プロファイルに関係する用語について

この節では、実行プロファイルに関係する Trusted Solaris 独自の概念や用語について再度説明します。また新しい概念や情報も説明します。ここで再度説明する項目は、『Trusted Solaris ユーザーズガイド』で紹介され、『Trusted Solaris 管理の概要』でより詳しく説明されたもので、便宜上、このマニュアルにも含まれています。

実行プロファイル

実行プロファイルとは、個々のユーザーや管理役割の持つ機能を定義する仕組みです。各実行プロファイルには、UNIX コマンド、CDE アクション、承認のリストを含めることができ、また実行プロファイルではこれらの各コマンドやアクションに特定のセキュリティ属性 (実効 UID、実効 GID、継承可能な特権、ラベル制限)を関連付けることもできます。各ユーザーまたは役割には 1 つ以上の実効プロファイルを割り当てることができます。実効プロファイルを指定する順番には意味があります。ユーザーまたは役割に複数の実効プロファイルが割り当てられている場合、それらの一連の承認は結合されることになります。また、何らかのコマンドやアクションが発行されると、そのコマンドやアクションに関する属性記述を見つけるために、そのアカウントの持つすべてのプロファイルのリストが検索されます。この結果、そのコマンドやアクションは、それらが最初に現れたプロファイルに指定されている特権、UID、GID を使って実行されることになります。また、実行プロファイルを使うと、ユーザーの使用するアプリケーションやコマンドを特定のものだけに制限することや、役割の仕組みと組み合わせて使うことで特定のアカウントの機能を拡張することもできます。詳細は、「有効化属性」および「制限属性」の項を参照してください。

実効 UID および GID

コマンドを実行するプロセスは、実効ユーザー ID (EUID) および実効グループ ID (EGID) を持ちます。これらは、プロセスが、セットユーザー ID (setuid) ビットまたはセットグループ ID (setgid) ビットがセットされたコマンドを実行しない限り、それぞれそのプロセスの実 UID および実 GID に等しくなります。setuid ビットや setgid ビットをセットすることにより実効ユーザー ID または実効グループ ID (またはその両方) を設定することは、通常、コマンドの実行時にそのコマンド自身が root (UID が 0) によって実行されていることを検査するようなコマンドに対して行われます。あるコマンドやアクションの setuid ビットや setgid ビットをセットすると、標準 UNIX システム内ではスーパーユーザーしか実行できない作業を、管理者でないユーザーが実行できるようになります。Trusted Solaris 環境で同様の操作を実施するには、セキュリティ管理者は、コマンドやアクションが特定のユーザーやグループによって実行される必要がある場合、実効ユーザー ID および実効グループ ID を実行プロファイル内のそのコマンドやアクションに対して割り当てます。多くの場合、実効ユーザー ID および実効グループ ID の割り当ては、root として実行する必要のあるコマンドに対して行われます。

アクション

アクションとは、1 つ以上のコマンドを特定のタスクとしてまとめることで、そのタスクを 1 人以上のユーザーに割り当てられるようにする仕組みです。アクションは各コマンドと共に指定された一連のオプションや引数を持ちます。また、ユーザーに追加の引数の入力を求めるダイアログボックスを使用することもあります。

NIS+ によって管理されないファイルの編集を行うために、これまで一連の管理アクションが作成されて来ました。たとえば、vfstab_adjunct ファイルを編集する場合、セキュリティ管理者役割は「マウント属性の設定」というアクションを使います。「マウント属性の設定」アクションは、コマンド (adminvi)、引数 (vfstab_adjunct)、ラベル範囲 (ADMIN_LOW から ADMIN_HIGH)、root の実効 UID および sys の実効 GID を含んでいます。ラベルの範囲を制限すれば、vfstab_adjunct ファイルが特定の範囲のラベル内だけで、またはシングルラベルだけで編集されることを保証できます。実効 UID および実効 GID はこのファイルへのアクセスを保証し、編集プロセス中にこのファイルの所有者やグループが変更されないようにするために使われます。

各アクションは通常それ自身のアイコンを持ちます。また、各アクションはそれ自身のセキュリティ属性を割り当てられており、実効プロファイル内に指定できます。アプリケーションマネージャ内のアイコンやほとんどのフロントパネル内のアイコンは、何らかのアクションに対応しています。

アクションの追加方法については『共通デスクトップ環境 ユーザーズ・ガイド』および『共通デスクトップ環境 上級ユーザー及びシステム管理者ガイド』に説明されています。ただし、Trusted Solaris のセキュリティポリシーにより、誰がアクションを追加でき、誰がアクションを使用できるのかに関しては、これらの説明とは異なっています。

• 単一機密ラベルで実行する場合、一般ユーザーはアプリケーションマネージャを使ってアクションをフロントパネルにドラッグ＆ドロップできます。

• システム管理者役割はアクションを登録し、それらを /etc/dt/appconfig/types/localename ディレクトリに置くことで、そのアクションをすべてのユーザーにとって利用可能とすることができます (localename はロケール名を示しています)。

アクションの追加方法に関しては、第 16 章「ソフトウェアの追加」の「アクション」を参照してください。

有効化属性

実行プロファイル内で、コマンドやアクションに対してオプションとして一連の無効化特権、実効ユーザー ID、実効グループ ID を割り当てることで、そのコマンドやアクションの機能を拡張できます。このようなコマンドやアクションを呼び出すことで、アカウントは次のことが可能となります。

• Trusted Solaris のセキュリティポリシーの範囲外で作業すること

• 制御された方法で作業すること

• 厳密に定義された目的で作業すること

このような UID、GID、特権をまとめて「有効化属性」と呼びます。

制限属性

ラベル属性は「制限属性」と呼ばれます。これは、ラベル属性がコマンドやアクションを呼び出すことのできるラベルの範囲を制限するものだからです。デフォルトのラベル範囲は ADMIN_LOW から ADMIN_HIGH まで、システム認可範囲のすべての範囲となります。

プロファイル内の特権

実行プロファイル内で、コマンドやアクションに 1 つ以上の特権を割り当てると、その特権は、「特権の継承」を通じて利用可能となります。特権は「有効化属性」であると見なされます。コマンドは、プロファイルシェル (pfsh(1M)) から呼び出された場合にのみ特権を継承します。アクションは、ウィンドウシステム経由でプロファイルシェルが使用するデータベースルックアップにより、特権を継承します。

特権の継承を使うと、特権を利用するアカウントに対してさらに細かい制御が行えます。コマンドに関する継承された特権の使用と強制された特権の使用を比べてみると、強制された特権は実行プロファイルに関連付けられているため、そのコマンドを誰が呼び出したか、またはどのシェルが使われたかに関係なく、この特権は有効となります。一方、継承された特権は、ユーザーまたは役割がそのコマンドをプロファイルシェルで実行した場合、かつそのアカウントの実行プロファイルにそのコマンドを特権付きで実行するよう指定されている場合にのみ利用可能となります。