プロファイル
セキュリティ管理者役割は、アカウントに対して実行プロファイルを割り当てます。「プロファイル」ダイアログボックスでは、スクロール可能なリスト内に使用可能な実行プロファイルのリストが説明付きで表示されます。各プロファイルに定義されているアクション、承認、コマンドのリストについては、付録 A 「プロファイル概要テーブル」を参照してください。
注 -
デフォルトの管理役割には、必要な実行プロファイルがすでに割り当てられています。新しい役割を作成した場合、その役割のために新しいプロファイルを作成する必要があります。この場合、新しいプロファイルは新しい役割アカウントを作成する前に設定しておいてください。このようにすると、ユーザーマネージャを使ってその役割アカウントにプロファイルを割り当てることができます。
ユーザーアカウントを設定して、このユーザーに役割を割り当てようとする場合、このユーザーアカウントには対応する役割プロファイルを割り当ててはいけません。役割アカウントはそれ自身の実行プロファイルを持っており、このプロファイルは、ユーザーがその役割になって、そのユーザーの ID が役割の ID となった場合にのみ有効となります。
注 -
役割プロファイルを一般のユーザーアカウントに割り当ててはいけません。もしそのようにした場合、リスクや混乱が発生することになります。この場合、ユーザーが役割になっていない時でも、ユーザーアカウントに割り当てた役割プロファイルが有効となってしまいます。これは起こってはならないことです。さらに、この場合、作業が正しく行えなくなる場合がでてきます。なぜなら、管理役割のコマンドやアプリケーションの多くはトラステッドパス属性を必要とするため、管理役割ワークスペースの外では動作しないからです。
プロファイルの順番も重要です。アカウントがコマンドやアクションを起動すると、プロファイルの仕組みにより、そのアカウントの持つプロファイル集合のうち任意のプロファイル内で最初にその名前が見つかったコマンドまたはアクションが使用されます。この場合、最初に名前が見つかったプロファイル中に定義されているコマンドやアクションのための属性がそのまま使われることになります。これはユーザーが特定のコマンドを呼び出した場合、システムはそのユーザーの PATH 環境変数に指定されているディレクトリで最初に見つかったコマンドのインスタンスを使用するのに似ています。たとえば、ユーザーがコマンド行から ps コマンドを呼び出した場合、/usr/bin/ps (ps(1) を参照) と /usr/ucb/ps (ps(1B) を参照) のうちどちらが実行されるかは、そのユーザーの PATH がどう設定されているかによって決まります (これら 2 つのバージョンの ps はそれぞれオプションが異なっています)。
これと同様に、1 つのコマンドまたはアクションが、複数の実行プロファイル内に異なる属性を持つもの (たとえば、異なる特権を持つものや、setuid 属性のオン/オフが異なるもの) として定義されている場合、そのコマンドやアクションは、最初にその名前が見つかったプロファイルに定義されているように実行されます。
複数の実行プロファイルの整列順を利用すると次のようなこともできます。あるコマンドを実行するのに、既存の実行プロファイルに定義されている特権とは別の特権を使用したい場合、その特権を割り当てられた同じコマンドを持つ新しい実行プロファイルを作成し、この新しい実行プロファイルを挿入します。このようにすれば、同コマンドが呼び出された場合、プロファイルの仕組みにより新しいプロファイルが最初に見つけられます。
プロファイルの順番を利用すると、特定のアカウントが特定のコマンドやアクションだけを特権付き (または有効な UID や GID 付きや特定の機密ラベル付き) で実行できるようにし、その他のコマンドやアクションについてはすべてそのような特別なセキュリティ属性なしで実行するように設定できます。これを行うには、アカウントが特定のセキュリティ属性付きで実行する必要のあるコマンドやアクションを明示的に指定したプロファイル集合を、このアカウントに対して割り当てた後、これらのプロファイルのリストの一番最後に、アカウントが特権なしで任意のコマンドやアクションを実行できるような「All」プロファイルを割り当てます。このようにすると、アカウントは明示的に指定されたコマンドやアクションだけを指定された属性付きで実行でき、その他のコマンドはすべて特別な属性なしで実行できるようになります。
実行プロファイルについての詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」の 「プロファイルに関係する用語について」を参照してください。
入力前に決定すべき事項
-
アカウントに対して少なくとも 1 つの実行プロファイルを割り当てるよう決定すること。
-
実行プロファイルを登録する順番を決定すること。
ユーザーマネージャ内の入力場所
「プロファイルを指定または変更するには」、特に 手順 3 を参照のこと。
- © 2010, Oracle Corporation and/or its affiliates