アカウント識別情報の編集

「識別情報 (Identity)」ダイアログボックス (次の図を参照) では、次の項目を指定できます。

• ユーザー ID とグループ ID

• ユーザーに関するコメント

• デフォルトのログインシェル

• アカウントの種類

図 4-7 ユーザーマネージャの「識別情報 (Identity)」ダイアログボックス

ユーザー ID とグループ ID

「識別情報 (Identity)」ダイアログボックスでは、ユーザー名 (ログイン名)、ユーザー ID、1 次グループ、2 次グループを編集できます。これらの項目は、ユーザーに代わって動作するすべてのプロセスと、ユーザーが作成するすべてのファイルやディレクトリに対応付けられます。この識別情報は、任意アクセス制御 (DAC) でも使用され、このユーザーが他のユーザーによって作成されたファイルやディレクトリにアクセス可能かどうかが判定されます。識別・認証プロセスの一環として、ログイン時にユーザー名の入力が要求されます。UID は、監査の際、ユーザーの識別に使用されます。

新規のローカルユーザーまたはネットワークユーザーを設定する際は、一意のユーザー名と一意の UID を選択しなくてはなりません。このため、新規ユーザーを設定する前に、ネットワーク上の現在のユーザーと削除したユーザーのすべてのユーザー名、UID をチェックします (監査上の理由から、削除されたユーザーのユーザー名や UID を再利用することはできません)。

既存の役割アカウントと同じユーザー名、同じ UID のユーザーを設定することはできません。そのユーザーはログインできなくなります。

ユーザーに関するコメント

「識別情報 (Identity)」ダイアログボックスでは、ユーザーについてのコメントを入力できます。コメントには、ユーザーの本名、役職、電話番号、あるいは非公式の組織名や愛称などを入力します。コメントは、ユーザーマネージャのメインウィンドウのユーザーリストに表示されるので、リストをソートする際にキーワードとして使用できます。また、電子メールの送信時には「From :」の行に表示され、ユーザーを引数として finger コマンドを実行する際にも表示されます。

ログインシェル

「ログインシェル (Login Shell)」メニューからは、ユーザーのログインシェルの種類として、「プロファイル (Profile)」、「Bourne」、「Korn」、「C」、「その他 (Other)」のいずれかを指定できます。「プロファイルシェル」は特殊な Bourne シェルで、ユーザーや役割に、そのプロファイルに指定されているコマンドへのアクセス権と特権を与えます。詳細は、「実行プロファイル」を参照してください。プロファイルシェルを使用すると、ユーザーを「有効」にし、一般ユーザーが使用できないコマンドへのアクセス権と特権を与えることができます。また、ユーザーを「制約」して、特定のコマンドセットにしかアクセスできないようにすることもできます。プロファイルシェルは、特権が定義されたプロファイルを使用して、ユーザーの役割アカウントを設定する場合に必要となります。その他のシェルは、ユーザーに、システム上のすべてのコマンドの実行を許可しますが、特権は与えません。

アカウントの種類

「ユーザータイプ (User Type)」メニューからは、作成するアカウントの種類として、一般ユーザー、管理役割、または非管理役割を指定できます。新しい役割を作成する主な理由は、特別なアクション、コマンド、特権や承認を必要とし、通常のユーザーと区別する必要があるジョブの担当を明確に定義することにあります。詳細は、「役割」を参照してください。

一般に、管理上のニーズは、Trusted Solaris に最初から定義されている管理役割 (セキュリティ管理者、システム管理者、システムオペレータ、スーパーユーザー) によって満たされるべきですが、必要であれば、これらの役割の定義を変更することもできます。ただし、事前に定義されている役割を 1 つの役割にまとめたり、逆に細かな業務のセットを定義したりして、別の方法で管理業務をグループ化しなければならない場合は、新たに管理役割を作成する必要があります。管理役割は、sysadmin グループ 14 に割り当てられ、NIS+ 主体の特権と、最も管理的なアプリケーションの実行に要求されるトラステッドパス属性を所持します。なお、新しい役割のグループと NIS+ ステータスは、必要に応じて変更できます。

ディレクトリやファイルの所有権を共有する場合に便利な、セキュリティに影響のないジョブの担当を設定したい場合は、非管理役割を作成します。非管理役割は、所有権の交代が必要な作業に最適です。

ユーザーアカウントと同様、役割アカウントには独自のメールボックスがあります。

既存のユーザーと同じ名前、同じUID の役割は作成できません。そのユーザーはログインできなくなります。