Trusted Extensions では、Solaris 管理コンソールを使用してユーザー、承認、権利、および役割を管理する必要があります。ユーザーとそのセキュリティー属性を管理するには、セキュリティー管理者役割である必要があります。次の作業マップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的な作業について説明します。
作業 |
説明 |
参照先 |
---|---|---|
ユーザーのラベル範囲を変更します。 |
ユーザーが作業できるラベルを修正します。この変更により、label_encodings ファイルで許可される範囲を制限または拡張できます。 | |
使いやすい承認のための権利プロファイルを作成します。 |
一般ユーザーに役立つ承認はいくつか存在します。これらの承認の資格を持つユーザーのプロファイルを作成します。 | |
ユーザーのデフォルト特権セットを修正します。 |
ユーザーのデフォルトの特権セットから特権を削除します。 | |
特定ユーザーのアカウントロックを回避します。 |
役割になることができるユーザーに対しては、アカウントロックをオフにする必要があります。 | |
ユーザーがデータに再ラベル付けできるようにします。 |
ユーザーによる情報のダウングレードまたはアップグレードを許可します。 | |
システムからユーザーを削除します。 |
ユーザーおよびユーザーのプロセスを完全に削除します。 | |
ほかのタスクを処理します。 |
Solaris 管理コンソールを使用して、Trusted Extensions に固有ではないタスクを処理します。 |
ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーは、Solaris 管理コンソールを実行できます。ユーザーは内容を表示できますが、内容の変更はできません。
また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限することができます。
大域ゾーンでセキュリティー管理者役割になります。
Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。
適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システムの構成」で、「ユーザーアカウント」にナビゲートします。
パスワードプロンプトが表示されます。
役割のパスワードを入力します。
ユーザーアカウントから個々のユーザーを選択します。
「Trusted Extensions の属性」タブをクリックします。
「了解」をクリックして変更を保存します。
サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成することができます。特定システムのすべてのユーザーが承認されるようにするには、「policy.conf のデフォルトを修正する」を参照してください。
大域ゾーンでセキュリティー管理者役割になります。
Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。
適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システムの構成」で、「権利」にナビゲートします。
パスワードプロンプトが表示されます。
役割のパスワードを入力します。
権利プロファイルを追加するには、「アクション」 –> 「権利を追加」をクリックします。
次の 1 つ以上の承認を含む権利プロファイルを作成します。
詳細な手順については、『System Administration Guide: Security Services』の「How to Create or Change a Rights Profile」を参照してください。
次の図では、ユーザーにとって便利な承認が「含まれる承認」ウィンドウに表示されています。
「デバイスの割り当て」– マイクロフォンなどの周辺機器の割り当てをユーザーに承認します。
デフォルトでは、Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。
「Downgrade DragNDrop or CutPaste Info」– 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。
「Downgrade File Label」– ファイルのセキュリティーレベル引き下げをユーザーに承認します。
「内容を表示せずに DragNDrop またはCutPaste を行う」– 移動する情報を表示せずに情報を移動することをユーザーに承認します。
「Postscript を印刷」– PostScript ファイルの印刷をユーザーに承認します。
「バナーなしで印刷」- バナーページなしのハードコピーの印刷をユーザーに承認します。
「ラベルなしで印刷」– ラベルを表示しないハードコピーの印刷をユーザーに承認します。
「リモートログイン」– 遠隔ログインをユーザーに承認します。
「システムの停止」– システムの停止とゾーンの停止をユーザーに承認します。
「Upgrade DragNDrop or CutPaste Info」– 低レベルファイルからの情報の選択と、高レベルファイルへの情報の配置をユーザーに承認します。
「Upgrade File Label」– ファイルのセキュリティーレベル引き上げをユーザーに承認します。
ユーザーまたは役割に権利プロファイルを割り当てます。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『System Administration Guide: Security Services』の「How to Change the RBAC Properties of a User」を参照してください。
次の例では、セキュリティー管理者が、本文ページのラベルなしでジョブを印刷することを、役割に許可します。
Solaris 管理コンソールで、セキュリティー管理者は管理者役割にナビゲートします。特定の役割に含まれている権利プロファイルを確認してから、印刷関連の承認が役割の権利プロファイルの 1 つに含まれていることを確認します。
サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Sun Ray システム上で Trusted Extensions を使用するサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにすることができます。
大域ゾーンでセキュリティー管理者役割になります。
Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。
適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システムの構成」で、「ユーザーアカウント」にナビゲートします。
パスワードプロンプトが表示されます。
役割のパスワードを入力します。
ユーザーのアイコンをダブルクリックします。
basic セットにある 1 つ以上の特権を削除します。
ユーザーのアイコンをダブルクリックします。
「権利」タブをクリックします。
right_extended_attr フィールドの basic セットの右にある「編集」ボタンをクリックします。
proc_session または file_link_any を削除します。
proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。
proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用することができません。
「了解」をクリックして変更を保存します。
Trusted Extensions では、Solaris 管理コンソールのユーザーセキュリティー機能を拡張してアカウントロックが追加されています。役割になれるユーザーに対してアカウントロックをオフにする必要があります。
大域ゾーンでセキュリティー管理者役割になります。
Solaris 管理コンソールを起動します。
適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システムの構成」で、「ユーザーアカウント」にナビゲートします。
パスワードプロンプトが表示されます。
役割のパスワードを入力します。
ユーザーのアイコンをダブルクリックします。
「Trusted Extensions の属性」タブをクリックします。
「アカウントの利用」セクションで、「ログイン失敗の最大回数に達したあとでアカウントをロックする」 の隣にあるプルダウンメニューから 「いいえ」 を選択します。
「了解」をクリックして変更を保存します。
一般ユーザーまたは役割には、ファイルおよびディレクトリのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。
データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。
大域ゾーンでセキュリティー管理者役割になります。
「便利な承認のための権利プロファイルを作成する」 の手順に従って、権利プロファイルを作成します。
次の承認によって、ユーザーがファイルに再ラベル付けできるようになります。
「Downgrade File Label」
「Upgrade File Label」
次の承認によって、ユーザーがファイル内の情報に再ラベル付けできるようになります。
「Downgrade DragNDrop or CutPaste Info」
「DragNDrop or CutPaste Info Without Viewing」
「Upgrade DragNDrop or CutPaste Info」
Solaris 管理コンソールを使用して、適切なユーザーおよび役割にプロファイルを割り当てます。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『System Administration Guide: Security Services』の「How to Change the RBAC Properties of a User」を参照してください。
ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更することができます。
管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。
システム管理者役割である必要があります。
各ラベルでユーザーのホームディレクトリをアーカイブします。
各ラベルでユーザーのメールファイルをアーカイブします。
Solaris 管理コンソールで、ユーザーアカウントを削除します。
Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。
適切な有効範囲のツールボックスを使用します。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システムの構成」で、「ユーザーアカウント」にナビゲートします。
パスワードプロンプトが表示されます。
役割のパスワードを入力します。
削除するユーザーアカウントを選択して、「削除」ボタンをクリックします。
ユーザーのホームディレクトリとメールファイルを削除するプロンプトが表示されます。プロンプトを受け入れると、ユーザーのホームディレクトリとメールファイルが大域ゾーンでのみ削除されます。
各ラベル付きゾーンで、ユーザーのディレクトリとメールファイルを手動で削除します。
すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。