ネットワークセキュリティーの役割を設定する方法

役割によるアクセス制御 (RBAC) でシステムを管理している場合は、ネットワーク管理またはネットワークセキュリティー上の役割を提供するためにこの手順を使用します。

1. ローカルの prof_attr データベースで Network 権利プロファイルを検索します。

   現在のリリースでは、次のような出力が表示されます。

   % cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...

   Solaris 10 4/09 リリースより前のリリースを実行している場合は、次のような出力が表示されます。

   % cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration   Network Security:::Manage network and host security   System Administrator::: Network Management

   Network Management プロファイルは、System Administrator プロファイルを補完するプロファイルです。System Administrator 権利プロファイルを役割に含めると、その役割は Network Management プロファイルでコマンドを実行できます。

2. Network Management 権利プロファイルに含まれているコマンドを調べます。

   % grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0

   solaris ポリシーコマンドは、特権 (privs=sys_net_config) で実行されます。suser ポリシーコマンドは、スーパーユーザー (uid=0) として実行されます。

3. サイトでのネットワークセキュリティーの役割の範囲を決定します。

   決定には、手順 1 の権利プロファイルの定義を参考にしてください。

   • すべてのネットワークセキュリティーを扱う役割を作成する場合は、Network Security 権利プロファイルを使用します。

   • 現在のリリースで、IPsec と IKE だけを扱う役割を作成する場合は、Network IPsec Management 権利プロファイルを使用します。

4. Network Management 権利プロファイルを含むネットワークセキュリティーの役割を作成します。

   Network Management プロファイルに加え、Network Security または Network IPsec Management 権利プロファイルを持つ役割は、ifconfig、snoop、ipsecconf、および ipseckey コマンドなどを適切な特権で実行できます。

   役割の作成、役割のユーザーへの割り当て、ネームサービスによる変更点の登録については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

例 20–5 ネットワークセキュリティーの責任を役割に振り分ける

この例では、管理者がネットワークセキュリティーの責任を 2 つの役割に振り分けます。一方の役割は wifi とリンクのセキュリティーを管理し、もう一方の役割は IPsec と IKE を管理します。各役割には、シフトごとに 1 人、合計 3 人を割り当てます。

管理者によって次のように役割が作成されます。

• 最初の役割には LinkWifi という名前を付けます。

  • この役割には Network Wifi、Network Link Security、および Network Management 権利プロファイルを割り当てます。

  • その後、該当するユーザーにこの LinkWifi 役割を割り当てます。

• 2 番目の役割には IPsec Administrator という名前を付けます。

  • この役割には Network IPsec Management および Network Management 権利プロファイルを割り当てます。

  • その後、該当するユーザーにこの IPsec Administrator 役割を割り当てます。