図 3-1 に、ユーザーアカウントや役割アカウントの追加に使用するユーザーマネージャの「ナビゲータ (追加)」メニューを示します。まだ、何の情報も指定されていないため、「ユーザー (User)」、「UID」、「コメント (Comment)」の各フィールドは空になっています。「コメント (Comment)」の下には 8 つのボタンがあり、各ボタンには、アカウントごとに指定する情報の種類を示すラベルが付けられています。各ボタンを押すと、それぞれに対応するダイアログボックスが表示され、そこで指定の情報を入力できます。これらのボタンを使って、ユーザーアカウントの追加または変更を行います。
各ボタンを使用するには、それぞれ承認が必要となります。これらの承認は、デフォルトの管理者とセキュリティ管理者の間で分割して割り当てられています。ここでも、2 人の人間によるアカウント管理が前提とする責務分割の原則が守られています。
管理役割がユーザーマネージャを起動した時に、グレー表示のボタンがあった場合、そのボタンを使用するのに必要となる承認が、現在の役割の持つ実行プロファイルに割り当てられていないことを意味します。
各ボタンの使用に必要となる承認と、各ボタンに対応するダイアログボックスをまとめたものを次の表に示します。
表 3-1 ユーザーマネージャの各ボタンに必要となる承認と、そのボタンを使って 指定できる情報の種類ボタン | 承認名 | デフォルトの役割 | 指定できる情報 |
---|---|---|---|
識別情報 (Identity) | ユーザーの識別情報を設定 (set user identity) | admin | アカウント名、UID、主および追加 GID、コメント、シェル、アカウントの種類(一般ユーザー、管理役割、非管理役割) の設定 |
パスワード(Password ) | ユーザーのパスワードを 設定 (set user password) | secadmin |
アカウント用のパスワードの設定、またはパスワードなしでアカウントを設定 パスワードの有効期間(パスワードの変更が必要となる最小または最大経過日数、最長非使用、有効期限、警告の表示など) アカウントの状態(オープンまたはクローズ) NIS+ 資格テーブルを更新するかどうかの選択 |
ホーム (Home) | ホームディレクトリの属性を設定 (set home directory attributes) | admin |
サーバー上のパス名にホームディレクトリを作成するかどうかの指定 シェル初期化ファイルのパスの指定 ホームディレクトリへのアクセス権の設定 メールサーバーの指定 ホームディレクトリを自動マウントするかどうかの選択 |
ラベル (Labels) | ユーザーのラベルを設定 (set user labels) | secadmin |
認可上限と最下位ラベルの設定 外部または内部ラベル表示の設定(管理ラベルの名前を表示する/表示しない) SLの表示/非表示の設定 |
プロファイル (Profiles) | ユーザーのプロファイルを設定 (set user profiles) | secadmin | ユーザープロファイルの選択 (ユーザーアカウントのみ) |
役割 (Roles) | 役割リストを設定 (set roles list) | secadmin | 1つ以上の役割の選択(ユーザーアカウントのみ) |
アイドル (Idle) | アイドル時間を設定 (set idle time) | admin | スクリーンがリスト上より選択された一定期間アイドル状態となった場合に取るべき処理の指定 |