Trusted Extensions を管理する際のセキュリティー要件

Trusted Extensions では、通常、役割を使用してシステムを管理します。一般的に、スーパーユーザーは使用しません。役割は Solaris OS の場合と同様に作成され、ほとんどのタスクは役割によって実行されます。Trusted Extensions では、管理タスクの実行に root ユーザーを使用しません。

Trusted Extensions サイトでは、次の役割が一般的に使用されます。

• root 役割 – 初期設定チームによって作成されます。

• セキュリティー管理者役割 – 初期構成中または初期構成後に、初期設定チームによって作成されます

• システム管理者役割 – セキュリティー管理者役割によって作成されます

Solaris OS と同様に、主管理者、オペレータなどの役割を作成することもできます。root 役割を除き、作成する役割はネームサービスで管理できます。

Solaris OS 同様に、役割を割り当てられたユーザーだけが、その役割になることができます。Solaris Trusted Extensions (CDE) では、トラステッドパスメニューと呼ばれるデスクトップメニューから役割を引き受けることができます。 Solaris Trusted Extensions (JDS) では、ユーザー名がトラステッドストライプに表示されたときに役割を引き受けることができます。ユーザー名をクリックすると、役割の選択肢が表示されます。

Trusted Extensions での役割の作成

Trusted Extensions を管理するには、システムとセキュリティーの機能を分離する役割を作成します。初期設定チームは、構成中にセキュリティー管理者役割を作成しています。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。

Trusted Extensions で役割を作成する処理は、Solaris OS と同じです。第 2 章Trusted Extensions 管理ツールの説明のとおり、Solaris 管理コンソールは Trusted Extensions の役割を管理するためのグラフィカルユーザーインタフェースです。

• 役割の作成の概要については、『System Administration Guide: Security Services』の第 10 章「Role-Based Access Control (Reference)」と『System Administration Guide: Security Services』の「Using RBAC (Task Map)」を参照してください。

• スーパーユーザーと同等の役割を作成する場合は、『System Administration Guide: Basic Administration』の「Creating the Primary Administrator Role」を参照してください。Trusted Extensions を使用するサイトでは、主管理者役割はセキュリティーポリシーに違反する場合があります。これらのサイトでは、root を役割にして、セキュリティー管理者役割を作成します。

• root 役割の作成については、『System Administration Guide: Security Services』の「How to Make root User Into a Role」を参照してください。

• Solaris 管理コンソールを使用して役割を作成する方法については、『System Administration Guide: Security Services』の「How to Create and Assign a Role by Using the GUI」を参照してください。

Trusted Extensions での役割の引き受け

Solaris OS と異なり、Trusted Extensions には、トラステッドパスメニューに「Rolename の役割になる」メニュー項目があります。役割のパスワードを確認したあと、トラステッドパス属性を持つ役割のワークスペースが有効になります。役割のワークスペースは管理ワークスペースです。これらのワークスペースは大域ゾーンにあります。