test

Solaris Trusted Extensions インストールと構成 (Solaris 10 11/06 および Solaris 10 8/07 リリース版)

ProcedureTrusted Extensions でセキュリティー管理者役割を作成する

Trusted Extensions での役割作成は、Solaris OS での役割作成と同じです。ただし、Trusted Extensions では、セキュリティー管理者役割は必須です。ローカルのセキュリティー管理者役割を作成するには、例 4–4 のようにコマンド行インタフェースを使用することもできます。

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。

ネットワーク上に役割を作成するには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」を完了しておく必要があります。

  1. Solaris 管理コンソールを起動します。


    # /usr/sbin/smc &

  2. 適切なツールボックスを選択します。

    • ローカルに役割を作成する場合、「This Computer (this-host: Scope=Files, Policy=TSOL)」を使用します。

    • LDAP サービスに役割を作成する場合、「This Computer (this-host: Scope=LDAP, Policy=TSOL)」を使用します。

  3. 「システムの構成」をクリックして「ユーザー」をクリックします。

    パスワードを入力するよう求められます。

  4. 適切なパスワードを入力します。

  5. 「管理役割」をダブルクリックします。

  6. 「アクション」メニューから「管理者役割を追加」を選択します。

  7. セキュリティー管理者役割を作成します。

    次の情報を参考にしてください。

    • 「役割名」– secadmin

    • 「役割の正式名」– Security Administrator

    • 「備考欄」– サイトセキュリティー担当者 (ここには機密情報を入力しない)

    • 「役割の ID 番号」– ≥100

    • 「役割シェル」– 管理者の Bourne (プロファイルシェル)

    • 「役割メーリングリストを作成」– チェックボックスを選択されたままにしておきます。

    • 「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。

      セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。

      注 –

      すべての管理役割に対して、アカウントを常に有効にし、パスワード有効期限を設定しないでください。

    • 「有効な権利」– 情報セキュリティー、ユーザーセキュリティー

    • 「ホームディレクトリサーバー」– home-directory-server

    • 「ホームディレクトリパス」– /mount-path

    • 「この役割にユーザーを割り当てます」– 役割をユーザーに割り当てると、このフィールドは自動的に入力されます。

  8. 役割を作成したら、設定が正しいことを確認します。

    役割を選択してダブルクリックします。

    次のフィールド内の値を確認します。

    • 「有効なグループ」– 必要な場合にグループを追加します。

    • 「Trusted Extensions 属性」– デフォルトが正しいです。

      単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。

    • 「除外監査クラス/対象監査クラス」– 役割の監査フラグが audit_control ファイルのシステム設定に対する例外である場合のみ、監査フラグを設定します。

  9. その他の役割を作成するには、セキュリティー管理者役割を参考にします。

    例は、『Solaris のシステム管理 (セキュリティサービス)』「GUI を使用して役割の作成および割り当てを行う方法」を参照してください。各役割に一意の ID を指定し、その役割に正しい権利プロファイルを割り当てます。可能な役割は、次のとおりです。

    • admin 役割 – System Administrator の付与権利

    • primaryadmin 役割 – Primary Administrator の付与権利

    • oper 役割 – Operator の付与権利

例 4–4 ローカルのセキュリティー管理者役割を作成するための roleadd コマンドの使用

この例では、root ユーザーが roleadd コマンドを使用して、セキュリティー管理者役割をローカルシステムに追加します。詳細は、roleadd(1M) のマニュアルページを参照してください。役割の作成の前に、root ユーザーは表 1–2 を確認します。


# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

root ユーザーは、役割の初期パスワードを指定します。


# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

役割をローカルユーザーに割り当てるには、例 4–5 を参照してください。