識別情報

管理者役割は、「識別情報 (Identity)」ダイアログボックスで次のようなアカウント情報を入力します。

• ユーザーまたは役割を「識別」するための名前と番号

• ユーザーまたは役割の一次グループおよび (オプションの) 二次グループ

• コメント

• デフォルトのシェル (コマンドインタプリタ)

• 作成するアカウントの種類 (一般、非管理役割、管理役割)

ユーザー名、ユーザー番号、グループ名、グループ ID 番号

アカウント名には一意の名前 (ユーザー名) と一意の番号 (ユーザー ID または UID) が必要です。

システムが同一である限り、ユーザー名およびユーザー ID は決して再利用しないようにしてください。ユーザー名や UID を再使用しないことによって、 アーカイブファイルを復元したり、監査記録を分析したりするときにどのユーザーが何をし、どのファイルを所有していたかについての混乱を防ぐことができます。

作成するアカウントがユーザー用か役割用かに応じて、アカウントのユーザー名、ユーザー ID、グループ名、グループ ID 番号を以下の要領で入力します。

• これらの情報はすべて、アカウントのためにコマンドを実行する個々のプロセスに関連付けられます。

• これらの情報はすべて、アカウントにより作成されたファイルやディレクトリに関連付けられます。

• これらの情報はすべて DAC 判定に使用され、標準の UNIX のファイルまたはディレクトリのアクセス権およびアクセス制御リスト (ACL) に基づいて、ユーザーが特定のファイルやディレクトリに対するアクセス許可を持つかどうかが判定されます。

• 一般ユーザーアカウントの場合、ログインの際にユーザー識別と承認のために、ユーザー名の入力を求められます。

• 役割アカウントの場合、トラステッドパスを通じてユーザーがその役割になる際にユーザー名の入力を求められます。

• 一般ユーザーアカウントの場合、UID は監査 ID になります。監査 ID は、ユーザーが行なった監査可能なアクションにより生成される監査レコード内に格納されます。ユーザーがログインセッション中に特定の役割になり、その役割の UID で作業を始める場合でも、同ログインセッション中の監査 ID は同じままになります。監査 ID を使うと、管理者は監査アクションをどのユーザーが実行したかをトレースできます。

入力前に決定すべき事項

• 自サイトの規定に応じてアカウントのユーザー名を決定すること。

  • アカウント名の長さは 8 文字です。

  • アカウント名は、ネットワーク内で重複しないこと。

  • アカウント名は、そのシステムが同一である限り、再使用はしないこと。

• アカウントのユーザー ID (UID) を決定すること。UID はユーザー名とともに、システムでのアカウントの識別に使用される。

  • UID は、ネットワーク内で重複しないこと。

  • UID は、システムが同一である限り、再使用はしないこと。

• ユーザーが所属する一次グループまたは二次グループを決定すること (二次グループはオプション)。

  • 新しいアカウントに割り当てるための、利用可能なグループ名および GID 番号が必要です。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、手順 3、手順 4、手順 5 を参照のこと。

コメント

ユーザーアカウントの場合、「コメント (Comment)」には、ユーザーの氏名、役職、電話番号などを入力します。ここに入力した情報は passwd(1) エントリの GCOS フィールドに格納されます。「コメント (Comment)」フィールドに入力したテキストは、そのユーザーが送信する電子メールの「From:」フィールドとして、また finger(1) コマンドの出力の一部として使用されます。このフィールドが使用された例を以下に示します。

From: Roseanne Sullivan -- Manual Laborer

役割アカウントの場合、任意のコメントを入力します。

入力前に決定すべき事項

• サイトの使用に応じたコメントを入力すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 6 を参照のこと。

シェル

管理者役割は、ユーザーまたは役割アカウントが使用するデフォルトのシェルを選択できます。指定できるシェルには、Bourne シェル、Korn シェル、C シェル、プロファイルシェルなどがあります。Bourne シェル、Korn シェル、C シェルを使用すると、アカウントは特権を継承する必要のないコマンドをすべて実行することができます。それに対して、プロファイルシェル上で作業する場合は、アカウントが実行できるのはそのアカウントのプロファイルにあるコマンドだけになります。

プロファイルシェルは、同シェル内でユーザーがコマンドを実行するたびに、プロファイルデータベースを調べ、そのコマンドがユーザーの実行プロファイルに存在するかどうか、そして何らかの特権がそのコマンドに継承されるかまたは他の特別な属性がそのコマンドに適用されるかどうかを判断します。そのコマンドの実行時に、データベースに指定されているそのコマンド用の継承可能な特権または他の属性や、アカウントの実行プロファイルに指定されている承認が利用可能となります。

プロファイルシェルを使ったアカウントへの制限付与

プロファイルシェルを使うとユーザーの機能を制限できます。プロファイルシェルは、他のシェルとは異なり、ユーザーが使えるコマンドを指定のコマンド集合に制限できます。

プロファイルシェルを使ったアカウントへの特権付与

プロファイルの機能を使うと、一部のユーザーにしか使用できない特権付きのコマンドが使用できる承認を特定のアカウントに与えることができます。

プロファイルシェルは、コマンドを実行するプロセスに特権を継承させる、あるいは、拡張された属性で実行させることができる唯一のシェルです。アカウントにどんなデフォルトシェルが割り当てられていても、すべてのアカウントは、別のシェルのコマンド行からプロファイルシェルを呼び出すことができます。

入力前に決定すべき事項

• アカウントのシェルを識別すること。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 7、手順 8 を参照のこと。

アカウントの種類

管理役割は、アカウントを一般ユーザーとして作成するか、それとも非管理役割や管理役割として作成するかを決定します。新しい役割アカウントを作成する場合にのみ、非管理役割または管理役割のいずれかを選択してください (詳細は、第 8 章「ユーザーおよび役割のための実行プロファイルの管理」を参照のこと)。

入力前に決定すべき事項

• 一般のユーザーアカウントを設定する場合には「一般ユーザー」を選択する。

  これを選択した後でも、「役割」ダイアログボックスを使えば、特定のユーザーが既存の役割になれるように設定できます。

• 新しい管理役割を設定する場合には「管理役割」を選択する。

• 新しい非管理役割を設定する場合には「非管理役割」を選択する。

ユーザーマネージャ内の入力場所

「識別情報を指定または変更するには」、特に 手順 9 を参照のこと。