Solaris のシステム管理 (セキュリティサービス)

権利プロファイルを作成または変更する方法

権利プロファイルは、役割のプロパティーです。prof_attr データベースに必要な権利プロファイルが含まれていないときには、権利プロファイルを作成または変更してください。権利プロファイルの詳細については、「RBAC の権利プロファイル」を参照してください。

始める前に

権利プロファイルを作成または変更するには、Primary Administrator の役割を引き受けているか、スーパーユーザーに切り替えている必要があります。

次のいずれかの方法で、権利プロファイルを作成または変更します。
- Solaris 管理コンソールの「ユーザー」ツールを使用します。
  
  コンソールの起動については、「Solaris 管理コンソールで役割を引き受ける方法」を参照してください。左側の区画の指示に従って、「権利」の権利プロファイルを作成または変更します。詳細は、オンラインヘルプを参照してください。
- smprofile コマンドを使用します。
  
  このコマンドによって、権利プロファイルの追加、変更、一覧表示、または削除を行うことができます。このコマンドは、ファイル、および NIS、NIS+、LDAP などの分散ネームサービスで機能します。smprofile コマンドは、Solaris 管理コンソールサーバーのクライアントとして動作します。
  $ /usr/sadm/bin/smprofile -D domain-name \ -r admin-role -l <Type admin-role password> \ add | modify -- -n profile-name \ -d description -m help-file -p supplementary-profile
  -D domain-name
  
  管理対象のドメインの名前です。
  
  -r admin-role
  
  役割を変更できる管理役割の名前です。管理役割は solaris.role.assign 承認を得る必要があります。引き受けた役割を変更する場合、役割は solaris.role.delegate 承認を得る必要があります。
  
  -l
  
  admin-role のパスワードに対するプロンプトです。
  
  --
  
  認証オプションとサブコマンドオプションの間に必要な区切り文字です。
  
  -n profile-name
  
  新しいプロファイルの名前です。
  
  -d description
  
  プロファイルの簡単な説明です。
  
  -m help-file
  
  作成した /usr/lib/help/profiles/locale/C ディレクトリに配置した HTML ヘルプファイルの名前です。
  
  -p supplementary-profile
  
  この権利プロファイルに含まれる既存の権利プロファイルの名前です。複数の -p supplementary-profile のオプションを指定することができます。
  
  コマンドオプションの詳細については、smprofile(1M) のマニュアルページを参照してください。

例 9–19 コマンド行から権利プロファイルを変更する

次の例では、Network Management 権利プロファイルを Network Security 権利プロファイルの補助プロファイルにします。Network Security プロファイルを含む役割は、ネットワークおよびホストを構成できるようになり、加えてセキュリティー関連のコマンドを実行します。

$ /usr/sadm/bin/smprofile -D nisplus:/example.host/example.domain \
-r primaryadm -l <Type primaryadm password> \
modify -- -n "Network Security" \
-d "Manage network and host configuration and security" \
-m RtNetConfSec.html -p "Network Management"

管理者は、新しいヘルプファイル、RtNetConfSec.html を作成し、それを/usr/lib/help/profiles/locale/C ディレクトリに配置してから、このコマンドを実行します。

例 9–20 権利ツールを使用して新しい権利プロファイルを作成する

次の表では、「Build Administrator」と呼ばれる仮想権利プロファイルのサンプルデータを示します。この権利プロファイルには、サブディレクトリ /usr/local/swctrl/bin のコマンドが含まれます。これらのコマンドの実効 UID は 0 です。Build Administrator 権利プロファイルは、ソフトウェア開発のビルドとバージョンを管理する管理者が使用します。

タブ	フィールド	例
基本 (General)	名前	Build Administrator
	説明	ソフトウェアのビルドとバージョンの管理用。
	ヘルプファイル名 (Help File Name)	`BuildAdmin.html`
コマンド (Commands)	ディレクトリを追加 (Add Directory)	「ディレクトリを追加 (Add Directory)」をクリックし、ダイアログボックスに `/usr/local/swctrl/bin` と入力して、「了解 (OK)」をクリックします。
	拒否されたコマンド (Commands Denied) / 許可されたコマンド (Commands Permitted)	`/usr/local/swctrl/bin` を「許可されたコマンド (Commands Permitted)」列に移動します。
	セキュリティー属性を設定 (Set Security Attributes)	`/usr/local/swctrl/bin` を選択し、「セキュリティー属性を設定 (Set Security Attributes)」をクリックして、 Effective UID = `root` を設定します。
承認	含まれない承認 (Authorizations Excluded) / 含まれる承認 (Authorizations Included)	承認なし
補助権利 (Supplementary Rights)	含まれない権利 (Rights Excluded) / 含まれる権利 (Rights Included)	補助権利プロファイルなし

注意事項

権利プロファイルによって期待する機能を持つ役割が提供されない場合は、次を確認します。

役割の権利プロファイルが、GUI で最も権限のあるものから最も権限のないものへとリストされていること。

たとえば、All 権利プロファイルがリストの最上部にある場合、セキュリティー属性で実行されるコマンドはありません。セキュリティー属性を指定したコマンドを含むプロファイルは、リストで All 権利プロファイルの前に来なければなりません。
コマンドが、役割の権利プロファイルで複数回リストされていること。その場合、コマンドの最初のインスタンスに必要なセキュリティー属性がすべて指定されていること。

たとえば、コマンドはそのコマンドの特定のオプションのために特権を必要とする可能性があります。特権を必要とするオプションが成功するには、リストの一番上にある権利プロファイルのコマンドの最初のインスタンスに特権を割り当てる必要があります。
役割の権利プロファイルのコマンドに適切なセキュリティー属性を指定していること。

たとえば、ポリシーが suser のとき、 euid=0 ではなく、uid=0 である必要があるコマンドもあります。
ネームサービスのキャッシュ、svc:/system/name-service-cache を再起動していること。

nscd デーモンには長い有効期間を設定することができます。デーモンを再起動して、現在のデータでネームサービスを更新します。