ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
Trusted Extensions でのデバイスの扱い (タスクマップ)
Trusted Extensions でのデバイスの使用法 (タスクマップ)
Trusted Extensions でのデバイスの管理 (タスクマップ)
Trusted Extensions でデバイスを解除または再利用する
Trusted Extensions で割り当て不可のデバイスを保護する
Trusted Extensions で Device_Clean スクリプトを追加する
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次のタスクマップでは、サイトでデバイス承認を変更する手順について説明します。
|
デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。
割り当て可能なデバイスへのアクセスをすべて拒否するには、例 21-1 を参照してください。新しい承認を作成して使用するには、例 21-3 を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ヘルプファイルは HTML 形式です。命名規則は AuthName.html で、たとえば DeviceAllocateCD.html となります。
$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
$ profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。
例 21-2 きめ細かいデバイス承認の作成
この例で、NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを作成します。
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
次に、管理者はテンプレートヘルプファイルを作成します。ほかのヘルプファイルはこのテンプレートからコピーして変更します。
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
ヘルプファイルを作成したあと、管理者は auths コマンドを使用して各デバイス承認を作成します。承認は会社全体で使用されるため、管理者は承認を LDAP リポジトリに置きます。コマンドにはヘルプファイルのパス名が含まれます。
管理者は 2 つのデバイス承認と Newco 承認ヘッダーを作成します。
1 つの承認は、ユーザーが CD-ROM または DVD ドライブを割り当てることを承認します。
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
1 つの承認は、ユーザーが USB デバイスを割り当てることを承認します。
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 承認ヘッダーは、すべての Newco 承認を識別します。
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
例 21-3 トラステッドパスデバイス承認と非トラステッドパスデバイス承認の作成と割り当て
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーがリモート CD-ROM および DVD の割り当て制限を要求しています。セキュリティー管理者は、com.newco.dev.allocate.cdvd.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM および DVD ドライブ用です。com.newco.dev.allocate.cdvd.remote 承認は、トラステッドパス以外からの CD-ROM または DVD ドライブの割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースにデバイス承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。root 役割は、それらのプロファイルを、デバイスの割り当てを許可されているユーザーに割り当てます。
次のコマンドは、デバイス承認を auth_attr データベースに追加します。
$ auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local $ auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
デバイスマネージャーの割り当ては次のとおりです。
CD-ROM ドライブのローカル割り当ては、トラステッドパスによって保護されます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
リモート割り当てはトラステッドパスによって保護されないため、リモートユーザーは信頼できるユーザーでなければなりません。最後の手順で、管理者は 2 つの役割にのみリモート割り当てを承認します。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
次のコマンドは、これらの承認用の Newco 権利プロファイルを作成し、承認をプロファイルに追加します。
$ profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
$ profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
次のコマンドは、承認されたユーザーに権利プロファイルを割り当てます。root 役割はプロファイルを割り当てます。このサイトでは、役割だけが周辺デバイスのリモート割り当てを承認されています。
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin
始める前に
セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。
新しい承認は「必須でない」リストに表示されます。
「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。
詳細な手順については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「ユーザーのセキュリティー属性を変更する方法」を参照してください。
次のプロファイルでは、役割がデバイスを割り当てることができます。
All Authorizations
Device Management
Media Backup
Object Label Management
Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
All Authorizations
Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
All Authorizations
Device Security
例 21-2 は、承認を割り当てる方法を示しています。