責務分離がサイトセキュリティー要件にない場合は、この手順を省略します。サイトで責務分離が必要な場合は、LDAP サーバーにデータを設定する前に、これらの権利プロファイルと役割を作成します。
この手順では、ユーザーを管理するための個別の機能を持つ権利プロファイルを作成します。これらのプロファイルを個々の役割に割り当てる場合、ユーザーを作成し構成するために 2 つの役割が必要です。一方の役割はユーザーを作成できますが、セキュリティー属性を割り当てることができません。もう一方の役割はセキュリティー属性を割り当てることができますが、ユーザーを作成できません。これらのプロファイルのいずれかが割り当てられた役割で Solaris 管理コンソール にログインすると、役割に該当するタブとフィールドだけが表示されます。
スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。この手順を開始する場合には、Solaris 管理コンソール を閉じます。
ユーザー構成に影響を与えるデフォルトの権利プロファイルのコピーを作成します。
prof_attr ファイルを prof_attr.orig ファイルにコピーします。
prof_attr ファイルをトラステッドエディタで開きます。
# /usr/dt/bin/trusted_edit /etc/security/prof_attr |
3 つの権利プロファイルをコピーし、コピーの名前を変更します。
System Administrator:::Can perform most non-security... Custom System Administrator:::Can perform most non-security... User Security:::Manage passwords... Custom User Security:::Manage passwords... User Management:::Manage users, groups, home... Custom User Management:::Manage users, groups, home... |
変更を保存します。
変更内容を確認します。
# grep ^Custom /etc/security/prof_attr Custom System Administrator:::Can perform most non-security... Custom User Management:::Manage users, groups, home... Custom User Security:::Manage passwords... |
権利プロファイルを変更せずにコピーすることで、システムを新しい Solaris リリースにアップグレードしたときにも変更内容が保持されます。これらの権利プロファイルは複雑なため、デフォルトのプロファイルのコピーを変更したほうが、ゼロから制限の厳しいプロファイルを作成するよりも、誤りが起きにくくなります。
Solaris 管理コンソールを起動します。
# /usr/sbin/smc & |
このコンピュータ (this-host: Scope=Files, Policy=TSOL) ツールボックスを選択します。
「システムの構成」をクリックして「ユーザー」をクリックします。
パスワードを入力するよう求められます。
適切なパスワードを入力します。
「権限」をダブルクリックします。
カスタムユーザーセキュリティー権利プロファイルを変更します。
ユーザーを作成できないようにこのプロファイルを制限します。
カスタムユーザー管理プロファイルを変更します。
パスワードを設定できないようにこのプロファイルを制限します。
カスタムシステム管理者権利プロファイルを変更します。
ユーザー管理者プロファイルは、このプロファイルの補助プロファイルです。システム管理者がパスワードを設定できないようにします。
デフォルトのプロファイルが使用されないようにするには、カスタムプロファイルによって責務分離が実施されることを確認したあと、「Trusted Extensions の役割が機能することを確認する」の手順 7 を参照してください。