ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
Trusted Extensions でのデバイスの扱い (タスクマップ)
Trusted Extensions でのデバイスの使用法 (タスクマップ)
Trusted Extensions でのデバイスの管理 (タスクマップ)
Trusted Extensions でデバイスを解除または再利用する
Trusted Extensions で割り当て不可のデバイスを保護する
Trusted CDE でオーディオプレイヤプログラムを使用できるように構成する
デバイスの割り当て後にファイルマネージャーが表示されないようにする
Trusted Extensions で Device_Clean スクリプトを追加する
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
次のタスクマップでは、サイトでデバイス承認を変更する手順について説明します。
|
デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。
割り当て可能なデバイスへのアクセスをすべて拒否するには、例 17-1 を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などのオプションのコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
詳細は、ldapaddent(1M) のマニュアルページを参照してください。
Solaris 管理コンソール を使用します。セキュリティー管理者の役割を引き受け、Oracle Solaris の手順『Solaris のシステム管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」に従います。
デバイス割り当てマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。
例 17-4 きめ細かいデバイス承認の作成
NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
次に、承認エントリをファイルに追加します。
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
行は表示のために分割されています。
auth_attr エントリでは、次の承認が作成されます。
NewCo のすべての承認を付与する承認
NewCo のデバイス承認を付与する承認
テープドライブを割り当てる承認
フロッピーディスクドライブを割り当てる承認
例 17-5 トラステッドパス承認と非トラステッドパス承認の作成
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーがリモート CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。
auth_attr データベースエントリは次のとおりです。
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
デバイス割り当てマネージャーの割り当ては次のとおりです。
トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイス割り当てマネージャーを使用できます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
非トラステッドパスでは、ユーザーが allocate コマンドを使用してリモートでデバイスを割り当てることができます。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
権利プロファイルエントリは次のとおりです。
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
承認されたユーザーの権利プロファイルは次のとおりです。
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
始める前に
セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。
新しい承認は「必須でない」リストに表示されます。
「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。
次のプロファイルでは、役割がデバイスを割り当てることができます。
All Authorizations
Device Management
Media Backup
Object Label Management
Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
All Authorizations
Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
All Authorizations
Device Security
例 17-6 新しいデバイス承認の割り当て
この例では、セキュリティー管理者がシステムの新しいデバイス承認を構成し、新しい承認を持つ権利プロファイルを信頼できるユーザーに割り当てます。セキュリティー管理者は次の操作を行います。
「新しいデバイス承認を作成する」に従って、新しいデバイス承認を作成します。
デバイス割り当てマネージャーで、テープドライブとフロッピーディスクドライブに新しいデバイス承認を追加します。
新しい承認を、権利プロファイル NewCo Allocation に配置します。
テープドライブとフロッピーディスクドライブの割り当てを承認されるユーザーと役割のプロファイルに、NewCo Allocation 権利プロファイルを追加します。
これで、承認されたユーザーと役割はこのシステムでテープドライブとフロッピーディスクドライブを使えるようになります。