ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 のユーザーアカウントとユーザー環境の管理 Oracle Solaris 11.1 Information Library (日本語) |
ユーザー名、ユーザー ID、グループ ID の割り当てのガイドライン
2. コマンド行インタフェースを使用したユーザーアカウントの管理 (タスク)
このリリースでは、次の機能が新しく導入または変更されています。
このリリースでは、次の機能が変更されました。
password コマンドの状態遷移の微調整。この変更により、ロックできるユーザーアカウントとできないユーザーアカウントが明確になります。主な変更点は、LK および NL プロパティーの定義に影響するもので、次のとおりです。
アカウントがロックされています。passwd -l コマンドが実行されたか、認証の失敗回数が許容される構成済みの最大値に到達したためアカウントが自動的にロックされました。policy.conf(4) および user_attr(4) のマニュアルページを参照してください。
アカウントが UNIX 以外の認証用に構成されています。passwd -N コマンドが実行されました。このリリース以降、この状態のアカウントは passwd -l コマンドを実行してロックし、passwd -u コマンドを実行してロック解除することができます。
条件付きの承認。承認は、グループ、ゾーン、ファイル名などの特定のオブジェクトに適用するために制限することができます。「管理エディタ (pfedit)」を参照してください。
profiles コマンドは、ローカルおよび LDAP スコープの権利プロファイルを管理するように書き換えられました。役割に基づくアクセス制御 (RBAC) ファイルの直接編集はサポートされなくなりました。
このリリースでは、権利プロファイルにユーザーごとのプラグイン可能認証モジュール (PAM) ポリシー (pam_policy) を設定する機能を使用できます。pam_policy は、pam_conf(4) 書式付きファイルの絶対パス名か、/etc/security/pam_policy ファイルにある pam.conf (4) 書式付きファイルの名前のいずれかである必要があります。pam_user_policy(5) を参照してください。
権利プロファイルに PAM ポリシーを設定することに加えて、useradd または usermod コマンドを使用して、ユーザーの user_attr エントリに pam_policy を直接設定することもできます。例 2-1 を参照してください。
ユーザーセキュリティー権利プロファイルが割り当てられたユーザーと役割は、新しいユーザーアカウントを作成できるほか、root 役割にならなくても、自分の権利の一部を他のアカウントに委任できます。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』のパート III「役割、権利プロファイル、特権」を参照してください。
Oracle Solaris ユーザーマネージャーグラフィカルユーザーインタフェース (GUI) によって、ユーザー、役割、グループを設定し、管理できるようになりました。ユーザーマネージャー GUI は、デスクトップから使用でき、Visual Panels プロジェクトに含まれます。ユーザーマネージャー GUI はこのリリースで Solaris Management Console GUI に置き換わるものです。ユーザーマネージャー GUI を使用して実行できるタスクは、CLI を使用して実行できるタスクと基本的に同じで、たとえば、useradd 、usermod、userdel、roleadd 、rolemod、roledel コマンドなどがあります。
ユーザーマネージャー GUI を使用する方法については、第 3 章ユーザーマネージャー GUI を使用したユーザーアカウントの管理 (タスク) およびオンラインヘルプを参照してください。
このリリースでは、管理エディタ (pfedit) を使用して、システムファイルを編集できます。システム管理者によって定義された場合、このエディタの値は $EDITOR です。エディタが定義されていない場合、エディタのデフォルトは vi コマンドに設定されます。
次のようにエディタを起動します。
$ pfedit system-filename
pfedit コマンドを使用して、システムファイルを編集するには、ユーザーまたはユーザーの役割に、編集している特定のファイルの solaris.admin.edit/ system-filename 承認が必要です。この auth-sysfilename を既存の権利プロファイルに割り当てることで、サービス管理機能 (SMF) コマンドと通常のファイル編集の組み合わせが含まれる手順が簡素化されます。たとえば、solaris.admin.edit/etc/security/audit_warn 承認が割り当てられている場合、audit_warn ファイルを編集できます。
pfedit コマンドを使用して、/etc ディレクトリにあるほとんどの構成ファイル、そのサブディレクトリ、および GNOME ファイルや Firefox ファイルなどのアプリケーション構成ファイルも編集できます。pfedit コマンドは、/etc/security/policy.conf ファイルなど、ユーザーにシステムの広範な権限を与えるシステムファイルの編集には使用できません。それらのファイルを編集するには、root アクセス権が必要です。pfedit(1M) のマニュアルページおよび『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。
ユーザーがログインし、pam_unix_cred モジュールによって正常に認証すると、/var/user/$USER ディレクトリがまだ存在しない場合に、明示的に作成されます。このディレクトリを使用して、アプリケーションは、ホストシステム上の特定のユーザーに関連付けられている永続的データを保存できます。/var/user/$USER ディレクトリは、最初の資格情報の確立時と、su、ssh、rlogin、および telnet コマンドを使用したユーザーの変更時のセカンダリ認証時に作成されます。/var/user/$USER ディレクトリは管理を必要としません。ただし、ユーザーはディレクトリの作成方法、その機能、および /var ディレクトリで表示できることを知っておくべきです。
solaris.group.manage 承認を持つ管理者はグループを作成できます。グループの作成時に、solaris.group.assign /groupname が管理者に割り当てられ、これにより管理者は、そのグループを完全に制御できます。管理者は必要に応じてそのグループを変更または削除できます。詳細については、groupadd(1M) および groupmod (1M) のマニュアルページを参照してください。
システムは、ユーザーアカウントが失敗したログインを強制するように構成されていない場合でも、失敗した認証の試みをユーザーに通知するようになりました。正しい認証に失敗したユーザーには、認証の成功時に、次のようなメッセージが表示されます。
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
それらの通知を抑止するには、/.hushlogin ファイルを作成します。