test

Trusted Solaris 管理の手順

役割を管理する手順

スーパーユーザーまたは新しい役割が NIS+ を管理できるように設定するには

  1. NIS+ マスターにログインし、セキュリティ管理者役割になります。

  2. NIS+ マスターにログインし、nisgrpadm(1) コマンドを使って、NIS+ グループ admin にエントリを追加します。

    1. スーパーユーザーが NIS+ クライアントから NIS+ を管理できるように設定するには、nsgrpadmin -a、管理グループ名、およびスーパーユーザー役割が NIS+ をリモート管理したいすべての NIS+ クライアントの完全修飾名を (この順番で) 入力します。


      $ nisgrpadm -a admin fully_qualified_hostname .  .  .

      たとえば、次の行は、sun.comsecurity ドメインに 2 つのホスト (trustedtrustworthy) を追加します。


      $ nisgrpadm -a admin trusted.security.sun.com. trustworthy.security.sun.com.

    2. 新しい役割が NIS+ クライアントから NIS+ を管理できるように設定するには、nsgrpadmin -a、管理グループ名、および新しい役割の完全修飾名を (この順番で) 入力します。


      $ nisgrpadm -a admin role's_principal_name .  .  .

      たとえば、次の行は、sun.comsecurity ドメインに新しい役割を追加します。


      $ nisgrpadm -a admin newrole.security.sun.com.

任意の役割がリモートログインできるように設定するには

注 -

他のリモートログインの前提条件については、「リモートログインの管理」「管理役割によるリモートログインの許可」を参照してください。

次の手順は、役割がリモートログインするホストごとに行います。

  1. ログインし、セキュリティ管理者役割になります。

    必要であれば、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「管理用エディタ (Admin Editor)」アクションを使って、/etc/default/login ファイルを開いて編集します。

  3. CONSOLE 行をコメントアウトします。


    #CONSOLE=/dev/console

新しい役割を設定するには

  1. 新しい役割の責任を定義します。また、その役割が作業を行うのに必要とするコマンド、アクション、承認を定義します。

  2. コマンドがその作業に特権や他のセキュリティ属性を必要とするかどうか、役割とコマンドがそのセキュリティ属性を信頼できる方法で使用できるかどうかを決定します。

  3. 役割が新しい実行プロファイルを必要とするかどうかを決定します。必要とする場合はそれを作成します。

    「プロファイルマネージャ (Profile Manager)」を使って新しいプロファイルを作成する方法については、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」を参照してください。既存のプロファイルとそのコマンド、アクション、承認の一覧については、付録 A 「プロファイル概要テーブル」を参照してください。

  4. 新しい役割のためのアカウントを作成します。

    役割アカウントを作成するための前提知識と手順については、第 5 章「ユーザーマネージャを使ったアカウントの設定」を参照してください。

  5. NIS+ グループ admin に新しい役割用のエントリを作成します。

    必要であれば、「スーパーユーザーまたは新しい役割が NIS+ を管理できるように設定するには」を参照してください。

trusted_edit エディタを役割に割り当てるには

trusted_edit コマンドが役割の実行プロファイルに含まれていないときは、次のことを行なってください。

  1. ログインし、セキュリティ管理者役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. trusted_edit コマンドをアカウントの実行プロファイルの 1 つに追加します。

    必要に応じて、「管理役割をカスタマイズするには」を参照してください。

  3. /usr/dt/bin/trusted_edit スクリプトを追加します。

  4. スクリプトに proc_audit_tcb 特権を与えます。

    注 -

    残りの手順は、プロファイル内で「管理用エディタ (Admin Editor)」アクションが割り当てられている secadmin などの役割だけが実行できます。

  5. 下記の手順で、別名で trusted_editvi コマンドに変更します。

    1. /etc/security/tsol/home/role_name のホームディレクトリ内で .profile ファイル内の vi 機能を検索します。


      vi() {adminvi $1;}

    2. adminvitrusted_edit と置き換えます。


      vi() {trusted_edit $1;}

    3. 次のエントリがユーザーが作業する各 SLD$HOME/.Xdefaults-hostname ファイルにもあることを確認します。


      Dtterm*LoginShell: true
      注 -

      このファイルは、役割が使うホストごとに作成します。たとえば、役割が trusted と trustworthy というホストで作業する場合、SLD ごとに、$HOME/.Xdefaults-trusted$HOME/.Xdefaults-trustworthy のファイルを作成します。

    注意 - 注意 -

    trusted_edit はウィンドウを起動するため、コマンド行編集用には使うことができません。リモートログインセッションでは、コマンド行編集が唯一の選択肢である可能性もあります。したがって、役割がリモートでコマンド行編集を行わないことが判明している場合以外には、役割が利用できるエディタとして trusted_edit だけを割り当てることは避けてください。