第 5 章 ユーザーマネージャを使ったアカウントの設定

この章では、ユーザーアカウントや役割アカウントを指定する際に必要となる情報の種類を詳しく説明し、ユーザーマネージャを使用したアカウントの追加手順および変更手順を示します。この章には、次の項目があります。

• 「ユーザーマネージャの各種ダイアログボックスに入力する情報の概要」

• 「ユーザーアカウントや役割アカウントの設定または変更手順」

ユーザーマネージャ、ユーザー名、および ユーザー ID という用語は、Solstice 版のユーザーマネージャとの互換性を保つために使われています。Trusted Solaris 版のユーザーマネージャ は、ユーザーのアカウントだけでなく、役割アカウントの設定も行います。この章での「ユーザー名」とは実際にはアカウント名のことであり、これは、ユーザーまたは役割がシステムによる ID 認証を得るために使用する文字列を意味します。また、この章での「ユーザー ID」とは、実際にはユーザーアカウントか役割アカウントのどちらかに適用される ID を意味します。

ユーザーマネージャの各種ダイアログボックスに入力する情報の概要

セキュリティ管理役割およびシステム管理役割は、ユーザーマネージャに表示されているボタンを押すと表示される各種のダイアログボックスを使って、ユーザーや役割のアカウント情報を入力します。責任の分割や、各ボタンにアクセスするのに必要となる承認については、第 3 章「ユーザーアカウントの管理」 および 第 4 章「役割の管理」 を参照してください。

各種のダイアログボックスを起動するボタンを次の図に示します。

図 5-1 ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス

識別情報

管理者役割は、「識別情報 (Identity)」ダイアログボックスで次のようなアカウント情報を入力します。

• ユーザーまたは役割を「識別」するための名前と番号

• ユーザーまたは役割の一次グループおよび (オプションの) 二次グループ

• コメント

• デフォルトのシェル (コマンドインタプリタ)

• 作成するアカウントの種類 (一般、非管理役割、管理役割)

ユーザー名、ユーザー番号、グループ名、グループ ID 番号

アカウント名には一意の名前 (ユーザー名) と一意の番号 (ユーザー ID または UID) が必要です。

システムが同一である限り、ユーザー名およびユーザー ID は決して再利用しないようにしてください。ユーザー名や UID を再使用しないことによって、 アーカイブファイルを復元したり、監査記録を分析したりするときにどのユーザーが何をし、どのファイルを所有していたかについての混乱を防ぐことができます。

作成するアカウントがユーザー用か役割用かに応じて、アカウントのユーザー名、ユーザー ID、グループ名、グループ ID 番号を以下の要領で入力します。

• これらの情報はすべて、アカウントのためにコマンドを実行する個々のプロセスに関連付けられます。

• これらの情報はすべて、アカウントにより作成されたファイルやディレクトリに関連付けられます。

• これらの情報はすべて DAC 判定に使用され、標準の UNIX のファイルまたはディレクトリのアクセス権およびアクセス制御リスト (ACL) に基づいて、ユーザーが特定のファイルやディレクトリに対するアクセス許可を持つかどうかが判定されます。

• 一般ユーザーアカウントの場合、ログインの際にユーザー識別と承認のために、ユーザー名の入力を求められます。

• 役割アカウントの場合、トラステッドパスを通じてユーザーがその役割になる際にユーザー名の入力を求められます。

• 一般ユーザーアカウントの場合、UID は監査 ID になります。監査 ID は、ユーザーが行なった監査可能なアクションにより生成される監査レコード内に格納されます。ユーザーがログインセッション中に特定の役割になり、その役割の UID で作業を始める場合でも、同ログインセッション中の監査 ID は同じままになります。監査 ID を使うと、管理者は監査アクションをどのユーザーが実行したかをトレースできます。

入力前に決定すべき事項

• 自サイトの規定に応じてアカウントのユーザー名を決定すること。

  • アカウント名の長さは 8 文字です。

  • アカウント名は、ネットワーク内で重複しないこと。

  • アカウント名は、そのシステムが同一である限り、再使用はしないこと。

• アカウントのユーザー ID (UID) を決定すること。UID はユーザー名とともに、システムでのアカウントの識別に使用される。

  • UID は、ネットワーク内で重複しないこと。

  • UID は、システムが同一である限り、再使用はしないこと。

• ユーザーが所属する一次グループまたは二次グループを決定すること (二次グループはオプション)。

  • 新しいアカウントに割り当てるための、利用可能なグループ名および GID 番号が必要です。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、手順 3、手順 4、手順 5 を参照のこと。

コメント

ユーザーアカウントの場合、「コメント (Comment)」には、ユーザーの氏名、役職、電話番号などを入力します。ここに入力した情報は passwd(1) エントリの GCOS フィールドに格納されます。「コメント (Comment)」フィールドに入力したテキストは、そのユーザーが送信する電子メールの「From:」フィールドとして、また finger(1) コマンドの出力の一部として使用されます。このフィールドが使用された例を以下に示します。

From: Roseanne Sullivan -- Manual Laborer

役割アカウントの場合、任意のコメントを入力します。

入力前に決定すべき事項

• サイトの使用に応じたコメントを入力すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 6 を参照のこと。

シェル

管理者役割は、ユーザーまたは役割アカウントが使用するデフォルトのシェルを選択できます。指定できるシェルには、Bourne シェル、Korn シェル、C シェル、プロファイルシェルなどがあります。Bourne シェル、Korn シェル、C シェルを使用すると、アカウントは特権を継承する必要のないコマンドをすべて実行することができます。それに対して、プロファイルシェル上で作業する場合は、アカウントが実行できるのはそのアカウントのプロファイルにあるコマンドだけになります。

プロファイルシェルは、同シェル内でユーザーがコマンドを実行するたびに、プロファイルデータベースを調べ、そのコマンドがユーザーの実行プロファイルに存在するかどうか、そして何らかの特権がそのコマンドに継承されるかまたは他の特別な属性がそのコマンドに適用されるかどうかを判断します。そのコマンドの実行時に、データベースに指定されているそのコマンド用の継承可能な特権または他の属性や、アカウントの実行プロファイルに指定されている承認が利用可能となります。

プロファイルシェルを使ったアカウントへの制限付与

プロファイルシェルを使うとユーザーの機能を制限できます。プロファイルシェルは、他のシェルとは異なり、ユーザーが使えるコマンドを指定のコマンド集合に制限できます。

プロファイルシェルを使ったアカウントへの特権付与

プロファイルの機能を使うと、一部のユーザーにしか使用できない特権付きのコマンドが使用できる承認を特定のアカウントに与えることができます。

プロファイルシェルは、コマンドを実行するプロセスに特権を継承させる、あるいは、拡張された属性で実行させることができる唯一のシェルです。アカウントにどんなデフォルトシェルが割り当てられていても、すべてのアカウントは、別のシェルのコマンド行からプロファイルシェルを呼び出すことができます。

入力前に決定すべき事項

• アカウントのシェルを識別すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 7、手順 8 を参照のこと。

アカウントの種類

管理役割は、アカウントを一般ユーザーとして作成するか、それとも非管理役割や管理役割として作成するかを決定します。新しい役割アカウントを作成する場合にのみ、非管理役割または管理役割のいずれかを選択してください (詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」を参照のこと)。

入力前に決定すべき事項

• 一般のユーザーアカウントを設定する場合には「一般ユーザー」を選択する。

  これを選択した後でも、「役割」ダイアログボックスを使えば、特定のユーザーが既存の役割になれるように設定できます。

• 新しい管理役割を設定する場合には「管理役割」を選択する。

• 新しい非管理役割を設定する場合には「非管理役割」を選択する。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 9 を参照のこと。

パスワード

セキュリティ管理者役割は、「パスワード (Password)」ダイアログボックスで次のことを行います。

• アカウント用のパスワードを生成するか、または 3 つのオプションから選択する。

• ユーザーがパスワードを変更できるようになるまでの期間を指定する。

• ユーザーがパスワードを変更しなければならなくなるまでの期間を指定する。

• パスワードの有効期限よりもどれくらい前に警告を送信するかの指定

• ユーザーがトラステッドパス経由でパスワードを変更する場合に表示されるパスワード生成方法の選択

• アカウントを「開く」、「閉じる」、または「常に開く」に指定する。

• NIS+ 資格を使用するかどうかを指定。

パスワード作成や他のパスワードオプションに関する前提知識

アカウントを設定する際、セキュリティ管理者役割は、ユーザーまたは役割用にパスワードを生成します。その後、セキュリティ管理者は、生成したパスワードを新しいユーザーに渡し、最初のログインで使用できるようにします。これ以降、ユーザーが自分のアカウント用のパスワードをいつ変更できるようにするか (またはいつ変更しなければならないようにするか) は、セキュリティ管理者役割の判断に任されます。パスワードの文字数は、8 文字でなければなりません。セキュリティ管理者役割のアカウントや、その役割になることが許可されているユーザーは、「常に開く」に指定する必要があります。役割アカウントのパスワードは、パスワードの使用期限に左右されないようにすべきです。

ユーザーが管理役割になることが許可された場合、セキュリティ管理役割は、役割用のパスワードをそのユーザーに渡します。役割用のパスワードは、役割アカウントに直接ログインするためには使用できません。ログイン後トラステッドパスメニューの役割になるためのオプションを使って特定の役割になろうとするユーザーの認証を行うために使われます。

一般のユーザーであれ役割であれ、指定のアイドル時間が経過したため画面が自動的にロックされた場合には、自分のパスワードを使って再認証を行う必要があります。ユーザーが自分のパスワードを忘れた場合などには、セキュリティ管理者役割は、そのユーザーのための新しいパスワードを生成します。セキュリティ管理者役割は、自分自身を除くすべてのアカウント用のパスワードを変更できます。

Trusted Solaris 環境では、ユーザーや管理役割は、passwd(1)、 yppasswd(1)、nispasswd(1) のいずれのコマンドも使用できません。セキュリティ管理者は、ユーザーマネージャを使ってアカウントのパスワードを変更できます。各アカウントのパスワードを変更するには、いったんログインしてシステムの認証を受けた後、トラステッドパスメニューの「パスワード変更 (Change Password)」オプションを使わなければなりません。一般ユーザーは、ユーザーのワークスペース内でトラステッドパスメニューを使ってパスワードを変更します。特定の役割になっているユーザーは、役割ワークスペース内でトラステッドパスメニューを使ってパスワードを変更します。

「パスワード」メニューからどちらかが選択された場合、セキュリティ管理者は、選択された方法を使って、そのユーザー用のパスワードを直ちに生成するよう求められます。

「パスワード」メニューでは「パスワードの入力」オプションおよび「リストから選択」オプションだけを使うようにしてください。これは、両オプションだけが Trusted Solaris のセキュリティポリシー (ユーザーのログインとパスワードの認証、信頼性) に合致しているためです。その他のオプションは、熟練したセキュリティ管理者が、そのオプションを使用することがサイトのセキュリティポリシーの範囲内で必要かつ妥当であると判断した場合にのみ使うようにしてください。推奨以外のオプションを使用すると、システムがより脆弱になり、しかもシステムの保守が困難になることを十分考慮してください。

入力前に決定すべき事項

• 選択したパスワードをキーボードから入力するか、それとも自動生成されたリストから選択するかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に 手順 1 を参照のこと。

パスワードの期間および警告のフィールドに関する前提知識

パスワード変更に関するオプションを設定することで、侵入者がパスワードの推測または盗むことに成功したとしても、システムへのアクセスを試みる期間を制限できます。パスワードの変更が可能となるまでの最小経過時間を設定すると、新しいパスワードを与えられたユーザーがそれを直ちに古いパスワードに戻すことを抑止できます。役割アカウントのパスワードは、パスワードの使用期限に左右されない ようにすべきです。

入力前に決定すべき事項

• ユーザーが自分のパスワードを変更できるようになるまでの経過時間を決定すること。

• ユーザーが自分のパスワードを変更しなければならなくなるまでの経過時間を決定すること。これには次の指定方法がある。

  • 「最長有効日数」フィールドに何日、何週間、何か月のいずれかを入力する。

  • 「有効期限」フィールドのメニューで年月日を選択する。

• パスワードの期限失効日の何日前、何週間前、何か月前、あるいは何月何日にユーザーに警告を送信するかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に 手順 4、手順 5 を参照のこと。

パスワード生成方法の選択に関する前提知識

「変更方法」メニューで選択されたパスワード生成方法に応じて、アカウントがトラステッドパスメニューを使ってパスワードを生成する時に表示されるダイアログボックス (手動生成または自動生成) が決定されます。

次の表に示した規則が有効になるのは、アカウントがトラステッドパスメニューから「パスワードを変更 (Change Password)」オプションを選択し、パスワードを手動で変更することが許可されたときです。

ユーザーマネージャを使って生成されたパスワード、およびパスワード生成ソフトウェアにより生成されたパスワードに関する規則は、表 5-2 に示したものとは若干異なっています。たとえば、自動生成されたパスワードは数字を含みません。ユーザーマネージャが生成したパスワードは、手動生成したパスワードの規則を完全には満足していませんが、これらのパスワードもシステムにより受け入れられます。セキュリティ管理者役割としては、表 5-2 に示した条件を満たすパスワードを作成することを推奨します。「セキュリティの条件」も参照してください。

入力前に決定すべき事項

• アカウントが自分のパスワードを選択できるようにするか、それとも自動生成されたリストからパスワードを選択しなければならないようにするかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に 手順 6 を参照のこと。

アカウント用の「状態」メニューのオプションに関する前提知識

「状態」メニューのオプションは、Trusted Solaris 版のユーザーマネージャに新しく追加されたものです。これらのオプションに関する説明と推奨設定を下の表に示します。

デフォルトでは、ローカルホストに対して、ログインの試行に 5 回失敗すると、アカウントが閉じられてしまいます。必要に応じて、「パスワード入力ミス許容回数の最大値の変更」を参照。セキュリティ管理者役割は、アカウントのオプションとして「常に開く」を選択すると、トラステッドアカウントをこの制約から免除することができます。

入力前に決定すべき事項

• アカウントのステータスを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に 手順 7 を参照のこと。

NIS+ 用の「認証テーブルの設定」フィールドを選択する場合の注意点

「認証テーブルの設定 (Cred. Table Setup)」フィールドの隣にあるトグルボタンをクリックすると、NIS+ 主体の公開鍵および非公開鍵が cred テーブルに追加されます。これにより、アカウントは NIS+ 主体として設定され、そのアカウントのパスワードが NIS+ データベースに追加されます。詳細は、『Solaris ネーミングの管理』の第 5 章「NIS+ 資格の管理」を参照してください。

入力前に決定すべき事項

• 「認証テーブルの設定 (Cred. Table Setup)」ボックスを選択して、NIS+ 資格を設定するかどうかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に 手順 8 を参照のこと。

ホームディレクトリ

「ホーム (Home)」ダイアログボックスでは、管理者役割は次のことを設定します。

• ホームディレクトリを自動作成するかどうか

• ホームディレクトリのパス名

• ホームディレクトリを提供するサーバーの名前

• シェル初期化ファイルを含むスケルトンパスの名前

• 望ましいホームディレクトリの DAC アクセス権

• アカウントのメールサーバーの名前

• ホームディレクトリを自動マウントするかどうか

アカウントを作成する前にアカウントのホームディレクトリを提供するサーバーを設定しておく必要があります。

ホームディレクトリの自動作成を選ぶ理由

管理者役割がホームディレクトリの自動作成をシステムに指示しなかった場合、管理者役割は、ユーザーがログインする前に、MLD としてのホームディレクトリを手動で作成しなければなりません。この方法では、アカウントが初めてログインしたときにスタートアップファイルも自動的に初期 SLD にコピーされるため、ホームディレクトリを自動作成することをお勧めします。

スケルトンパスに関する注意点

シェルのスタートアップファイル用のスケルトンパスを指定するよう求められた場合、デフォルトのスケルトンパスである /etc/skel を指定すると、あらかじめ提供されているすべてのシェル用のスタートアップファイル (local.cshrc、local.login、local.profile) が、アカウントのホームディレクトリにコピーされます。その後、各アカウントは、それらのコピーされたファイルのうち適切なものを選んでリネームし、自分のシェルで使用しないファイルは削除しなければなりません。たとえば、ユーザーのログインシェルが C シェルの場合、そのユーザーは local.profile を削除します。さらに、local.cshrc および local.login を適切に変更した後、これを .cshrc および .login にリネームします。

管理者が設定を特に変更しなければ、アカウントのデフォルトシェルが pfsh(1M) でないならば、ウィンドウシステムの起動時には .login および .profile のどちらも参照されません。また、スケルトンディレクトリ内のファイルは、ホームディレクトリ内のアカウントの初期機密ラベルで作成された最初の SLD にコピーされますが、その後、管理者またはユーザーは、他の機密ラベルで 2 番目以降に作成されたすべての SLD にも、これらのスタートアップファイルが確実にコピーされるようにする必要があります。スタートアップファイルに関する詳細は、第 3 章「ユーザーアカウントの管理」 「Trusted Solaris システムにおけるスタートアップファイルの管理」 を参照してください。

シェル初期化ファイルの使用を制御するには

ユーザーのログインシェルが Bourne シェル、Korn シェル、C シェルのいずれかに指定されている場合、デフォルトでは、ログイン時にシェル初期化ファイルは参照されないことに注意してください。これは、デフォルトでは、*.dtprofile ファイル内の対応する変数がコメントになっているからです。*.dtprofile ファイル内の他のコメントにも書かれていますが、ログイン時にシェル初期化ファイルが参照されるようにするには、初期化ファイルを正しく設定した後、このコメントをはずすようにしてください。なお、初期化ファイルのデフォルト設定を変更する場合には、その初期化ファイルがウィンドウシステムの起動中に、端末エミュレータやユーザーによる応答を必要とする処理を一切行わないように注意してください。

各ユーザーは自分の $HOME/.dtprofile ファイルを変更して、ウィンドウシステムの起動中、ユーザーのプロファイルが有効になる前に各種のコマンドが実行されるように設定することもできます。しかし、プロファイルシェルの持つ特殊な目的をサポートするために、ユーザーは自分のシェルが有効になる前に実行されるコマンドを指定することは許されません。このため、ユーザーのログインシェルがプロファイルシェルに指定されている場合、ログイン時に .profile ファイルは参照されますが、そのユーザーの $HOME/.dtprofile ファイルは参照されません。

詳しくは、第 3 章「ユーザーアカウントの管理」の 「ログイン時に .login および .profile ファイルを自動的に読み取らせるには」および 「Trusted Solaris システムにおけるスタートアップファイルの管理」を参照してください。

入力前に決定すべき事項

• アカウントのホームディレクトリを提供するサーバーを決定すること。

• アカウント用のマルチレベルホームディレクトリ (MLD) を自動生成するかどうかを決定すること。

• /etc/skel または別のスケルトンディレクトリのどちらを使うか、さらに、その中にどのようなファイルを配置するかを決定すること。

  シェル初期化ファイルをユーザーが独自に変更できるようにするか、それともサイト独自の管理者が管理するシェル初期化ファイルを提供するかを決定すること。後者を選択する場合、第 3 章「ユーザーアカウントの管理」の 「各シェル用にシェル初期化ファイルを分離するには」の手順を実行する必要があります。

• 管理者が /etc/skel に各シェルごとにサブディレクトリを作成した場合、ユーザーのデフォルトシェルに応じて、ユーザーマネージャの「スケルトンパス (Skeleton path)」フィールドに正しい skelX サブディレクトリ名を入力する必要がある。

• ユーザーが作成するファイルのデフォルトのアクセス権 (umask の設定) を決定すること。

• アカウント用のメールサーバーを決定すること。

• ホームディレクトリを自動マウントするかどうかを決定すること。

ユーザーマネージャ内の入力場所

「ホームディレクトリ情報を指定または変更するには」、特に 手順 3、手順 4、手順 5、手順 6、手順 7、手順 8 を参照のこと。

ラベル

「ラベル (Labels)」ダイアログボックスでは、管理者役割は次のことを設定します。

• 認可上限

• 最下位機密ラベル

• アカウントが管理ラベルを見ることを許可するかどうか、またはユーザーの認可範囲内で異なるラベルを見せるようにするか。

• ユーザーが機密ラベルを見ることを許可するかどうか

認可上限と最下位ラベルに関する前提知識

認可上限とは、アカウントが作業を行える機密ラベル範囲のうちの最上位ラベルを定義するものです。管理役割は、認可上限として ADMIN_HIGH を持ちます。

アカウントの最下位機密ラベルとは、アカウントが作業を行える最も低いラベルのことです。管理役割は、最下位機密ラベルとして ADMIN_LOW を持ちます。初めてログインしたとき、最初のワークスペースは最下位ラベルで起動します。

最初のワークスペースのラベルは以降のセッションで変更してもかまいません。 アカウントは次のような方法を使って、別のワークスペースが異なるラベルで起動するように指定できます。

• (トラステッドパスメニューから「ワークスペースの機密ラベルを変更 (Change Workspace SL)」オプションを選択して) ワークスペースのラベルを変更し、次のうちの 1 つを行います。

• 「トラステッドデスクトップ (Trusted Desktop)」サブパネルの「デスクトップスタイル (Desktop Style)」ダイアログボックスを使って、次のうちのどちらかを行います。

  • 「ホームセッションを設定 (Set Home Session)」オプションを使って、ワークスペースのラベルをホームセッションと同じ高いラベルに設定し、「ホームセッションに戻る (Return to Home Session)」を指定します。

  • 「このセッションを再開 (Resume Current Session)」を指定し、現在のワークスペースのラベルが高いままログアウトします。

アカウントの持つ認可上限と最下位ラベルはどちらも、label_encodings(4) ファイル内の最上位機密ラベルよりも劣位でなければならず、かつ、そのユーザー認可範囲に定義されている最下位認可上限より優位でなければなりません。

入力前に決定すべき事項

• アカウントの認可上限を決定すること。これは、label_encodings ファイルに定義されている最下位認可上限よりも優位であること。

• このアカウントが作業することを許される最下位機密ラベルを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に 手順 3、手順 4 を参照のこと。

ラベル表示に関する前提知識

「ラベル (Labels)」ダイアログボックスを使うことで、管理者役割は、ラベルがどのように表示されるかを指定できます。以下の説明では、「CMWラベル」という用語は、以下に示すような標準の形式で両者が表示される場合の情報ラベルおよび機密ラベルを指すものとします。これは、情報ラベルの長形式名 (INFORMATION LABEL) と任意の語の後に、機密ラベルの短形式名 (SL) と任意の語が表示されるものです。

INFORMATION LABEL [SL]

Trusted Solaris 7 以降では情報ラベルは使われません。ADMIN_LOW の固定された情報ラベルは各 CMW ラベルの一部ですが、情報ラベルセクションは無視されます。

ラベル表示

サイトによっては、管理ラベルの名前を機密情報扱いとする場合もあります。ラベル表示のダイアログボックスを使うと、セキュリティ管理者役割は、管理ラベルの ASCII 名を表示するかどうかを決定できます。管理ラベルのデフォルトの ASCII 名は ADMIN_HIGH および ADMIN_LOW です。セキュリティ管理者役割は、 label_encodings(4) ファイルに別の管理ラベル名を指定できるため、実際に表示されるラベル名はサイトによって異なる場合があります。管理ラベルは機密ラベル、認可上限内に表示されます。

セキュリティ管理者役割が別の名前を管理ラベルに割り当てる方法については、『Trusted Solaris のラベル管理』を参照してください。

システム全体のデフォルトのラベル表示は、label_encodings ファイルに設定されます。この場合、セキュリティ管理者役割は、インストール時にデフォルトの設定 INTERNAL を変更するかどうかを選択できます。ユーザーまたは役割アカウント用のラベル表示の場合、それぞれのアカウントを設定する際に、セキュリティ管理者役割は、以下のどれかを選択できます。

• Internal (内部用)

• External (外部用)

• Sys Default (Sys デフォルト)

内部表示

「内部用」オプションを設定すると、アカウントは管理ラベルの名前を見ることができるようになります。管理ラベルの名前は、ADMIN_HIGH および ADMIN_LOW または各サイトの管理者が設定した名前になります。

外部表示

「外部用」オプションを設定されたアカウントは、管理ラベルの ASCII 名を見ることはできません。アカウントのラベル表示が「外部用」である場合、そのアカウントに対しては、ADMIN_LOW (または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最下位ラベルが表示されます。また、アカウントのラベル表示が「外部用」に設定されると、ADMIN-LOW (または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最上位ラベルが表示されます。

ラベル表示が「外部用」に設定された場合でも、バイナリラベルは変化しないことに注意してください。「内部用」との唯一の違いは、ラベルの持つ本当の名前ではなく、ラベルに別の名前が与えられて表示されるということです。

Sys デフォルト

アカウントに対して 「Sys デフォルト」オプションを設定した場合、 label_encodings(4) ファイルに指定されている値のうち DEFAULT LABEL VIEW キーワードに対応するもの (EXTERNAL または INTERNAL のいずれか) がこのアカウント対して適用されます。

入力前に決定すべき事項

• ユーザーが管理ラベルの名前を見ることを許すかどうかを決定すること。または、ユーザーに対して、ADMIN_LOW ラベルの代わりにユーザー認可範囲内の有効な最下位ラベルを表示するかどうか、ADMIN_HIGH ラベルの代わりにユーザー認可範囲内の有効な最上位ラベルを表示するかどうかを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に 手順 5 を参照のこと。

SL の表示／非表示に関する前提知識

機密ラベルは、他の要素とともに次のような場所に表示されます。

• 画面の最下行にあるトラステッドパスインジケータ

• ウィンドウ枠の上部

• ウィンドウアイコンのタイトルバー

機密ラベルは角括弧 [ ] の内部に長形式名で表示されます。

入力前に決定すべき事項

• 機密ラベルを表示するかを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に 手順 6 を参照のこと。

プロファイル

セキュリティ管理者役割は、アカウントに対して実行プロファイルを割り当てます。「プロファイル」ダイアログボックスでは、スクロール可能なリスト内に使用可能な実行プロファイルのリストが説明付きで表示されます。各プロファイルに定義されているアクション、承認、コマンドのリストについては、付録 A 「プロファイル概要テーブル」を参照してください。

デフォルトの管理役割には、必要な実行プロファイルがすでに割り当てられています。新しい役割を作成した場合、その役割のために新しいプロファイルを作成する必要があります。この場合、新しいプロファイルは新しい役割アカウントを作成する前に設定しておいてください。このようにすると、ユーザーマネージャを使ってその役割アカウントにプロファイルを割り当てることができます。

ユーザーアカウントを設定して、このユーザーに役割を割り当てようとする場合、このユーザーアカウントには対応する役割プロファイルを割り当ててはいけません。役割アカウントはそれ自身の実行プロファイルを持っており、このプロファイルは、ユーザーがその役割になって、そのユーザーの ID が役割の ID となった場合にのみ有効となります。

役割プロファイルを一般のユーザーアカウントに割り当ててはいけません。もしそのようにした場合、リスクや混乱が発生することになります。この場合、ユーザーが役割になっていない時でも、ユーザーアカウントに割り当てた役割プロファイルが有効となってしまいます。これは起こってはならないことです。さらに、この場合、作業が正しく行えなくなる場合がでてきます。なぜなら、管理役割のコマンドやアプリケーションの多くはトラステッドパス属性を必要とするため、管理役割ワークスペースの外では動作しないからです。

プロファイルの順番も重要です。アカウントがコマンドやアクションを起動すると、プロファイルの仕組みにより、そのアカウントの持つプロファイル集合のうち任意のプロファイル内で最初にその名前が見つかったコマンドまたはアクションが使用されます。この場合、最初に名前が見つかったプロファイル中に定義されているコマンドやアクションのための属性がそのまま使われることになります。これはユーザーが特定のコマンドを呼び出した場合、システムはそのユーザーの PATH 環境変数に指定されているディレクトリで最初に見つかったコマンドのインスタンスを使用するのに似ています。たとえば、ユーザーがコマンド行から ps コマンドを呼び出した場合、/usr/bin/ps (ps(1) を参照) と /usr/ucb/ps (ps(1B) を参照) のうちどちらが実行されるかは、そのユーザーの PATH がどう設定されているかによって決まります (これら 2 つのバージョンの ps はそれぞれオプションが異なっています)。

これと同様に、1 つのコマンドまたはアクションが、複数の実行プロファイル内に異なる属性を持つもの (たとえば、異なる特権を持つものや、setuid 属性のオン／オフが異なるもの) として定義されている場合、そのコマンドやアクションは、最初にその名前が見つかったプロファイルに定義されているように実行されます。

複数の実行プロファイルの整列順を利用すると次のようなこともできます。あるコマンドを実行するのに、既存の実行プロファイルに定義されている特権とは別の特権を使用したい場合、その特権を割り当てられた同じコマンドを持つ新しい実行プロファイルを作成し、この新しい実行プロファイルを挿入します。このようにすれば、同コマンドが呼び出された場合、プロファイルの仕組みにより新しいプロファイルが最初に見つけられます。

プロファイルの順番を利用すると、特定のアカウントが特定のコマンドやアクションだけを特権付き (または有効な UID や GID 付きや特定の機密ラベル付き) で実行できるようにし、その他のコマンドやアクションについてはすべてそのような特別なセキュリティ属性なしで実行するように設定できます。これを行うには、アカウントが特定のセキュリティ属性付きで実行する必要のあるコマンドやアクションを明示的に指定したプロファイル集合を、このアカウントに対して割り当てた後、これらのプロファイルのリストの一番最後に、アカウントが特権なしで任意のコマンドやアクションを実行できるような「All」プロファイルを割り当てます。このようにすると、アカウントは明示的に指定されたコマンドやアクションだけを指定された属性付きで実行でき、その他のコマンドはすべて特別な属性なしで実行できるようになります。

実行プロファイルについての詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」の 「プロファイルに関係する用語について」を参照してください。

入力前に決定すべき事項

• アカウントに対して少なくとも 1 つの実行プロファイルを割り当てるよう決定すること。

• 実行プロファイルを登録する順番を決定すること。

ユーザーマネージャ内の入力場所

「プロファイルを指定または変更するには」、特に 手順 3 を参照のこと。

役割

セキュリティ管理役割は、一般のユーザーアカウントに対して役割を割り当てます。「役割」ダイアログボックスでは、スクロール可能なリスト内に使用可能な役割のリストが説明付きで表示されます。

役割アカウントは他の役割になることはできません。ユーザーマネージャでは、役割アカウントの設定中は、「役割」ダイアログボックスにはアクセスできないようになっています。ただし、サイトのセキュリティポリシーが許すならば、単一のユーザーに対して複数の役割を割り当てることはできます。

入力前に決定すべき事項

• アカウントがなる役割 (もしあれば) を決定すること。

ユーザーマネージャ内の入力場所

「役割を指定または変更するには」、特に 手順 3 を参照のこと。

アイドル

セキュリティ管理者は、ワークステーションが役割によって指定される一定の期間アイドル状態となった場合に何らかのアクションを実行するかどうかを指定できます。この場合、次の表のように、実行できるアクションとしては、ユーザーをログアウトするか、画面をロックするかのどちらかを選択できます。

図 5-2 画面ロック時のパスワード入力のダイアログボックス

セキュリティ管理役割は、これらのアクションを実行するまでの時間量を「アイドル時間」メニューから選択できます。1、2、3、4、5 分、10、15、30、60、120 分、または「制限なし」のいずれかを選択できます。「制限なし (Forever)」メニューオプションを使うと、ワークスペースは無制限にアイドル状態になり、何のアクションも実行されなくなります。

入力前に決定すべき事項

• ユーザーはログオンしているが活動していないため、ワークステーションがアイドル状態になった場合の措置を決定すること。画面をロックする／ユーザーのセッションを終了させユーザーをログアウトさせる／何もしない、のうちから選択する。

• ワークステーション上での活動がない状態で、どのくらいの時間が経過した場合に指定のアクションを取るかを決定すること。

ユーザーマネージャ内の入力場所

「アイドル制限を指定または変更するには」、特に 手順 2 を参照のこと。

ユーザーアカウントや役割アカウントの設定または変更手順

ユーザーマネージャの各種オプションを使ってアカウント情報を指定するための操作手順を以下に示します。

• 「ユーザーマネージャを起動するには」

• 「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」

• 「ユーザーの読み込みまたは終了(オプション)」

• 「アカウントの検索やソートを行うには」

• 「識別情報を指定または変更するには」

• 「パスワード情報を指定または更新するには」

• 「ホームディレクトリ情報を指定または変更するには」

• 「ラベル情報を指定または変更するには」

• 「プロファイルを指定または変更するには」

• 「役割を指定または変更するには」

• 「アイドル制限を指定または変更するには」

ユーザーマネージャを起動するには

管理者役割は、新しくアカウントを追加し、識別情報とホームディレクトリ情報を指定します。セキュリティ管理者役割はそのアカウントを開き、セキュリティ関連の情報を指定します。

1. 該当する役割になることのできるユーザーとしてログインし、その役割になります。

   必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

2. アプリケーションマネージャの 「Solstice アプリケーション (Solstice_Apps)」フォルダ内のユーザーマネージャのアイコンをクリックします。

   次の図に示すような「読み込み (Load)」ダイアログボックスとユーザーマネージャのウィンドウが表示されます。後者にはユーザーが表示されていません。

   

「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには

1. 「ネームサービス (Naming Service)」メニューから「NIS+」オプションを選択します。

   

   ---

   注 -

   「NIS+」オプションを選択することをお勧めします。これを使うと、すべてのユーザー、ホスト、およびネットワーク情報で集中管理できるからです。これはユーザーの責任および信頼できる管理という点からも重要です。「なし (None)」オプションは、熟練したセキュリティ管理者によってローカルなアカウントサイトのセキュリティポリシーの範囲内で必要かつ妥当であると判断された場合にのみ使うようにしてください。ただし、このオプションを使用すると、システムが攻撃を受けやすくなり、システムの保守が困難になることに注意してください。

   ---

2. 「なし (None)」を選択した場合、「ホスト (Host)」フィールドに表示されたローカルホスト名を受け入れるか、構成ファイルを変更したい別のホスト名を入力します。

3. 「ユーザーの表示対象 (Filter Users)」メニューから「すべて (All)」または「なし (None)」のどちらかを選択します。

   1. 「すべて (All)」を選択すると、すでに設定されているアカウント名とそれに関連付けられているユーザー ID およびコメントのリストが表示されます。

   2. 「指定したものを表示 (Specify)」を選択すると、ユーザー ( 1 人または複数) を指定できます。

      次のどちらかの手順を実行します。

      1. 特定のユーザー名を入力します。

      2. ユーザー名をフィルタ処理するための正規表現を入力します。

   3. 「なし (None)」を選択すると、アカウント名を1つも含まない、メインのユーザーマネージャの「読み込み (Load)」ダイアログボックスが表示されます。

4. 「了解 (OK)」をクリックします。

ユーザーの読み込みまたは終了(オプション)

1. 「ファイル (File)」メニューから「読み込み (Load)」オプションを選択し、「読み込み (Load)」ダイアログボックスを表示させます。

   「読み込み (Load)」ダイアログボックスの使い方については、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」を参照してください。

2. Exit を選択すると、すべてのユーザーマネージャウィンドウを終了します。

アカウントの検索やソートを行うには

1. 「表示 (View)」メニューからオプションを選択します。

   1. リストから特定のユーザーを見つけるには、「検索 (Find)」を選択し、探したい文字列 (0 個以上のワイルドカードを含む) を入力します。

      1. 検索したいユーザー名、ユーザー ID、コメントのいずれか 1 つを入力します。

         

         1 度に検索できるターゲットの種類は 1 つだけです。

      2. 「適用 (Apply)」または「了解 (OK)」をクリックします。

         「了解 (OK)」をクリックすると、ユーザーマネージャのリスト内で次に一致したユーザーがあれば、そのユーザーが強調表示され、「ユーザーマネージャ: 検索 (User Manager: Find)」ダイアログボックスは閉じられます。同様に「適用 (Apply)」をクリックすると、ユーザーマネージャのリスト内で次に一致したユーザーがあれば、そのユーザーが強調表示され、「ユーザーマネージャ: 検索 (User Manager: Find)」ダイアログボックスは表示されたままになります。ここで「適用 (Apply)」を再度クリックすると、次に一致したユーザーが強調表示されます。

         

   2. 「ソート条件 (Sort By)」を選択するとサブメニューが表示されますので、ここで「ユーザー名 (Name)」、「ID」、「コメント (Comment)」の 3 つのフィールドのいずれかを選択します。

   3. 「最新の内容を表示 (Rebuild List)」を選択すると、前回リストが表示された後に行われた追加、削除、変更を反映した現在のアカウントのリストが表示されます。

ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには

1. ユーザーマネージャの「編集 (Edit)」メニューから、「追加 (Add)」、「変更 (Modify)」、「コピー (Copy)」、「デフォルトの設定 (Set Defaults)」、「削除 (Delete)」のいずれかを選択します。

   

   admin 役割は、「編集 (Edit)」メニューの任意のオプションを使用することができます。admin 役割によってアカウントが作成されると、secadmin 役割は、「変更 (Modify)」 を使用することができます。secadmin は、「デフォルトの設定 (Set Defaults)」を使用することもできます。

   「編集 (Edit)」メニューから任意のオプションを選択すると、「ナビゲータ (Navigator)」ダイアログボックスが表示されます。ナビゲータのボタンを使用して、さらに他のダイアログボックスを表示させてそこに挙げられた情報を入力することができます。次の図に、「ユーザーマネージャ: ナビゲータ (追加) (User Manager: Navigator (Add))」ダイアログボックスと、「ユーザーマネージャ: ナビゲータ (変更) (User Manager: Navigator (Modify))」ダイアログボックスを示します。

   

   ---

   注 -

   管理役割がユーザーマネージャを起動した時に、これらのボタンのうちのどれかがグレー表示になっていた場合、そのボタンを使用するのに必要となる承認が、現在の役割の持つ実行プロファイルに割り当てられていないことを意味します。

   ---

   ---

   注 -

   ナビゲータから起動するどのダイアログボックスでも「適用 (Apply)」ボタンをクリックすると、データを保存し、ダイアログボックスを表示したままにします。それに対して、「了解 (OK)」ボタンをクリックすると、データを登録し、ナビゲータの上に重ねて表示されていたダイアログボックスを閉じます。

   ---

   ---

   注 -

   「監査 (Audit)」ボタンは、有効にはなっていません。個々のユーザー向けに監査機能を設定する方法については、マニュアル『Trusted Solaris の監査管理』を参照してください。

   ---

2. すべての新しいアカウントに対してデフォルト値を適用するには、「デフォルトの設定 (Set Defaults)」を選択し、各ボタンをクリックすると、指定の種類の情報をデフォルト値で更新できます (オプション)。

   次の表に、各ダイアログボックスの設定可能なデフォルトを示します。現在の役割が設定できないデフォルトはグレー表示されます。

   表 5-5 ユーザーマネージャのダイアログボックスで設定可能なデフォルト値

   ダイアログボックス	デフォルト値が設定可能な事項	設定手順
   「識別情報 (Identity)」	一次グループ	「識別情報」と 「識別情報を指定または変更するには」を参照のこと。
   	二次グループ
   	ログインシェル
   	ユーザータイプ
   「パスワード (Password)」	すべて	「パスワード」と 「パスワード情報を指定または更新するには」を参照のこと。
   「ホーム (Home)」	パス以外のすべて	「ホームディレクトリ」と 「ホームディレクトリ情報を指定または変更するには」を参照のこと。
   「ラベル (Labels)」	すべて	「ラベル」と 「ラベル情報を指定または変更するには」を参照のこと。
   「プロファイル (Profiles)」	すべて	「プロファイル 」と 「プロファイルを指定または変更するには」を参照のこと。
   「役割 (Roles)」	すべて	「役割」と 「役割を指定または変更するには」を参照のこと。
   「アイドル (Idle)」	すべて	「アイドル」と 「アイドル制限を指定または変更するには」を参照のこと。

3. 新しいアカウントを追加する場合は、「追加 (Add)」または「コピー (Copy)」を選択し、「識別情報を指定または変更するには」 に移ります。

   「コピー (Copy)」を選択すると、既存のアカウント用の指定済みのフィールドを編集することで新しいアカウントを作成できます。このオプションを使うと、他のユーザーアカウントのエントリのうち使いたいものを保持しながら、新しいアカウント用の異なる情報だけを変更できます。

4. 既存のアカウントを変更するには、「変更 (Modify)」を選択し、「識別情報を指定または変更するには」、「パスワード情報を指定または更新するには」、「ホームディレクトリ情報を指定または変更するには」、「ラベル情報を指定または変更するには」、「プロファイルを指定または変更するには」、「役割を指定または変更するには」、または 「アイドル制限を指定または変更するには」に移ります。

5. アカウントを削除するには「削除 (Delete)」を選択し、「ユーザーの読み込みまたは終了(オプション)」 に移ります。

識別情報を指定または変更するには

「識別情報 (Identity)」ダイアログボックスで指定する情報については、「識別情報」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 (Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲート (Navigate)」ダイアログボックス内の「識別情報 (Identity)」ボタンをクリックします。

   「識別情報 (Identity)」ダイアログボックスが表示されます。

   

3. ユーザーまたは役割を識別するための名前を入力します。

   ユーザー名の長さは最大で 8 文字です。名前は、ネットワーク全体で、重複しないようにし、過去に使用した名前は使用しないようにしてください。

4. ユーザーまたは役割の ID 番号を入力します。

   IDは、ネットワーク全体で、重複しないようにし、過去に使用した ID は使用しないようにしてください。

5. ユーザーまたは役割の一次グループ (およびオプションで二次グループ) を入力します。

6. コメントを入力します。

7. 「ログインシェル (Login Shell)」メニューからデフォルトのシェルを選択します。プロファイル、Bourne、Korn、C、またはその他のシェルを指定できます。

8. 「ログインシェル (Login Shell)」メニューから「その他 (Other)」を選択した場合には、そのシェルのパス名を入力します。

   ---

   注 -

   役割アカウントのログインシェルには必ずプロファイルシェル、pfsh(1M) を選択してください。pfsh を通常のユーザーに割り当てることは任意です。

   ---

9. 「ユーザータイプ (User Type)」メニューからアカウントの種類を選択します。

   「一般 (Normal)」、「管理役割 (Admin. Role)」、「非管理役割 (Non-Admin Role)」のいずれかを選択します。

10. 「識別情報 (Identity)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

    「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

11. 新しいアカウント用の情報の入力、または (必要に応じて) 既存アカウントの更新が終了したら、変更を保存して終了します。

    必要に応じて、「ユーザーの読み込みまたは終了(オプション)」を参照してください。

パスワード情報を指定または更新するには

「パスワード (Password)」ダイアログボックスで指定する情報については、「パスワード」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 (Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックスの「パスワード (Password)」ボタンをクリックします。

   「パスワード (Password)」ダイアログボックスが表示されます。

   

3. 新しいパスワードを入力するか、既存のパスワードを変更します。

   1. 上図の「パスワード (Password)」メニューから「パスワードの入力 (Type in)」または「リストから選択 (Choose from list)」のどちらかを選択します。

      ---

      注意 -

      パスワードを保護し、パスワードを本人以外に知られないようにするのは、セキュリティ管理者役割の責任です。

      ---

   2. 「パスワードの入力 (Type in)」を選択して、パスワードを入力します。

      

      1. 「パスワードを入力 (Enter Password)」テキスト入力フィールドにパスワードを入力します。

      2. タブキーを押して「パスワードを確認 (Verify Password)」テキストフィールドに移ります。

      3. 再度パスワードを入力します。

      4. 「了解 (OK)」をクリックするか、Enter キーを押してパスワードを保存します。

   3. 「リストから選択 (Choose from list)」オプションを選択した場合、パスワード生成用のダイアログボックスに表示される生成されたパスワードのリストからパスワードを選択します。

      

      パスワード生成用のダイアログボックスは、システムが生成した 5 つのパスワードを選択肢として表示します。各パスワードの右側には、そのパスワードを音節に分割した発音用のニーモニックが ( ) 内に表示されます (これはパスワードを覚えやすくするための措置です)。

      1. 生成されたパスワード中に好みのパスワードが見つからない場合は、「生成 (Gen)」をクリックして再度 5 つの新しいパスワードを生成させます。

      2. リストからパスワードを選択するには、希望のパスワードの左にある丸をクリックします。

      3. 下にあるテキスト入力フィールドに選択したパスワードを入力して確認します。

      4. 「了解 (OK)」をクリックするか、Enter キーを押してパスワードを保存します。

4. パスワードの有効期間に関する情報を指定します (オプション)。

   1. 「最短有効日数 (Min Change)」フィールドには、いったんパスワードが変更された後、ユーザーが再度そのアカウントでパスワードを変更できるようになるまでに経過しなければならない最小日数を入力します。

   2. パスワードの前回変更時から一定の日数後にそのパスワードを期限切れにしたい場合は、その日数を「最長有効日数 (Max Change)」フィールドに入力します。

   3. 「最長非使用日数 (Max Inactive)」フィールドには、ユーザーアカウントが閉じられる前に、そのアカウントが非活動状態のままでいられる最大日数を入力します。

   4. 特定の日付でパスワードを期限切れにするには、「有効期限 (Expiration Date)」フィールドにその日付を入力します。

5. 手順 4 でパスワードの有効期間や有効期限を設定した場合、「警告 (Warning)」テキスト入力フィールドに、パスワードが期限切れとなる何日前にユーザーに警告を送るかを入力します。

   

6. ユーザー用のパスワードの生成方法を指定します。

   「パスワード (Password)」ダイアログボックスの「生成 (Generation)」メニューを使うと、パスワードの提供をユーザーが行うかそれともシステムが行うかを指定できます。

   

   「リストから選択 (Choose from list)」を選択すると、ユーザーがトラステッドパスメニューの「パスワード変更 (Change password)」オプションを選択した場合には必ずパスワード生成用のダイアログボックスが表示されるようになります。

7. 「状態 (Status)」メニューから、アカウントの「開く (Open)」、「閉じる (Closed)」、「常に開く (Always Open)」のいずれかを選択します。

   新しいアカウントは、セキュリティ管理者がそれを開くまでは閉じられたままになります。同じログインセッション内で不正なパスワードが 3 回入力された場合、アカウントの状態は自動的に「開く (Open)」から「閉じる (Closed)」になります。状態が「常に開く (Always Open)」のアカウントは常にアクセス可能で、不正なパスワードが何回入力されても閉じることはありません。

   ---

   注 -

   ログイン試行が 3 回失敗したために既存のアカウントが閉じられた場合、セキュリティ管理者は、そのアカウントを再度開く前に、ログイン失敗の状況を調査する必要があります。

   ---

8. 「認証テーブルの設定 (Cred. Table Setup)」の右にあるトグルをチェックすると、NIS+ 主体の公開鍵および非公開鍵が資格テーブルに追加されます。

   ---

   注 -

   新しいアカウントを作成した場合、「認証テーブルの設定」チェックボックスにチェックマークを付けることをお勧めします。これにより、そのアカウントは NIS+ の資格テーブルに追加され、そのアカウントのパスワードは NIS+ データベースに追加されます。アカウントを変更するときは、パスワードを変更しない限り、このトグルをそのままにしておくことを一般的にはお勧めします。

   ---

9. 「パスワード (Password)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

   「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

10. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了します。

    必要に応じて、「ユーザーの読み込みまたは終了(オプション)」を参照してください。

ホームディレクトリ情報を指定または変更するには

「ホーム (Home)」ダイアログボックスで指定する情報については、「ホームディレクトリ」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 ( Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス内の「ホーム (Home)」ボタンをクリックします。

   「ホ−ム (Home)」ダイアログボックスが表示されます。

   

3. 「ホ−ムディレクトリの作成 (Create Home Dir)」チェックボックスにチェックマークを付けて、アカウントのホームディレクトリを MLD として自動作成します (オプション)。

4. 「パス (Path)」フィールドに、ホームディレクトリのパス名を入力します。

5. 「サーバー (Server)」フィールドに、ホームディレクトリを提供するサーバーの名前を入力します。

   ホームディレクトリがアカウントの主ワークステーションのローカルパーティション上にマウントされている場合、その主ワークステーションの名前を入力します。それ以外の場合、アカウントのホームディレクトリを提供している NFS サーバーの名前を入力します。

   ---

   注 -

   サーバーはユーザーアカウントの作成前に設定されていなければなりません。

   ---

6. 「アクセス権 (Permissions)」の下の適当なアクセス権ボックスにチェックマークを付けて、ホームディレクトリに対する読み取り、書き込み、実行アクセス権を、所有者、グループ、その他のユーザーごとに設定します。

7. メールサーバーを指定します (オプション)。

8. 「AutoHome の設定 (AutoHome Setup)」ボックスにチェックマークを付けて、ホームディレクトリを自動的にマウントさせます。

9. 「ホーム (Home)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

   「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

10. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了したら、変更を保存して終了します。

    必要に応じて、「変更を保存してユーザーマネージャを終了するには」を参照してください。

ラベル情報を指定または変更するには

「ラベル (Labels)」ダイアログボックスで指定する情報については、「ラベル」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 (Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス内の「ラベル (Labels)」ボタンをクリックします。

   「ラベル (Labels)」ダイアログボックスが表示されます。

   

3. 「認可上限 (Clearance)」ボタンをクリックすると認可上限ビルダーのダイアログボックスが起動されるので、ここでアカウントの認可上限を入力します。

   ユーザーマネージャの認可上限ラベルビルダーダイアログボックスが表示されます。

   1. 認可上限をキーボードから入力するには、「更新後のラベル (Update With)」の下のテキスト入力フィールドを使用します。入力が終ったら「更新 (update)」ボタンをクリックします。

   2. マウスを使って認可上限を設定するには、 格付けのメニューから希望の分類を選択した後、コンパートメントのメニューから、もしあれば、希望のコンパートメントを選択します。

   3. 「了解 (OK)」をクリックしてラベルビルダーのダイアログボックスを閉じます。

      選択した認可上限が、「ラベル (Labels)」ダイアログボックスの「認可上限 (Clearance)」フィールドに表示されます。

      ---

      注 -

      アカウントの認可上限は、label_encodings(4) ファイルに指定されている最上位機密ラベルよりも劣位でなければならず、かつ、同ファイルに指定されている最下位認可上限よりも優位でなければなりません。

      ---

4. 「最下位 SL (Minimum SL)」をクリックして、最下位機密ラベルを入力します。

   最下位機密ラベルビルダーダイアログボックスが表示されます。

   1. 最下位機密ラベルをキーボードから入力するには、「更新後のラベル (Update With)」の下のテキスト入力フィールドを使用します。入力が終わったら「更新 (Update)」ボタンをクリックします。

   2. マウスを使って最下位機密ラベルを設定するには、格付けのメニューから希望の分類を選択した後、コンパートメントのメニューから、もしあれば、希望のコンパートメントを選択します。

   3. 「了解 (OK)」をクリックしてラベルビルダーのダイアログボックスを閉じます。

      選択した最下位機密ラベルが、「ラベル (Labels)」ダイアログボックスの 「最下位 SL (Minimum SL)」フィールドに表示されます。

      ---

      注 -

      アカウントの持つ最下位機密ラベルは、label_encodings ファイルに指定されている最上位機密ラベルよりも劣位でなければならず、かつ、同ファイルに指定されている最下位機密ラベルよりも優位でなければなりません。

      ---

5. 「表示 (View)」メニューのオプションから、アカウント用の管理ラベル表示を選択します。

   1. ADMIN_HIGH および ADMIN_LOW 管理ラベルの代わりに、ユーザー認可範囲内の有効な最上位および最下位ラベルを表示する場合は、「外部用 (External)」を選択します。

   2. ユーザーが ADMIN_HIGH および ADMIN_LOW または各サイトの管理者が設定した管理ラベルの ASCII 名を見ることができるようにするには、「内部用 (Internal)」を選択します。

   3. label_encodings(4) ファイルに指定されているラベル表示のデフォルト値を使用する場合は、「Sys デフォルト (Sys default)」を選択します。

      ---

      注 -

      アカウントが機密ラベルを見ることができるように設定されていない場合、「表示 (View)」メニューのラベル表示オプションは機密ラベルに関しては無効です。.

      ---

6. SL メニューで機密ラベルをアカウントに対して表示するかどうかを選択します。

   1. 機密ラベルを表示する場合には「表示 (Show)」を選択します。

   2. 機密ラベルを表示しない場合には「非表示 (Hide)」を選択します。

7. 「ラベル (Labels)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

   「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

8. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了したら、変更を保存して終了します。

   必要に応じて、「変更を保存してユーザーマネージャを終了するには」を参照してください。

プロファイルを指定または変更するには

「プロファイル (Profiles)」ダイアログボックスで指定する情報については、「プロファイル 」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 (Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス内の「プロファイル (Profiles)」ボタンをクリックします。

   「プロファイル (Profiles)」ダイアログボックスが表示されます。

   上記の図の左側には、選択されていない実行プロファイルの「利用可能 (Available)」リストが表示されます。右側には、現在のアカウント用に選択された実行プロファイルの「含める (Included)」リストが表示されます。

3. 実行プロファイルを割り当てるには、「利用可能 (Available)」リスト内にある割り当てたいプロファイル名をダブルクリックします。または、その名前をシングルクリックした後、右矢印ボタンをクリックして、そのプロファイル名を「選択 (Selected)」リストに移動します。

4. 「選択 (Selected)」リストから実行プロファイルを削除するには、削除したいプロファイルの名前をダブルクリックします。または、その名前をシングルクリックした後、左矢印ボタンをクリックして、そのプロファイル名を「利用可能 (Available)」リストに移動します。

5. 「選択 (Selected)」リスト内の実行プロファイルの並び順を変更するには、その名前をシングルクリックした後、上または下矢印ボタンをクリックして、そのプロファイル名の位置を「選択 (Selected)」リスト内で移動させます。

   ---

   注 -

   「プロファイル 」で述べたように、プロファイルの順番はどのコマンド定義が使用されるかに影響します。このため、プロファイルの順番を決定する場合には、ユーザーにコマンドを使用させる目的を考慮した上で注意深く設定してください。

   ---

6. 「プロファイル (Profiles)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

   「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

7. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了したら、変更を保存して終了します。

   必要に応じて、「変更を保存してユーザーマネージャを終了するには」を参照します。

役割を指定または変更するには

「役割 (Roles)」ダイアログボックスで指定する情報については、「役割」を参照してください。

1. ユーザーマネージャを起動し、アカウント名と変更の種類 (「追加 (Add)」、「変更 (Modify)」、または「デフォルトの設定 (Set Defaults)」) を指定します。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

2. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス内の「役割 (Roles)」ボタンをクリックします。

   「役割 (Roles)」ダイアログボックスが表示されます。

   ---

   注 -

   役割は別の役割になることができません。このため、「識別情報 (Identity)」ダイアログボックスの「ユーザータイプ (Account Type)」フィールドに現在のアカウントが役割アカウントとして示されている場合、「役割 (Roles)」ボタンはグレー表示されます。

   ---

   上記の図の左側には、選択されていない役割の「禁止された役割 (Prohibited)」リストが表示されます。右側には、選択された役割のリストが「就任可能な役割 (Assumable)」の下に表示されます。

3. アカウントに対して役割を割り当てるには、「禁止された役割 (Prohibited)」リスト内にある割り当てたい役割の名前をダブルクリックします。または、その名前をシングルクリックした後、右矢印ボタンをクリックして、そのプロファイル名を「就任可能な役割 (Assumable)」リストに移動します。

4. 「就任可能な役割 (Assumable)」リストから役割を削除するには、削除したい役割の名前をダブルクリックします。または、その名前をシングルクリックした後、左矢印ボタンをクリックして、そのプロファイル名を「禁止された役割 (Prohibited)」リストに移動します。

5. 「役割 (Roles)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

   「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

6. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了したら、変更を保存して終了します。

   必要に応じて、「変更を保存してユーザーマネージャを終了するには」を参照してください。

アイドル制限を指定または変更するには

「アイドル (Idle)」ダイアログボックスで指定する情報については、「アイドル」を参照してください。

1. 「ユーザーマネージャ: ナビゲータ (User Manager: Navigator)」の「アイドル (Idle)」ボタンをクリックします。

   必要であれば、「ユーザーマネージャを起動するには」、「「読み込み (Load)」ダイアログボックスを使ってユーザーと役割アカウントの一覧を読み込むには」、「ユーザーの読み込みまたは終了(オプション)」、「アカウントの検索やソートを行うには」、または 「ユーザーマネージャから追加、変更、コピー、デフォルトの設定、または削除を選択するには」を参照してください。

   「アイドル (Idle)」ダイアログボックスが表示されます。

2. 「アイドル (Idle)」ダイアログボックスでは、アカウントのアイドル状態を制限するための情報およびアクションを指定します (オプション)。

   1. ユーザーマネージャの「ナビゲータ ( Navigator)」ダイアログボックス内の「アイドル (Idle)」ボタンをクリックします。

      「アイドル (Idle)」ダイアログボックスが表示されます。

      

   2. アイドル時間の設定メニューから、ワークステーションがアイドル状態となった時点から何らかのアクションを実行するまでの時間の長さを選択します。

   3. 「画面をロック (Lock Screen)」または「ログアウト (Logout)」のどちらかをクリックします。

      ---

      注意 -

      アクションとしてログアウトを選択した場合、ユーザーのセッションで実行されていたプロセスはすべて kill されます。

      ---

   4. 「アイドル (Idle)」ダイアログボックスの「適用 (Apply)」または「了解 (OK)」をクリックし、変更を保存します。

      「適用 (Apply)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスは表示されたままになります。一方、「了解 (OK)」ボタンをクリックすると、指定のデータを保存した後、ダイアログボックスが閉じられます。

   5. 新しいアカウント用の情報の入力、または既存アカウントの更新が終了したら、変更を保存して終了します。

      必要に応じて、「変更を保存してユーザーマネージャを終了するには」を参照してください。

変更を保存してユーザーマネージャを終了するには

1. ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックスの「完了 (Done)」または「保存 (Save)」をクリックします。

   「ナビゲータ (Navigator)」の「完了 (Done)」をクリックすると、このダイアログボックスに行われたすべての変更が保存され、「ナビゲータ (Navigator)」が閉じます。「保存 (Save)」をクリックすると、変更は保存されますが、「ナビゲータ (Navigator)」は閉じません。

   

   ---

   注 -

   パスワード情報が指定されていない場合、アカウントは閉じられたままになります。

   ---

2. ユーザーマネージャの「ファイル (File)」メニューから「終了 (Exit)」オプションを選択し、すべてのユーザーマネージャウィンドウを終了します。