test

Trusted Solaris 管理の手順

管理役割に特有の操作手順

ログイン後、特定の管理役割になるには

  1. リモートホスト上でログインセッションを開始するには、自分のローカルホストのログイン画面のリモートログインオプションを使用します。

    次の図に、「オプション (Options)」ボタンのプルダウンメニューを引き出したときのログイン画面を示します。

    Graphic

    1. 「オプション (Options)」ボタンプルダウンメニューから「リモートログイン (Remote Login)」を選択します。

    2. 「ホスト名を入力 (Enter Host Name)」または「リストからホストを選択 (Choose Host From List)」を選択します。

  2. CDE リモートログインオプションを使う場合も、ローカルホストに直接ログインする場合も、自分のユーザー名を入力し、(プロンプトが出たら) パスワードを入力します。

  3. 次のようなワークステーション情報ダイアログボックスが表示された場合、手順 5 に進みます。

    Graphic

  4. 必要に応じて「ログインを有効」にします。

    1. 次のようなダイアログボックスが表示された場合、そのアカウントはログインを有効にすることが承認されていません。セキュリティ管理者に頼んで必要な承認をもらうか、承認されているユーザーに頼んでログインを有効にしてもらいます。

      Graphic

    2. アカウントがログインを有効にすることが承認されている場合、次のダイアログでオプションの 1 つを選択します。あるいは、「了解 (OK)」をクリックして、ログインを有効にします。

      Graphic

    ワークステーション情報ダイアログボックスが表示されたら、次の手順に進みます。

  5. ワークステーション情報ダイアログボックスに表示されている情報を確認し、許可されているならばラベルを単一にするか複数にするかを選択します。  

    注 -

    アカウントが複数のラベルで作業できるように構成されている場合、ワークステーション情報ダイアログボックスの一番下には、「シングルラベルにセッションを制限 (Restrict Session to a Single Label」トグルボックスが表示されます。アカウントがシングルラベルだけで作業できるように構成されている場合、ワークステーション情報ダイアログボックスの一番下には、「シングルレベルセッション SL: (Single Level Session SL:)」と (その後に続いて) 作業できるように構成されているラベルが表示されます。

    1. 最後にログインした日付と時間をチェックし、それらが妥当な値であり、何も疑わしいことがないことを確認します。

    2. 「本日のメッセージ (Message Of The Day)」の内容を読みます。

    3. 「最後のログアウトからのコンソールダイアログボックス・メッセージ (Console Messages Since Last Logout)」の内容を確認します。

    4. 疑わしいログインや疑わしい活動を示すようなメッセージ、その他の問題を調べます。

    5. ユーザーアカウントが複数ラベルで作業できるよう設定されている場合、「シングルラベルにセッションを制限 (Restrict Session to a Single Label)」トグルボックスをオンにします。

  6. Return キーを押すか、または 「了解 (OK)」をクリックしてワークステーション情報ダイアログボックスを閉じます。

    「シングルラベルにセッションを制限 (Restrict Session to a Single Label)」トグルをオンにしていた場合、ユーザーの機密ラベル (SL) を設定するためのダイアログボックスが表示されます。この場合、手順 7 に進んでください。

    複数のラベルでの作業が許されていて、「シングルラベルにセッションを制限 (Restrict Session to a Single Label)」トグルをオンにしなかった場合はユーザーのセッション認可上限を設定するためのダイアログボックスが表示されます。この場合、手順 8 に進んでください。

  7. シングルラベルセッション用のラベルを指定します。このためにはデフォルトのラベルを受け入れるか、またはシングルラベルのユーザーセッション用 SL ラベルビルダーのダイアログボックスを使って任意のラベルを入力します。

    1. ラベルを入力するには「更新後のラベル (Update With)」の下にあるテキスト入力フィールドを使います。入力が終わったら「更新 (Update)」をクリックします。

    2. マウスを使ってラベルを作成するにはメニューから分類を選択し、表示されるチェックボックスの中から希望のものにチェックマークを付けます。

    3. 「了解 (OK)」をクリックします。

    4. 手順 9 に進みます。

      Graphic

  8. 複数ラベルセッション用の認可上限を指定します。これを行うにはマルチレベル用にユーザーセッションの認可上限を設定するラベルビルダーのダイアログボックス上のデフォルトの認可上限を受け入れるか、または任意の認可上限を入力します。

    1. 認可上限を入力するには「更新後のラベル (Update With)」の下にあるテキスト入力フィールドを使います。入力が終わったら「更新 (Update)」をクリックします。

    2. マウスを使って認可上限を作成するには格付けのメニューから分類を選択し、COMPS の下に表示されるコンパートメントを選択するチェックボックスの中から希望のものをチェックします。

      注 -

      Class」や「Comps」以外の単語が表示されるように構成されている場合もあります。必要であれば、『Trusted Solaris のラベル管理』の「ラベルビルダーのラベルコンポーネントの名前の変更」を参照してください。

    3. 「了解 (OK)」をクリックします。

    4. 手順 9 に進みます。

  9. トラステッドパスメニューから役割になるためのオプションを選択します。

    下の図に管理者役割になれるユーザーのためのトラステッドパス (TP) メニューを示します。

    注 -

    役割になるためのオプションは特定の役割になれるように設定されているユーザーのトラステッドパスメニューにしか表示されません。

    Graphic

    上記の操作を行うと役割用パスワードのダイアログボックスが表示されます。

  10. 役割用パスワードのダイアログボックスに役割のパスワードを入力し、 「了解 (OK)」をクリックします。

    Graphic

    管理役割ワークスペースが有効になり、新しい管理役割ワークスペースボタンがワークスペース切り替え領域に追加されます。

  11. ログアウトの準備ができたら、フロントパネルの「終了 (EXIT)」ボタンをクリックします。

管理役割ワークスペースと通常のユーザーワークスペース間の切り替えを行うには

    切り替え先のワークスペースのボタンをクリックします

セキュリティ属性を持つプロファイルとコマンドの一覧を表示するには

dtappsession で Trusted Solaris ホストをリモート管理するには

この節を読む前に、「dtappsession を使うための前提条件」「dtappsession によるリモートの Trusted Solaris ホストの管理」を参照してください。

  1. ログインして、実行プロファイルの 1 つに dtappsession(1) を持つ管理役割になります。

    必要であれば、ログインする方法については、「管理役割」を参照してください。必要であれば、現在のアカウントのプロファイル内にあるコマンドを知る方法については、「セキュリティ属性を持つプロファイルとコマンドの一覧を表示するには」を参照してください。

    注 -

    デフォルトでは、dtappsession コマンドは secadminadmin、および root 役割に割り当てられている Remote Administration プロファイル内にあります。

  2. リモートとローカルの CDE アプリケーションを混同しないようにするために、この手順専用の管理役割ワークスペースを追加します。

    必要であれば、管理役割ワークスペースを追加する方法については、「管理役割になっている間に、複数ラベルで作業するには」を参照してください。

  3. 新しい専用のワークスペースにおいて、rlogin(1) コマンドと (その後に続いて) リモート管理したいリモートホスト名を入力します。

  4. dtappsession と (その後に続いて) ローカルホスト名を入力します。

    次の図のように、「リモート管理 (Remote Administration)」ダイアログボックスが表示されます。この例では、リモートホスト名は「bunster」です。

    bunster: Remote Administration Press Exit to logout of bunster
    Exit

    アプリケーションマネージャは、リモートホストで動作しながら、ローカルホストに表示されます。

  5. 終了したら、「終了 (Exit)」ボタンをクリックします。

    注意 - 注意 -

    アプリケーションマネージャを閉じるだけでは、セッションは終了しません。

  6. リモートログインセッションを終了します。


    # exit
# hostname 
trusted

管理役割になっている間に、複数ラベルで作業するには

注 -

複数のラベルで作業を行うには、新たに管理役割ワークスペースを作成し、それらに新しいラベル名を付ける必要があります。

  1. 新しい管理役割ワークスペースを追加します。

    1. カーソルを管理役割ワークスペースボタンに置いた状態で、メニュー (右) マウスボタンをクリックしたまま ワークスペース役割名のメニューを起動します。

      Graphic

    2. ワークスペース役割名のメニューから「ワークスペースの追加 (Add Workspace)」を選択します。

      新しい管理役割ワークスペースが有効になり、フロントパネルのワークスペースのスイッチ領域に新しい管理役割ワークスペース用のボタンが表示されます。

      Graphic

      デフォルトでは、新しいワークスペースの名前は役割のアカウント名の後にアンダーラインと番号が付けられたものとなります。たとえば、役割 admin で作成した第 2 番目の管理役割ワークスペースの名前は admin_1 になります。

  2. ワークスペースのラベルを変更します。

    1. カーソルを新しい役割ワークスペースボタンの上に移動します。

    2. 新しい役割ワークスペースボタンの上にカーソルを置いた状態で、マウスの右ボタンをクリックします。画面にはワークスペース役割名のメニューが表示されます。

    3. メニューから「ワークスペース SL を変更 (Change Workspace SL)」を選択します。

      ラベルビルダーが表示されます。

    4. ラベルビルダーのダイアログボックスの「更新後のラベル (Update With)」の下にあるテキスト入力フィールドに、任意のラベルを入力します。入力が終わったら「更新 (Update)」をクリックし、続いて 「了解 (OK)」をクリックします。

      これで、ワークスペースのラベルが、ラベルビルダーのダイアログボックスで指定したラベルへと変更されます。

管理アプリケーションを起動するには

  1. 管理役割になることのできるユーザーとしてログインし、その役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. アプリケーションサブパネルのアプリケーションマネージャのアイコンをクリックします。 Graphic

    アプリケーションマネージャフォルダが表示されます。

  3. アプリケーションマネージャの「Solstice アプリケーション (Solstice_Apps)」アイコンをダブルクリックします。

    GraphicGraphic

    「Solstice アプリケーション (Solstice_Apps)」フォルダが表示されます。

    Graphic

  4. 希望するアイコンをダブルクリックし、「読み込み (Load)」の一覧を起動します。

  5. 「読み込み (Load)」一覧の「ネームサービス (Naming Service)」 メニューからネームサービスを選択します。

    注 -

    デフォルトでは、NIS+ ネームサービスが選択されており、ドメインテキスト入力フィールドに NIS+ ドメイン名が表示されています。

    Graphic

    None を選択するのは、ホストが NIS+ ネーミングサービスを使っていない場合、あるいは、ローカルファイルを変更しなければならない特別な理由がある場合だけです。デフォルトでは、「ホスト (Host)」フィールドにはローカルホスト名が表示されます。リモートホスト上のファイルを変更したい場合は、「ホスト (Host)」フィールドにリモートホスト名を指定します。NIS+ テーブルを変更したい場合は、NIS+ を選択します。

管理アクションを起動するには

  1. 管理役割になることのできるユーザーとしてログインし、その役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. アプリケーションのサブパネルのアプリケーションマネージャのアイコンをクリックします。

    アプリケーションマネージャのフォルダが表示されます。

  3. アプリケーションマネージャフォルダの「システム管理 (System_Admin)」アイコンをダブルクリックします。

    Graphic

  4. 起動したいアクションのアイコンをダブルクリックします。

管理用エディタアクションを使用してファイルを編集するには

  1. 「管理用エディタ」アクションを起動して、編集用のファイルを開きます。

    必要に応じて、「管理アクションを起動するには」を参照してください。

    1. 「管理用エディタ」アイコンをダブルクリックします。

      アクションとして、管理用エディタのプロンプトが表示されます。

    2. 「編集するファイル」フィールドに該当ファイルのパス名を入力します。

    3. 「了解」ボタンをクリックします。

  2. 変更内容を保存し、そのファイルを終了させます。 


    :wq

    ファイルへの書き込みをしようとすると、:wq でエラーとなる場合は、:wq! を使用してください。

管理ファイルを編集する新しい管理アクションを作成するには

  1. 管理エディタアクションを起動して /usr/dt/appconfig/types/localename/TSOLadmin.dt ファイルを開いて、編集を行います (localename は、ロケール名を示しています)。

    必要に応じて、16 ページの「ログイン後、特定の管理役割になるには」と 30 ページの「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

  2. TSOLadmin.dt ファイル内の既存のアクションの定義をどれか 1 つコピーしペーストします。

    次の例では、「Vfstab」アクションの定義をコピーし、これを変更することにします。


    ACTION Vfstab
{
        LABEL        Set Mount Points
        ICON         Dtpenpd
        TYPE         COMMAND
        WINDOW_TYPE  NO_STDIO
        EXEC_STRING  /usr/dt/bin/trusted_edit /etc/vfstab
        DESCRIPTION  Specify the file system mount points
}

  3. コピーしたアクションの定義を変更します。

    1. ACTION の名前を変更します。

      この例では、Trusted Solaris のカーネルスイッチ設定を変更するために system(4) ファイルを編集するような新しいアクションを定義することにします。


      ACTION EditSwitches
{

    2. LABEL を変更します。


      LABEL            Set TSOL Switches

    3. 新しいアイコンを作成した場合や、 /usr/dt/appconfig/icons/localename にある既存のアイコンを使用する場合には、ICON を変更します (localename は、ロケール名を示しています)。


      ICON           Dtpenpd

    4. EXEC_STRING のファイル名を変更します。


      EXEC_STRING      /usr/dt/bin/trusted_edit /etc/system

    5. DESCRIPTION のテキストを変更します。


      DESCRIPTION	     Modify TSOL-related kernel switches
}

  4. TSOLadmin.dt ファイルを保存し、このファイルを閉じます。


    :wq

  5. Vfstab アクションファイルをコピーし、リネームします。

    1. /usr/dt/appconfig/appmanager/localename/System_Admin ディレクトリに移動します (localename は、ロケール名を示しています)。

    2. Vfstab ファイルを別なファイルにコピーし、このファイルの名前を新しいアクションの名前にリネームします。

      たとえば、Vfstab から EditSwitches にリネームします。

    3. このアクションファイルを実行可能にします。

      ファイルマネージャの「ファイル (File)」メニューから「アクセス権 (Permissions)」オプションを選択し、所有者、グループ、その他のユーザー用のアクセス権をすべて実行可能に設定します。または、コマンド行から次のコマンドを実行します。

      $ chmod 777 EditSwitches

  6. 分散システム上のすべてのホストで管理役割がこのアクションを使えるようにするには、変更した TSOLadmin.dt ファイルおよびアクションファイルを NIS+ マスターおよび分散システム上のすべてのホストにコピーします。その後、プロファイルマネージャを起動し、ネームサービスとして NIS+ を選択します。

    このアクションは NIS+ 経由では管理されないため、配布に当っては rdist(1) またはファイルをテープまたはフロッピーにコピーし、その媒体を持って各ホストを回り、1 台ごとにファイルをインストールするなどの方法が必要となります。

  7. このアクションを 1 台のホスト上でのみ使用可能にするには、プロファイルマネージャを起動し、ネームサービスとして「なし (None)」を選択します。

  8. システムセキュリティプロファイルまたはシステム管理プロファイルのどちらかのプロファイルを選択し、「表示 (View)」メニューから「アクション (Actions)」を選択します。

    新しいアクション名が、「含まない (Excluded)」リスト内の「システム管理 (System_Admin)」アプリケーショングループ中に表示されます。

    1. このアクションがセキュリティ関連ファイル (system(4) ファイルなど) を編集するものである場合、このアクションをシステムセキュリティプロファイルに割り当てます。

    2. このアクションが UNIX システム管理者によって変更される通常のファイル (ラベルやその他のセキュリティ属性を持たないもの、たとえば group(4) ファイルなど) を編集するものである場合、このアクションをシステム管理プロファイルに割り当てます。

  9. この新しいアクションに「マウント・ポイントの設定 (Set Mount Points)」アクションに割り当てられている特権(file_dac_read, file_dac_write, proc_audit_appl, proc_audit_tcb) と同じものを割り当てます。

  10. いったんログアウトした後、再度ログインします。

「システム管理 (System_Admin)」フォルダの外側にアクションを追加するには

アクションの追加は『共通デスクトップ環境 上級ユーザ及びシステム管理者ガイド』に述べられている方法で行えます。この場合、Trusted Solaris の MAC 制限が課されます。アクションの作成には「アクション作成」を使うか、または手動で作成します。作成したアクションはディレクトリ /etc/dt/appconfig/types/localename に置く必要があります (localename は、ロケール名を示しています)。

リブート後のログイン無効化を防ぐには

  1. セキュリティ管理役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 管理用エディタを使って /etc/init.d/RMTMPFILES を開き、編集します。

    必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

    注 -

    /etc/init.d ディレクトリにはバックアップファイルを作成しないでください。startup ディレクトリ内のすべてのファイルが実行されると、バックアップファイルはバージョンが変更された後に実行され、/etc/nologin ファイルが作成し直されます。したがって、この手順の効果が元に戻されるためです。

  3. リブート後のログインを無効にする行をコメント行にします。

    有効な行を次のようにコメント行にします。


    # cp /dev/null /etc/nologin
# echo "" >> /etc/nologin
# echo "NO LOGINS: System booted" >> /etc/nologin
# echo "Logins must be enable by an authorized user." >>
# /etc/nologin
# echo "" >> /etc/nologin

  4. 編集が終わったら内容を保存し、ファイルを閉じます。


    :wq