ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
RBAC の「承認」は、役割またはユーザーに許可できる個別の権限です。RBAC に準拠したアプリケーションによって承認が確認されてから、ユーザーはアプリケーションまたはアプリケーションの特定の操作へのアクセス権を取得します。
承認はユーザーレベルであり、したがって拡張可能です。承認を必要とするプログラムを作成し、承認をシステムに追加し、これらの承認の権利プロファイルを作成して、その権利プロファイルを、プログラムの使用が許可されているユーザーまたは役割に割り当てることができます。
承認には、内部で使用される名前があります。たとえば solaris.system.date は承認の名前です。また、グラフィカルユーザーインタフェース (GUI) に表示される短い説明もあります。たとえば、Set Date & Time は solaris.system.date 承認の説明です。
慣例上、承認名はインターネット名とは逆の順序である、サプライヤ、被認証者領域、任意の下位領域、および承認の機能で構成されます。承認名の区切り文字はドット (.) です。たとえば、com.xyzcorp.device.access のように指定します。この規則の例外として、インターネット名の代わりに接頭辞 solaris を使用する、Oracle からの承認があります。システム管理者は、承認を階層方式で適用することができます。ワイルドカード (*) は、ドットの右側の任意の文字列を表すことができます。
承認の使用方法の例として、次を考えてみてください: Network Link Security 権利プロファイルには solaris.network.link.security 承認のみが含まれるのに対して、Network Security 権利プロファイルには補助プロファイルとしての Network Link Security プロファイルに加え、solaris.network.* および solaris.smf.manage.ssh 承認が含まれます。
接尾辞が delegate の承認が許可されたユーザーまたは役割は、割り当てられている承認のうち同じ接頭辞で始まるものを、ほかのユーザーに委任できます。
solaris auth.delegate 承認が許可されたユーザーまたは役割は、これらのユーザーまたは役割が割り当てられている任意の承認をほかのユーザーに委託できます。
たとえば、solaris auth.delegate と solaris.network.wifi.wep の承認を持つ役割は、solaris.network.wifi.wep 承認をほかのユーザーまたは役割に委託できます。