すでに管理役割を使用している場合、セキュリティー管理者役割を追加できます。役割をまだ実装していないサイトにおいて、役割を作成する手順は Solaris OS の場合と同様です。Trusted Extensions ドメインを管理するためには、Trusted Extensions でセキュリティー管理役割を追加し、Solaris 管理コンソールを使用する必要があります。
Trusted Extensions での役割作成は、Solaris OS での役割作成と同じです。ただし、Trusted Extensions では、セキュリティー管理者役割は必須です。ローカルのセキュリティー管理者役割を作成するには、例 4–4 のようにコマンド行インタフェースを使用することもできます。
スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。
ネットワーク上に役割を作成するには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」を完了しておく必要があります。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
適切なツールボックスを選択します。
「システムの構成」をクリックして「ユーザー」をクリックします。
パスワードを入力するよう求められます。
適切なパスワードを入力します。
「管理役割」をダブルクリックします。
「アクション」メニューから「管理者役割を追加」を選択します。
セキュリティー管理者役割を作成します。
次の情報を参考にしてください。
「役割名」– secadmin
「役割の正式名」– Security Administrator
「備考欄」– サイトセキュリティー担当者 (ここには機密情報を入力しない)。
「役割の ID 番号」– ≥100
「役割シェル」– 管理者の Bourne (プロファイルシェル)
「役割メーリングリストを作成」– チェックボックスを選択されたままにしておきます。
「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。
セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
すべての管理役割に対して、アカウントを常に有効にし、パスワード有効期限を設定しないでください。
「有効な権利」– 情報セキュリティー、ユーザーセキュリティー
「ホームディレクトリサーバー」– home-directory-server
「ホームディレクトリパス」– /mount-path
「この役割にユーザーを割り当てます」– 役割をユーザーに割り当てると、このフィールドは自動的に入力されます。
役割を作成したら、設定が正しいことを確認します。
役割を選択してダブルクリックします。
次のフィールド内の値を確認します。
「有効なグループ」– 必要な場合にグループを追加します。
「Trusted Extensions 属性」– デフォルトが正しいです。
単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。
「除外監査クラス/対象監査クラス」– 役割の監査フラグが audit_control ファイルのシステム設定に対する例外である場合のみ、監査フラグを設定します。
その他の役割を作成するには、セキュリティー管理者役割を参考にします。
例は、『Solaris のシステム管理 (セキュリティサービス)』の「GUI を使用して役割の作成および割り当てを行う方法」を参照してください。各役割に一意の ID を指定し、その役割に正しい権利プロファイルを割り当てます。可能な役割は、次のとおりです。
admin 役割 – System Administrator の付与権利
primaryadmin 役割 – Primary Administrator の付与権利
oper 役割 – Operator の付与権利
この例では、root ユーザーが roleadd コマンドを使用して、セキュリティー管理者役割をローカルシステムに追加します。詳細は、roleadd(1M) のマニュアルページを参照してください。役割の作成の前に、root ユーザーは表 1–2 を確認します。
# roleadd -c "Local Security Administrator" -d /export/home1 \ -u 110 -P "Information Security,User Security" -K lock_after_retries=no \ -K idletime=5 -K idlecmd=lock -K labelview=showsl \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin |
root ユーザーは、役割の初期パスワードを指定します。
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin # |
役割をローカルユーザーに割り当てるには、例 4–5 を参照してください。
ローカルユーザーを作成するには、次の手順の代わりに、例 4–5 のようにコマンド行インタフェースを使用することができます。サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。
セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成し、セキュリティー管理者役割がパスワードなどのセキュリティー関連の属性を割り当てます。
スーパーユーザーになるか、root 役割、セキュリティー管理者役割、または主管理者役割になる必要があります。セキュリティー管理者役割には、ユーザー作成に必要な最低限の権限があります。
Solaris 管理コンソールが表示されます。詳細は、「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。
Solaris 管理コンソールで、「ユーザーアカウント」をダブルクリックします。
「アクション」メニューから「ユーザーを追加」 -> 「ウィザードを使用」を選択します。
役割およびユーザーの名前と ID は、同じプールが元になります。追加するユーザーに既存の名前や ID を使用しないでください。
オンラインヘルプに従います。
『Solaris のシステム管理 (基本編)』の「Solaris 管理コンソールのユーザーツールを使ってユーザーを追加する方法」の手順に従うこともできます。
ユーザーを作成したら、作成したユーザーをダブルクリックして設定を変更します。
役割になれるユーザーのユーザーアカウントは常に有効にし、パスワード有効期限を設定しないでください。
次のフィールドが正しく設定されていることを確認します。
「説明」– ここには機密情報を入力しません。
「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。
インストールチームは推測されにくいパスワードを選択しなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
「アカウントの有効/無効」– 常に有効です。
「Trusted Extensions 属性」– デフォルトが正しいです。
単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。
「アカウントの使用方法」– アイドル時間およびアイドルアクションを設定します。
「アカウントのロック」– 役割になれるユーザーに対して「いいえ」を設定します。
ユーザーの環境をカスタマイズします。
簡易認証の割り当て
サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。この権利によって、ユーザーはデバイスの割り当て、PostScriptTM ファイルの印刷、ラベルなしの印刷、遠隔からのログイン、およびシステムのシャットダウンを行えます。
ユーザー初期化ファイルのカスタマイズ
『Solaris Trusted Extensions 管理の手順』の第 7 章「Trusted Extensions でのユーザー権利、役割の管理 (手順)」を参照してください。
『Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)」も参照してください。
マルチラベルのコピーおよびリンクファイルの作成
マルチラベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、『Solaris Trusted Extensions 管理の手順』の「.copy_files ファイルと .link_files ファイル」を参照してください。
この例では、root ユーザーが、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。
最初に、root ユーザーは、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78 |
次に、root ユーザーは表 1–2 を確認してから、ユーザーを作成します。
# useradd -c "Local user for Security Admin" -d /export/home1 \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe |
root ユーザーは初期パスワードを指定します。
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe # |
最後に、root ユーザーは、セキュリティー管理者役割をユーザーの定義に追加します。役割は、「Trusted Extensions でセキュリティー管理者役割を作成する」で作成されました。
# usermod -R secadmin jandoe |
各役割を確認するには、その役割になります。その役割のみが実行できるタスクを実行します。
DNS または経路指定を構成してある場合は、役割を作成したら再起動し、そのあとでその役割が機能することを確認してください。
役割ごとに、その役割になれるユーザーとしてログインします。
トラステッドパスメニューを開きます。
メニューから役割になります。
役割のワークスペースで、Solaris 管理コンソールを起動します。
$ /usr/sbin/smc & |
テストする役割の適切な範囲を選択します。
「システムの構成」をクリックして、「ユーザー」に移動します。
パスワードを入力するよう求められます。
ユーザーをクリックします。
システム管理者役割では、「基本」、「ホームディレクトリ」、および「グループ」のタブの各フィールドを変更できます。
セキュリティー管理者役割では、すべてのタブの各フィールドを変更できます。
主管理者役割では、すべてのタブの各フィールドを変更できます。
ホストが再起動されると、デバイスと基礎のストレージとの関連付けも再設定されなければなりません。
少なくとも 1 つのラベル付きゾーンが作成されています。そのゾーンはクローンを作成中ではありません。