Oracle Solaris Trusted Extensions 構成ガイド

Procedure責務分離を実施する権利プロファイルを作成する

責務分離がサイトセキュリティー要件にない場合は、この手順を省略します。サイトで責務分離が必要な場合は、LDAP サーバーにデータを設定する前に、これらの権利プロファイルと役割を作成します。

この手順では、ユーザーを管理するための個別の機能を持つ権利プロファイルを作成します。これらのプロファイルを個々の役割に割り当てる場合、ユーザーを作成し構成するために 2 つの役割が必要です。一方の役割はユーザーを作成できますが、セキュリティー属性を割り当てることができません。もう一方の役割はセキュリティー属性を割り当てることができますが、ユーザーを作成できません。これらのプロファイルのいずれかが割り当てられた役割で Solaris 管理コンソール にログインすると、役割に該当するタブとフィールドだけが表示されます。

始める前に

スーパーユーザーになるか、root 役割または主管理者役割になる必要があります。この手順を開始する場合には、Solaris 管理コンソール を閉じます。

  1. ユーザー構成に影響を与えるデフォルトの権利プロファイルのコピーを作成します。

    1. prof_attr ファイルを prof_attr.orig ファイルにコピーします。

    2. prof_attr ファイルをトラステッドエディタで開きます。


      # /usr/dt/bin/trusted_edit /etc/security/prof_attr
      
    3. 3 つの権利プロファイルをコピーし、コピーの名前を変更します。


      System Administrator:::Can perform most non-security...
      Custom System Administrator:::Can perform most non-security...
      
      User Security:::Manage passwords...
      Custom User Security:::Manage passwords...
      
      User Management:::Manage users, groups, home...
      Custom User Management:::Manage users, groups, home...
      
    4. 変更を保存します。

    5. 変更内容を確認します。


      # grep ^Custom  /etc/security/prof_attr
      Custom System Administrator:::Can perform most non-security...
      Custom User Management:::Manage users, groups, home...
      Custom User Security:::Manage passwords...

    権利プロファイルを変更せずにコピーすることで、システムを新しい Solaris リリースにアップグレードしたときにも変更内容が保持されます。これらの権利プロファイルは複雑なため、デフォルトのプロファイルのコピーを変更したほうが、ゼロから制限の厳しいプロファイルを作成するよりも、誤りが起きにくくなります。

  2. Solaris 管理コンソールを起動します。


    # /usr/sbin/smc &
    
  3. このコンピュータ (this-host: Scope=Files, Policy=TSOL) ツールボックスを選択します。

  4. 「システムの構成」をクリックして「ユーザー」をクリックします。

    パスワードを入力するよう求められます。

  5. 適切なパスワードを入力します。

  6. 「権限」をダブルクリックします。

  7. カスタムユーザーセキュリティー権利プロファイルを変更します。

    ユーザーを作成できないようにこのプロファイルを制限します。

    1. 「カスタムユーザーセキュリティー」をダブルクリックします。

    2. 「認可」タブをクリックし、次の手順を実行します。

      1. 「含む」リストから、「Manage Users and Roles」認可を削除します。

        次のユーザーアカウント権限が残ります。


        Audit Controls
        Label and Clearance Range
        Change Password
        View Users and Roles
        Modify Extended Security Attributes
      2. 「権限の管理」権限を「含む」リストに追加します。

    3. 「了解」をクリックして変更内容を保存します。

  8. カスタムユーザー管理プロファイルを変更します。

    パスワードを設定できないようにこのプロファイルを制限します。

    1. 「カスタムユーザー管理」をダブルクリックします。

    2. 「認可」タブをクリックし、次の手順を実行します。

      1. 「含む」リストのスクロールバーを「ユーザーアカウント」にドラッグします。

      2. 「含む」リストから、「Modify Extended Security Attributes」認可を削除します。

        次のユーザーアカウント権限が残ります。


        Manage Users and Roles
        View Users and Roles
    3. 変更を保存します。

  9. カスタムシステム管理者権利プロファイルを変更します。

    ユーザー管理者プロファイルは、このプロファイルの補助プロファイルです。システム管理者がパスワードを設定できないようにします。

    1. 「カスタムシステム管理者」をダブルクリックします。

    2. 「補助権限」タブをクリックし、次の手順を実行します。

      1. ユーザー管理権利プロファイルを削除します。

      2. カスタムユーザー管理権利プロファイルを追加します。

      3. カスタムユーザー管理権利プロファイルを、すべての権利プロファイルの上に移動します。

    3. 変更を保存します。

次の手順

デフォルトのプロファイルが使用されないようにするには、カスタムプロファイルによって責務分離が実施されることを確認したあと、「Trusted Extensions の役割が機能することを確認する」手順 7 を参照してください。