新しいデバイス承認を作成する
デバイスの作成時に承認が指定されない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が指定される場合、デフォルトでは承認されたユーザーのみがデバイスを使用できます。
承認を使わずに、割り当て可能なデバイスへのアクセスをすべて禁止する方法については、例 17–1 を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
-
auth_attr ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
-
新しい承認の見出しを作成します。
組織のインターネットドメイン名の逆順を使い、必要に応じて、そのあとに会社名などの任意のコンポーネントを付けます。複数のコンポーネントはドットで区切ります。見出し名はドットで終わります。
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
-
新しい承認エントリを追加します。
1 行に 1 つずつ承認を追加します。行は表示のために分割されています。承認には、管理者による新しい承認の割り当てを可能にする grant 承認を含めます。
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
-
ファイルを保存してエディタを終了します。
-
ネームサービスとして LDAP を使用している場合は、Sun Java System Directory Server (LDAP サーバー) 上の auth_attr エントリを更新します。
詳細は、ldapaddent(1M) のマニュアルページを参照してください。
-
新しい承認を適切な権利プロファイルに追加します。次に、そのプロファイルをユーザーと役割に割り当てます。
Solaris 管理コンソールを使用します。セキュリティー管理者役割になり、Solaris の手順 『System Administration Guide: Security Services』の「How to Create or Change a Rights Profile」に従います。
-
承認を使用して、テープドライブとフロッピーディスクドライブへのアクセスを制限します。
デバイス割り当てマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。
例 17–4 きめ細かいデバイス承認の作成
NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを書き、そのファイルを /usr/lib/help/auths/locale/C ディレクトリに配置します。
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html |
次に、管理者は、auth_attr ファイルで newco.com に対するすべての承認用のヘッダーを追加します。
# auth_attr file com.newco.:::NewCo Header::help=Newco.html |
次に、承認エントリをファイルに追加します。
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html |
行は表示のために分割されています。
auth_attr エントリでは、次の承認が作成されます。
-
NewCo のすべての承認を付与する承認
-
NewCo のデバイス承認を付与する承認
-
テープドライブを割り当てる承認
-
フロッピーディスクドライブを割り当てる承認
例 17–5 トラステッドパス承認と非トラステッドパス承認の作成
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーが遠隔 CD-ROM の割り当て制限を要求しています。セキュリティー管理者は、com.someco.device.cdrom.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM ドライブ用です。com.someco.device.cdrom.remote 承認は、トラステッドパス以外からの CD-ROM ドライブ割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースに承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。これらのプロファイルを、デバイスの割り当てを許可するユーザーに割り当てます。
-
auth_attr データベースエントリは次のとおりです。
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
-
デバイス割り当てマネージャーの割り当ては次のとおりです。
トラステッドパスでは、承認されたユーザーがローカルの CD-ROM ドライブを割り当てるときにデバイス割り当てマネージャーを使用できます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
非トラステッドパスでは、ユーザーが allocate コマンドを使用して遠隔でデバイスを割り当てることができます。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
-
権利プロファイルエントリは次のとおりです。
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
-
承認されたユーザーの権利プロファイルは次のとおりです。
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
- © 2010, Oracle Corporation and/or its affiliates