Trusted Solaris 管理の手順

ユーザーマネージャの各種ダイアログボックスに入力する情報の概要

セキュリティ管理役割およびシステム管理役割は、ユーザーマネージャに表示されているボタンを押すと表示される各種のダイアログボックスを使って、ユーザーや役割のアカウント情報を入力します。責任の分割や、各ボタンにアクセスするのに必要となる承認については、第 3 章「ユーザーアカウントの管理」および第 4 章「役割の管理」を参照してください。

各種のダイアログボックスを起動するボタンを次の図に示します。

図 5-1 ユーザーマネージャの「ナビゲータ (Navigator)」ダイアログボックス

識別情報

管理者役割は、「識別情報 (Identity)」ダイアログボックスで次のようなアカウント情報を入力します。

ユーザーまたは役割を「識別」するための名前と番号
ユーザーまたは役割の一次グループおよび (オプションの) 二次グループ
コメント
デフォルトのシェル (コマンドインタプリタ)
作成するアカウントの種類 (一般、非管理役割、管理役割)

ユーザー名、ユーザー番号、グループ名、グループ ID 番号

アカウント名には一意の名前 (ユーザー名) と一意の番号 (ユーザー ID または UID) が必要です。

注意 -

システムが同一である限り、ユーザー名およびユーザー ID は決して再利用しないようにしてください。ユーザー名や UID を再使用しないことによって、アーカイブファイルを復元したり、監査記録を分析したりするときにどのユーザーが何をし、どのファイルを所有していたかについての混乱を防ぐことができます。

作成するアカウントがユーザー用か役割用かに応じて、アカウントのユーザー名、ユーザー ID、グループ名、グループ ID 番号を以下の要領で入力します。

これらの情報はすべて、アカウントのためにコマンドを実行する個々のプロセスに関連付けられます。
これらの情報はすべて、アカウントにより作成されたファイルやディレクトリに関連付けられます。
これらの情報はすべて DAC 判定に使用され、標準の UNIX のファイルまたはディレクトリのアクセス権およびアクセス制御リスト (ACL) に基づいて、ユーザーが特定のファイルやディレクトリに対するアクセス許可を持つかどうかが判定されます。
一般ユーザーアカウントの場合、ログインの際にユーザー識別と承認のために、ユーザー名の入力を求められます。
役割アカウントの場合、トラステッドパスを通じてユーザーがその役割になる際にユーザー名の入力を求められます。
一般ユーザーアカウントの場合、UID は監査 ID になります。監査 ID は、ユーザーが行なった監査可能なアクションにより生成される監査レコード内に格納されます。ユーザーがログインセッション中に特定の役割になり、その役割の UID で作業を始める場合でも、同ログインセッション中の監査 ID は同じままになります。監査 ID を使うと、管理者は監査アクションをどのユーザーが実行したかをトレースできます。

入力前に決定すべき事項

自サイトの規定に応じてアカウントのユーザー名を決定すること。
- アカウント名の長さは 8 文字です。
- アカウント名は、ネットワーク内で重複しないこと。
- アカウント名は、そのシステムが同一である限り、再使用はしないこと。
アカウントのユーザー ID (UID) を決定すること。UID はユーザー名とともに、システムでのアカウントの識別に使用される。
- UID は、ネットワーク内で重複しないこと。
- UID は、システムが同一である限り、再使用はしないこと。
ユーザーが所属する一次グループまたは二次グループを決定すること (二次グループはオプション)。
- 新しいアカウントに割り当てるための、利用可能なグループ名および GID 番号が必要です。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、手順 3、手順 4、手順 5 を参照のこと。

ユーザーアカウントの場合、「コメント (Comment)」には、ユーザーの氏名、役職、電話番号などを入力します。ここに入力した情報は passwd(1) エントリの GCOS フィールドに格納されます。「コメント (Comment)」フィールドに入力したテキストは、そのユーザーが送信する電子メールの「From:」フィールドとして、また finger(1) コマンドの出力の一部として使用されます。このフィールドが使用された例を以下に示します。

From: Roseanne Sullivan -- Manual Laborer

役割アカウントの場合、任意のコメントを入力します。

入力前に決定すべき事項

サイトの使用に応じたコメントを入力すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に手順 6 を参照のこと。

シェル

管理者役割は、ユーザーまたは役割アカウントが使用するデフォルトのシェルを選択できます。指定できるシェルには、Bourne シェル、Korn シェル、C シェル、プロファイルシェルなどがあります。Bourne シェル、Korn シェル、C シェルを使用すると、アカウントは特権を継承する必要のないコマンドをすべて実行することができます。それに対して、プロファイルシェル上で作業する場合は、アカウントが実行できるのはそのアカウントのプロファイルにあるコマンドだけになります。

プロファイルシェルは、同シェル内でユーザーがコマンドを実行するたびに、プロファイルデータベースを調べ、そのコマンドがユーザーの実行プロファイルに存在するかどうか、そして何らかの特権がそのコマンドに継承されるかまたは他の特別な属性がそのコマンドに適用されるかどうかを判断します。そのコマンドの実行時に、データベースに指定されているそのコマンド用の継承可能な特権または他の属性や、アカウントの実行プロファイルに指定されている承認が利用可能となります。

プロファイルシェルを使ったアカウントへの制限付与

プロファイルシェルを使うとユーザーの機能を制限できます。プロファイルシェルは、他のシェルとは異なり、ユーザーが使えるコマンドを指定のコマンド集合に制限できます。

プロファイルシェルを使ったアカウントへの特権付与

プロファイルの機能を使うと、一部のユーザーにしか使用できない特権付きのコマンドが使用できる承認を特定のアカウントに与えることができます。

注 -

プロファイルシェルは、コマンドを実行するプロセスに特権を継承させる、あるいは、拡張された属性で実行させることができる唯一のシェルです。アカウントにどんなデフォルトシェルが割り当てられていても、すべてのアカウントは、別のシェルのコマンド行からプロファイルシェルを呼び出すことができます。

入力前に決定すべき事項

アカウントのシェルを識別すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に手順 7、手順 8 を参照のこと。

アカウントの種類

管理役割は、アカウントを一般ユーザーとして作成するか、それとも非管理役割や管理役割として作成するかを決定します。新しい役割アカウントを作成する場合にのみ、非管理役割または管理役割のいずれかを選択してください (詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」を参照のこと)。

入力前に決定すべき事項

一般のユーザーアカウントを設定する場合には「一般ユーザー」を選択する。

これを選択した後でも、「役割」ダイアログボックスを使えば、特定のユーザーが既存の役割になれるように設定できます。
新しい管理役割を設定する場合には「管理役割」を選択する。
新しい非管理役割を設定する場合には「非管理役割」を選択する。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に手順 9 を参照のこと。

パスワード

セキュリティ管理者役割は、「パスワード (Password)」ダイアログボックスで次のことを行います。

アカウント用のパスワードを生成するか、または 3 つのオプションから選択する。
ユーザーがパスワードを変更できるようになるまでの期間を指定する。
ユーザーがパスワードを変更しなければならなくなるまでの期間を指定する。
パスワードの有効期限よりもどれくらい前に警告を送信するかの指定
ユーザーがトラステッドパス経由でパスワードを変更する場合に表示されるパスワード生成方法の選択
アカウントを「開く」、「閉じる」、または「常に開く」に指定する。
NIS+ 資格を使用するかどうかを指定。

パスワード作成や他のパスワードオプションに関する前提知識

アカウントを設定する際、セキュリティ管理者役割は、ユーザーまたは役割用にパスワードを生成します。その後、セキュリティ管理者は、生成したパスワードを新しいユーザーに渡し、最初のログインで使用できるようにします。これ以降、ユーザーが自分のアカウント用のパスワードをいつ変更できるようにするか (またはいつ変更しなければならないようにするか) は、セキュリティ管理者役割の判断に任されます。パスワードの文字数は、8 文字でなければなりません。セキュリティ管理者役割のアカウントや、その役割になることが許可されているユーザーは、「常に開く」に指定する必要があります。役割アカウントのパスワードは、パスワードの使用期限に左右されないようにすべきです。

ユーザーが管理役割になることが許可された場合、セキュリティ管理役割は、役割用のパスワードをそのユーザーに渡します。役割用のパスワードは、役割アカウントに直接ログインするためには使用できません。ログイン後トラステッドパスメニューの役割になるためのオプションを使って特定の役割になろうとするユーザーの認証を行うために使われます。

一般のユーザーであれ役割であれ、指定のアイドル時間が経過したため画面が自動的にロックされた場合には、自分のパスワードを使って再認証を行う必要があります。ユーザーが自分のパスワードを忘れた場合などには、セキュリティ管理者役割は、そのユーザーのための新しいパスワードを生成します。セキュリティ管理者役割は、自分自身を除くすべてのアカウント用のパスワードを変更できます。

注 -

Trusted Solaris 環境では、ユーザーや管理役割は、passwd(1)、 yppasswd(1)、nispasswd(1) のいずれのコマンドも使用できません。セキュリティ管理者は、ユーザーマネージャを使ってアカウントのパスワードを変更できます。各アカウントのパスワードを変更するには、いったんログインしてシステムの認証を受けた後、トラステッドパスメニューの「パスワード変更 (Change Password)」オプションを使わなければなりません。一般ユーザーは、ユーザーのワークスペース内でトラステッドパスメニューを使ってパスワードを変更します。特定の役割になっているユーザーは、役割ワークスペース内でトラステッドパスメニューを使ってパスワードを変更します。

「パスワード」メニューからどちらかが選択された場合、セキュリティ管理者は、選択された方法を使って、そのユーザー用のパスワードを直ちに生成するよう求められます。

注 -

「パスワード」メニューでは「パスワードの入力」オプションおよび「リストから選択」オプションだけを使うようにしてください。これは、両オプションだけが Trusted Solaris のセキュリティポリシー (ユーザーのログインとパスワードの認証、信頼性) に合致しているためです。その他のオプションは、熟練したセキュリティ管理者が、そのオプションを使用することがサイトのセキュリティポリシーの範囲内で必要かつ妥当であると判断した場合にのみ使うようにしてください。推奨以外のオプションを使用すると、システムがより脆弱になり、しかもシステムの保守が困難になることを十分考慮してください。

表 5-1 パスワード生成オプションに関する説明と推奨事項


パスワード生成オプション	説明
`アカウントを凍結`	このオプションを選択すると、無効なパスワードが入力された場合にアカウントがロックされます。このロックは、新しいパスワードが割り当てられるまで解除されません。ロックが解除されない限り、アカウントはファイルは所有できますが、ログインはできません。注 - このオプションは、Trusted Solaris 1.x で使われていたものとは、セキュリティ属性が指定されるまでアカウントを凍結するという点で異なっています。Trusted Solaris 2.x および 7 では、その目的には「状態」メニューの「閉じる」オプションが使われます。詳しくは表 5-3 を参照してください。
`パスワードなし -- setuid 処理のみ有効`	このオプションは、ファイルは所有できるがログインはできないという特殊なアカウントを設定します。ユーザーまたは役割アカウント用には、このオプションは選択されません。このオプション付きで設定されたアカウントは、 `setuid` 機能を使って自分の ID をアカウントの ID に変更するプログラムによって使用されます。このようにすると、指定のプログラムが、そのアカウントが所有するファイルにアクセスできるようになります。デフォルトシステムに存在するこのタイプのアカウントには、`lp` および `uucp` があります。パスワードを持たないアカウントを作成することにより、システム侵入を目的としてこれらのアカウントのパスワードが推測されるリスクを回避できます。
`パスワードの入力`	このオプションを選択すると「パスワードを設定」ダイアログボックスが表示されます。このダイアログボックスを使って、管理役割はアカウントのパスワードを入力できます。
`リストから選択`	このオプションを選択すると「パスワードの生成」ダイアログボックスが表示されます。セキュリティ管理者役割は、このダイアログボックスに表示される自動生成されたパスワードの一覧から、指定のアカウント用のパスワードを選択できます。

入力前に決定すべき事項

選択したパスワードをキーボードから入力するか、それとも自動生成されたリストから選択するかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に手順 1 を参照のこと。

パスワードの期間および警告のフィールドに関する前提知識

パスワード変更に関するオプションを設定することで、侵入者がパスワードの推測または盗むことに成功したとしても、システムへのアクセスを試みる期間を制限できます。パスワードの変更が可能となるまでの最小経過時間を設定すると、新しいパスワードを与えられたユーザーがそれを直ちに古いパスワードに戻すことを抑止できます。役割アカウントのパスワードは、パスワードの使用期限に左右されないようにすべきです。

入力前に決定すべき事項

ユーザーが自分のパスワードを変更できるようになるまでの経過時間を決定すること。
ユーザーが自分のパスワードを変更しなければならなくなるまでの経過時間を決定すること。これには次の指定方法がある。
- 「最長有効日数」フィールドに何日、何週間、何か月のいずれかを入力する。
- 「有効期限」フィールドのメニューで年月日を選択する。
パスワードの期限失効日の何日前、何週間前、何か月前、あるいは何月何日にユーザーに警告を送信するかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に手順 4、手順 5 を参照のこと。

パスワード生成方法の選択に関する前提知識

「変更方法」メニューで選択されたパスワード生成方法に応じて、アカウントがトラステッドパスメニューを使ってパスワードを生成する時に表示されるダイアログボックス (手動生成または自動生成) が決定されます。

次の表に示した規則が有効になるのは、アカウントがトラステッドパスメニューから「パスワードを変更 (Change Password)」オプションを選択し、パスワードを手動で変更することが許可されたときです。

表 5-2 手動生成パスワードに関する規則


規則
最大文字数は 8 であること。
パスワードは少なくとも 2 つのアルファベットを含んでいなければならない。
パスワードは少なくとも 1 つの数字または特殊記号を含んでいなければならない。
パスワードはユーザーのログイン名 (ログイン名の文字順を逆にしたもの、文字を循環シフトしたものも含む) とは異なっていなければならない。(この場合、大文字小文字の区別は無視される)
新しいパスワードは、古いパスワードとは異なる文字を少なくとも 3 文字含んでいなければならない (この場合、大文字小文字の区別は無視される)。

注 -

ユーザーマネージャを使って生成されたパスワード、およびパスワード生成ソフトウェアにより生成されたパスワードに関する規則は、表 5-2 に示したものとは若干異なっています。たとえば、自動生成されたパスワードは数字を含みません。ユーザーマネージャが生成したパスワードは、手動生成したパスワードの規則を完全には満足していませんが、これらのパスワードもシステムにより受け入れられます。セキュリティ管理者役割としては、表 5-2 に示した条件を満たすパスワードを作成することを推奨します。「セキュリティの条件」も参照してください。

入力前に決定すべき事項

アカウントが自分のパスワードを選択できるようにするか、それとも自動生成されたリストからパスワードを選択しなければならないようにするかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に手順 6 を参照のこと。

アカウント用の「状態」メニューのオプションに関する前提知識

「状態」メニューのオプションは、Trusted Solaris 版のユーザーマネージャに新しく追加されたものです。これらのオプションに関する説明と推奨設定を下の表に示します。

表 5-3 「状態 (Status)」メニューのオプションの説明と推奨設定


オプション	説明と推奨設定
`閉じる`	アカウントが完全に指定されるまで有効です。アカウントの凍結 (「パスワード (`Password`)」ダイアログボックスの最上部にある「パスワード (`Password`)」メニューで指定するもの) とは異なり、このオプションはアカウントのパスワードには影響しません。デフォルトでは、同じセッション内で不正なパスワードが 5 回入力された場合、アカウントの状態は自動的に「閉じる (Closed)」になります。この場合、`tsoluser(4)` パスワードファイルのこのユーザー用のエントリの lock フィールドに値 locked が指定されます。この場合、セキュリティ管理者は、ユーザーマネージャを使って、この値を「開く」にリセットしなければなりません。
`開く`	アカウントが完全に指定された後に、あるいは、自動的にロックされたアカウントを開き直すときに使います。セキュリティ管理役割は、ユーザーアカウントのセキュリティ関連特性を設定した後、このオプションを選択します。またログイン試行に 5 回失敗しアカウントがロックされた場合、システムの信頼性が脅かされていないことを確認してから、この値にリセットします。アカウントが完全に指定されるまで、ユーザーマネージャはこの値を受け入れません。
`常に開く`	不正なパスワードの入力が制限数まで到達した場合でも、アカウントを閉じない場合に使います。このオプションは、使用不能攻撃 (悪意のあるユーザーがログイン試行を繰り返すことで、特定のアカウントをクローズさせてしまう攻撃) を封じる必要性が、繰り返しのパスワード推測によるシステム侵入を防ぐ必要性よりも大きいと判断した場合にも使用できます。

注 -

デフォルトでは、ローカルホストに対して、ログインの試行に 5 回失敗すると、アカウントが閉じられてしまいます。必要に応じて、「パスワード入力ミス許容回数の最大値の変更」を参照。セキュリティ管理者役割は、アカウントのオプションとして「常に開く」を選択すると、トラステッドアカウントをこの制約から免除することができます。

入力前に決定すべき事項

アカウントのステータスを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に手順 7 を参照のこと。

NIS+ 用の「認証テーブルの設定」フィールドを選択する場合の注意点

「認証テーブルの設定 (Cred. Table Setup)」フィールドの隣にあるトグルボタンをクリックすると、NIS+ 主体の公開鍵および非公開鍵が cred テーブルに追加されます。これにより、アカウントは NIS+ 主体として設定され、そのアカウントのパスワードが NIS+ データベースに追加されます。詳細は、『Solaris ネーミングの管理』の第 5 章「NIS+ 資格の管理」を参照してください。

入力前に決定すべき事項

「認証テーブルの設定 (Cred. Table Setup)」ボックスを選択して、NIS+ 資格を設定するかどうかを決定すること。

ユーザーマネージャ内の入力場所

「パスワード情報を指定または更新するには」、特に手順 8 を参照のこと。

ホームディレクトリ

「ホーム (Home)」ダイアログボックスでは、管理者役割は次のことを設定します。

ホームディレクトリを自動作成するかどうか
ホームディレクトリのパス名
ホームディレクトリを提供するサーバーの名前
シェル初期化ファイルを含むスケルトンパスの名前
望ましいホームディレクトリの DAC アクセス権
アカウントのメールサーバーの名前
ホームディレクトリを自動マウントするかどうか

注 -

アカウントを作成する前にアカウントのホームディレクトリを提供するサーバーを設定しておく必要があります。

ホームディレクトリの自動作成を選ぶ理由

管理者役割がホームディレクトリの自動作成をシステムに指示しなかった場合、管理者役割は、ユーザーがログインする前に、MLD としてのホームディレクトリを手動で作成しなければなりません。この方法では、アカウントが初めてログインしたときにスタートアップファイルも自動的に初期 SLD にコピーされるため、ホームディレクトリを自動作成することをお勧めします。

スケルトンパスに関する注意点

シェルのスタートアップファイル用のスケルトンパスを指定するよう求められた場合、デフォルトのスケルトンパスである /etc/skel を指定すると、あらかじめ提供されているすべてのシェル用のスタートアップファイル (local.cshrc、local.login、local.profile) が、アカウントのホームディレクトリにコピーされます。その後、各アカウントは、それらのコピーされたファイルのうち適切なものを選んでリネームし、自分のシェルで使用しないファイルは削除しなければなりません。たとえば、ユーザーのログインシェルが C シェルの場合、そのユーザーは local.profile を削除します。さらに、local.cshrc および local.login を適切に変更した後、これを .cshrc および .login にリネームします。

注 -

管理者が設定を特に変更しなければ、アカウントのデフォルトシェルが pfsh(1M) でないならば、ウィンドウシステムの起動時には .login および .profile のどちらも参照されません。また、スケルトンディレクトリ内のファイルは、ホームディレクトリ内のアカウントの初期機密ラベルで作成された最初の SLD にコピーされますが、その後、管理者またはユーザーは、他の機密ラベルで 2 番目以降に作成されたすべての SLD にも、これらのスタートアップファイルが確実にコピーされるようにする必要があります。スタートアップファイルに関する詳細は、第 3 章「ユーザーアカウントの管理」「Trusted Solaris システムにおけるスタートアップファイルの管理」を参照してください。

シェル初期化ファイルの使用を制御するには

ユーザーのログインシェルが Bourne シェル、Korn シェル、C シェルのいずれかに指定されている場合、デフォルトでは、ログイン時にシェル初期化ファイルは参照されないことに注意してください。これは、デフォルトでは、*.dtprofile ファイル内の対応する変数がコメントになっているからです。*.dtprofile ファイル内の他のコメントにも書かれていますが、ログイン時にシェル初期化ファイルが参照されるようにするには、初期化ファイルを正しく設定した後、このコメントをはずすようにしてください。なお、初期化ファイルのデフォルト設定を変更する場合には、その初期化ファイルがウィンドウシステムの起動中に、端末エミュレータやユーザーによる応答を必要とする処理を一切行わないように注意してください。

各ユーザーは自分の $HOME/.dtprofile ファイルを変更して、ウィンドウシステムの起動中、ユーザーのプロファイルが有効になる前に各種のコマンドが実行されるように設定することもできます。しかし、プロファイルシェルの持つ特殊な目的をサポートするために、ユーザーは自分のシェルが有効になる前に実行されるコマンドを指定することは許されません。このため、ユーザーのログインシェルがプロファイルシェルに指定されている場合、ログイン時に .profile ファイルは参照されますが、そのユーザーの $HOME/.dtprofile ファイルは参照されません。

詳しくは、第 3 章「ユーザーアカウントの管理」の「ログイン時に .login および .profile ファイルを自動的に読み取らせるには」および「Trusted Solaris システムにおけるスタートアップファイルの管理」を参照してください。

入力前に決定すべき事項

アカウントのホームディレクトリを提供するサーバーを決定すること。
アカウント用のマルチレベルホームディレクトリ (MLD) を自動生成するかどうかを決定すること。
/etc/skel または別のスケルトンディレクトリのどちらを使うか、さらに、その中にどのようなファイルを配置するかを決定すること。

シェル初期化ファイルをユーザーが独自に変更できるようにするか、それともサイト独自の管理者が管理するシェル初期化ファイルを提供するかを決定すること。後者を選択する場合、第 3 章「ユーザーアカウントの管理」の「各シェル用にシェル初期化ファイルを分離するには」の手順を実行する必要があります。
管理者が /etc/skel に各シェルごとにサブディレクトリを作成した場合、ユーザーのデフォルトシェルに応じて、ユーザーマネージャの「スケルトンパス (Skeleton path)」フィールドに正しい skelX サブディレクトリ名を入力する必要がある。
ユーザーが作成するファイルのデフォルトのアクセス権 (umask の設定) を決定すること。
アカウント用のメールサーバーを決定すること。
ホームディレクトリを自動マウントするかどうかを決定すること。

ユーザーマネージャ内の入力場所

「ホームディレクトリ情報を指定または変更するには」、特に手順 3、手順 4、手順 5、手順 6、手順 7、手順 8 を参照のこと。

ラベル

「ラベル (Labels)」ダイアログボックスでは、管理者役割は次のことを設定します。

認可上限
最下位機密ラベル
アカウントが管理ラベルを見ることを許可するかどうか、またはユーザーの認可範囲内で異なるラベルを見せるようにするか。
ユーザーが機密ラベルを見ることを許可するかどうか

認可上限と最下位ラベルに関する前提知識

認可上限とは、アカウントが作業を行える機密ラベル範囲のうちの最上位ラベルを定義するものです。管理役割は、認可上限として ADMIN_HIGH を持ちます。

アカウントの最下位機密ラベルとは、アカウントが作業を行える最も低いラベルのことです。管理役割は、最下位機密ラベルとして ADMIN_LOW を持ちます。初めてログインしたとき、最初のワークスペースは最下位ラベルで起動します。

最初のワークスペースのラベルは以降のセッションで変更してもかまいません。アカウントは次のような方法を使って、別のワークスペースが異なるラベルで起動するように指定できます。

(トラステッドパスメニューから「ワークスペースの機密ラベルを変更 (Change Workspace SL)」オプションを選択して) ワークスペースのラベルを変更し、次のうちの 1 つを行います。
「トラステッドデスクトップ (Trusted Desktop)」サブパネルの「デスクトップスタイル (Desktop Style)」ダイアログボックスを使って、次のうちのどちらかを行います。
- 「ホームセッションを設定 (Set Home Session)」オプションを使って、ワークスペースのラベルをホームセッションと同じ高いラベルに設定し、「ホームセッションに戻る (Return to Home Session)」を指定します。
- 「このセッションを再開 (Resume Current Session)」を指定し、現在のワークスペースのラベルが高いままログアウトします。

注 -

アカウントの持つ認可上限と最下位ラベルはどちらも、label_encodings(4) ファイル内の最上位機密ラベルよりも劣位でなければならず、かつ、そのユーザー認可範囲に定義されている最下位認可上限より優位でなければなりません。

入力前に決定すべき事項

アカウントの認可上限を決定すること。これは、label_encodings ファイルに定義されている最下位認可上限よりも優位であること。
このアカウントが作業することを許される最下位機密ラベルを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に手順 3、手順 4 を参照のこと。

ラベル表示に関する前提知識

「ラベル (Labels)」ダイアログボックスを使うことで、管理者役割は、ラベルがどのように表示されるかを指定できます。以下の説明では、「CMWラベル」という用語は、以下に示すような標準の形式で両者が表示される場合の情報ラベルおよび機密ラベルを指すものとします。これは、情報ラベルの長形式名 (INFORMATION LABEL) と任意の語の後に、機密ラベルの短形式名 (SL) と任意の語が表示されるものです。

INFORMATION LABEL [SL]

注 -

Trusted Solaris 7 以降では情報ラベルは使われません。ADMIN_LOW の固定された情報ラベルは各 CMW ラベルの一部ですが、情報ラベルセクションは無視されます。

ラベル表示

サイトによっては、管理ラベルの名前を機密情報扱いとする場合もあります。ラベル表示のダイアログボックスを使うと、セキュリティ管理者役割は、管理ラベルの ASCII 名を表示するかどうかを決定できます。管理ラベルのデフォルトの ASCII 名は ADMIN_HIGH および ADMIN_LOW です。セキュリティ管理者役割は、 label_encodings(4) ファイルに別の管理ラベル名を指定できるため、実際に表示されるラベル名はサイトによって異なる場合があります。管理ラベルは機密ラベル、認可上限内に表示されます。

注 -

セキュリティ管理者役割が別の名前を管理ラベルに割り当てる方法については、『Trusted Solaris のラベル管理』を参照してください。

システム全体のデフォルトのラベル表示は、label_encodings ファイルに設定されます。この場合、セキュリティ管理者役割は、インストール時にデフォルトの設定 INTERNAL を変更するかどうかを選択できます。ユーザーまたは役割アカウント用のラベル表示の場合、それぞれのアカウントを設定する際に、セキュリティ管理者役割は、以下のどれかを選択できます。

Internal (内部用)
External (外部用)
Sys Default (Sys デフォルト)

内部表示

「内部用」オプションを設定すると、アカウントは管理ラベルの名前を見ることができるようになります。管理ラベルの名前は、ADMIN_HIGH および ADMIN_LOW または各サイトの管理者が設定した名前になります。

外部表示

「外部用」オプションを設定されたアカウントは、管理ラベルの ASCII 名を見ることはできません。アカウントのラベル表示が「外部用」である場合、そのアカウントに対しては、ADMIN_LOW (または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最下位ラベルが表示されます。また、アカウントのラベル表示が「外部用」に設定されると、ADMIN-LOW (または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最上位ラベルが表示されます。

注 -

ラベル表示が「外部用」に設定された場合でも、バイナリラベルは変化しないことに注意してください。「内部用」との唯一の違いは、ラベルの持つ本当の名前ではなく、ラベルに別の名前が与えられて表示されるということです。

Sys デフォルト

アカウントに対して「Sys デフォルト」オプションを設定した場合、 label_encodings(4) ファイルに指定されている値のうち DEFAULT LABEL VIEW キーワードに対応するもの (EXTERNAL または INTERNAL のいずれか) がこのアカウント対して適用されます。

入力前に決定すべき事項

ユーザーが管理ラベルの名前を見ることを許すかどうかを決定すること。または、ユーザーに対して、ADMIN_LOW ラベルの代わりにユーザー認可範囲内の有効な最下位ラベルを表示するかどうか、ADMIN_HIGH ラベルの代わりにユーザー認可範囲内の有効な最上位ラベルを表示するかどうかを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に手順 5 を参照のこと。

SL の表示／非表示に関する前提知識

機密ラベルは、他の要素とともに次のような場所に表示されます。

画面の最下行にあるトラステッドパスインジケータ
ウィンドウ枠の上部
ウィンドウアイコンのタイトルバー

機密ラベルは角括弧 [ ] の内部に長形式名で表示されます。

入力前に決定すべき事項

機密ラベルを表示するかを決定すること。

ユーザーマネージャ内の入力場所

「ラベル情報を指定または変更するには」、特に手順 6 を参照のこと。

プロファイル

セキュリティ管理者役割は、アカウントに対して実行プロファイルを割り当てます。「プロファイル」ダイアログボックスでは、スクロール可能なリスト内に使用可能な実行プロファイルのリストが説明付きで表示されます。各プロファイルに定義されているアクション、承認、コマンドのリストについては、付録 A 「プロファイル概要テーブル」を参照してください。

注 -

デフォルトの管理役割には、必要な実行プロファイルがすでに割り当てられています。新しい役割を作成した場合、その役割のために新しいプロファイルを作成する必要があります。この場合、新しいプロファイルは新しい役割アカウントを作成する前に設定しておいてください。このようにすると、ユーザーマネージャを使ってその役割アカウントにプロファイルを割り当てることができます。

ユーザーアカウントを設定して、このユーザーに役割を割り当てようとする場合、このユーザーアカウントには対応する役割プロファイルを割り当ててはいけません。役割アカウントはそれ自身の実行プロファイルを持っており、このプロファイルは、ユーザーがその役割になって、そのユーザーの ID が役割の ID となった場合にのみ有効となります。

注 -

役割プロファイルを一般のユーザーアカウントに割り当ててはいけません。もしそのようにした場合、リスクや混乱が発生することになります。この場合、ユーザーが役割になっていない時でも、ユーザーアカウントに割り当てた役割プロファイルが有効となってしまいます。これは起こってはならないことです。さらに、この場合、作業が正しく行えなくなる場合がでてきます。なぜなら、管理役割のコマンドやアプリケーションの多くはトラステッドパス属性を必要とするため、管理役割ワークスペースの外では動作しないからです。

プロファイルの順番も重要です。アカウントがコマンドやアクションを起動すると、プロファイルの仕組みにより、そのアカウントの持つプロファイル集合のうち任意のプロファイル内で最初にその名前が見つかったコマンドまたはアクションが使用されます。この場合、最初に名前が見つかったプロファイル中に定義されているコマンドやアクションのための属性がそのまま使われることになります。これはユーザーが特定のコマンドを呼び出した場合、システムはそのユーザーの PATH 環境変数に指定されているディレクトリで最初に見つかったコマンドのインスタンスを使用するのに似ています。たとえば、ユーザーがコマンド行から ps コマンドを呼び出した場合、/usr/bin/ps (ps(1) を参照) と /usr/ucb/ps (ps(1B) を参照) のうちどちらが実行されるかは、そのユーザーの PATH がどう設定されているかによって決まります (これら 2 つのバージョンの ps はそれぞれオプションが異なっています)。

これと同様に、1 つのコマンドまたはアクションが、複数の実行プロファイル内に異なる属性を持つもの (たとえば、異なる特権を持つものや、setuid 属性のオン／オフが異なるもの) として定義されている場合、そのコマンドやアクションは、最初にその名前が見つかったプロファイルに定義されているように実行されます。

複数の実行プロファイルの整列順を利用すると次のようなこともできます。あるコマンドを実行するのに、既存の実行プロファイルに定義されている特権とは別の特権を使用したい場合、その特権を割り当てられた同じコマンドを持つ新しい実行プロファイルを作成し、この新しい実行プロファイルを挿入します。このようにすれば、同コマンドが呼び出された場合、プロファイルの仕組みにより新しいプロファイルが最初に見つけられます。

プロファイルの順番を利用すると、特定のアカウントが特定のコマンドやアクションだけを特権付き (または有効な UID や GID 付きや特定の機密ラベル付き) で実行できるようにし、その他のコマンドやアクションについてはすべてそのような特別なセキュリティ属性なしで実行するように設定できます。これを行うには、アカウントが特定のセキュリティ属性付きで実行する必要のあるコマンドやアクションを明示的に指定したプロファイル集合を、このアカウントに対して割り当てた後、これらのプロファイルのリストの一番最後に、アカウントが特権なしで任意のコマンドやアクションを実行できるような「All」プロファイルを割り当てます。このようにすると、アカウントは明示的に指定されたコマンドやアクションだけを指定された属性付きで実行でき、その他のコマンドはすべて特別な属性なしで実行できるようになります。

実行プロファイルについての詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」の「プロファイルに関係する用語について」を参照してください。

入力前に決定すべき事項

アカウントに対して少なくとも 1 つの実行プロファイルを割り当てるよう決定すること。
実行プロファイルを登録する順番を決定すること。

ユーザーマネージャ内の入力場所

「プロファイルを指定または変更するには」、特に手順 3 を参照のこと。

役割

セキュリティ管理役割は、一般のユーザーアカウントに対して役割を割り当てます。「役割」ダイアログボックスでは、スクロール可能なリスト内に使用可能な役割のリストが説明付きで表示されます。

役割アカウントは他の役割になることはできません。ユーザーマネージャでは、役割アカウントの設定中は、「役割」ダイアログボックスにはアクセスできないようになっています。ただし、サイトのセキュリティポリシーが許すならば、単一のユーザーに対して複数の役割を割り当てることはできます。

入力前に決定すべき事項

アカウントがなる役割 (もしあれば) を決定すること。

ユーザーマネージャ内の入力場所

「役割を指定または変更するには」、特に手順 3 を参照のこと。

アイドル

セキュリティ管理者は、ワークステーションが役割によって指定される一定の期間アイドル状態となった場合に何らかのアクションを実行するかどうかを指定できます。この場合、次の表のように、実行できるアクションとしては、ユーザーをログアウトするか、画面をロックするかのどちらかを選択できます。

表 5-4 アイドル時の選択


画面ロック	指定の期間アイドル状態となった場合に画面をロックします。この場合、アカウントが元のセッションに戻るには、パスワードを入力する必要があります。マウスを移動するか任意のキーを押すと、ダイアログボックスが表示されるので、ユーザーはここで自分のパスワードを入力します。
ログアウト	指定の期間アイドル状態となった場合にユーザーをシステムから完全にログアウトします。この場合、ユーザーは再度ログインする必要があります。

図 5-2 画面ロック時のパスワード入力のダイアログボックス

セキュリティ管理役割は、これらのアクションを実行するまでの時間量を「アイドル時間」メニューから選択できます。1、2、3、4、5 分、10、15、30、60、120 分、または「制限なし」のいずれかを選択できます。「制限なし (Forever)」メニューオプションを使うと、ワークスペースは無制限にアイドル状態になり、何のアクションも実行されなくなります。

入力前に決定すべき事項

ユーザーはログオンしているが活動していないため、ワークステーションがアイドル状態になった場合の措置を決定すること。画面をロックする／ユーザーのセッションを終了させユーザーをログアウトさせる／何もしない、のうちから選択する。
ワークステーション上での活動がない状態で、どのくらいの時間が経過した場合に指定のアクションを取るかを決定すること。

ユーザーマネージャ内の入力場所

「アイドル制限を指定または変更するには」、特に手順 2 を参照のこと。