policy.conf のデフォルトを修正する

Trusted Extensions で policy.conf のデフォルトを変更する方法は、Solaris OS でセキュリティー関連のシステムファイルを変更する方法に類似しています。Trusted Extensions では、トラステッドエディタを使用してシステムファイルを修正します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

1. /etc/security/policy.conf ファイルで、デフォルト設定を確認します。

   Trusted Extensions のキーワードについては、表 6–1 を参照してください。

2. 設定を修正します。

   トラステッドエディタを使用して、システムファイルを編集します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

例 7–1 システムのアイドル設定の変更

この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、セキュリティー管理者役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。

IDLECMD=LOGOUT

また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、セキュリティー管理者役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。

IDLETIME=10

これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。

例 7–2 各ユーザーの基本的な特権セットの修正

この例では、Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、管理者は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のように修正します。

PRIV_DEFAULT=basic,!proc_info

例 7–3 システムのすべてのユーザーに対する印刷関連の承認の割り当て

この例では、セキュリティー管理者が、コンピュータの /etc/security/policy.conf ファイルで次のように入力して、公共キオスクコンピュータからラベルのない印刷をできるようにしています。次の起動以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。

AUTHS_GRANTED= solaris.print.unlabeled

管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はまず、印刷マネージャーの「バナーを常に印刷」チェックボックスがチェックされていないことを確認します。次に、policy.conf エントリを次のように修正し、再起動します。これで、すべての印刷ジョブはラベルなしになり、バナーページもトレーラページもなくなります。

AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner