test

Oracle Solaris Trusted Extensions 管理の手順

Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)

Trusted Extensions では、Solaris 管理コンソールを使用してユーザー、承認、権利、および役割を管理する必要があります。ユーザーとそのセキュリティー属性を管理するには、セキュリティー管理者役割である必要があります。次の作業マップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的な作業について説明します。

作業 

説明 

参照先 

ユーザーのラベル範囲を変更します。 

ユーザーが作業できるラベルを修正します。この変更により、label_encodings ファイルで許可される範囲を制限または拡張できます。

「Solaris 管理コンソールでユーザーのラベル範囲を修正する」

使いやすい承認のための権利プロファイルを作成します。 

一般ユーザーに役立つ承認はいくつか存在します。これらの承認の資格を持つユーザーのプロファイルを作成します。 

「便利な承認のための権利プロファイルを作成する」

ユーザーのデフォルト特権セットを修正します。 

ユーザーのデフォルトの特権セットから特権を削除します。 

「ユーザーの特権セットを制限する」

特定ユーザーのアカウントロックを回避します。 

役割になることができるユーザーに対しては、アカウントロックをオフにする必要があります。 

「ユーザーのアカウントロックを禁止する」

ユーザーがデータに再ラベル付けできるようにします。 

ユーザーによる情報のダウングレードまたはアップグレードを許可します。 

「ユーザーによるデータのセキュリティーレベルの変更を有効にする」

システムからユーザーを削除します。 

ユーザーおよびユーザーのプロセスを完全に削除します。 

「Trusted Extensions システムからユーザーアカウントを削除する」

ほかのタスクを処理します。 

Solaris 管理コンソールを使用して、Trusted Extensions に固有ではないタスクを処理します。 

「Solaris 管理コンソールでほかのタスクを処理する (作業マップ)」

ProcedureSolaris 管理コンソールでユーザーのラベル範囲を修正する

ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーは、Solaris 管理コンソールを実行できます。ユーザーは内容を表示できますが、内容の変更はできません。

また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限することができます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。

  4. ユーザーアカウントから個々のユーザーを選択します。

  5. 「Trusted Extensions の属性」タブをクリックします。

    ダイアログボックスはユーザーに「Trusted Extensions の属性」タブを示します。

    • ユーザーのラベル範囲を拡張するには、より高位の認可上限を選択します。

      最小ラベルを低くすることもできます。

    • ラベル範囲を 1 つのラベルに制限するには、認可上限を最小ラベルと等しくします。

  6. 「了解」をクリックして変更を保存します。

Procedure便利な承認のための権利プロファイルを作成する

サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成することができます。特定システムのすべてのユーザーが承認されるようにするには、policy.conf のデフォルトを修正する」を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

  2. 「システムの構成」で、「権利」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。

  4. 権利プロファイルを追加するには、「アクション」 –> 「権利を追加」をクリックします。

  5. 次の 1 つ以上の承認を含む権利プロファイルを作成します。

    詳細な手順については、『System Administration Guide: Security Services』「How to Create or Change a Rights Profile」を参照してください。

    次の図では、ユーザーにとって便利な承認が「含まれる承認」ウィンドウに表示されています。

    サイトのユーザーに適切な承認を示すダイアログボックス

    • 「デバイスの割り当て」– マイクロフォンなどの周辺機器の割り当てをユーザーに承認します。

      デフォルトでは、Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。

    • 「Downgrade DragNDrop or CutPaste Info」– 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。

    • 「Downgrade File Label」– ファイルのセキュリティーレベル引き下げをユーザーに承認します。

    • 「内容を表示せずに DragNDrop またはCutPaste を行う」– 移動する情報を表示せずに情報を移動することをユーザーに承認します。

    • 「Postscript を印刷」– PostScript ファイルの印刷をユーザーに承認します。

    • 「バナーなしで印刷」- バナーページなしのハードコピーの印刷をユーザーに承認します。

    • 「ラベルなしで印刷」– ラベルを表示しないハードコピーの印刷をユーザーに承認します。

    • 「リモートログイン」– 遠隔ログインをユーザーに承認します。

    • 「システムの停止」– システムの停止とゾーンの停止をユーザーに承認します。

    • 「Upgrade DragNDrop or CutPaste Info」– 低レベルファイルからの情報の選択と、高レベルファイルへの情報の配置をユーザーに承認します。

    • 「Upgrade File Label」– ファイルのセキュリティーレベル引き上げをユーザーに承認します。

  6. ユーザーまたは役割に権利プロファイルを割り当てます。

    詳細は、オンラインヘルプを参照してください。詳細な手順については、『System Administration Guide: Security Services』「How to Change the RBAC Properties of a User」を参照してください。

例 7–5 役割への印刷関連の承認の割り当て

次の例では、セキュリティー管理者が、本文ページのラベルなしでジョブを印刷することを、役割に許可します。

Solaris 管理コンソールで、セキュリティー管理者は管理者役割にナビゲートします。特定の役割に含まれている権利プロファイルを確認してから、印刷関連の承認が役割の権利プロファイルの 1 つに含まれていることを確認します。

Procedureユーザーの特権セットを制限する

サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Sun Ray システム上で Trusted Extensions を使用するサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにすることができます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。

  4. ユーザーのアイコンをダブルクリックします。

  5. basic セットにある 1 つ以上の特権を削除します。

    1. ユーザーのアイコンをダブルクリックします。

    2. 「権利」タブをクリックします。

      ダイアログボックスは一般ユーザーの「権利」タブの内容を示します。

    3. right_extended_attr フィールドの basic セットの右にある「編集」ボタンをクリックします。

    4. proc_session または file_link_any を削除します。

      proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。

      注意 – 注意 –

      proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用することができません。

      ダイアログボックスは一般ユーザーの基本的な特権セットを示します。

  6. 「了解」をクリックして変更を保存します。

Procedureユーザーのアカウントロックを禁止する

Trusted Extensions では、Solaris 管理コンソールのユーザーセキュリティー機能を拡張してアカウントロックが追加されています。役割になれるユーザーに対してアカウントロックをオフにする必要があります。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールを起動します。

    適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。

  4. ユーザーのアイコンをダブルクリックします。

  5. 「Trusted Extensions の属性」タブをクリックします。

  6. 「アカウントの利用」セクションで、「ログイン失敗の最大回数に達したあとでアカウントをロックする」 の隣にあるプルダウンメニューから 「いいえ」 を選択します。

  7. 「了解」をクリックして変更を保存します。

Procedureユーザーによるデータのセキュリティーレベルの変更を有効にする

一般ユーザーまたは役割には、ファイルおよびディレクトリのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。

注意 – 注意 –

データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 「便利な承認のための権利プロファイルを作成する」 の手順に従って、権利プロファイルを作成します。

    次の承認によって、ユーザーがファイルに再ラベル付けできるようになります。

    • 「Downgrade File Label」

    • 「Upgrade File Label」

    次の承認によって、ユーザーがファイル内の情報に再ラベル付けできるようになります。

    • 「Downgrade DragNDrop or CutPaste Info」

    • 「DragNDrop or CutPaste Info Without Viewing」

    • 「Upgrade DragNDrop or CutPaste Info」

  2. Solaris 管理コンソールを使用して、適切なユーザーおよび役割にプロファイルを割り当てます。

    詳細は、オンラインヘルプを参照してください。詳細な手順については、『System Administration Guide: Security Services』「How to Change the RBAC Properties of a User」を参照してください。

ProcedureTrusted Extensions システムからユーザーアカウントを削除する

ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更することができます。

管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。

始める前に

システム管理者役割である必要があります。

  1. 各ラベルでユーザーのホームディレクトリをアーカイブします。

  2. 各ラベルでユーザーのメールファイルをアーカイブします。

  3. Solaris 管理コンソールで、ユーザーアカウントを削除します。

    1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

      適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

    2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

      パスワードプロンプトが表示されます。

    3. 役割のパスワードを入力します。

    4. 削除するユーザーアカウントを選択して、「削除」ボタンをクリックします。

      ユーザーのホームディレクトリとメールファイルを削除するプロンプトが表示されます。プロンプトを受け入れると、ユーザーのホームディレクトリとメールファイルが大域ゾーンでのみ削除されます。

  4. 各ラベル付きゾーンで、ユーザーのディレクトリとメールファイルを手動で削除します。

    注 –

    すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。