デフォルトの設定では、プロファイルマネージャはセキュリティ管理役割にのみ割り当てられます。プロファイルマネージャは ADMIN_LOW
ラベルで使用されます。
プロファイルマネージャを起動すると (起動方法については、「プロファイルマネージャを起動するには」を参照のこと)、プロファイルマネージャの「読み込み (Load)」ダイアログボックスが表示されます (次の図を参照)。このダイアログボックスには、ネームサービスやプロファイルのフィルタ処理を選択できるメニューがあります。プロファイルをフィルタ処理すると、起動時に既存のプロファイルを読み込むか、それとも空のプロファイルマネージャを起動するかを選択できます。
上の図に示したコントロールボタンは、「特権を設定 (Set Privileges)」ダイアログボックスや「UID/GID を設定 (Set UID/GID)」ダイアログボックスに表示されるボタンと同じものです。
「了解 (OK)」をクリックすると、変更が保存され、ダイアログボックスが閉じます。
「リセット (Reset)」をクリックすると、各フィールドを前回保存時の状態に戻します。ダイアログボックスは開いたままです。
「取消し (Cancel)」をクリックすると、変更は保存されずにダイアログボックスが閉じます。
「ヘルプ (Help)」をクリックすると、文脈に応じたヘルプメッセージが表示されます。
他の Trusted Solaris の AdminSuite ツールと同様に、プロファイルマネージャはユーザーにネームサービスの指定を求めます。デフォルトは 「NIS+」 であり、これは分散したユーザーおよびホスト情報を集中管理するのに優れた仕組みです。「なし (None)」オプションは、熟練したセキュリティ管理者が、個々のホスト上でのローカルなプロファイルの作成は、自サイトのセキュリティポリシーに照らして必要かつ許容可能であると判断した場合にのみ使用してください。スタンドアロンの Trusted Solaris ホストでもこれらのネームサービスを利用できます。スタンドアロンで NIS+ を使うことができるのは、スタンドアロンが独自の NIS+ マスターとして構成されている場合だけです。
「ネームサービス (Naming Service)」メニューで「NIS+」を選択した場合、実行プロファイルに対して行った変更は、指定のドメイン用の NIS+ tsolprof テーブル内に格納されます。現在のドメイン名は NIS+ オプションの隣に表示されます (次の図を参照)。セキュリティ管理者役割が他のドメインでも認証される場合、現在のドメイン名をその NIS+ ドメイン名で置き換えることで、他のドメインの NIS+ プロファイルテーブルを更新できます。
「ネームサービス (Naming Service)」メニューで「なし (None)」を選択すると、次の図に示すようなローカルホスト名が表示されます。「ホスト名 (Host)」フィールドの名前は変更可能です。これを選択した場合、実行プロファイルに対して行った変更は、指定のホスト上の /etc/security/tsol/tsolprof ファイルに格納されます。
NIS+ を使用するか、それともネームサービスを使用しないかを決定すること
「プロファイルの表示対象 (Filter Profiles)」メニュー (図 8-4 を参照) を使うと、プロファイルマネージャを空のまま起動するか、それとも指定のプロファイルを読み込んだ状態で起動するかを指定できます。「プロファイルの表示対象 (Filter Profiles)」メニューのどのオプションを選ぶかは、新しいプロファイルを追加するか、それとも既存のプロファイルを変更するかによって決まります。詳細は、「新しいプロファイルを追加する場合」または 「既存のプロファイルを変更する場合」を参照してください。
どちらのオプションを選択した場合でも、いったんプロファイルマネージャが起動した後で「プロファイル (Profiles)」メニューを使うことにより、他のプロファイルを表示することや画面を空にすることができます。詳細は、「プロファイルマネージャ内で空のプロファイル定義の表示、既存プロファイルの読み込み、変更の保存を行うには」を参照してください。
プロファイルマネージャは起動時にはアクションモードで表示され、「含まない (Excluded)」および「含む (Included)」リストが表示されます (アクションモードのプロファイルマネージャについては 図 8-6 を参照のこと)。プロファイルマネージャの「表示 (View)」メニューを使うと、アクションモード、コマンドモード、承認モードの切替えを行えます。詳細は、「実行プロファイル中内にコマンドを指定するには」を参照してください。
新しいプロファイルを追加する場合は 「新しいプロファイルを追加する場合」に進み、既存のプロファイルを変更する場合は 「既存のプロファイルを変更する場合」に進むこと。
新しいプロファイルを追加する場合、プロファイルマネージャを次のどちらかの状態で起動します。
空の状態 (「空のプロファイルマネージャを起動するには」を参照のこと
変更またはリネームすることになる既存のプロファイルを読み込んだ状態 (「既存のプロファイルを読み込んだプロファイルマネージャを起動するには」を参照のこと
既存のプロファイルのコピーや変更を行うか、それとも空のプロファイルマネージャを起動するかを選択すること
既存のプロファイルを変更する場合、既存のプロファイルを読み込んだプロファイルマネージャを起動します (「既存のプロファイルを読み込んだプロファイルマネージャを起動するには」を参照のこと)。その後、プロファイルに対する変更を行い、そのプロファイルと同じ名前で保存します。
「プロファイルの表示対象 (Filter Profiles)」メニュー (図 8-5 を参照) で「なし (None)」を選択すると、空のプロファイルマネージャを起動できます (図 8-6 を参照)。
「プロファイルの表示対象 (Filter Profiles)」メニューから「すべて (All)」または「指定したものを表示 (Specify)」を選択すると、プロファイルの名前を選べるリストが表示されます。プロファイル名を選択した後「読み込み (Load)」をクリックすると、既存のプロファイルを読み込んだプロファイルマネージャが起動されます。
すべての既存のプロファイル名から1つを選択したい場合は、「既存のプロファイル名を選択するには」 を参照のこと。
正規表現を使って特定の既存のプロファイル名を検索したい場合は、「既存のプロファイル名を指定するには」 を参照のこと。
「プロファイルの表示対象 (Filter Profiles)」メニューから「すべて (All)」を選択する (次の図を参照) か、または OK をクリックすると、すべてのプロファイルのリストから 1 つのプロファイル名を選択できます。
特定のプロファイル名を強調表示させ「読み込み (Load)」をクリックすると (次の図を参照)、そのプロファイルを読み込んだ状態でプロファイルマネージャが開きます。
「プロファイルの表示対象 (Filter Profiles)」メニューから「指定したものを表示 (Specify)」を選択すると 、テキスト入力フィールド内に次のいずれかの方法でプロファイル名を指定できます。
正規表現を入力して、該当するプロファイル名の一覧を生成します。
上図の例では、文字 P で始まるプロファイルを検索するために、「P*」を入力しています。次の図にこの検索結果を示します。プロファイルマネージャの「開く (Open)」ダイアログボックスに「Privileged Shells」プロファイルが表示されます。このプロファイル名を強調表示させ「読み込み (Load)」をクリックすると、「Privileged Shells」プロファイルを読み込んだプロファイルマネージャが開きます (次の図を参照)。
既知のプロファイル名を入力して、そのプロファイル名を表示します。
次の図に「プロファイル (Profile)」メニューのオプションを示します。
「プロファイル (Profile)」メニューの各オプションを使うと次のことができます。
「新規プロファイル (New Profile)」は既存のプロファイルの記述をクリアします。
「プロファイルを開く (Open Profile)」を使うと、すべてのプロファイルのリストから別のプロファイルを選んで読み込むことがきます (図 8-8 に示すように、すべてのプロファイルのリストを持つプロファイルマネージャの「開く (Open)」が表示されます)。
「プロファイルを保存 (Save Profile)」は現在のプロファイルに対する変更を保存します。
「読み込み (Load)」は新しい実行プロファイルを読み込みます。
「閉じる (Close)」はプロファイルマネージャを閉じます。保存していない変更を保存するかどうかのプロンプトは表示されません。
特定のプロファイルを読み込まずにプロファイルマネージャを起動した場合、空のテキスト入力フィールドに新しいプロファイルの名前とプロファイルの記述を入力できます。それらを入力した後、「プロファイル (Profiles)」メニューから「保存 (Save)」を選択すると、指定した名前の新しいプロファイルが作成されます。
特定のプロファイルを読み込んだ状態でプロファイルマネージャを起動した場合、次の図に示すように既存のプロファイルの名前と記述を変更できます。既存のプロファイル名を変更した後、「プロファイル (Profiles)」メニューから「保存 (Save)」を選択すると、指定した名前の新しいプロファイルが作成されます。
プロファイルマネージャの「読み込み (Load)」ダイアログボックスで「了解 (OK)」をクリックすると (前出の図を参照)、プロファイルマネージャはまずアクションモードで起動されます。次の図は、アクションモード、コマンドモード、承認モード間での切替えを行うための「表示 (View)」メニューです。
詳細は、「コマンドモードでの作業」、「承認モードでの作業」、「アクションモードでの作業」を参照してください。
次の図に、プロファイルマネージャの「含まない (Excluded)」および「含む (Included)」リストの例を示します。このリストは、アクション、コマンド、承認、特権に関して使用できます。この例ではアクションが表示されていますが、これらのリストの使い方は、「含まない (Excluded)」および「含む (Included)」リストを表示するすべてのプロファイルマネージャダイアログボックス間で共通です。
リスト間で項目 (承認、特権、コマンド、完全なディレクトリ、個々のアクション、アプリケーショングループ内の一連のアクションなど) を移動するには、項目名を強調表示させ、矢印ボタンを使ってどちらかのリストへ移動します。
プロファイルマネージャの最下行に注記してあるように、現在のモードに該当している項目をファイルマネージャから「含む (Included)」リストにドラッグ&ドロップできます。たとえば、コマンドモードの場合、/etc フォルダ内の mount コマンドの実行可能ファイルをドラッグし、それを「含む (Included)」リストにドロップできます。
すべてのモードのプロファイルマネージャと「特権を設定 (Set Privilege)」ダイアログボックスには、「すべてを選択 (Select All)」および「すべてを消去 (Clear All)」ボタンがあります。
「すべてを選択 (Select All)」は「含まない (Excluded)」リスト内の項目すべてを「含む (Included)」リストに移動します。
「すべてを消去 (Clear All)」は「含む (Included)」リスト内の項目すべてを「含まない (Excluded)」リストに移動します。
この節では、プロファイルマネージャのコマンドモードとアクションモードに共通の機能について説明します。以下の項目があります。
デフォルトの「含まない (Excluded)」リスト内の見出しは、それぞれ同一グループに属するアクション (アクションモードの場合) および同一グループに属するコマンド (コマンドモードの場合) を表しています。この見出し (または存在する場合にはそのアイコン) をダブルクリックすると、そのグループに含まれているすべての項目 (アクションまたはコマンド) を見ることができます。たとえば、強調表示されている Desktop Apps というアクション見出しをダブルクリックすると、このグループが展開され、次の図に示すようなこの見出しの下にグループ化されていたすべてのアクションがリスト表示されます。
逆に、展開されているコマンド見出しをダブルクリックすると、リストはその見出し (またはディレクトリ名) へと収縮します。「含まない (Excluded)」リストと「含む (Included)」リスト間での項目の移動は 1 つずつ行うこともできますが、見出しやディレクトリ名によりグループごと移動することもできます。
図 8-14 に示すボタン群は、「含む (Included)」リスト内の項目が強調表示されており、かつその項目にセキュリティ属性が設定できる場合にだけ表示されます。
図 8-14では、format コマンドが強調表示されています。コマンドに対しては、特権、機密ラベル範囲、UID および GID が設定できるため、これらの属性を設定するためのボタンが表示されています。一方、Tool Talk メッセージにはセキュリティ属性を設定できないため、Tool Talk メッセージを起動するアクション (TT_MSG が定義フィールドに表示されるもの) を強調表示した場合、これらのボタンはグレー表示となります。
プロファイルマネージャ内でコマンドまたはアクションを強調表示させた後、「特権を設定 (Set Privileges)」ボタンをクリックすると、「特権を設定 (Set Privileges)」ダイアログボックスが表示されます (図 8-15 を参照)。多くの特権が「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、このコマンドに対して以前特権が割り当てられたことがあるかどうかによります。
「説明 (Description)」フィールドには、この特権により、指定のコマンドを実行するプロセスが、セキュリティポリシーを迂回した上で何ができるのかを説明したテキストが表示されます。
プロファイルマネージャ内でコマンドまたはアクションを強調表示させた後、最下位および最上位機密ラベルを指定することにより、そのコマンドまたはアクションに対してラベル範囲を設定できます。「最下位 SL を設定 (Set Minimum SL)」ボタンまたは「最上位 SL を設定 (Set Maximum SL)」をクリックすると、ラベルビルダーが起動されます (「最下位 SL を設定 (Set Minimum SL)」ダイアログボックスを次の図に示します)。これらのダイアログボックスを使ってコマンドまたはアクションに対する最下位および最上位機密ラベルを指定する方法は、他の Trusted Solaris のラベルビルダーの場合と同じです。
この節では、承認モードやアクションモード用のダイアログボックスにはない、コマンドモードに特有の機能の使い方を説明します。ただし、以下のトピックに関する説明は重複するために省きます。
プロファイルマネージャの「表示 (View)」メニューから「コマンド (Commands)」を選択すると、コマンドモードが起動します (次の図を参照)。いくつかのディレクトリが「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルがコマンドを割り当てたことがあるかどうかによります。
「含まない (Excluded)」リストに他のディレクトリを追加するには、「読み込み (Load)」ボタンの隣にあるテキスト入力フィールドにディレクトリのパス名を指定した後、「読み込み (Load)」ボタンをクリックします。次の図は、/etc ディレクトリを「パス名 (Pathname:)」フィールドに入力し、このディレクトリを「含まない (Excluded)」リストに追加した様子を示しています。
「含む (Included)」リスト内でコマンドが強調表示されている場合、「マニュアルページ (Man Page)」ボタンをクリックすることで、「機能説明 (DESCRIPTION)」セクションで始まるそのコマンドのマニュアルページを見ることができます。
承認モードには、アクションモードやコマンドモード用のダイアログボックスにはない、承認モード特有の機能はありません。承認モードでの作業については、以下の節ですでに説明してあります。
プロファイルマネージャの「表示 (View)」メニューから「承認 (Authorizations)」を選択すると、承認モードが起動します (次の図を参照)。多くの承認が「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルが承認を割り当てたことがあるかどうかによります。
この節では、コマンドモードや承認モード用のダイアログボックスにはない、アクションモードに特有の機能の使い方を説明します。ただし、以下の項目に関する説明は重複するために省きます。
プロファイルマネージャの「表示 (View)」メニューから「アクション (Actions)」を選択すると、アクションモードが起動します (次の図を参照)。いくつかのアクションが「含まない (Excluded)」リスト内に表示されています。「含む (Included)」リストが空であるかどうかは、以前このプロファイルがアクションを割り当てたことがあるかどうかにより変化します。
次の図に示したアイコンは、強調表示されているアクションまたはアプリケーショングループに割り当てられています。図の「説明 (Description)」セクションに記述されているように、アプリケーショングループのアイコンをクリックすると、そのグループに含まれているすべてのアクション項目のリストが表示されます。
「タイプ (Type)」フィールドは強調表示されている項目のタイプを示します。アプリケーショングループとは複数のアクションを含む見出しのことです。見出しは展開して、それが含むすべてのアクションを表示させることができます。アクションが強調表示されている場合、そのタイプは次のどちらかになります。
COMMAND TT_MSG
はじめに「プロファイルマネージャを起動するには」を実行します。
新しい実行プロファイルを作成する場合、既存のプロファイルの名前を変えて内容を変更するか、またはすべてのフィールドが空である状態から始めます。「ネームサービスおよびプロファイル用のフィルタを選択するには」 または 「新しいプロファイルの名前と説明を入力するには」を参照してください。
必要に応じて、以下の手順に従って、新しいプロファイルのアクション、コマンド、承認を定義します。
既存のプロファイルを変更するには、まず、「プロファイルマネージャを起動するには」、次に「ネームサービスおよびプロファイル用のフィルタを選択するには」を実行します。
必要に応じて、以下の節の手順に従って、プロファイルの持つアクション、コマンド、承認を再定義します。