新しい役割を作成するには、スーパーユーザーになるか、 Primary Administrator 役割を使用します。この手順では、新しい役割の作成者が Primary Administrator 役割を引き受けています。
使用するサイトで役割を引き受けることができるユーザーは、すでに作成されています。ユーザーをまだ作成していない場合は、『Solaris のシステム管理 (基本編)』の「Solaris 管理ツールを RBAC と組み合わせて使用する (作業マップ)」に記載されている手順に従ってユーザーを作成してください。
Primary Administrator 役割は、『Solaris のシステム管理 (基本編)』の「Solaris 管理ツールを RBAC と組み合わせて使用する (作業マップ)」の手順に従って割り当て済みです。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
ログインの手順については、「Solaris 管理コンソールで役割を引き受ける方法」を参照してください。
「管理役割 (Administrative Roles)」アイコンをクリックします。
「アクション (Action)」メニューから「管理役割を追加 (Add Administrative)」を選択します。
一連のダイアログボックスのフィールドに入力して新しい役割を作成します。
作成可能な役割については、例 9–1 から例 9–4 を参照してください。
Solaris 管理コンソールの各ツールは、ページの下部またはウィンドウパネル左側に情報を表示します。このインタフェースでの作業について情報が必要な場合は、いつでも「ヘルプ (Help)」を選択できます。
役割のプロパティーを入力すると、最後のダイアログボックスで、その役割のユーザーを入力するよう促されます。
端末ウィンドウで、ネームサービスキャッシュデーモンを再起動します。
# svcadm restart system/name-service-cache |
詳細は、svcadm(1M) および nscd(1M) のマニュアルページを参照してください。
この例では、セキュリティーに関係しないシステム管理タスクを新しい役割が行うことができます。役割は、次のパラメータで前述の手順を実行すると作成されます。
役割名: sysadmin
役割の完全名: System Administrator
役割の説明: セキュリティーに関係しない管理タスクを行う
権利プロファイル: System Administrator
この権利プロファイルは、役割に含まれるプロファイルのリストの最上部にあります。
Operator 権利プロファイルは、プリンタを管理したりオフラインメディアにシステムをバックアップしたりすることができます。役割を交代で 1 人のユーザーに割り当てたいという場合があります。そのような場合には、「手順 1: 役割名を入力します (Step 1: Enter a Role Name) 」ダイアログボックスで、 役割メーリングリストオプションを選択します。役割は、次のパラメータで前述の手順を実行すると作成されます。
役割名: operadm
役割の完全名: Operator
役割の説明: 操作をバックアップする
権利プロファイル: Operator
この権利プロファイルは、役割に含めるプロファイルのリストの先頭に配置する必要があります。
デフォルトでは、セキュリティー関連のコマンドと権利を含む権利プロファイルだけが、Primary Administrator プロファイルとなります。Primary Administrator ほどの権限はないが、セキュリティー関連のタスクを処理できる役割を作成する場合には、役割を作成する必要があります。
次の例で、役割はデバイスを保護します。役割は、次のパラメータで前述の手順を実行すると作成されます。
次の例で、役割はネットワーク上のシステムとホストのセキュリティーを保護します。役割は、次のパラメータで前述の手順を実行すると作成されます。
多くの権利プロファイルでは、適用範囲に制限があります。この例では、役割の唯一のタスクは DHCP を管理することです。役割は、次のパラメータで前述の手順を実行すると作成されます。
役割名: dhcpmgt
役割の完全名: DHCP Management
役割の説明: DHCP (Dynamic Host Config Protocol) を管理する
権利プロファイル: DHCP Management
この例では、既存のユーザーに役割が追加されます。ユーザーの役割の割り当てを変更するには、Solaris 管理コンソールの「ユーザー」ツールの「ユーザーアカウント (User Accounts) 」アイコンをクリックし、ユーザーをダブルクリックし、オンラインヘルプに従ってユーザーの機能に役割を追加します。
役割が持つべき機能を持っていない場合、次の内容を確認します。
役割の権利プロファイルが、GUI で最も権限のあるものから最も権限のないものへとリストされていること。
たとえば、All 権利プロファイルがリストの最上部にある場合、セキュリティー属性で実行されるコマンドはありません。セキュリティー属性を指定したコマンドを含むプロファイルは、リストで All 権利プロファイルの前に来なければなりません。
役割の権利プロファイルのコマンドに適切なセキュリティー属性を指定していること。
たとえば、ポリシーが suser のとき、 euid=0 ではなく、uid=0 となるコマンドもあります。
権利プロファイルが適切なネームサービスの適用範囲で定義されていること。権利プロファイルが定義されているネームサービスの適用範囲で役割が動作していること。
ネームサービスのキャッシュ、svc:/system/name-service-cache を再起動していること。
nscd デーモンには長い有効期間を設定することができます。デーモンを再起動して、現在のデータでネームサービスを更新します。