する

始める前に

セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。

1. 「Trusted Extensions でデバイスを構成する」の手順に従います。
   1. 新しい承認で保護する必要のあるデバイスを選択します。
   2. 「管理」ボタンをクリックします。
   3. 「承認」ボタンをクリックします。

      新しい承認は「必須でない」リストに表示されます。

   4. 新しい承認を承認の「必須」リストに追加します。
2. 「了解」をクリックして変更を保存します。

デバイス承認を割り当てる

「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。

• ユーザーに、「デバイスの割り当て」承認を含む権利プロファイルを割り当てます。

  詳細な手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

  次のプロファイルでは、役割がデバイスを割り当てることができます。

  • All Authorizations

  • Device Management

  • Media Backup

  • Media Restore

  • Object Label Management

  • Software Installation

  次の権利プロファイルでは、役割がデバイスを解除または再利用できます。

  • All Authorizations

  • Device Management

  次の権利プロファイルでは、役割がデバイスを作成または構成できます。

  • All Authorizations

  • Device Security

例 21-4 新しいデバイス承認の割り当て

この例では、セキュリティー管理者がシステムの新しいデバイス承認を構成し、新しい承認を持つ権利プロファイルを信頼できるユーザーに割り当てます。セキュリティー管理者は次を行います。

1. 「新しいデバイス承認を作成する」に従って、新しいデバイス承認を作成します。

2. デバイスマネージャーで、テープドライブとフロッピーディスクドライブに新しいデバイス承認を追加します。

3. 新しい承認を、権利プロファイル NewCo Allocation に配置します。

4. テープドライブとフロッピーディスクドライブの割り当てを承認されるユーザーと役割のプロファイルに、NewCo Allocation 権利プロファイルを追加します。

これで、承認されたユーザーと役割はこのシステムでテープドライブとフロッピーディスクドライブを使えるようになります。