ユーザーアカウント設定の前に決定すべきこと

アカウント設定を始める前に、以下の事項を決定するようにしてください。これらはアカウント設定に影響を及ぼします。

以下の事項の中には、標準の Solaris や他の UNIX マシンのネットワークをインストールする場合に決定しなければならない事項と同じものがあります。しかし、ここでは Trusted Solaris 環境を構成することが目的であるため、以下の事項については、自サイトのセキュリティ要件やその他の特殊な要件を十分考慮に入れて決定してください。

ユーザーのログイン名に関する規則の決定

Trusted Solaris では、ユーザーのログイン名は 8 文字と決められています。ログイン名の命名規則の例としては、ファーストネームの後にラストネームのイニシャルを付ける、またはラストネームの後にファーストネームのイニシャルを付けるようにすることなどが挙げられます。

デフォルトのグループの確認、グループを追加するかどうかの決定

新しいグループを定義するには、管理者役割はアプリケーションマネージャの「Solstice 管理 (Solstice_Admin)」フォルダにあるグループマネージャを使います。 Trusted Solaris 版のグループ管理で新しく追加されたフィールドはありませんので、必要に応じて、マニュアル『Solstice AdminSuite 2.1 ユーザーズガイド』を参照してください。

自サイトのセキュリティポリシーに応じて以下の事項を決定し、Trusted Solaris ユーザー管理に必要な情報を収集してください。

パスワード生成の基本的な方法 (自動または手動) の選択

自サイトで、受信者の最下位機密ラベルよりも低い機密ラベルでメールが送られて来た場合の処理方法の決定

sendmail(1M) の設定ファイルである sendmail.cf 内に指定する Trusted Solaris 特有の機密性オプションとして、自サイトのセキュリティポリシーに合った適切な値が設定されるようにしてください。詳細は、第 6 章「メール管理」の 「受信者の最下位ラベルよりも低いラベルのメールに関する Sendmail の処理」および 「ユーザーの最下位ラベルよりも低いラベルのメールに関するメール配送オプションを設定するには」を参照してください。

以下の情報の収集

• 使用可能な実行プロファイルの一覧

  システムに添付されている実行プロファイルは、ユーザーがその変更や拡張を行わないことを前提に設計されています。実行プロファイルの各役割への割り当てとその目的、すべてのコマンド、アクション、各プロファイルに割り当てられている承認の一覧については、付録 A 「プロファイル概要テーブル」を参照してください。

  特殊な要件を持つサイトでは、セキュリティ管理者役割が追加のプロファイルを新規作成できます。自サイトに別の実行プロファイルが存在する場合は、それに関する内部文書を参照してください。

• 使用可能な管理役割および非管理役割の一覧

  システムに設定されているデフォルトの役割は、ユーザーがその変更や拡張を行わないことを前提に設計されています。セキュリティ管理者が役割の追加や再設定を行えます。ユーザー用に定義された役割の説明については、自サイトの内部文書を参照してください。

• アカウントを必要とする自サイトの社員の名前の一覧。および、各アカウントに割り当てる責任、役割、認可上限、最下位ラベルの一覧。

  上記の情報を得るには、自サイトの社員の実施する業務データの収集と、社員に割り当てる認可上限、最下位ラベル、プロファイルについての決定が必要になります。さらに、どの社員が管理役割になれるようにするかの決定も必要です。政府機関の場合、各職員に与えられている職務上の認可上限を検討し、各職員がなることのできる役割と、作業時に使用するラベルを決定することも必要となるでしょう。

作成予定のユーザーアカウントには、ネットワーク上のどことも重複しない一意のユーザー名と UID を割り当てる。

作成予定の各グループには、ネットワーク上のどのグループとも重複しない一意の GID を割り当てる。

ユーザーのログイン時に自動的にシステムがシェル初期化ファイルを読み取るようにするかどうか、これらのファイルの初期内容を変更するかどうかを決定

詳細は、「Trusted Solaris システムにおけるスタートアップファイルの管理」を参照してください。

特定のユーザー用に作成された $HOME ディレクトリ内で最初に作成された SLD 内にあるファイルのうち、どのファイルを 2 番目以降に作成される SLD にコピーまたはリンクするかを決定し、必要なら、/etc/skel (またはその他のスケルトンディレクトリ) 内の .copy_files および .link_files を変更する。

詳細は、「ホームディレクトリ内の複数の SLD にスタートアップファイルを配置するには」を参照してください。

アカウントを閉じる前の 1 回のログイン試行の間、パスワードの入力ミスを許す最大回数をそのままにしておくか、変更するかの決定。

1 回のログイン試行の間、ある一定回数以上のパスワードの入力ミスを続けるとユーザーアカウントを閉じてしまう Trusted Solaris の機能の説明に関しては、第 2 章「その他の作業と操作手順」を参照してください。「パスワード入力ミス許容回数の最大値の変更」には、アカウントの閉鎖につながる入力失敗回数の最大値の設定変更をセキュリティ管理者がどのようにして行うかの説明があります。