JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 構成と管理     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

パート I Trusted Extensions の初期構成

1.  Trusted Extensions のセキュリティー計画

2.  Trusted Extensions の構成ロードマップ

3.  Oracle Solaris への Trusted Extensions 機能の追加 (タスク)

4.  Trusted Extensions の構成 (タスク)

5.  Trusted Extensions のための LDAP の構成 (タスク)

パート II Trusted Extensions の管理

6.  Trusted Extensions の管理の概念

7.  Trusted Extensions 管理ツール

8.  Trusted Extensions システムのセキュリティー要件 (概要)

9.  Trusted Extensions での一般的なタスクの実行

10.  Trusted Extensions でのユーザー、権利、および役割 (概要)

11.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

セキュリティーのためのユーザー環境のカスタマイズ (タスクマップ)

デフォルトのユーザーラベル属性を修正する

policy.conf のデフォルトを修正する

Trusted Extensions のユーザーの起動ファイルを構成する

Trusted Extensions でフェイルセーフセッションにログインする

ユーザーと権利の管理 (タスクマップ)

ユーザーのラベル範囲を変更する

便利な承認のための権利プロファイルを作成する

ユーザーの特権セットを制限する

ユーザーのアカウントロックを禁止する

ユーザーによるデータのセキュリティーレベルの変更を有効にする

Trusted Extensions システムからユーザーアカウントを削除する

12.  Trusted Extensions でのリモート管理 (タスク)

13.  Trusted Extensions でのゾーンの管理

14.  Trusted Extensions でのファイルの管理とマウント

15.  トラステッドネットワーク (概要)

16.  Trusted Extensions でのネットワークの管理 (タスク)

17.  Trusted Extensions と LDAP (概要)

18.  Trusted Extensions でのマルチレベルメール (概要)

19.  ラベル付き印刷の管理 (タスク)

20.  Trusted Extensions のデバイス (概要)

21.  Trusted Extensions でのデバイス管理 (タスク)

22.  Trusted Extensions での監査 (概要)

23.  Trusted Extensions のソフトウェア管理

A.  サイトのセキュリティーポリシー

セキュリティーポリシーの作成と管理

サイトのセキュリティーポリシーと Trusted Extensions

コンピュータのセキュリティーに関する推奨事項

物理的セキュリティーに関する推奨事項

個人のセキュリティーに関する推奨事項

よくあるセキュリティー違反

その他のセキュリティー関連資料

B.  Trusted Extensions の構成チェックリスト

Trusted Extensions を構成するためのチェックリスト

C.  Trusted Extensions 管理の手引き

Trusted Extensions の管理インタフェース

Trusted Extensions による Oracle Solaris インタフェースの拡張

Trusted Extensions の厳密なセキュリティーデフォルト

Trusted Extensions で制限されるオプション

D.  Trusted Extensions マニュアルページのリスト

Trusted Extensions マニュアルページ (アルファベット順)

Trusted Extensions によって変更される Oracle Solaris マニュアルページ

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

ユーザーと権利の管理 (タスクマップ)

Trusted Extensions でユーザー、承認、権利、および役割を管理するには、セキュリティー管理者役割になります。次のタスクマップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的なタスクについて説明します。

タスク
説明
参照先
ユーザーのラベル範囲を変更します。
ユーザーが作業できるラベルを修正します。この変更により、label_encodings ファイルで許可される範囲を制限または拡張できます。
使いやすい承認のための権利プロファイルを作成します。
一般ユーザーに役立つ承認はいくつか存在します。これらの承認の資格を持つユーザーのプロファイルを作成します。
ユーザーのデフォルト特権セットを修正します。
ユーザーのデフォルトの特権セットから特権を削除します。
特定ユーザーのアカウントロックを回避します。
役割になることができるユーザーに対しては、アカウントロックをオフにする必要があります。
ユーザーがデータに再ラベル付けできるようにします。
ユーザーによる情報のダウングレードまたはアップグレードを許可します。
システムからユーザーを削除します。
ユーザーおよびユーザーのプロセスを完全に削除します。

ユーザーのラベル範囲を変更する

ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーが、ある特定のラベルで実行されているシステムの一覧を表示できるようになります。ユーザーは内容を表示できますが、内容の変更はできません。

また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限できます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

便利な承認のための権利プロファイルを作成する

サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成できます。特定システムのすべてのユーザーが承認されるようにするには、policy.conf のデフォルトを修正する」を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 次の 1 つ以上の承認を含む権利プロファイルを作成します。

    詳細な手順については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「権利プロファイルを作成する方法」を参照してください。

    ユーザーにとって便利な可能性のある承認を次に示します。

    • solaris.device.allocate – マイクロフォンや CD-ROM などの周辺デバイスの割り当てをユーザーに承認します。

      デフォルトでは、Oracle Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。

    • solaris.label.file.downgrade – ファイルのセキュリティーレベル引き下げをユーザーに承認します。

    • solaris.label.file.upgrade – ファイルのセキュリティーレベル引き上げをユーザーに承認します。

    • solaris.label.win.downgrade – 上位レベルファイルからの情報の選択と、下位レベルファイルへの情報の配置をユーザーに承認します。

    • solaris.label.win.noview – 移動対象の情報を表示せずに移動することを、ユーザーに承認します。

    • solaris.label.win.upgrade – 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。

    • solaris.login.remote – リモートログインをユーザーに承認します。

    • solaris.print.nobanner - バナーページなしのハードコピーの印刷をユーザーに承認します。

    • solaris.print.unlabeled – ラベルを表示しないハードコピーの印刷をユーザーに承認します。

    • solaris.system.shutdown – システムの停止とゾーンの停止をユーザーに承認します。

  2. ユーザーまたは役割に権利プロファイルを割り当てます。

    詳細な手順については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「ユーザーのセキュリティー属性を変更する方法」を参照してください。

ユーザーの特権セットを制限する

サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Trusted Extensions を Sun Ray システム上で使用しているサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

参照

権利プロファイル内の特権制限を収集する例については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「権利プロファイルを作成する方法」のあとの例を参照してください。

システム上のすべてのユーザーの特権を制限するには、例 11-2 を参照してください。

ユーザーのアカウントロックを禁止する

この手順は、役割になれるすべてのユーザーで実行します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

ユーザーによるデータのセキュリティーレベルの変更を有効にする

一般ユーザーまたは役割には、ファイルおよびディレクトリまたは選択されたテキストのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。


注意

注意 - データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。


始める前に

大域ゾーンでセキュリティー管理者役割になります。

例 11-5 ユーザーがファイルのラベルのアップグレードはできるがダウングレードはできないようにする

Object Label Management 権利プロファイルにより、ユーザーはラベルのアップグレードとダウングレードを行うことができます。この例では、管理者は信頼できるユーザーにデータのアップグレードを許可しますが、ダウングレードは禁止します。

管理者は Object Label Management プロファイルに基づいて権利プロファイルを作成し、この新しいプロファイルの「ファイルラベルのダウングレード」承認と「DragNDrop または CutPaste 情報のダウングレード」承認を削除します。

# profiles -p "Object Label Management"
profiles:Object Label Management> set name="Object Upgrade"
profiles:Object Upgrade> info auths
...
profiles:Object Upgrade> remove auths="solaris.label.file.downgrade,
solaris.label.win.downgrade"
profiles:Object Upgrade> commit
profiles:Object Upgrade> end

次に、管理者は信頼できるユーザーにこのプロファイルを割り当てます。

# usermod -P +"Object Upgrade" jdoe

Trusted Extensions システムからユーザーアカウントを削除する

ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更できます。

管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

  1. 各ラベルでユーザーのホームディレクトリをアーカイブします。
  2. 各ラベルでユーザーのメールファイルをアーカイブします。
  3. ユーザーアカウントを削除します。
    # userdel -r jdoe
  4. 各ラベル付きゾーンで、ユーザーのディレクトリとメールファイルを手動で削除します。

    注 - すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。


    その他の考慮点については、「ユーザーの削除について」を参照してください。