ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
Trusted Extensions でのデバイスの扱い (タスクマップ)
Trusted Extensions でのデバイスの使用法 (タスクマップ)
Trusted Extensions でのデバイスの管理 (タスクマップ)
Trusted Extensions でデバイスを解除または再利用する
Trusted Extensions で割り当て不可のデバイスを保護する
Trusted CDE でオーディオプレイヤプログラムを使用できるように構成する
Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ)
Trusted Extensions でサイト固有の承認をデバイスに追加する
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
次のタスクマップでは、サイトのデバイスを保護する手順について説明します。
|
デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは変更可能です。
使用するために割り当て可能なデバイスは次のとおりです。
audion – マイクロフォンとスピーカーを表します
cdromn – CD-ROM ドライブを表します
floppyn – フロッピーディスクドライブを表します
mag_tapen – テープドライブ (ストリーマテープドライブ) を表します
rmdiskn – JAZ ドライブや ZIP ドライブなどのリムーバブルディスク、または USB ホットプラグ対応メディアを表します
始める前に
大域ゾーンでセキュリティー管理者役割になります。
デバイス割り当てマネージャーが表示されます。
「デバイス管理」をクリックして、デバイスを強調表示します。次の図は、root 役割が表示しているオーディオデバイスを示したものです。
「最小ラベル」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
「トラステッドパスからの割り当て」の「デバイス割り当て構成」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。
プリンタ、フレームバッファーなど、割り当て可能にしてはいけないデバイスを構成する場合は、「なし」を選択します。
「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。
次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。
サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ) 」を参照してください。
デバイスがデバイス割り当てマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復できます。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。
次の図では、オーディオデバイスがすでにユーザーに割り当てられています。
デバイス名を選択し、「状態」フィールドを確認します。
「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
例 17-1 オーディオデバイスのリモート割り当ての禁止
「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、リモートユーザーはリモートシステム周辺の会話を聞くことができません。
セキュリティー管理者は、デバイス割り当てマネージャーで次のようにオーディオデバイスを構成します。
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users
始める前に
大域ゾーンでセキュリティー管理者役割になります。
図 17-1 Solaris 管理コンソールのシリアルポートツール
求められたらパスワードを入力します。 オンラインヘルプに従って、シリアルポートを構成します。
デフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
例 17-2 シリアルポートのラベル範囲の制限
シリアルログインデバイスを作成後、セキュリティー管理者はシリアルポートのラベル範囲を単一のラベル Public に制限します。管理者は、「デバイス管理」ダイアログボックスで次の値を設定します。
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users
次の手順では、ユーザーが音楽 CD を挿入したときオーディオプレイヤがTrusted CDE ワークスペースで自動的に開くようにします。ユーザーの手順については、『Trusted Extensions User’s Guide』の「How to Allocate a Device in Trusted Extensions」の例を参照してください。
注 - Trusted JDS ワークスペースでは、ユーザーはリムーバブルメディアの動作を、非トラステッドワークスペースで指定するのと同じように指定します。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
action media action_program.so path-to-program
例 17-3 オーディオプレイヤプログラムを使用できるように構成
次の例でシステム管理者は、システムのユーザーすべてが workman プログラムを使えるようにします。workman プログラムは、オーディオプレイヤプログラムです。
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman
デフォルトでは、デバイスをマウントすると、ファイルマネージャーが表示されます。ファイルシステムのあるデバイスをマウントしない場合、ファイルマネージャーを表示されないようにすることができます。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
action cdrom action_filemgr.so action floppy action_filemgr.so
次の例は、cdrom デバイスと diskette デバイスの両方で action_filemgr.so アクションをコメントアウトしています。
# action cdrom action_filemgr.so # action floppy action_filemgr.so
CD-ROM またはフロッピーディスクを割り当てた場合、ファイルマネージャーは表示されません。
デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。
始める前に
使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。
大域ゾーンで root 役割になっている必要があります。