この章では、Solaris Trusted Extensions が設定されたシステムでデバイスを管理し使用する方法について説明します。
周辺機器を取り扱う管理者とユーザーの作業マップは、次のとおりです。
作業 |
説明 |
参照先 |
---|---|---|
デバイスを使用します。 |
役割として、または一般ユーザーとしてデバイスを使用します。 | |
デバイスを管理します。 |
一般ユーザーのためにデバイスを構成します。 | |
デバイス承認をカスタマイズします。 |
セキュリティー管理者役割が、新しい承認を作成してデバイスにその承認を追加し、承認を権利プロファイルに配置して、このプロファイルをユーザーに割り当てます。 |
Trusted Extensions では、すべての役割がデバイスの割り当てを承認されています。ユーザーと同様、役割もデバイス割り当てマネージャーを使う必要があります。Solaris の allocate コマンドは、Trusted Extensions では機能しません。ユーザーがデバイスを使用して管理タスクを行う手順は、次の作業マップのとおりです。
次の作業マップでは、サイトのデバイスを保護する手順について説明します。
作業 |
説明 |
参照先 |
---|---|---|
デバイスポリシーを設定または修正します。 |
デバイスへのアクセスに必要な特権を変更します。 |
『System Administration Guide: Security Services』の「Configuring Device Policy (Task Map)」 |
ユーザーによるデバイス割り当てを承認します。 |
セキュリティー管理者役割が、「デバイスの割り当て」承認のあるプロファイルをユーザーに割り当てます。 |
『System Administration Guide: Security Services』の「How to Authorize Users to Allocate a Device」 |
セキュリティー管理者役割が、サイト固有の承認のあるプロファイルをユーザーに割り当てます。 | ||
デバイスを構成します。 |
セキュリティー機能を選択してデバイスを保護します。 | |
デバイスを解除または再利用します。 |
デバイス割り当てマネージャーを使用して、デバイスを利用できるようにします。 | |
Solaris コマンドを使用して、デバイスを利用可能または利用不可にします。 |
『System Administration Guide: Security Services』の「Forcibly Allocating a Device」 『System Administration Guide: Security Services』の「Forcibly Deallocating a Device」 |
|
割り当て可能なデバイスへのアクセスを禁止します。 |
デバイスへのきめ細かいアクセス制御を提供します。 | |
割り当て可能なデバイスへのすべてのアクセスを禁止します。 | ||
プリンタとフレームバッファーを保護します。 |
割り当て不可のデバイスが割り当て可能にならないようにします。 | |
シリアルログインデバイスを構成します。 |
シリアルポートによるログインを可能にします。 | |
CD プレイヤプログラムを使用可能にします。 |
音楽 CD を挿入したときにオーディオプレイヤプログラムが自動的に開くようにします。 | |
ファイルマネージャーの表示を禁止します。 |
デバイスの割り当て後にファイルマネージャーが表示されないようにします。 | |
新しいデバイスクリーンスクリプトを使用します。 |
新しいスクリプトを適切な場所に配置します。 |
デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは、変更可能です。
大域ゾーンでセキュリティー管理者役割になります。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
デバイス割り当てマネージャーが表示されます。
デフォルトのセキュリティー設定を表示します。
「デバイス管理」をクリックして、デバイスを強調表示します。次の図は、CD-ROM ドライブのデフォルトのセキュリティー設定を示しています。
(省略可能) デバイスのラベル範囲を制限します。
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
デバイスがローカルに割り当て可能かどうかを指定します。
「トラステッドパスからの割り当て」の「デバイス割り当て構成」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。
デバイスが遠隔で割り当て可能かどうかを指定します。
「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。
デバイスが割り当て可能であり、かつサイトで新しいデバイス承認を作成してある場合、適切な承認を選択します。
次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。
サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ) 」を参照してください。
「了解」をクリックして変更を保存します。
デバイスがデバイス割り当てマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復することができます。
大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
次の図では、オーディオデバイスがすでにユーザーに割り当てられています。
「デバイス管理」ボタンをクリックします。
デバイスの状態をチェックします。
デバイス名を選択し、「状態」フィールドを確認します。
デバイス割り当てマネージャーを閉じます。
「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。
大域ゾーンでセキュリティー管理者役割になります。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
デバイス割り当てマネージャーで、「デバイス管理」ボタンをクリックします。
新しいプリンタまたはフレームバッファーを選択します。
デバイスを割り当て不可にするには、「なし」をクリックします。
(省略可能) デバイスのラベル範囲を制限します。
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、遠隔ユーザーは遠隔システム周辺の会話を聞くことができません。
セキュリティー管理者は、デバイス割り当てマネージャーで次のようにオーディオデバイスを構成します。
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate |
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users |
大域ゾーンでセキュリティー管理者役割になります。
ファイルの有効範囲で Solaris 管理コンソールを開きます。
「デバイスおよびハードウェア」で、「シリアルポート」にナビゲートします。
求められたらパスワードを入力します。 オンラインヘルプに従って、シリアルポートを構成します。
デフォルトのラベル範囲を変更するには、デバイス割り当てマネージャーを開きます。
デフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
シリアルログインデバイスを作成後、セキュリティー管理者はシリアルポートのラベル範囲をシングルラベル Public に制限します。管理者は、「デバイス管理」ダイアログボックスで次の値を設定します。
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users |
次の手順では、ユーザーが音楽 CD を挿入したときオーディオプレイヤがTrusted CDE ワークスペースで自動的に開くようにします。ユーザーの手順については、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」の例を参照してください。
Trusted JDS ワークスペースでは、ユーザーはリムーバブルメディアの動作を、非トラステッドワークスペースで指定するのと同じように指定します。
大域ゾーンで、システム管理者役割になっている必要があります。
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
サイトの CD プレイヤプログラムを、ファイルの cdrom アクションに追加します。
action media action_program.so path-to-program |
次の例でシステム管理者は、システムのユーザーすべてが workman プログラムを使えるようにします。workman プログラムは、オーディオプレイヤプログラムです。
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman |
デフォルトでは、デバイスをマウントすると、ファイルマネージャーが表示されます。ファイルシステムのあるデバイスをマウントしない場合、ファイルマネージャーを表示されないようにすることができます。
大域ゾーンで、システム管理者役割になっている必要があります。
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
次の filemgr アクションを探します。
action cdrom action_filemgr.so action floppy action_filemgr.so |
適切なアクションをコメントアウトします。
次の例は、cdrom デバイスと diskette デバイスの両方で action_filemgr.so アクションをコメントアウトしています。
# action cdrom action_filemgr.so # action floppy action_filemgr.so |
CD-ROM またはフロッピーディスクを割り当てた場合、ファイルマネージャーは表示されません。
デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。
使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。
大域ゾーンで、システム管理者役割になっている必要があります。
次の作業マップでは、サイトでデバイス承認を変更する手順について説明します。
作業 |
説明 |
参照先 |
---|---|---|
新しいデバイス承認を作成します。 |
サイト固有の承認を作成します。 | |
デバイスへの承認を追加します。 |
選択したデバイスにサイト固有の承認を追加します。 | |
ユーザーおよび役割へデバイス承認を割り当てます。 |
ユーザーと役割が新しい承認を使えるようにします。 |
デバイスの作成時に承認が指定されない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が指定される場合、デフォルトでは承認されたユーザーのみがデバイスを使用できます。
承認を使わずに、割り当て可能なデバイスへのアクセスをすべて禁止する方法については、例 17–1 を参照してください。
大域ゾーンでセキュリティー管理者役割になります。
auth_attr ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
新しい承認の見出しを作成します。
組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などの任意のコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html |
新しい承認エントリを追加します。
1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html |
ファイルを保存してエディタを終了します。
ネームサービスとして LDAP を使用している場合は、Sun Java System Directory Server (LDAP サーバー) 上の auth_attr エントリを更新します。
詳細は、ldapaddent(1M) のマニュアルページを参照してください。
新しい承認を適切な権利プロファイルに追加します。次に、そのプロファイルをユーザーと役割に割り当てます。
Solaris 管理コンソールを使用します。セキュリティー管理者役割になり、Solaris の手順 『System Administration Guide: Security Services』の「How to Create or Change a Rights Profile」に従います。
承認を使用して、テープドライブとフロッピーディスクドライブへのアクセスを制限します。
デバイス割り当てマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。
NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html |
次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。
# auth_attr file com.newco.:::NewCo Header::help=Newco.html |
次に、承認エントリをファイルに追加します。
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html |
行は表示のために分割されています。
auth_attr エントリでは、次の承認が作成されます。
NewCo のすべての承認を付与する承認
NewCo のデバイス承認を付与する承認
テープドライブを割り当てる承認
フロッピーディスクドライブを割り当てる承認
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーが遠隔 CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。
auth_attr データベースエントリは次のとおりです。
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html |
デバイス割り当てマネージャーの割り当ては次のとおりです。
トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイス割り当てマネージャーを使用できます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local |
非トラステッドパスでは、ユーザーが allocate コマンドを使用して遠隔でデバイスを割り当てることができます。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote |
権利プロファイルエントリは次のとおりです。
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote |
承認されたユーザーの権利プロファイルは次のとおりです。
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ... |
セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。
「Trusted Extensions でデバイスを構成する」の手順に従います。
「了解」をクリックして変更を保存します。
「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。
大域ゾーンでセキュリティー管理者役割になります。
既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。
ユーザーに、「デバイスの割り当て」承認を含む権利プロファイルを割り当てます。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『System Administration Guide: Security Services』の「How to Change the RBAC Properties of a User」を参照してください。
次のプロファイルでは、役割がデバイスを割り当てることができます。
All Authorizations
Device Management
Media Backup
Media Restore
Object Label Management
Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
All Authorizations
Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
All Authorizations
Device Security
この例では、セキュリティー管理者がシステムの新しいデバイス承認を構成し、新しい承認を持つ権利プロファイルを信頼できるユーザーに割り当てます。セキュリティー管理者は次の操作を行います。
「新しいデバイス承認を作成する」に従って、新しいデバイス承認を作成します。
デバイス割り当てマネージャーで、テープドライブとフロッピーディスクドライブに新しいデバイス承認を追加します。
新しい承認を、権利プロファイル NewCo Allocation に配置します。
テープドライブとフロッピーディスクドライブの割り当てを承認されるユーザーと役割のプロファイルに、NewCo Allocation 権利プロファイルを追加します。
これで、承認されたユーザーと役割はこのシステムでテープドライブとフロッピーディスクドライブを使えるようになります。