Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ)

次のタスクマップでは、サイトでデバイス承認を変更する手順について説明します。

タスク	説明	参照先
新しいデバイス承認を作成します。	サイト固有の承認を作成します。	「新しいデバイス承認を作成する」
デバイスへの承認を追加します。	選択したデバイスにサイト固有の承認を追加します。	「Trusted Extensions でサイト固有の承認をデバイスに追加する」
ユーザーおよび役割へデバイス承認を割り当てます。	ユーザーと役割が新しい承認を使えるようにします。	「デバイス承認を割り当てる」

新しいデバイス承認を作成する

デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。

割り当て可能なデバイスへのアクセスをすべて拒否するには、例 17-1 を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

auth_attr ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
新しい承認の見出しを作成します。
組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などのオプションのコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。
```
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
```

新しい承認エントリを追加します。

1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。

domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
help=CompanyGrant.html
domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
help=CompanyGrantDevice.html
domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
help=CompanyTapeAllocate.html
domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
help=CompanyFloppyAllocate.html

ファイルを保存してエディタを終了します。
ネームサービスとして LDAP を使用している場合は、Oracle Directory Server Enterprise Edition (ディレクトリサーバー) 上の auth_attr エントリを更新します。
詳細は、ldapaddent(1M) のマニュアルページを参照してください。
新しい承認を適切な権利プロファイルに追加します。次に、そのプロファイルをユーザーと役割に割り当てます。
Solaris 管理コンソールを使用します。セキュリティー管理者の役割を引き受け、Oracle Solaris の手順『Solaris のシステム管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」に従います。
承認を使用して、テープドライブとフロッピーディスクドライブへのアクセスを制限します。
デバイス割り当てマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。

例 17-4 きめ細かいデバイス承認の作成

NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。

最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

次に、承認エントリをファイルに追加します。

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

行は表示のために分割されています。

auth_attr エントリでは、次の承認が作成されます。

NewCo のすべての承認を付与する承認
NewCo のデバイス承認を付与する承認
テープドライブを割り当てる承認
フロッピーディスクドライブを割り当てる承認

例 17-5 トラステッドパス承認と非トラステッドパス承認の作成

デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。

次の例では、サイトのセキュリティーポリシーがリモート CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。

セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。

auth_attr データベースエントリは次のとおりです。

com.someco.:::SomeCo Header::help=Someco.html
com.someco.grant:::Grant All SomeCo Authorizations::
help=SomecoGrant.html
com.someco.grant.device:::Grant SomeCo Device Authorizations::
help=SomecoGrantDevice.html
com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
help=SomecoCDAllocateLocal.html
com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
help=SomecoCDAllocateRemote.html

デバイス割り当てマネージャーの割り当ては次のとおりです。

トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイス割り当てマネージャーを使用できます。
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.local
```
非トラステッドパスでは、ユーザーが allocate コマンドを使用してリモートでデバイスを割り当てることができます。
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.remote
```

権利プロファイルエントリは次のとおりです。

# Local Allocator profile
com.someco.device.cdrom.local

# Remote Allocator profile
com.someco.device.cdrom.remote

承認されたユーザーの権利プロファイルは次のとおりです。

# List of profiles for regular authorized user
Local Allocator Profile
...

# List of profiles for role or authorized user
Remote Allocator Profile
...

Trusted Extensions でサイト固有の承認をデバイスに追加する

始める前に

セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。

「Trusted Extensions でデバイスを構成する」の手順に従います。
1. 新しい承認で保護する必要のあるデバイスを選択します。
2. 「デバイス管理」ボタンをクリックします。
3. 「承認」ボタンをクリックします。
  新しい承認は「必須でない」リストに表示されます。
4. 新しい承認を承認の「必須」リストに追加します。
「了解」をクリックして変更を保存します。

デバイス承認を割り当てる

「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。

ユーザーに、「デバイスの割り当て」承認を含む権利プロファイルを割り当てます。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

次のプロファイルでは、役割がデバイスを割り当てることができます。
- All Authorizations
- Device Management
- Media Backup
- Object Label Management
- Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
- All Authorizations
- Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
- All Authorizations
- Device Security

例 17-6 新しいデバイス承認の割り当て

この例では、セキュリティー管理者がシステムの新しいデバイス承認を構成し、新しい承認を持つ権利プロファイルを信頼できるユーザーに割り当てます。セキュリティー管理者は次の操作を行います。

「新しいデバイス承認を作成する」に従って、新しいデバイス承認を作成します。
デバイス割り当てマネージャーで、テープドライブとフロッピーディスクドライブに新しいデバイス承認を追加します。
新しい承認を、権利プロファイル NewCo Allocation に配置します。
テープドライブとフロッピーディスクドライブの割り当てを承認されるユーザーと役割のプロファイルに、NewCo Allocation 権利プロファイルを追加します。

これで、承認されたユーザーと役割はこのシステムでテープドライブとフロッピーディスクドライブを使えるようになります。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語)