すべてのユーザー用にシステムをカスタマイズする、または個々のユーザーアカウントをカスタマイズするときに実行できる一般的なタスクは、次の作業マップのとおりです。
作業 |
説明 |
参照先 |
---|---|---|
ラベル属性の変更 |
最小ラベルやデフォルトのラベル表示など、ユーザーアカウントのラベル属性を変更します。 | |
システムのすべてのユーザーに対して Trusted Extensions ポリシーを変更します。 |
policy.conf ファイルを変更します。 | |
設定した時間のあとにスクリーンセーバーを起動します。 設定した一定時間システムがアイドルになったあとにユーザーをログアウトします。 | ||
システムの一般ユーザーすべてから不要な特権を削除します。 | ||
公共キオスクでのプリントアウトからラベルを削除します。 | ||
ユーザーの初期設定ファイルを構成します。 |
.cshrc、.copy_files、.soffice など、すべてのユーザーの起動ファイルを構成します。 | |
ファイルのラベル再設定のタイムアウトを延長します。 |
一部のアプリケーションで承認ユーザーがファイルのラベルを再設定できるように構成します。 | |
フェイルセーフセッションへログインします。 |
ユーザーの初期設定ファイルの障害を修正します。 |
最初のシステムの構成中に、デフォルトのユーザーラベル属性を変更することができます。変更はすべての Trusted Extensions ホストにコピーする必要があります。
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
/etc/security/tsol/label_encodings ファイルで、デフォルトのユーザー属性設定を確認します。
デフォルトについては 「label_encodings ファイルのデフォルト」を参照してください。
label_encodings ファイルで、ユーザー属性設定を修正します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。Trusted CDE では、「ラベルエンコーディングの編集」アクションも使用できます。詳細は、「Trusted Extensions の CDE 管理アクションを起動する」を参照してください。
label_encodings ファイルは、すべてのホストで同一である必要があります。
ファイルのコピーを各 Trusted Extensions ホストに配布します。
Trusted Extensions で policy.conf のデフォルトを変更する方法は、Solaris OS でセキュリティー関連のシステムファイルを変更する方法に類似しています。Trusted Extensions では、トラステッドエディタを使用してシステムファイルを修正します。
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
/etc/security/policy.conf ファイルで、デフォルト設定を確認します。
Trusted Extensions のキーワードについては、表 6–1 を参照してください。
設定を修正します。
トラステッドエディタを使用して、システムファイルを編集します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、セキュリティー管理者役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。
IDLECMD=LOGOUT |
また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、セキュリティー管理者役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。
IDLETIME=10 |
これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。
この例では、Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、管理者は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のように修正します。
PRIV_DEFAULT=basic,!proc_info |
この例では、セキュリティー管理者が、コンピュータの /etc/security/policy.conf ファイルで次のように入力して、公共キオスクコンピュータからラベルのない印刷をできるようにしています。次の起動以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。
AUTHS_GRANTED= solaris.print.unlabeled |
管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はまず、印刷マネージャーの「バナーを常に印刷」チェックボックスがチェックされていないことを確認します。次に、policy.conf エントリを次のように修正し、再起動します。これで、すべての印刷ジョブはラベルなしになり、バナーページもトレーラページもなくなります。
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner |
ユーザーは、.copy_files ファイルと .link_files ファイルを、最小の機密ラベルに対応するラベルのホームディレクトリに配置することができます。また、ユーザーの最小ラベルで既存の .copy_files および .link_files ファイルを修正することもできます。この手順は、管理者役割がサイトの設定を自動化するためのものです。
大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
2 つの Trusted Extensions 起動ファイルを作成します。
起動ファイルのリストに、.copy_files および .link_files を追加します。
# cd /etc/skel # touch .copy_files .link_files |
.copy_files ファイルをカスタマイズします。
トラステッドエディタを起動します。
詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
.copy_files ファイルへのフルパス名を入力します。
/etc/skel/.copy_files |
.copy_files に、すべてのラベルでユーザーのホームディレクトリにコピーするファイルを、1 行に 1 ファイルずつ入力します。
「.copy_files ファイルと .link_files ファイル」 を参照してください。サンプルファイルについては、例 7–4 を参照してください。
.link_files ファイルをカスタマイズします。
ユーザーのほかの起動ファイルをカスタマイズします。
起動ファイルに含める内容については、『System Administration Guide: Basic Administration』の「Customizing a User’s Work Environment」を参照してください。
詳細は、『System Administration Guide: Basic Administration』の「How to Customize User Initialization Files」を参照してください。
例については、例 7–4 を参照してください。
(省略可能) デフォルトのシェルがプロファイルシェルであるユーザーに、 skelP サブディレクトリを作成します。
P はプロファイルシェルを表します。
カスタマイズした起動ファイルを、適切なスケルトンディレクトリにコピーします。
ユーザーを作成するときには、適切な skelX パス名を使用します。
X はシェル名の先頭の文字を表します。たとえば、Bourne シェルの場合は B、Korn シェルの場合は K、C シェルの場合は C、プロファイルシェルの場合は P です。
この例では、セキュリティー管理者が各ユーザーのホームディレクトリのファイルを構成します。ファイルは、ユーザーのログイン前に配置されています。ファイルは、ユーザーの最小ラベルにあります。このサイトでは、ユーザーのデフォルトのシェルは C シェルです。
セキュリティー管理者は、トラステッドエディタで次の内容を含む .copy_files および .link_files ファイルを作成します。
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq |
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq |
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq |
シェルの初期設定ファイルで、管理者はユーザーの印刷ジョブがラベル付きプリンタで実行されることを確認します。
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1 |
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1 |
管理者は、.Xdefaults- home-directory-server ファイルを修正して、dtterm コマンドによる新しい端末の .profile ファイルの読み取りを強制しました。
## Xdefaults-HDserver Dtterm*LoginShell: true |
カスタマイズしたファイルが、適切なスケルトンディレクトリにコピーされます。
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK |
最小のラベルで .copy_files ファイルを作成する場合、上位のゾーンにログインして updatehome コマンドを実行します。コマンドがアクセスエラーで失敗したら、次のようにしてください。
上位レベルのゾーンから下位レベルのディレクトリを表示できるかどうかを確認します。
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory |
そのディレクトリを表示できない場合、上位レベルのゾーンで自動マウントサービスを再起動します。
higher-level zone# svcadm restart autofs |
ホームディレクトリの NFS マウントを使用しないかぎり、上位ゾーンのオートマウンタは /zone/lower-level-zone/export/home/username から /zone/lower-level-zone/home/username にループバックマウントするはずです。
Trusted Extensions では、選択マネージャーがラベル間の情報の転送を仲介します。選択マネージャーは、ドラッグ&ドロップ操作やカット&ペースト操作のときに表示されます。一部のアプリケーションでは、選択マネージャーが介入する時間を考慮して、適切なタイムアウトを設定する必要があります。時間は 2 分で十分です。
ラベルなしのシステムでは、デフォルトのタイムアウト値を変更しないでください。デフォルト値よりも長いタイムアウト値に変更すると、処理はエラーとなります。
大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
StarSuite アプリケーションの場合は、次の手順を実行します。
ファイル office-install-directory/VCL.xcu にナビゲートします。
office-install-directory は StarSuite のインストールディレクトリで、たとえば次のようになります。
office-top-dir/share/registry/data/org/staroffice |
SelectionTimeout プロパティーの値を 120 に変更します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
デフォルト値は 3 秒です。値を 120 に設定すると、タイムアウトは 2 分になります。
GNOME ToolKit (GTK) ライブラリを利用するアプリケーションのユーザーの場合は、選択タイムアウトのプロパティー値を 2 分に変更します。
別な方法として、各ユーザーに選択タイムアウトのプロパティー値を変更させることもできます。
大部分の Sun Java Desktop System アプリケーションは、GTK ライブラリを利用します。Mozilla、Firefox、Thunderbird などの Web ブラウザも GTK ライブラリを利用しています。
デフォルトでは、選択のタイムアウト値は 300、つまり 5 秒です。値を 7200 に設定すると、タイムアウトは 2 分になります。
(省略可能) .gtkrc-mine ファイルを、各ユーザーの .link_files ファイルのリストに追加します。
詳細については、「Trusted Extensions のユーザーの起動ファイルを構成する」を参照してください。
Trusted Extensions では、復旧ログインは保護されています。一般ユーザーがシェル初期設定ファイルをカスタマイズしており、現在ログインできない場合は、フェイルセーフログインを使用してユーザーのファイルを修正することができます。
root のパスワードを知っている必要があります。