ユーザー管理に関する責任の分割
この章では、ユーザーアカウントの管理に必要な前提知識を紹介します。この章には次のトピックがあります。
ユーザー管理 : 2 つの管理役割間での分割
デフォルトの Trusted Solaris システムでは、ユーザー管理作業は 2 人の人間が責任を持つものとして設定されているため、1 人の管理者がシステムに関する全体的な管理を受け持つことありません。しかし、このことは、複数の人間が任意の管理役割になれることを意味するため、管理者となるユーザーは、「2 人の人間」が責任を持つのではなく、あくまで「 2 つの役割」が責任を持つことを正確に理解しておく必要があります。
ユーザーアカウントを管理するための各種作業は、次の 2 つのデフォルト役割間で分割されます。
-
システム管理者 (admin)
-
セキュリティ管理者 (secadmin)
これら 2 つの管理的役割が持つデフォルトの実行プロファイルで、承認がどのように設定されているかにより、各役割が指定できるアカウントマネージャ内のフィールドの種類が決定されます。ユーザーマネージャに適用される承認については、「アカウント管理作業を行うための承認」を参照してください。
管理者役割の責任
管理者役割は、ユーザーアカウントに関するセキュリティ関係を除くすべての事項を指定することが認められています。これには次の事項が含まれます。
-
ユーザー ID
-
グループ ID
-
ホームディレクトリの場所
-
ユーザーのデフォルトのシェル
管理者役割に割り当てられる作業は、標準の UNIX システムにおけるシステム管理者 (スーパーユーザー) が行うタスクと同じものです。
セキュリティ管理者役割の責任
セキュリティ管理者は、ユーザーアカウントのセキュリティに関係するすべての事項を指定することが認められています。これには次の事項が含まれます。
-
パスワードの生成方法
-
パスワードの有効期間 (パスワードの変更が必要となる最小または最大経過日数、最長非使用日数、有効期限、警告の表示など)
-
ユーザーの最下位ラベル
-
ユーザーの認可上限
-
ユーザーのラベル表示(内部または外部)
-
ユーザーが機密ラベルを見ることができるようにするか
-
特定のユーザーを、分散システム上の他のユーザーよりも高い/低い度合いで監査するかどうか
-
ユーザーが持つ実行プロファイル
-
ユーザーがなれる役割
-
ワークステーションが指定の期間アイドル状態となった場合に取るべき処理
2 つの役割による分割管理を取らない場合
サイトによっては、ユーザー管理を 2 つの役割間で分割せず、必要に応じて管理役割を再設定したい場合もあるでしょう。このような場合については、第 4 章「役割の管理」の 「2 つの役割による分割管理を取らない場合」を参照してください。
注 -
管理的役割を自サイトで再設定している場合、そのサイトのセキュリティ管理者は、各管理的役割にどのような責任や機能を割り当てているかを、管理者に通達しなければなりません。
アカウント管理作業を行うための承認
図 3-1 に、ユーザーアカウントや役割アカウントの追加に使用するユーザーマネージャの「ナビゲータ (追加)」メニューを示します。まだ、何の情報も指定されていないため、「ユーザー (User)」、「UID」、「コメント (Comment)」の各フィールドは空になっています。「コメント (Comment)」の下には 8 つのボタンがあり、各ボタンには、アカウントごとに指定する情報の種類を示すラベルが付けられています。各ボタンを押すと、それぞれに対応するダイアログボックスが表示され、そこで指定の情報を入力できます。これらのボタンを使って、ユーザーアカウントの追加または変更を行います。
図 3-1 ユーザーマネージャの「ナビゲータ」ダイアログボックス
各ボタンを使用するには、それぞれ承認が必要となります。これらの承認は、デフォルトの管理者とセキュリティ管理者の間で分割して割り当てられています。ここでも、2 人の人間によるアカウント管理が前提とする責務分割の原則が守られています。
注 -
管理役割がユーザーマネージャを起動した時に、グレー表示のボタンがあった場合、そのボタンを使用するのに必要となる承認が、現在の役割の持つ実行プロファイルに割り当てられていないことを意味します。
各ボタンの使用に必要となる承認と、各ボタンに対応するダイアログボックスをまとめたものを次の表に示します。
表 3-1 ユーザーマネージャの各ボタンに必要となる承認と、そのボタンを使って 指定できる情報の種類| ボタン | 承認名 | デフォルトの役割 | 指定できる情報 |
|---|---|---|---|
| 識別情報 (Identity) | ユーザーの識別情報を設定 (set user identity) | admin | アカウント名、UID、主および追加 GID、コメント、シェル、アカウントの種類(一般ユーザー、管理役割、非管理役割) の設定 |
| パスワード(Password ) | ユーザーのパスワードを 設定 (set user password) | secadmin |
アカウント用のパスワードの設定、またはパスワードなしでアカウントを設定 パスワードの有効期間(パスワードの変更が必要となる最小または最大経過日数、最長非使用、有効期限、警告の表示など) アカウントの状態(オープンまたはクローズ) NIS+ 資格テーブルを更新するかどうかの選択 |
| ホーム (Home) | ホームディレクトリの属性を設定 (set home directory attributes) | admin |
サーバー上のパス名にホームディレクトリを作成するかどうかの指定 シェル初期化ファイルのパスの指定 ホームディレクトリへのアクセス権の設定 メールサーバーの指定 ホームディレクトリを自動マウントするかどうかの選択 |
| ラベル (Labels) | ユーザーのラベルを設定 (set user labels) | secadmin |
認可上限と最下位ラベルの設定 外部または内部ラベル表示の設定(管理ラベルの名前を表示する/表示しない) SLの表示/非表示の設定 |
| プロファイル (Profiles) | ユーザーのプロファイルを設定 (set user profiles) | secadmin | ユーザープロファイルの選択 (ユーザーアカウントのみ) |
| 役割 (Roles) | 役割リストを設定 (set roles list) | secadmin | 1つ以上の役割の選択(ユーザーアカウントのみ) |
| アイドル (Idle) | アイドル時間を設定 (set idle time) | admin | スクリーンがリスト上より選択された一定期間アイドル状態となった場合に取るべき処理の指定 |
- © 2010, Oracle Corporation and/or its affiliates