test

Oracle Solaris Trusted Extensions 構成ガイド

Trusted Extensions での役割とユーザーの作成

すでに管理役割を使用している場合、セキュリティー管理者役割を追加できます。役割をまだ実装していないサイトにおいて、役割を作成する手順は Solaris OS の場合と同様です。Trusted Extensions ドメインを管理するためには、Trusted Extensions でセキュリティー管理役割を追加し、Solaris 管理コンソールを使用する必要があります。

サイトセキュリティーで、ユーザーと役割アカウントを作成するために 2 人の人が必要な場合は、カスタム権利プロファイルを作成し、役割に割り当てて、責務分離を実施します。

作業 

説明 

参照先 

デフォルトのプロファイルよりも厳しい 3 つの権利プロファイルを作成します。 

ユーザーを管理するための権利プロファイルを作成します。これらのプロファイルは、ユーザーを管理するデフォルトプロファイルよりも制限が厳しくなっています。 

「責務分離を実施する権利プロファイルを作成する」

セキュリティー管理者役割を作成します。 

セキュリティー関連の作業を扱うセキュリティー管理者役割を作成します。 

「Trusted Extensions でセキュリティー管理者役割を作成する」

ユーザーパスワードを設定できないシステム管理者役割を作成します。 

システム管理者役割を作成し、制限されたシステム管理者権利プロファイルに割り当てます。 

「制限されたシステム管理者役割を作成する」

管理役割になるユーザーを作成します。 

役割になることができる 1 人または複数のユーザーを作成します。 

「Trusted Extensions で役割になれるユーザーを作成する」

役割が各自の作業を実行できることを確認します。 

さまざまなシナリオで役割をテストします。 

「Trusted Extensions の役割が機能することを確認する」

ユーザーがラベル付きゾーンにログインできるようにします。 

一般ユーザーがログインできるようにゾーンサービスを開始します。

「ユーザーがラベル付きゾーンにログインできるようにする」

Procedure責務分離を実施する権利プロファイルを作成する

責務分離がサイトセキュリティー要件にない場合は、この手順を省略します。サイトで責務分離が必要な場合は、LDAP サーバーにデータを設定する前に、これらの権利プロファイルと役割を作成します。

この手順では、ユーザーを管理するための個別の機能を持つ権利プロファイルを作成します。これらのプロファイルを個々の役割に割り当てる場合、ユーザーを作成し構成するために 2 つの役割が必要です。一方の役割はユーザーを作成できますが、セキュリティー属性を割り当てることができません。もう一方の役割はセキュリティー属性を割り当てることができますが、ユーザーを作成できません。これらのプロファイルのいずれかが割り当てられた役割で Solaris 管理コンソール にログインすると、役割に該当するタブとフィールドだけが表示されます。

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。この手順を開始する場合には、Solaris 管理コンソール を閉じます。

  1. ユーザー構成に影響を与えるデフォルトの権利プロファイルのコピーを作成します。

    1. prof_attr ファイルを prof_attr.orig ファイルにコピーします。

    2. prof_attr ファイルをトラステッドエディタで開きます。


      # /usr/dt/bin/trusted_edit /etc/security/prof_attr

    3. 3 つの権利プロファイルをコピーし、コピーの名前を変更します。


      System Administrator:::Can perform most non-security...
Custom System Administrator:::Can perform most non-security...

User Security:::Manage passwords...
Custom User Security:::Manage passwords...

User Management:::Manage users, groups, home...
Custom User Management:::Manage users, groups, home...

    4. 変更を保存します。

    5. 変更内容を確認します。


      # grep ^Custom  /etc/security/prof_attr
Custom System Administrator:::Can perform most non-security...
Custom User Management:::Manage users, groups, home...
Custom User Security:::Manage passwords...

    権利プロファイルを変更せずにコピーすることで、システムを新しい Solaris リリースにアップグレードしたときにも変更内容が保持されます。これらの権利プロファイルは複雑なため、デフォルトのプロファイルのコピーを変更したほうが、ゼロから制限の厳しいプロファイルを作成するよりも、誤りが起きにくくなります。

  2. Solaris 管理コンソールを起動します。


    # /usr/sbin/smc &

  3. このコンピュータ (this-host: Scope=Files, Policy=TSOL) ツールボックスを選択します。

  4. 「システムの構成」をクリックして「ユーザー」をクリックします。

    パスワードを入力するよう求められます。

  5. 適切なパスワードを入力します。

  6. 「権限」をダブルクリックします。

  7. カスタムユーザーセキュリティー権利プロファイルを変更します。

    ユーザーを作成できないようにこのプロファイルを制限します。

    1. 「カスタムユーザーセキュリティー」をダブルクリックします。

    2. 「認可」タブをクリックし、次の手順を実行します。

      1. 「含む」リストから、「Manage Users and Roles」認可を削除します。

        次のユーザーアカウント権限が残ります。


        Audit Controls
Label and Clearance Range
Change Password
View Users and Roles
Modify Extended Security Attributes

      2. 「権限の管理」権限を「含む」リストに追加します。

    3. 「了解」をクリックして変更内容を保存します。

  8. カスタムユーザー管理プロファイルを変更します。

    パスワードを設定できないようにこのプロファイルを制限します。

    1. 「カスタムユーザー管理」をダブルクリックします。

    2. 「認可」タブをクリックし、次の手順を実行します。

      1. 「含む」リストのスクロールバーを「ユーザーアカウント」にドラッグします。

      2. 「含む」リストから、「Modify Extended Security Attributes」認可を削除します。

        次のユーザーアカウント権限が残ります。


        Manage Users and Roles
View Users and Roles

    3. 変更を保存します。

  9. カスタムシステム管理者権利プロファイルを変更します。

    ユーザー管理者プロファイルは、このプロファイルの補助プロファイルです。システム管理者がパスワードを設定できないようにします。

    1. 「カスタムシステム管理者」をダブルクリックします。

    2. 「補助権限」タブをクリックし、次の手順を実行します。

      1. ユーザー管理権利プロファイルを削除します。

      2. カスタムユーザー管理権利プロファイルを追加します。

      3. カスタムユーザー管理権利プロファイルを、すべての権利プロファイルの上に移動します。

    3. 変更を保存します。

次の手順

デフォルトのプロファイルが使用されないようにするには、カスタムプロファイルによって責務分離が実施されることを確認したあと、「Trusted Extensions の役割が機能することを確認する」手順 7 を参照してください。

ProcedureTrusted Extensions でセキュリティー管理者役割を作成する

Trusted Extensions での役割作成は、Solaris OS での役割作成と同じです。ただし、Trusted Extensions では、セキュリティー管理者役割は必須です。ローカルのセキュリティー管理者役割を作成するには、例 4–6 のようにコマンド行インタフェースを使用することもできます。

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。

ネットワーク上に役割を作成するには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」を完了しておく必要があります。

  1. Solaris 管理コンソールを起動します。


    # /usr/sbin/smc &

  2. 適切なツールボックスを選択します。

    • ローカルに役割を作成する場合、「このコンピュータ (this-host: Scope=Files, Policy=TSOL)」を使用します。

    • LDAP サービスに役割を作成する場合、「このコンピュータ (ldap-server: Scope=LDAP, Policy=TSOL)」を使用します。

  3. 「システムの構成」をクリックして「ユーザー」をクリックします。

    パスワードを入力するよう求められます。

  4. 適切なパスワードを入力します。

  5. 「管理役割」をダブルクリックします。

  6. 「アクション」メニューから「管理者役割を追加」を選択します。

  7. セキュリティー管理者役割を作成します。

    次の情報を参考にしてください。

    • 「役割名」– secadmin

    • 「役割の正式名」– Security Administrator

    • 「備考欄」– サイトセキュリティー担当者 (ここには機密情報を入力しない)

    • 「役割の ID 番号」– ≥100

    • 「役割シェル」– 管理者の Bourne (プロファイルシェル)

    • 「役割メーリングリストを作成」– チェックボックスを選択されたままにしておきます。

    • 「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。

      セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。

      注 –

      すべての管理役割に対して、アカウントを常に有効にし、パスワード有効期限を設定しないでください。

    • 「有効な権利」– 情報セキュリティー、ユーザーセキュリティー

      • サイトセキュリティーで責務分離が不要な場合は、情報セキュリティー権利プロファイルとデフォルトのユーザーセキュリティー権利プロファイルを選択します。

      • サイトセキュリティーで責務分離が必要な場合は、情報セキュリティー権利プロファイルとカスタムユーザーセキュリティー権利プロファイルを選択します。

    • 「ホームディレクトリサーバー」– home-directory-server

    • 「ホームディレクトリパス」– /mount-path

    • 「この役割にユーザーを割り当てます」– 役割をユーザーに割り当てると、このフィールドは自動的に入力されます。

  8. 役割を作成したら、設定が正しいことを確認します。

    役割を選択してダブルクリックします。

    次のフィールド内の値を確認します。

    • 「有効なグループ」– 必要な場合にグループを追加します。

    • 「Trusted Extensions 属性」– デフォルトが正しいです。

      単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。

    • 「除外監査クラス/対象監査クラス」– 役割の監査フラグが audit_control ファイルのシステム設定に対する例外である場合のみ、監査フラグを設定します。

  9. その他の役割を作成するには、セキュリティー管理者役割を参考にします。

    例は、『System Administration Guide: Security Services』「How to Create and Assign a Role by Using the GUI」を参照してください。各役割に一意の ID を指定し、その役割に正しい権利プロファイルを割り当てます。可能な役割は、次のとおりです。

    • admin 役割 – System Administrator の付与権利

    • primaryadmin 役割 – Primary Administrator の付与権利

    • oper 役割 – Operator の付与権利

例 4–6 ローカルのセキュリティー管理者役割を作成するための roleadd コマンドの使用

この例では、root ユーザーが roleadd コマンドを使用して、セキュリティー管理者役割をローカルシステムに追加します。詳細は、roleadd(1M) のマニュアルページを参照してください。役割の作成の前に、root ユーザーは表 1–2 を確認します。このサイトでは、ユーザーを作成するために責務分離は不要です。


# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

root ユーザーは、役割の初期パスワードを指定します。


# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

役割をローカルユーザーに割り当てるには、例 4–7 を参照してください。

Procedure制限されたシステム管理者役割を作成する

責務分離がサイトセキュリティー要件でない場合は、この手順を省略します。

この手順では、より制限の厳しい権利プロファイルをシステム管理者役割に割り当てます。

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。

「責務分離を実施する権利プロファイルを作成する」を完了しています。権利プロファイルを作成するために使用したのと同じツールボックスを使用します。

  1. Solaris 管理コンソール で、システム管理者役割を作成します。

    詳細は、「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。

  2. カスタムシステム管理者権利プロファイルを役割に割り当てます。

  3. 変更を保存します。

  4. Solaris 管理コンソールを閉じます。

ProcedureTrusted Extensions で役割になれるユーザーを作成する

ローカルユーザーを作成するには、次の手順の代わりに、例 4–7 のようにコマンド行インタフェースを使用することもできます。サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。

セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成し、セキュリティー管理者役割がパスワードなどのセキュリティー関連の属性を割り当てます。

始める前に

スーパーユーザーになるか、root 役割、セキュリティー管理者役割、または主管理者役割になる必要があります。セキュリティー管理者役割には、ユーザー作成に必要な最低限の権限があります。

Solaris 管理コンソールが表示されます。詳細は、「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。

  1. Solaris 管理コンソールで、「ユーザーアカウント」をダブルクリックします。

  2. 「アクション」メニューから「ユーザーを追加」 -> 「ウィザードを使用」を選択します。

    注意 – 注意 –

    役割およびユーザーの名前と ID は、同じプールが元になります。追加するユーザーに既存の名前や ID を使用しないでください。

  3. オンラインヘルプに従います。

    『System Administration Guide: Basic Administration』「How to Add a User With the Solaris Management Console’s Users Tool」の手順に従うこともできます。

  4. ユーザーを作成したら、作成したユーザーをダブルクリックして設定を変更します。

    注 –

    役割になれるユーザーのユーザーアカウントは常に有効にし、パスワード有効期限を設定しないでください。

    次のフィールドが正しく設定されていることを確認します。

    • 「説明」– ここには機密情報を入力しません。

    • 「Password and confirm」– 6 文字以上の英数字のパスワードを割り当てます。

      注 –

      初期設定チームは推測されにくいパスワードを選択しなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。

    • 「アカウントの有効/無効」– 常に有効です。

    • 「Trusted Extensions 属性」– デフォルトが正しいです。

      単一ラベルのシステムでラベルを表示してはならない場合は、「ラベル: 表示/非表示」で「非表示」を選択してください。

    • 「アカウントの使用方法」– アイドル時間およびアイドルアクションを設定します。

      「アカウントのロック」– 役割になれるユーザーに対して「いいえ」を設定します。

  5. Solaris 管理コンソールを閉じます。

  6. ユーザーの環境をカスタマイズします。

    1. 簡易認証の割り当て

      サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。このプロファイルによって、ユーザーはデバイスの割り当て、PostScript ファイルの印刷、ラベルなしの印刷、遠隔からのログイン、およびシステムのシャットダウンを行えます。プロファイルを作成するには、『Oracle Solaris Trusted Extensions 管理の手順』「便利な承認のための権利プロファイルを作成する」を参照してください。

    2. ユーザー初期設定ファイルをカスタマイズします。

      『Oracle Solaris Trusted Extensions 管理の手順』の第 7 章「Trusted Extensions でのユーザー、権利、役割の管理 (手順)」を参照してください。

      『Oracle Solaris Trusted Extensions 管理の手順』「Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)」も参照してください。

    3. マルチラベルのコピーおよびリンクファイルの作成

      マルチラベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、『Oracle Solaris Trusted Extensions 管理の手順』「.copy_files ファイルと .link_files ファイル」を参照してください。

例 4–7 ローカルユーザーを作成するための useradd コマンドの使用

この例では、root ユーザーが、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。

最初に、root ユーザーは、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。


# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

次に、root ユーザーは表 1–2 を確認してから、ユーザーを作成します。


# useradd -c "Local user for Security Admin" -d /export/home1 \
-K  idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe

root ユーザーは初期パスワードを指定します。


# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

最後に、root ユーザーは、セキュリティー管理者役割をユーザーの定義に追加します。役割は、「Trusted Extensions でセキュリティー管理者役割を作成する」で作成されました。


# usermod -R secadmin jandoe

ProcedureTrusted Extensions の役割が機能することを確認する

各役割を確認するには、その役割になります。その役割のみが実行できるタスクを実行します。

始める前に

DNS または経路指定を構成してある場合は、役割を作成したら再起動し、そのあとでその役割が機能することを確認してください。

  1. 役割ごとに、その役割になれるユーザーとしてログインします。

  2. トラステッドパスメニューを開きます。

    • Trusted CDE でワークスペーススイッチ領域をクリックします。

      図は、CDE のトラステッドパスメニューを示しています。

      メニューから役割になります。

    • Trusted JDS で、トラステッドストライプ内のユーザー名をクリックします。

      次のトラステッドストライプ内では、ユーザー名は tester です。

      図は、ユーザー名が tester であるトラステッドストライプを示しています。

      割り当てられた役割の一覧から、役割を選択します。

  3. 役割のワークスペースで、Solaris 管理コンソールを起動します。


    $ /usr/sbin/smc &

  4. テストする役割の適切な範囲を選択します。

  5. 「システムの構成」をクリックして、「ユーザー」に移動します。

    パスワードを入力するよう求められます。

    1. 役割のパスワードを入力します。

    2. 「ユーザーアカウント」をダブルクリックします。

  6. ユーザーをクリックします。

    • システム管理者役割では、「基本」、「ホームディレクトリ」、および「グループ」のタブの各フィールドを変更できます。

      責務分離を実施するための役割を構成した場合、システム管理者役割はユーザーの初期パスワードを設定できません。

    • セキュリティー管理者役割では、すべてのタブの各フィールドを変更できます。

      責務分離を実施するための役割を構成した場合、セキュリティー管理者役割はユーザーを作成できません。

    • 主管理者役割では、すべてのタブの各フィールドを変更できます。

  7. (省略可能) 責務分離を実施する場合、デフォルトの権利プロファイルが使われないようにします。

    注 –

    システムを新しいバージョンの Solaris OS にアップグレードすると、システム管理者、ユーザー管理、ユーザーセキュリティーのデフォルトプロファイルが置き換えられます。

    トラステッドエディタで、次のいずれかの手順を実行します。

    • 3 つの権利プロファイルを prof_attr ファイルから削除します。

      削除により、管理者がこれらのプロファイルを参照または割り当てできなくなります。また、prof_attr.orig ファイルも削除します。

    • prof_attr ファイルの 3 つの権利プロファイルをコメントアウトします。

      権利プロファイルをコメントアウトすることにより、これらのプロファイルが Solaris 管理コンソール で表示されなくなり、ユーザーを管理するコマンドで使用できなくなります。プロファイルとその内容は、引き続き prof_attr ファイルで参照できます。

    • prof_attr ファイルで、3 つの権利プロファイルに別の説明を入力します。

      prof_attr ファイルを編集し、これらの権利プロファイルの説明フィールドを変更します。たとえば、説明を「Do not use this profile」に置き換えます。この変更により、管理者にこのプロファイルを使用しないよう警告しますが、プロファイルの使用は禁止されません。

Procedureユーザーがラベル付きゾーンにログインできるようにする

ホストが再起動されると、デバイスと基礎のストレージとの関連付けも再設定されなければなりません。

始める前に

少なくとも 1 つのラベル付きゾーンが作成されています。そのゾーンはクローンを作成中ではありません。

  1. システムを再起動します。

  2. root ユーザーとしてログインします。

  3. ゾーンサービスを再起動します。


    # svcs zones
STATE          STIME    FMRI
offline        -        svc:/system/zones:default
    		 

    # svcadm restart svc:/system/zones:default

  4. ログアウトします。

    これで、一般ユーザーがログインできます。そのセッションはラベル付きゾーンです。