実行プロファイルに関する前提知識

プロファイルの追加や変更は、デフォルトのシステムに提供されている管理方法の範囲を超えて、さらにユーザーの活動を制御し管理者の機能を拡張したいと考えるサイトを対象とする上級者向けのトピックです。

Trusted Solaris 環境の提供するデフォルトの実行プロファイルセットには次のものがあります。

• 一般ユーザーのための基本的なプロファイル

• 3 つの管理役割プロファイルと 1 つの非管理役割プロファイル

これらのデフォルトの役割プロファイル間では、通常の UNIX システム管理者 (root／スーパーユーザー) の管理責任に加えて、Trusted Solaris システムに特化した管理責任を満たすのに必要なすべてのコマンド、アクション、承認、特権が分割されています。

デフォルトの実行プロファイルは、管理者が完全に信頼して義務を実行できるように定義されています。しかし、各サイトのセキュリティ管理者が実行プロファイルとその動作原理に精通したならば、そのセキュリティ管理者は次の問いに対する自サイトの答えに基づいて、新しいプロファイルを作成する場合があるでしょう。

• システム全体で実施する必要のあるタスクと各個人で実施すべきタスクはそれぞれ何か

• 各個人が持つ必要のある機能とは何か

• 各個人について信頼できる情報や責任とは何か

Trusted Solaris のマニュアルでは、「プロファイル」のことを「実行プロファイル」と呼ぶことがあります。「実行」という語は、「インストールプロファイル (インストール時に作成され、システムの jumpstart の一部として使われるもの)」という別の種類のプロファイルとの混乱を避けるための強調表現として使われています。

実行プロファイルを変更する前に、特に新しい管理役割プロファイルを作成 (または既存の管理役割プロファイルを変更) する前に、現在の役割がどのように設定されているか、また現在行おうとしている変更や追加によってどのようなセキュリティ関連の影響が発生するかを完全に理解するようにしてください。これらの理解には、付録 A 「プロファイル概要テーブル」 に示されている表が役立ちます。この表には、各プロファイルに割り当てられているコマンド、アクション、承認、および各アクションやコマンドに適用されるセキュリティ属性 (UID、GID、ラベル範囲) の一覧が示されています。