この作業マップでは、スーパーユーザーアカウントを使わず、RBAC セキュリティー機能を利用して管理作業を実行する場合に必要となる作業について説明します。
この節の内容は、コンソールを RBAC と組み合わせて使用する方法について書かれています。最初にコンソールを使って RBAC を設定する方法について説明するため、RBAC の概要や作業にも触れています。
RBAC の詳細や、RBAC をほかのアプリケーションと組み合わせて使用する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。
作業 |
説明 |
参照先 |
---|---|---|
1. コンソールを起動します。 |
ユーザーアカウントをすでに設定してある場合は、まずユーザーとしてコンソールを起動し、次に root としてコンソールにログインします。ユーザーアカウントを設定していない場合は、まずスーパーユーザーになり、次にコンソールを起動します。 | |
2. 自分のユーザーアカウントを追加します。 |
アカウントが存在しない場合は、自分のユーザーアカウントを追加します。 |
Solaris 管理コンソールのオンラインヘルプ |
3. プライマリ管理者の役割を作成します。 |
プライマリ管理者の役割を作成し、自分をこの役割に追加します。 | |
4. プライマリ管理者の役割を引き受けます。 |
プライマリ管理者の役割を作成後、その役割を引き受けます。 | |
5. (省略可能) root を役割にします。 |
root を役割にし、ほかのユーザーが su コマンドを使用して root になれないように、root の役割に自分を追加します。 | |
6. (省略可能) ほかの管理役割を作成します。 |
ほかの管理役割を作成し、各役割に適切な権利を付与します。次に、各役割に該当するユーザーを追加します。 |
次の節では、Solaris 管理コンソールと RBAC のセキュリティー機能の使い方に関する概要とその手順について説明します。
管理者としてコンソールに最初にログインした場合は、まずユーザー (自分自身) としてコンソールを起動します。次に、スーパーユーザーとしてログインします。この方法では、コンソールのすべてのツールに完全にアクセスできます。
ここで、RBAC を使用しているかどうかに応じて、一般的な手順を示します。
RBAC を使用しない – RBAC を使用しない場合は、スーパーユーザーとして作業を続けます。ほかのすべての管理者も、ジョブを実行するのに root アクセス権が必要になります。
RBAC を使用する – 次の手順を実行する必要があります。
まだアカウントを持っていない場合は、自分のユーザーアカウントを設定します。
プライマリ管理者という役割を作成します。
作成中の役割にプライマリ管理者の権利を割り当てます。
この役割にユーザーアカウントを割り当てます。
プライマリ管理者の役割の作成手順については、「最初の役割 (プライマリ管理者) を作成する方法」を参照してください。
RBAC の機能の概要については、『Solaris のシステム管理 (セキュリティサービス)』の第 9 章「役割によるアクセス制御の使用 (手順)」を参照してください。
「管理役割」は、特殊なユーザーアカウントの 1 つです。この役割を引き受けたユーザーは、定義済みの管理作業を実行することができます。
プライマリ管理者の役割は、スーパーユーザーと同様に、すべての管理機能の実行が許可されています。
スーパーユーザー、またはプライマリ管理者の役割を引き受けたユーザーは、ほかの管理者が実行できる作業を定義することができます。「管理役割を追加」ウィザードを使用すると、役割を作成し、その役割に権利を付与し、その役割を引き受けられるユーザーを指定できます。「権利」とは、特定のアプリケーションを使用するためのコマンド (または承認) の集合に、名前を付けたものです。権利を使用すると、アプリケーション内にある特定の機能を実行できます。権利の使用は、管理者が付与または拒否できます。
次の表に、プライマリ管理者の役割の作成時に入力を要求される情報を示します。
表 2–2 Solaris 管理コンソールを使用して役割を追加するためのフィールドの説明
フィールド名 |
説明 |
---|---|
役割名 |
管理者が特定の役割にログインするために使用する名前を選択します。 |
正式名 |
この役割の名前をフルネームでわかりやすく入力します。(省略可能) |
説明 |
この役割の詳細な説明を入力します。 |
役割 ID 番号 |
この役割に割り当てられている ID 番号を選択します。この番号は、UID の ID セットと同じです。 |
役割のシェル |
ユーザーが端末またはコンソールのウィンドウにログインするか、そのウィンドウで役割を引き受けるときに実行するシェルを選択します。 |
役割のメーリングリストを作成 |
項目をチェックすると、役割と同じ名前でメーリングリストを作成します。メーリングリストを使用すると、その役割に割り当てられているすべてのユーザーに電子メールを送信できます。 |
役割パスワードとパスワードを確認 |
役割のパスワードを設定および再入力します。 |
有効な権利と許可された権利 |
「有効な権利」のリストから権利を選択し、「許可された権利」のリストに追加することにより、この役割に権利を割り当てます。 |
ホームディレクトリの選択 |
この役割の専有ファイルが格納されるホームディレクトリサーバーを選択します。 |
ユーザーの役割への割り当て |
特定のユーザーが特定の作業を行うための役割を持てるようにユーザーを役割に追加します。 |
RBAC の詳細と、役割を使用してよりセキュリティー保護された環境を作成する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。
この手順では、プライマリ管理者の役割を作成し、それをユーザーアカウントに割り当てる方法について説明します。ユーザーアカウントはすでに作成してあるものとします。
ユーザーとしてコンソールを起動します。
% /usr/sadm/bin/smc & |
コンソールの起動方法については、「スーパーユーザーまたは役割としてコンソールを起動する方法」を参照してください。
ユーザーアカウントの作成方法については、コンソールのオンラインヘルプを参照してください。
ナビゲーション区画で「このコンピュータ」アイコンをクリックします。
「システムの構成」->「ユーザー」->「管理役割」の順にクリックします。
「アクション」->「管理役割を追加」の順にクリックします。
「管理役割を追加」ウィザードが開きます。
次の手順に従って、「管理役割を追加」ウィザードでプライマリ管理者の役割を作成します。
役割名に加えて、役割の正式名、備考欄、役割 ID 番号、役割シェル、役割のメーリングリストを作成するかどうかを指定します。「次へ (Next)」をクリックします。
役割パスワードを設定および確認し、「次へ」をクリックします。
「有効な権利」欄からプライマリ管理者の権利を選択し、「許可された権利」欄に追加します。
「次へ (Next)」をクリックします。
役割のホームディレクトリを選択し、「次へ」をクリックします。
この役割を引き受けることができるユーザーのリストに自分を割り当て、「次へ」をクリックします。
必要に応じて、表 2–2 で役割の各フィールドの説明を参照してください。
「完了」をクリックします。
プライマリ管理者の役割を作成し終わったら、まずユーザー (自分自身) としてコンソールにログインし、次にプライマリ管理者の役割を引き受ける必要があります。役割を引き受けるときは、その役割の権利を含むすべての属性を引き受けます。同時に、自分自身のユーザープロパティーはすべて放棄します。
コンソールを起動します。
% /usr/sadm/bin/smc & |
コンソールの起動方法については、「スーパーユーザーまたは役割としてコンソールを起動する方法」を参照してください。
ユーザー名とパスワードを使ってログインします。
引き受けることができる役割のリストが表示されます。
プライマリ管理者の役割にログインし、役割のパスワードを入力します。