サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。
セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成して初期パスワードを割り当て、セキュリティー管理者役割が役割などのセキュリティー関連の属性を割り当てます。
始める前に
大域ゾーンで root 役割になっている必要があります。また、責務分離が実施されている場合には、セキュリティー管理者とシステム管理者というそれぞれ別の役割になれるユーザーが存在しており、彼らがそれらの役割になって、この手順の該当する部分を実行する必要があります。
root 役割とシステム管理者役割のいずれかがこの手順を実行します。
専有情報をコメント内に配置しないでください。
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
root 役割とセキュリティー管理者役割のいずれかがこの手順を実行します。
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
# passwd jdoe New Password: xxxxxxxx Re-enter new Password: xxxxxxxx
root 役割またはセキュリティー管理者役割がこの手順を実行します。
# usermod -R oper jdoe
サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。このプロファイルによって、ユーザーはデバイスの割り当て、ラベルなしの印刷、リモートからのログイン、およびシステムのシャットダウンを行えます。プロファイルを作成するには、便利な承認のための権利プロファイルを作成するを参照してください。
セキュリティーのためのユーザー環境のカスタマイズを参照してください。
マルチレベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、.copy_files ファイルと .link_files ファイル を参照してください。
この例では、root 役割が、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。
このユーザーは、デフォルトのラベル範囲よりも広いラベル範囲を持つことになります。したがって、root 役割は、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
次に、root 役割は 表 2を確認してから、ユーザーを作成します。管理者はユーザーのホームディレクトリを、デフォルトの /export/home にではなく /export/home1 に配置します。
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe -K audit_flags=lo,ex:no \ -K idletime=8 -K idlecmd=lock -K lock_after_retries=no \ -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
root 役割は初期パスワードを割り当てます。
# passwd -r files jandoe New Password: xxxxxxxx Re-enter new Password: xxxxxxxx passwd: password successfully changed for jandoe #
最後に、root 役割は、セキュリティー管理者役割をユーザーの定義に追加します。役割は、Trusted Extensions でセキュリティー管理者役割を作成するで作成されました。
# usermod -R secadmin jandoe