このリリースでは、コマンド行からユーザーアカウントを作成および管理します。一般にコマンド行を使用して実行する一部のタスクの実行には、ユーザーマネージャー GUI も使用できます。
次の関連のトピックについて詳細に説明します。
詳細は、Oracle Solaris 11.3 のユーザーアカウントとユーザー環境の管理 の第 3 章ユーザーマネージャー GUI を使用したユーザーアカウントの管理を参照してください。
このリリースでは、次の機能が新しいか、変更されています。
ユーザーアカウントの作成 – ユーザーアカウントの作成は次のように変更されました。
ユーザーアカウントは個別の ZFS ファイルシステムとして作成されます。これにより、ユーザーは独自のファイルシステムと独自の ZFS データセットを持つことができます。useradd および roleadd コマンドで作成されるどのホームディレクトリも、ユーザーのホームディレクトリを個別の ZFS ファイルシステムとして /export/home 上に配置します。
ユーザー名およびグループ名は 32 文字以内で指定できます。8 文字の制限はなくなりました。
useradd コマンドでは、ホームディレクトリのマウントを自動マウントサービス svc:/system/filesystem/autofs に任せます。このサービスは決して無効にしないでください。passwd データベース内のユーザーの各ホームディレクトリエントリでは /home/username 形式が使用されており、これはオートマウンタで auto_home マップを使って解決される autofs トリガーです。
オプションのサーバー名は、ホームディレクトリが存在するホストを指定します。この形式のエントリはオートマウンタに依存し、auto_home マップに保持されます。パス /home/username は、passwd データベース内に保持されます。ユーザーが続けて /home/username を参照すると、オートマウンタは指定されたディレクトリを /home/username にマウントします。サーバー名または localhost が含まれているホームディレクトリのパス名を指定しない場合、autofs サービスを無効にできます。
ユーザーアカウントの変更 – usermod コマンドは LDAP およびファイルと動作します。このメカニズムを使用して、すべてのセキュリティー属性をユーザーに割り当てることができます。たとえば、管理者は usermod コマンドを使用して、役割をユーザーのアカウントに追加できます。
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
LDAP で保持されるユーザーセキュリティー属性は、特定のホストや netgroup にのみ適用されるように制限できます。
su、sudo、ssh コマンドなどの認証を必要とするサービスへのアクセスは、特定の日と時間に制限できます。
追加の例については、usermod(1M) を参照してください。
グループの作成と管理 – solaris.group.manage 承認を持つ管理者はグループを作成できます。グループの作成時に、システムが管理者に solaris.group.assign/groupname 承認を割り当て、これにより管理者は、そのグループを完全に制御できます。管理者は必要に応じて groupname を変更または削除できます。groupadd(1M) および groupmod(1M) のマニュアルページを参照してください。
役割の作成と管理 – 役割はローカルおよび LDAP リポジトリで作成できます。役割を作成し、最初のパスワードを割り当てるには、User Management 権利プロファイルが割り当てられている必要があります。役割を作成する手順については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 のユーザーへの権利の割り当てを参照してください。
ユーザーマネージャー GUI – ユーザーマネージャー GUI は、Visual Panels プロジェクトの一部で、デスクトップからアクセスできます。Solaris 管理コンソールの一部の機能は GUI に置き換えられます。Oracle Solaris 11.3 のユーザーアカウントとユーザー環境の管理 の第 3 章ユーザーマネージャー GUI を使用したユーザーアカウントの管理を参照してください。
ユーザーパスワード管理とログイン情報は次のように変更されました。
役割の引き受け – すべての役割の引き受けでパスワードが必要です。このリリースでは、管理者の判断で、役割を引き受けるために指定するパスワードを自分のパスワードにできます。
シャットダウン中のログインオプションの拡張 – システムシャットダウンの間、/etc/nologin ファイルが作成されます。このファイルには、システムがシャットダウン中であり、ログインできないというメッセージが表示されます。ただし、このタイプのシャットダウンでスーパーユーザーがシステムにログインできなくなることはありません。このリリースでは、root 役割が割り当てられたユーザーと solaris.system.maintenance 承認が割り当てられたユーザーも、システムに nologin ファイルが存在する場合にブロックされません。
失敗したログイン回数の通知 – システムは、ユーザーアカウントが失敗したログインを強制するように構成されていない場合でも、失敗した認証の試みをユーザーに通知します。正しい認証に失敗したユーザーには、認証の成功時に、次のようなメッセージが表示されます。
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
それらの通知を抑止するには、/.hushlogin ファイルを作成します。
root アクセスのモニタリングと制限 – デフォルトのシステム構成では、ユーザーは root としてリモートログインできません。リモートログインする場合は、ユーザーは自分のユーザー名でログインしてから、su コマンドを使用して root になる必要があります。su コマンドを使用しているユーザーのモニターや、システムへの root アクセスの制限が可能です。Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 のroot アクセスのモニタリングと制限を参照してください。
パスワードのハッシュアルゴリズム – このリリースでのデフォルトのパスワードのハッシュアルゴリズムは SHA256 です。このパスワードハッシュは、次のようになります。
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
また、ユーザーパスワードの 8 文字の制限もなくなりました。8 文字の制限は、古い crypt_unix (5) アルゴリズムを使用するパスワードのみに適用され、既存の passwd ファイルのエントリと NIS マップとの下位互換性のために残されています。Oracle Solaris 11 以降、crypt_sha256 アルゴリズムがデフォルトです。
パスワードは、policy.conf ファイル内のデフォルトである SHA256 アルゴリズムなど、その他の crypt (3c) アルゴリズムのいずれかを使用してエンコードされます。そのため、8 文字よりもずっと長いパスワードを使用できます。policy.conf(4) を参照してください。
root パスワードの変更点 – ほかのパスワードの複雑性の要件も満たす、必要な長さのパスワードに root 役割を割り当てずにシステムを使用することはできなくなりました。
password コマンドのプロパティー定義の改良 – この変更は、どのユーザーアカウントをロックでき、どのユーザーアカウントをロックできないかを明確にします。主な変更点は、次のように LK および NL プロパティーの定義に影響します。
アカウントが UNIX 認証用にロックされています。passwd –l コマンドが実行されたか、認証の失敗回数が許容される構成済みの最大値に到達したためアカウントが自動的にロックされました。policy.conf(4) および user_attr(4) のマニュアルページを参照してください。
アカウントは no login アカウントです。passwd –N コマンドが実行されました。
ZFS ファイルシステムの NFS または SMB 共有が作成され、共有されます。
ZFS ストレージプール Version 34 には次の共有機能が用意されています。
NFS 共有を定義および公開するための以前のリリースの sharenfs プロパティーは share.nfs プロパティーに置き換えられました。
SMB 共有を定義および公開するための以前のリリースの sharesmb プロパティーは share.smb プロパティーに置き換えられました。
ZFS プロパティーの継承を活用することで、ZFS 共有の管理が簡素化されます。tank/home ファイルシステムを共有する場合、次のような構文を使用します。
# zfs set share.nfs=on tank/home
share.nfs プロパティー値はすべての子孫ファイルシステムに継承されます。
# zfs create tank/home/userA # zfs create tank/home/userB
Oracle Solaris 11.3 のユーザーアカウントとユーザー環境の管理 のZFS ファイルシステムとして作成されたホームディレクトリを共有する方法を参照してください。
Oracle Solaris 11 では、ホームディレクトリは ZFS ファイルシステムとして作成されるため、通常はホームディレクトリを手動でマウントする必要はありません。ホームディレクトリは、その作成中に、そして SMF ローカルファイルシステムサービスからのブート時にも自動的にマウントされます。ユーザーのホームディレクトリを手動でマウントする手順については、Oracle Solaris 11.3 のユーザーアカウントとユーザー環境の管理 のユーザーのホームディレクトリの手動マウントを参照してください。