この節では、いくつかの標準的な権利プロファイルについて説明します。権利プロファイルには、承認、セキュリティー属性を指定したコマンド、および補助権利プロファイルを含めることができます。権利プロファイルは、最も権限のあるものから最も権限のないものへとリストされます。権利プロファイルをサイトの役割に配布する際の方法については、「RBAC の実装を計画する方法」を参照してください。
「Primary Administrator」権利プロファイル – 1 つのプロファイルでのスーパーユーザーの機能を提供します。
「System Administrator」権利プロファイル – セキュリティーに関係しないほとんどのタスクを実行できるプロファイルを提供します。このプロファイルには、権限のある役割を作成するためにいくつかのほかのプロファイルが含まれます。
「Operator」権利プロファイル – ファイルおよびオフラインメディアを管理するための制限された機能を提供します。このプロファイルには、単純な役割を作成するための補助権利プロファイルが含まれます。
「Printer Management」権利プロファイル – 印刷を処理するための限られた数のコマンドと承認を提供します。このプロファイルは、単一の管理領域を対象とする複数のプロファイルのうちの 1 つです。
「Basic Solaris User」権利プロファイル – セキュリティーポリシーの範囲内でユーザーがシステムを使用できるようにします。このプロファイルは、デフォルトで policy.conf ファイル内にリストされます。
「All」権利プロファイル – 役割に対して、セキュリティー属性を指定していないコマンドへのアクセスを提供します。
それぞれの権利プロファイルには、関連するヘルプファイルが用意されています。ヘルプファイルは、HTML 形式で、カスタマイズが可能です。ヘルプファイルは、/usr/lib/help/profiles/locale/C ディレクトリにあります。
Primary Administrator 権利プロファイルには、システム上で最も強力な役割が割り当てられます。Primary Administrator 権利プロファイルを含む役割は、スーパーユーザーの機能を持ちます。
solaris.* 承認は、実質的に Solaris ソフトウェアから提供されるすべての承認を割り当てます。
solaris.grant 承認は、任意の権利プロファイル、役割、またはユーザーに任意の承認を割り当てます。
*:uid=0;gid=0 のコマンド割り当ては、UID=0 および GID=0 ですべてのコマンドを実行します。
ヘルプファイル RtPriAdmin.html は、必要に応じて、使用するサイトに合わせてカスタマイズできます。ヘルプファイルは、/usr/lib/help/profiles/locale/C ディレクトリに格納されています。
Primary Administrator 権利プロファイルがサイトのセキュリティーポリシーと矛盾する場合は、このプロファイルを変更したり、割り当てないようにしたりすることもできます。ただし、Primary Administrator 権利プロファイルのセキュリティー機能は、ほかの権利プロファイルの処理に必要となります。この場合、それらのほかの権利プロファイルを役割に割り当てます。
表 10–1 Primary Administrator 権利プロファイルの内容
目的 |
内容 |
---|---|
すべての管理タスクを実行する |
コマンド: *:uid=0;gid=0 承認: solaris.*、solaris.grant ヘルプファイル: RtPriAdmin.html |
System Administrator 権利プロファイルは、System Administrator 役割用に設計されています。System Administrator では、Primary Administrator の強力な機能を持たないため、ワイルドカードは使用できません。その代わり、このプロファイルは、セキュリティーを対象外とする、一連の個別の補助的な管理権利プロファイルです。補助権利プロファイルの 1 つからのセキュリティー属性を指定したコマンドを示します。
All 権利プロファイルは、補助権利プロファイルのリストの最後にあります。
表 10–2 System Administrator 権利プロファイルの内容
目的 |
内容 |
---|---|
セキュリティーに関係しない管理タスクを実行する |
補助権利プロファイル: Audit Review、Printer Management、Cron Management、Device Management、File System Management、Mail Management、Maintenance and Repair、Media Backup、Media Restore、Name Service Management、Network Management、Object Access Management、Process Management、Software Installation、Project Management、User Management、All ヘルプファイル: RtSysAdmin.html |
補助プロファイルの 1 つからのコマンド |
Object Access Management 権利プロファイル、 solaris ポリシー: /usr/bin/chgrp:privs=file_chown、/usr/bin/chmod:privs=file_chown、/usr/bin/chown:privs=file_chown、/usr/bin/setfacl:privs=file_chown suser ポリシー: /usr/bin/chgrp:euid=0、/usr/bin/chmod:euid=0、/usr/bin/chown:euid=0、/usr/bin/getfacl:euid=0、/usr/bin/setfacl:euid=0 |
Operator 権利プロファイルは、権限の弱いプロファイルで、バックアップとプリンタ管理を行います。ファイルの復元は、セキュリティーに影響します。したがって、このプロファイルでは、デフォルトではファイルの復元機能は含まれていません。
表 10–3 Operator 権利プロファイルの内容
目的 |
内容 |
---|---|
単純な管理タスクを実行する |
補助権利プロファイル: Printer Management、Media Backup、All ヘルプファイル: RtOperator.html |
Printer Management は、特定のタスクを実行する標準権利プロファイルです。このプロファイルには、承認とコマンドが含まれます。次の表では、使用できるコマンドの一部を示します。
表 10–4 Printer Management 権利プロファイルの内容
目的 |
内容 |
---|---|
プリンタ、デーモン、スプール処理を管理する |
承認: solaris.print.*、solaris.label.print、solaris.admin.printer.delete、solaris.admin.printer.modify、solaris.admin.printer.read、solaris.smf.manage.discovery.printers.*、solaris.smf.value.discovery.printers.* コマンド: /usr/lib/lp/local/lpadmin:uid=lp;gid =lp、/usr/sbin/lpfilter:euid=lp;uid=lp、/usr/sbin/lpforms:euid=lp、 /usr/sbin/lpusers:euid=lp、/usr/sbin/ppdmgr:euid=0 ヘルプファイル: RtPrntMngmnt.html |
デフォルトでは、Basic Solaris User 権利プロファイルは、policy.conf ファイルによってすべてのユーザーに自動的に割り当てられます。このプロファイルでは、通常の操作に使用する基本的な承認を与えます。Basic Solaris User 権利プロファイルを使用するときは、サイトのセキュリティー要件を考慮する必要があります。高いセキュリティーを必要とするサイトでは、このプロファイルを policy.conf ファイルから削除することをお勧めします。
表 10–5 Basic Solaris User 権利プロファイルの内容
目的 |
内容 |
---|---|
すべてのユーザーに自動的に権限を割り当てる |
承認: solaris.profmgr.read、solaris.jobs.user、solaris.mail.mailq、solaris.device.mount.removable、solaris.admin.usermgr.read、solaris.admin.logsvc.read、solaris.admin.fsmgr.read、solaris.admin.serialmgr.read、solaris.admin.diskmgr.read、solaris.admin.procmgr.user、solaris.compsys.read、solaris.admin.printer.read、solaris.admin.prodreg.read、solaris.admin.dcmgr.read、solaris.snmp.read、solaris.project.read、solaris.admin.patchmg.read、solaris.network.hosts.read、solaris.admin.volmgr.read 補助権利プロファイル: All ヘルプファイル: RtDefault.html |
All 権利プロファイルは、すべてのコマンドを使用できるようにワイルドカードを使用したプロファイルです。この権利プロファイルは、ほかのプロファイルに明示的に割り当てられていないすべてのコマンドにアクセスできる役割です。All 権利プロファイルまたはワイルドカードを使用するその他の権利プロファイルを使用しないと、役割は明示的に割り当てられているコマンド以外にはアクセスできません。このような制限された一連のコマンドは、あまり実用的でありません。
All 権利プロファイルを使用する場合は、最後に割り当ててください。それによって、ほかの権利プロファイルで明示的に割り当てたセキュリティー属性が誤って無効にされることがないようにできます。
表 10–6 All 権利プロファイルの内容
目的 |
内容 |
---|---|
ユーザーまたは役割として任意のコマンドを実行する |
コマンド: * ヘルプファイル: RtAll.html |
権利プロファイルのコマンドは、発生順に解釈されます。最初に発生したコマンドが、役割またはユーザーに対して使用されるコマンドの唯一のバージョンです。さまざまな権利プロファイルが、同一のコマンドを含むことができます。したがって、プロファイルのリスト内の権利プロファイルの順序が重要になってきます。ほとんどの機能を持つ権利プロファイルが先頭に来るようにします。
権利プロファイルは、Solaris 管理コンソールの GUI および prof_attr ファイルでリストされます。Solaris 管理コンソールの GUI では、ほとんどの機能を持つ権利プロファイルが、割り当てられた権利プロファイルのリストの一番上のプロファイルになります。prof_attr ファイルでは、ほとんどの機能を持つ権利プロファイルが、補助プロファイルのリストの最初に来ます。この配置において、セキュリティー属性を指定したコマンドがセキュリティー属性を指定していない同一のコマンドの前にリストされます。
Solaris 管理コンソールの権利ツールを使用して、権利プロファイルの内容を検査することもできます。
prof_attr および exec_attr ファイルでは、より細分化されて表示されます。prof_attr ファイルには、システムで定義されたすべての権利プロファイルの名前が含まれます。このファイルには、プロファイルごとの承認および補助権利プロファイルも含まれます。exec_attr ファイルには、権利プロファイルの名前と、セキュリティー属性を指定した権利プロファイルのコマンドが含まれます。