Trusted Solaris 管理の手順

第 8 章 ユーザーおよび役割のための実行プロファイルの管理

この章では、実行プロファイルの変更や追加を行う方法について説明します。実行プロファイルは個々のユーザーや管理役割の持つ機能を定義するのに使われます。この章の主な項目には次のものがあります。

この章では次の操作手順を示します。

プロファイルに関係する用語について

この節では、実行プロファイルに関係する Trusted Solaris 独自の概念や用語について再度説明します。また新しい概念や情報も説明します。ここで再度説明する項目は、『Trusted Solaris ユーザーズガイド』で紹介され、『Trusted Solaris 管理の概要』でより詳しく説明されたもので、便宜上、このマニュアルにも含まれています。

実行プロファイル

実行プロファイルとは、個々のユーザーや管理役割の持つ機能を定義する仕組みです。各実行プロファイルには、UNIX コマンド、CDE アクション、承認のリストを含めることができ、また実行プロファイルではこれらの各コマンドやアクションに特定のセキュリティ属性 (実効 UID実効 GID、継承可能な特権、ラベル制限)を関連付けることもできます。各ユーザーまたは役割には 1 つ以上の実効プロファイルを割り当てることができます。実効プロファイルを指定する順番には意味があります。ユーザーまたは役割に複数の実効プロファイルが割り当てられている場合、それらの一連の承認は結合されることになります。また、何らかのコマンドやアクションが発行されると、そのコマンドやアクションに関する属性記述を見つけるために、そのアカウントの持つすべてのプロファイルのリストが検索されます。この結果、そのコマンドやアクションは、それらが最初に現れたプロファイルに指定されている特権、UID、GID を使って実行されることになります。また、実行プロファイルを使うと、ユーザーの使用するアプリケーションやコマンドを特定のものだけに制限することや、役割の仕組みと組み合わせて使うことで特定のアカウントの機能を拡張することもできます。詳細は、「有効化属性」および「制限属性」の項を参照してください。

実効 UID および GID

コマンドを実行するプロセスは、実効ユーザー ID (EUID) および実効グループ ID (EGID) を持ちます。これらは、プロセスが、セットユーザー ID (setuid) ビットまたはセットグループ ID (setgid) ビットがセットされたコマンドを実行しない限り、それぞれそのプロセスの実 UID および実 GID に等しくなります。setuid ビットや setgid ビットをセットすることにより実効ユーザー ID または実効グループ ID (またはその両方) を設定することは、通常、コマンドの実行時にそのコマンド自身が root (UID が 0) によって実行されていることを検査するようなコマンドに対して行われます。あるコマンドやアクションの setuid ビットや setgid ビットをセットすると、標準 UNIX システム内ではスーパーユーザーしか実行できない作業を、管理者でないユーザーが実行できるようになります。Trusted Solaris 環境で同様の操作を実施するには、セキュリティ管理者は、コマンドやアクションが特定のユーザーやグループによって実行される必要がある場合、実効ユーザー ID および実効グループ ID を実行プロファイル内のそのコマンドやアクションに対して割り当てます。多くの場合、実効ユーザー ID および実効グループ ID の割り当ては、root として実行する必要のあるコマンドに対して行われます。

アクション

アクションとは、1 つ以上のコマンドを特定のタスクとしてまとめることで、そのタスクを 1 人以上のユーザーに割り当てられるようにする仕組みです。アクションは各コマンドと共に指定された一連のオプションや引数を持ちます。また、ユーザーに追加の引数の入力を求めるダイアログボックスを使用することもあります。

NIS+ によって管理されないファイルの編集を行うために、これまで一連の管理アクションが作成されて来ました。たとえば、vfstab_adjunct ファイルを編集する場合、セキュリティ管理者役割は「マウント属性の設定」というアクションを使います。「マウント属性の設定」アクションは、コマンド (adminvi)、引数 (vfstab_adjunct)、ラベル範囲 (ADMIN_LOW から ADMIN_HIGH)、root の実効 UID および sys の実効 GID を含んでいます。ラベルの範囲を制限すれば、vfstab_adjunct ファイルが特定の範囲のラベル内だけで、またはシングルラベルだけで編集されることを保証できます。実効 UID および実効 GID はこのファイルへのアクセスを保証し、編集プロセス中にこのファイルの所有者やグループが変更されないようにするために使われます。

各アクションは通常それ自身のアイコンを持ちます。また、各アクションはそれ自身のセキュリティ属性を割り当てられており、実効プロファイル内に指定できます。アプリケーションマネージャ内のアイコンやほとんどのフロントパネル内のアイコンは、何らかのアクションに対応しています。

アクションの追加方法については『共通デスクトップ環境 ユーザーズ・ガイド』および『共通デスクトップ環境 上級ユーザー及びシステム管理者ガイド』に説明されています。ただし、Trusted Solaris のセキュリティポリシーにより、誰がアクションを追加でき、誰がアクションを使用できるのかに関しては、これらの説明とは異なっています。

アクションの追加方法に関しては、第 16 章「ソフトウェアの追加」「アクション」を参照してください。

有効化属性

実行プロファイル内で、コマンドやアクションに対してオプションとして一連の無効化特権、実効ユーザー ID、実効グループ ID を割り当てることで、そのコマンドやアクションの機能を拡張できます。このようなコマンドやアクションを呼び出すことで、アカウントは次のことが可能となります。

このような UID、GID、特権をまとめて「有効化属性」と呼びます。

制限属性

ラベル属性は「制限属性」と呼ばれます。これは、ラベル属性がコマンドやアクションを呼び出すことのできるラベルの範囲を制限するものだからです。デフォルトのラベル範囲は ADMIN_LOW から ADMIN_HIGH まで、システム認可範囲のすべての範囲となります。

プロファイル内の特権

実行プロファイル内で、コマンドやアクションに 1 つ以上の特権を割り当てると、その特権は、「特権の継承」を通じて利用可能となります。特権は「有効化属性」であると見なされます。コマンドは、プロファイルシェル (pfsh(1M)) から呼び出された場合にのみ特権を継承します。アクションは、ウィンドウシステム経由でプロファイルシェルが使用するデータベースルックアップにより、特権を継承します。

特権の継承を使うと、特権を利用するアカウントに対してさらに細かい制御が行えます。コマンドに関する継承された特権の使用と強制された特権の使用を比べてみると、強制された特権は実行プロファイルに関連付けられているため、そのコマンドを誰が呼び出したか、またはどのシェルが使われたかに関係なく、この特権は有効となります。一方、継承された特権は、ユーザーまたは役割がそのコマンドをプロファイルシェルで実行した場合、かつそのアカウントの実行プロファイルにそのコマンドを特権付きで実行するよう指定されている場合にのみ利用可能となります。

実行プロファイルに関する前提知識

プロファイルの追加や変更は、デフォルトのシステムに提供されている管理方法の範囲を超えて、さらにユーザーの活動を制御し管理者の機能を拡張したいと考えるサイトを対象とする上級者向けのトピックです。

Trusted Solaris 環境の提供するデフォルトの実行プロファイルセットには次のものがあります。

これらのデフォルトの役割プロファイル間では、通常の UNIX システム管理者 (root/スーパーユーザー) の管理責任に加えて、Trusted Solaris システムに特化した管理責任を満たすのに必要なすべてのコマンド、アクション、承認、特権が分割されています。

デフォルトの実行プロファイルは、管理者が完全に信頼して義務を実行できるように定義されています。しかし、各サイトのセキュリティ管理者が実行プロファイルとその動作原理に精通したならば、そのセキュリティ管理者は次の問いに対する自サイトの答えに基づいて、新しいプロファイルを作成する場合があるでしょう。


注 -

Trusted Solaris のマニュアルでは、「プロファイル」のことを「実行プロファイル」と呼ぶことがあります。「実行」という語は、「インストールプロファイル (インストール時に作成され、システムの jumpstart の一部として使われるもの)」という別の種類のプロファイルとの混乱を避けるための強調表現として使われています。


実行プロファイルを変更する前に、特に新しい管理役割プロファイルを作成 (または既存の管理役割プロファイルを変更) する前に、現在の役割がどのように設定されているか、また現在行おうとしている変更や追加によってどのようなセキュリティ関連の影響が発生するかを完全に理解するようにしてください。これらの理解には、付録 A 「プロファイル概要テーブル」 に示されている表が役立ちます。この表には、各プロファイルに割り当てられているコマンド、アクション、承認、および各アクションやコマンドに適用されるセキュリティ属性 (UID、GID、ラベル範囲) の一覧が示されています。

プロファイルマネージャを使った実行プロファイルの作成または変更

デフォルトの設定では、プロファイルマネージャはセキュリティ管理役割にのみ割り当てられます。プロファイルマネージャは ADMIN_LOW ラベルで使用されます。

プロファイルマネージャを起動すると (起動方法については、「プロファイルマネージャを起動するには」を参照のこと)、プロファイルマネージャの「読み込み (Load)」ダイアログボックスが表示されます (次の図を参照)。このダイアログボックスには、ネームサービスやプロファイルのフィルタ処理を選択できるメニューがあります。プロファイルをフィルタ処理すると、起動時に既存のプロファイルを読み込むか、それとも空のプロファイルマネージャを起動するかを選択できます。

図 8-1 プロファイルマネージャの「読み込み (Load)」ダイアログボックス


Graphic

プロファイルマネージャの「読み込み (Load)」ダイアログボックスのコントロールボタンの使い方

上の図に示したコントロールボタンは、「特権を設定 (Set Privileges)」ダイアログボックスや「UID/GID を設定 (Set UID/GID)」ダイアログボックスに表示されるボタンと同じものです。

了解

「了解 (OK)」をクリックすると、変更が保存され、ダイアログボックスが閉じます。

リセット

「リセット (Reset)」をクリックすると、各フィールドを前回保存時の状態に戻します。ダイアログボックスは開いたままです。

取消し

「取消し (Cancel)」をクリックすると、変更は保存されずにダイアログボックスが閉じます。

ヘルプ

「ヘルプ (Help)」をクリックすると、文脈に応じたヘルプメッセージが表示されます。

ネームサービスの選択

他の Trusted Solaris の AdminSuite ツールと同様に、プロファイルマネージャはユーザーにネームサービスの指定を求めます。デフォルトは 「NIS+」 であり、これは分散したユーザーおよびホスト情報を集中管理するのに優れた仕組みです。「なし (None)」オプションは、熟練したセキュリティ管理者が、個々のホスト上でのローカルなプロファイルの作成は、自サイトのセキュリティポリシーに照らして必要かつ許容可能であると判断した場合にのみ使用してください。スタンドアロンの Trusted Solaris ホストでもこれらのネームサービスを利用できます。スタンドアロンで NIS+ を使うことができるのは、スタンドアロンが独自の NIS+ マスターとして構成されている場合だけです。

「ネームサービス (Naming Service)」メニューで「NIS+」を選択した場合、実行プロファイルに対して行った変更は、指定のドメイン用の NIS+ tsolprof テーブル内に格納されます。現在のドメイン名は NIS+ オプションの隣に表示されます (次の図を参照)。セキュリティ管理者役割が他のドメインでも認証される場合、現在のドメイン名をその NIS+ ドメイン名で置き換えることで、他のドメインの NIS+ プロファイルテーブルを更新できます。

図 8-2 プロファイルマネージャの「読み込み (Load)」ダイアログボックスの「ネームサービス (Naming Service)」メニューと「NIS+」オプション

Graphic

「ネームサービス (Naming Service)」メニューで「なし (None)」を選択すると、次の図に示すようなローカルホスト名が表示されます。「ホスト名 (Host)」フィールドの名前は変更可能です。これを選択した場合、実行プロファイルに対して行った変更は、指定のホスト上の /etc/security/tsol/tsolprof ファイルに格納されます。

図 8-3 プロファイルマネージャの「読み込み(Load)」ダイアログボックスの「ネームサービス (Naming Service)」メニューと「なし (None)」オプション

Graphic

入力前に決定すべき事項

    NIS+ を使用するか、それともネームサービスを使用しないかを決定すること

プロファイルのフィルタ処理

「プロファイルの表示対象 (Filter Profiles)」メニュー (図 8-4 を参照) を使うと、プロファイルマネージャを空のまま起動するか、それとも指定のプロファイルを読み込んだ状態で起動するかを指定できます。「プロファイルの表示対象 (Filter Profiles)」メニューのどのオプションを選ぶかは、新しいプロファイルを追加するか、それとも既存のプロファイルを変更するかによって決まります。詳細は、「新しいプロファイルを追加する場合」または 「既存のプロファイルを変更する場合」を参照してください。


注 -

どちらのオプションを選択した場合でも、いったんプロファイルマネージャが起動した後で「プロファイル (Profiles)」メニューを使うことにより、他のプロファイルを表示することや画面を空にすることができます。詳細は、「プロファイルマネージャ内で空のプロファイル定義の表示、既存プロファイルの読み込み、変更の保存を行うには」を参照してください。


図 8-4 プロファイルマネージャの「読み込み (Load)」ダイアログボックスの「プロファイルの表示対象 (Filter Profiles)」メニュー

Graphic


注 -

プロファイルマネージャは起動時にはアクションモードで表示され、「含まない  (Excluded)」および「含む (Included)」リストが表示されます (アクションモードのプロファイルマネージャについては 図 8-6 を参照のこと)。プロファイルマネージャの「表示 (View)」メニューを使うと、アクションモード、コマンドモード、承認モードの切替えを行えます。詳細は、「実行プロファイル中内にコマンドを指定するには」を参照してください。


入力前に決定すべき事項

    新しいプロファイルを追加する場合は 「新しいプロファイルを追加する場合」に進み、既存のプロファイルを変更する場合は 「既存のプロファイルを変更する場合」に進むこと。

新しいプロファイルを追加する場合

新しいプロファイルを追加する場合、プロファイルマネージャを次のどちらかの状態で起動します。

入力前に決定すべき事項

既存のプロファイルを変更する場合

既存のプロファイルを変更する場合、既存のプロファイルを読み込んだプロファイルマネージャを起動します (「既存のプロファイルを読み込んだプロファイルマネージャを起動するには」を参照のこと)。その後、プロファイルに対する変更を行い、そのプロファイルと同じ名前で保存します。

空のプロファイルマネージャを起動するには

「プロファイルの表示対象 (Filter Profiles)」メニュー (図 8-5 を参照) で「なし (None)」を選択すると、空のプロファイルマネージャを起動できます (図 8-6 を参照)。

図 8-5 プロファイルマネージャの「読み込み (Load)」ダイアログボックスの「プロファイルの表示対象 (Filter Profiles)」メニューから「なし (None)」を選択

Graphic

図 8-6 アクションモードで起動した空のプロファイルマネージャ

Graphic

既存のプロファイルを読み込んだプロファイルマネージャを起動するには

「プロファイルの表示対象 (Filter Profiles)」メニューから「すべて (All)」または「指定したものを表示 (Specify)」を選択すると、プロファイルの名前を選べるリストが表示されます。プロファイル名を選択した後「読み込み (Load)」をクリックすると、既存のプロファイルを読み込んだプロファイルマネージャが起動されます。

既存のプロファイル名を選択するには

既存のプロファイル名を指定するには

「プロファイルの表示対象 (Filter Profiles)」メニューから「指定したものを表示 (Specify)」を選択すると 、テキスト入力フィールド内に次のいずれかの方法でプロファイル名を指定できます。

プロファイルマネージャ内で空のプロファイル定義の表示、既存プロファイルの読み込み、変更の保存を行うには

次の図に「プロファイル (Profile)」メニューのオプションを示します。

図 8-7 プロファイルマネージャの「プロファイル (Profile)」メニュー

Graphic

「プロファイル (Profile)」メニューの各オプションを使うと次のことができます。

図 8-8 プロファイルマネージャの「開く (Open)」ダイアログボックスでプロファイル名を強調表示

Graphic

プロファイル名またはプロファイル記述の入力と変更

特定のプロファイルを読み込まずにプロファイルマネージャを起動した場合、空のテキスト入力フィールドに新しいプロファイルの名前とプロファイルの記述を入力できます。それらを入力した後、「プロファイル (Profiles)」メニューから「保存 (Save)」を選択すると、指定した名前の新しいプロファイルが作成されます。

特定のプロファイルを読み込んだ状態でプロファイルマネージャを起動した場合、次の図に示すように既存のプロファイルの名前と記述を変更できます。既存のプロファイル名を変更した後、「プロファイル (Profiles)」メニューから「保存 (Save)」を選択すると、指定した名前の新しいプロファイルが作成されます。

図 8-9 プロファイルマネージャの「プロファイル名 (Profile Name)」と「説明 (Description)」フィールド

Graphic

アクションモード、コマンドモード、承認モード間での切替え

プロファイルマネージャの「読み込み (Load)」ダイアログボックスで「了解 (OK)」をクリックすると (前出の図を参照)、プロファイルマネージャはまずアクションモードで起動されます。次の図は、アクションモード、コマンドモード、承認モード間での切替えを行うための「表示 (View)」メニューです。

図 8-10 アクションモード、コマンドモード、承認モード間での切替えを行うプロファイルマネージャの「表示 (View)」メニュー

Graphic

詳細は、「コマンドモードでの作業」「承認モードでの作業」「アクションモードでの作業」を参照してください。

「含まない (Excluded)」および「含む (Included)」リストを使った作業

次の図に、プロファイルマネージャの「含まない (Excluded)」および「含む (Included)」リストの例を示します。このリストは、アクション、コマンド、承認、特権に関して使用できます。この例ではアクションが表示されていますが、これらのリストの使い方は、「含まない (Excluded)」および「含む (Included)」リストを表示するすべてのプロファイルマネージャダイアログボックス間で共通です。

図 8-11 「Privileged Shells」プロファイルを読み込んだプロファイルマネージャ

Graphic

リスト間で項目を移動するには

リスト間で項目 (承認、特権、コマンド、完全なディレクトリ、個々のアクション、アプリケーショングループ内の一連のアクションなど) を移動するには、項目名を強調表示させ、矢印ボタンを使ってどちらかのリストへ移動します。

「含む (Included)」リストに対するドラッグ&ドロップ操作

プロファイルマネージャの最下行に注記してあるように、現在のモードに該当している項目をファイルマネージャから「含む (Included)」リストにドラッグ&ドロップできます。たとえば、コマンドモードの場合、/etc フォルダ内の mount コマンドの実行可能ファイルをドラッグし、それを「含む (Included)」リストにドロップできます。

「すべてを選択 (Select All)」と「すべてを消去 (Clear All)」ボタンを使ったすべてのリスト項目の移動と消去

すべてのモードのプロファイルマネージャと「特権を設定 (Set Privilege)」ダイアログボックスには、「すべてを選択 (Select All)」および「すべてを消去 (Clear All)」ボタンがあります。

すべてを選択

「すべてを選択 (Select All)」は「含まない (Excluded)」リスト内の項目すべてを「含む (Included)」リストに移動します。

すべてを消去

「すべてを消去 (Clear All)」は「含む (Included)」リスト内の項目すべてを「含まない (Excluded)」リストに移動します。

コマンドモードとアクションモードに共通の機能

この節では、プロファイルマネージャのコマンドモードとアクションモードに共通の機能について説明します。以下の項目があります。

コマンドモードとアクションモードにおけるアプリケーショングループやディレクトリのリストの展開と収縮

デフォルトの「含まない (Excluded)」リスト内の見出しは、それぞれ同一グループに属するアクション (アクションモードの場合) および同一グループに属するコマンド (コマンドモードの場合) を表しています。この見出し (または存在する場合にはそのアイコン) をダブルクリックすると、そのグループに含まれているすべての項目 (アクションまたはコマンド) を見ることができます。たとえば、強調表示されている Desktop Apps というアクション見出しをダブルクリックすると、このグループが展開され、次の図に示すようなこの見出しの下にグループ化されていたすべてのアクションがリスト表示されます。

図 8-12 グループ名を展開してその内容をリスト表示する

Graphic

逆に、展開されているコマンド見出しをダブルクリックすると、リストはその見出し (またはディレクトリ名) へと収縮します。「含まない (Excluded)」リストと「含む (Included)」リスト間での項目の移動は 1 つずつ行うこともできますが、見出しやディレクトリ名によりグループごと移動することもできます。

コマンドおよびアクションに関するセキュリティ属性を設定するボタン

図 8-14 に示すボタン群は、「含む (Included)」リスト内の項目が強調表示されており、かつその項目にセキュリティ属性が設定できる場合にだけ表示されます。

図 8-13 特権、ラベル範囲、UID および GID を設定するボタン

Graphic

図 8-14では、format コマンドが強調表示されています。コマンドに対しては、特権、機密ラベル範囲、UID および GID が設定できるため、これらの属性を設定するためのボタンが表示されています。一方、Tool Talk メッセージにはセキュリティ属性を設定できないため、Tool Talk メッセージを起動するアクション (TT_MSG が定義フィールドに表示されるもの) を強調表示した場合、これらのボタンはグレー表示となります。

図 8-14 特権、ラベル範囲、UID および GID を設定するボタン

Graphic

コマンドおよびアクションに特権を設定するには

プロファイルマネージャ内でコマンドまたはアクションを強調表示させた後、「特権を設定 (Set Privileges)」ボタンをクリックすると、「特権を設定 (Set Privileges)」ダイアログボックスが表示されます (図 8-15 を参照)。多くの特権が「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、このコマンドに対して以前特権が割り当てられたことがあるかどうかによります。

定義

「説明 (Description)」フィールドには、この特権により、指定のコマンドを実行するプロセスが、セキュリティポリシーを迂回した上で何ができるのかを説明したテキストが表示されます。

図 8-15 プロファイルマネージャの「特権を設定 (Set Privileges)」ダイアログボックス

Graphic

コマンドおよびアクションにラベル範囲を設定するには

プロファイルマネージャ内でコマンドまたはアクションを強調表示させた後、最下位および最上位機密ラベルを指定することにより、そのコマンドまたはアクションに対してラベル範囲を設定できます。「最下位 SL を設定 (Set Minimum SL)」ボタンまたは「最上位 SL を設定 (Set Maximum SL)」をクリックすると、ラベルビルダーが起動されます (「最下位 SL を設定 (Set Minimum SL)」ダイアログボックスを次の図に示します)。これらのダイアログボックスを使ってコマンドまたはアクションに対する最下位および最上位機密ラベルを指定する方法は、他の Trusted Solaris のラベルビルダーの場合と同じです。

図 8-16 プロファイルマネージャの「最下位 SL を設定 (Set Minimum SL)」ダイアログボックス

Graphic

コマンドモードでの作業

この節では、承認モードやアクションモード用のダイアログボックスにはない、コマンドモードに特有の機能の使い方を説明します。ただし、以下のトピックに関する説明は重複するために省きます。

プロファイルマネージャの「表示 (View)」メニューから「コマンド (Commands)」を選択すると、コマンドモードが起動します (次の図を参照)。いくつかのディレクトリが「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルがコマンドを割り当てたことがあるかどうかによります。

図 8-17 プロファイルマネージャのコマンドモード

Graphic

新しいディレクトリの読み込み

「含まない (Excluded)」リストに他のディレクトリを追加するには、「読み込み (Load)」ボタンの隣にあるテキスト入力フィールドにディレクトリのパス名を指定した後、「読み込み (Load)」ボタンをクリックします。次の図は、/etc ディレクトリを「パス名 (Pathname:)」フィールドに入力し、このディレクトリを「含まない (Excluded)」リストに追加した様子を示しています。

図 8-18 /etc ディレクトリのパス名を入力し、そこに含まれるコマンドを選択する

Graphic

コマンドのマニュアルページを表示するには

「含む (Included)」リスト内でコマンドが強調表示されている場合、「マニュアルページ (Man Page)」ボタンをクリックすることで、「機能説明 (DESCRIPTION)」セクションで始まるそのコマンドのマニュアルページを見ることができます。

承認モードでの作業

承認モードには、アクションモードやコマンドモード用のダイアログボックスにはない、承認モード特有の機能はありません。承認モードでの作業については、以下の節ですでに説明してあります。

プロファイルマネージャの「表示 (View)」メニューから「承認 (Authorizations)」を選択すると、承認モードが起動します (次の図を参照)。多くの承認が「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルが承認を割り当てたことがあるかどうかによります。

図 8-19 プロファイルマネージャの承認モード

Graphic

アクションモードでの作業

この節では、コマンドモードや承認モード用のダイアログボックスにはない、アクションモードに特有の機能の使い方を説明します。ただし、以下の項目に関する説明は重複するために省きます。

プロファイルマネージャの「表示 (View)」メニューから「アクション (Actions)」を選択すると、アクションモードが起動します (次の図を参照)。いくつかのアクションが「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルがアクションを割り当てたことがあるかどうかにより変化します。

図 8-20 プロファイルマネージャのアクションモード

Graphic

アイコン

次の図に示したアイコンは、強調表示されているアクションまたはアプリケーショングループに割り当てられています。図の「説明 (Description)」セクションに記述されているように、アプリケーショングループのアイコンをクリックすると、そのグループに含まれているすべてのアクション項目のリストが表示されます。

図 8-21 アクションモードのアイコンと「タイプ (Type)」

Graphic

タイプ

「タイプ (Type)」フィールドは強調表示されている項目のタイプを示します。アプリケーショングループとは複数のアクションを含む見出しのことです。見出しは展開して、それが含むすべてのアクションを表示させることができます。アクションが強調表示されている場合、そのタイプは次のどちらかになります。

COMMAND TT_MSG

新しいプロファイルの指定

はじめに「プロファイルマネージャを起動するには」を実行します。

新しい実行プロファイルを作成する場合、既存のプロファイルの名前を変えて内容を変更するか、またはすべてのフィールドが空である状態から始めます。「ネームサービスおよびプロファイル用のフィルタを選択するには」 または 「新しいプロファイルの名前と説明を入力するには」を参照してください。

必要に応じて、以下の手順に従って、新しいプロファイルのアクション、コマンド、承認を定義します。

既存のプロファイルの変更

既存のプロファイルを変更するには、まず、「プロファイルマネージャを起動するには」、次に「ネームサービスおよびプロファイル用のフィルタを選択するには」を実行します。

必要に応じて、以下の節の手順に従って、プロファイルの持つアクション、コマンド、承認を再定義します。

実行プロファイルの操作手順

プロファイルマネージャを起動するには

  1. セキュリティ管理者役割になります。

  2. ADMIN_LOW ラベルのワークスペースで、アプリケーションマネージャ内のプロファイルマネージャ (Profile Manager) アイコンをダブルクリックして起動します。


    Graphic

    プロファイルマネージャの「読み込み (Load)」ウィンドウが表示され、「ドメイン名 (Domain)」フィールドには現在のドメイン名が表示されます。

必要に応じて 「ログイン後、特定の管理役割になるには」を参照してください。

ネームサービスおよびプロファイル用のフィルタを選択するには

  1. プロファイルマネージャを起動します。

    必要に応じて 「プロファイルマネージャを起動するには」を参照してください。プロファイルマネージャの「読み込み (Load)」ダイアログボックスが表示されます。


    Graphic
  2. 「ネームサービス (Naming Service)」メニューから「NIS+」または「なし (None)」のどちらかを選択します。

    1. NIS+」を選択した場合、「NIS+」メニュー項目の隣に表示されるテキスト入力フィールドに表示されるドメイン名を受け入れるか、または変更します。

    2. 「なし (None)」を選択した場合、「なし (None)」メニュー項目の隣に表示されるテキスト入力フィールドに表示されるローカルホスト名を受け入れるか、または変更します。


      Graphic
  3. 「プロファイルの表示対象 (Filter Profiles)」メニューから「すべて (All)」、「指定したものを表示 (Specify)」、「なし (None)」のいずれかを選択します。


    Graphic
    1. 「すべて (All)」を選択した場合、すべてのプロファイルのリストから 1 つのプロファイルを指定します。

      1. 「了解 (OK)」をクリックします。

        既存のすべての実行プロファイルを表示したプロファイルマネージャの「読み込み (Load)」ダイアログボックスが表示されます。

      2. リストからプロファイルを 1 つ選択します。

      3. 「読み込み (Load)」をクリックします。

        1 つ以上のプロファイルが読み込まれた状態でプロファイルマネージャが表示されます。

    2. 「指定したものを表示 (Specify)」を選択した場合、読み込むプロファイルの名前を指定します。

      「指定したものを表示 (Specify)」を選択すると、同メニュー項目の隣に次の図に示すようなテキスト入力フィールドが表示されます。


      Graphic
      1. テキスト入力フィールドに既存の実行プロファイル名か、または正規表現を入力する。

      2. 「了解 (OK)」をクリックするか、または Return キーを押します。


        Graphic
      3. 読み込みたいプロファイル名を強調表示させます。

      4. 「読み込み (Load)」をクリックします。

        1 つ以上のプロファイルが読み込まれた状態でプロファイルマネージャが表示されます。

    3. 「なし (None)」を選択した場合、「新しいプロファイルの名前と説明を入力するには」に進みます。

      プロファイルマネージャはプロファイルを読み込まずに、使用可能なアクションのリストを表示します。

      Graphic

新しいプロファイルの名前と説明を入力するには

  1. プロファイルマネージャが実行されていない場合、「プロファイルマネージャを起動するには」および 「ネームサービスおよびプロファイル用のフィルタを選択するには」に従ってプロファイルマネージャを起動します。

  2. 「プロファイル名 (Profile Name:)」フィールドにプロファイル名を入力します。

  3. 「説明 (Description:)」フィールドにそのプロファイルの説明を入力します。

  4. 「プロファイル (Profiles)」メニューから「保存 (Save)」を選択します。

実行プロファイル中内にコマンドを指定するには

  1. プロファイルマネージャが実行されていない場合、「プロファイルマネージャを起動するには」および 「ネームサービスおよびプロファイル用のフィルタを選択するには」に従ってプロファイルマネージャを起動します。

  2. 「表示 (View)」メニューから「コマンド (Commands)」を選択します。

  3. 「含む (Included)」リストにコマンドの名前を入力します。

    コマンドが存在するディレクトリがデフォルトのリストにない場合、次の手順を実行します。

    1. コマンドが存在するディレクトリ名を「パス名 (Pathname)」フィールドに入力し、「読み込み (Load)」ボタンをクリックし、次の手順に進みます。

    2. コマンドが存在するディレクトリ名を展開し、そのコマンド名を強調表示させ、それを「含む (Included)」リストに移動します。または、そのコマンド用のアイコンをフォルダからドラッグし、「含む (Included)」にドロップします。

  4. セキュリティ属性を指定するには、「含む (Included)」リスト内のコマンド名を強調表示させ、指定したい属性に対応するボタンをクリックします。

    1. 必要ならば特権を指定します。

      1. 「特権を設定 (Set Privileges)」ボタンをクリックします。

      2. 「特権を設定 (Set Privileges)」ダイアログボックスで、指定したい特権を「含む (Included)」リストに移動します。

      3. 「了解 (OK)」をクリックします。

    2. 必要ならばラベル範囲を指定します。

      1. 「最下位 SL を設定 (Set Minimum SL)」ボタンをクリックします。

      2. 「最下位 SL を設定 (Set Minimum SL)」ダイアログボックスで、最下位 SL を指定します。

      3. 「了解 (OK)」をクリックします。

      4. 「最上位 SL を設定 (Set Maximum SL)」ボタンをクリックします。

      5. 「最上位 SL を設定 (Set Maximum SL)」ダイアログボックスで、最上位 SL を指定します。

      6. 「了解 (OK)」をクリックします。

    3. 必要ならば実行 UID/GID を指定します。

      1. 「UID/GID を設定 (Set UID/GID)」ボタンをクリックします。

      2. 「UID/GID を設定 (Set UID/GID)」ダイアログボックスで、設定したいユーザー名を「含む (Included)」リストに移動します。

      3. 設定したいグループ名を「含む (Included)」リストに移動します。

      4. 「了解 (OK)」をクリックします。

  5. プロファイルマネージャで「プロファイル (Profiles)」メニューから「保存 (Save)」を選択します。

  6. 作業を終了する場合は、「プロファイル (Profiles)」メニューから「閉じる (Close)」を選択します。

  7. 作業を続ける場合は、「実行プロファイル内にアクションを指定するには」 または 「実行プロファイル内に承認を指定するには」 へ進みます。

実行プロファイル内にアクションを指定するには

  1. プロファイルマネージャが実行されていない場合、「プロファイルマネージャを起動するには」および 「ネームサービスおよびプロファイル用のフィルタを選択するには」に従ってプロファイルマネージャを起動します。

  2. 「表示 (View)」メニューから「アクション (Actions)」を選択します。

  3. 「含む (Included)」リストにアクションの名前を入力します。

  4. アクションが属するアプリケーショングループがデフォルトのリストにない場合、そのアクションのアイコンをフォルダからドラッグし、「含む (Included)」リストにドロップします。

  5. 「含む (Included)」リスト内にあるそのアクションの名前を強調表示させます。

  6. 必要ならば、適切な種類のアクションに対してセキュリティ属性を指定します。

    アクションの種類が「TT_MSG」の場合、セキュリティ属性を指定するためのボタン群はグレー表示され、セキュリティ属性を指定できません。アクションの種類が「COMMAND」の場合、以降の手順で特権、 ラベル範囲、および実効 UID/GID を指定します。

  7. 必要ならば特権を指定します。

    1. 「特権を設定 (Set Privileges)」ボタンをクリックします。

    2. 「特権を設定 (Set Privileges)」ダイアログボックスで、指定したい特権を「含む (Included)」リストに移動します。

    3. 「了解 (OK)」をクリックします。

  8. 必要ならばラベル範囲を指定します。

    1. 「最下位 SL を設定 (Set Minimum SL)」ボタンをクリックします。

    2. 「最下位 SLを 設定 (Set Minimum SL)」ダイアログボックスで、最下位 SL を指定します。

    3. 「了解 (OK)」をクリックします。

    4. 「最上位 SL を設定 (Set Maximum SL)」ボタンをクリックします。

    5. 「最上位 SL を設定 (Set Maximum SL)」ダイアログボックスで、最上位 SL を指定します。

    6. 「了解 (OK)」をクリックします。

  9. 必要ならば実効 UID/GID を指定します。

    1. 「UID/GID を設定 (Set UID/GID)」ボタンをクリックします。

    2. 「UID/GID を設定 (Set UID/GID)」ダイアログボックスで、設定したいユーザー名を「含む (Included)」リストに移動します。

    3. 設定したいグループ名を「含む (Included)」リストに移動します。

    4. 「了解 (OK)」をクリックします。

  10. 「プロファイル (Profiles)」メニューから「保存 (Save)」を選択します。

  11. 作業を終了する場合は、「プロファイル (Profiles)」メニューから「閉じる (Close)」を選択します。

  12. 作業を続ける場合は、「表示 (View)」メニューから「コマンド (Commands)」または「承認 (Authorizations)」を選択します。

実行プロファイル内に承認を指定するには

  1. プロファイルマネージャが実行されていない場合、「プロファイルマネージャを起動するには」および 「ネームサービスおよびプロファイル用のフィルタを選択するには」に従ってプロファイルマネージャを起動します。

  2. 「表示 (View)」メニューから「承認 (Authorizations)」を選択します。

  3. 「含む (Included)」リストに加えたい承認の名前を強調表示させ、それを「含む (Included)」リストに移動します。

  4. 「プロファイル (Profiles)」メニューから「保存 (Save)」を選択します。

  5. 作業を終了する場合は、「プロファイル (Profiles)」メニューから「閉じる (Close)」を選択します。

  6. 作業を続ける場合は、「表示 (View)」メニューから「コマンド (Commands)」または「アクション (Actions)」を選択します。

管理役割をカスタマイズするには

  1. カスタム役割プロファイルを管理者、root、あるいはオペレータ役割用に変更するには、セキュリティ管理者役割になる必要があります。カスタムセキュリティ管理者役割プロファイルを変更するには、root 役割になる必要があります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。


    注 -

    secadmin 役割に「自分を変更することを許可」承認が与えられているときのみセキュリティ管理者は、自分のカスタムプロファイルの変更を行うことができます。必要な承認を割り当てたり、セキュリティ管理者役割のその他の部分を変更することができるのは、root 役割だけです。


  2. ADMIN_LOW ワークスペースに移動し、プロファイルマネージャを開きます。

    必要に応じて、「プロファイルマネージャを起動するには」を参照してください。

  3. プロファイルマネージャの「読み込み (Load)」ダイアログボックスで、変更対象となるネームサービスとカスタム役割プロファイルを選択します。

    必要に応じて、「ネームサービスおよびプロファイル用のフィルタを選択するには」を参照してください。

    1. すべての NIS+ クライアントに対する役割プロファイルに変更を加えるには、「ネームサービス (Naming Service)」メニューから 「NIS+」 を選択します。ローカルホスト上の役割プロファイルに変更を加えるときは、ネームサービスとして「なし (None)」を選択します。

    2. 変更したいカスタム役割プロファイルの名前を指定し、「変更 (Modify)」ボタンをクリックします。

  4. 必要に応じて、1 つまたは複数のコマンドをセキュリティ属性を使用して指定します。

    必要に応じて、2「実行プロファイル中内にコマンドを指定するには」を参照してください。

  5. 必要に応じて、1 つまたは複数のアクションをセキュリティ属性を使用して指定します。

    必要に応じて、「実行プロファイル内にアクションを指定するには」を参照してください。

  6. 必要に応じて、1 つまたは複数の承認を指定します。

    「実行プロファイル内に承認を指定するには」を参照してください。

  7. 「プロファイル (Profiles)」メニューから「保存 (Save)」を選択して、プロファイルを保存します。

  8. ネームサービスに「なし (None)」を選択したときは、管理役割が「ネーム・サービス・スイッチ (Name Service Switch)」アクションを使用して filesnisplus の前に来るように tsolprof エントリに変更を加えたかどうかを必要に応じて確認してください。

    「ネーム・サービス・スイッチ (Name Service Switch)」アクションの使用方法に関しては、必要に応じて、「管理アクションを起動するには」を参照してください。tsolprof エントリは、次の例のようになっています。


    tsolprof: files nisplus