この章では、SunOS リリース 4 の後、行われたセキュリティ機能に関する変更点について、『Solaris 移行ガイド』の情報を更新します。
この章には次の内容が含まれます。
Solaris 8 リリースで導入されたセキュリティ機能およびオプションについては次の節を参照してください。
SunOS リリース 4 のセキュリティ機能のほとんどが、現行リリースでも使用可能です。Solaris 8 リリースで導入された変更点および改良点について以下の節で説明します。
Solaris 8 リリースにおける多くのシステムファイルおよびディレクトリには、以前のリリースとは異なるデフォルト所有権および厳密なアクセス権があります。全情報を取得するには、『Solaris のシステム管理 (第 2 巻)』の「システムセキュリティの管理の概要」を参照してください。
Solaris 8 オペレーティング環境のためのパッケージを作成する前に、『Solaris のシステム管理 (第 2 巻)』の「システムセキュリティの管理の概要」を参照してください。
以前のリリースでは、スーパーユーザーのパスワードを持っている人すべてに、完全なスーパーユーザー権限が与えられました。Solaris 8 オペレーティング環境では、役割ベースのアクセス管理 (RBAC) により、管理者は、一般ユーザーに限定的なスーパーユーザー機能を与えることができます。これは新しい 3 つの機能により達成されます。
承認 - 限定的機能へのアクセスが認められます。
実行プロファイル - 特別な属性を持つ承認とコマンドのグループ。たとえば、uid、gid、egid など。
役割 - 特定の管理業務を実行する目的で割り当てられた、特殊なユーザーアカウント
次の節では、役割、承認、およびプロファイルの使用をサポートするデータベースについて説明します。詳細は、『Solaris のシステム管理 (第 1 巻)』の「ユーザーアカウントとグループの管理 (概要)」を参照してください。
user_attr データベースは、ユーザーおよび役割 (特殊なユーザーアカウント) に関連する拡張されたセキュリティ属性を格納するために使用されます。特に、このデータベースは承認、プロファイル、役割およびアカウントの種類とユーザーを関連づけます。
auth_attr データベースは、承認を一覧に記載します。このデータベースは関連するヘルプファイルを特定し、追加の承認属性をすべて取り込みます。
prof_attr データベースは、使用可能な実行プロファイルを一覧にし、各プロファイルに関連する承認およびヘルプファイルを特定します。
exec_attr データベースは、実行属性を実行プロファイルと関連づけます。各エントリは、現在有効なセキュリティポリシー、コマンド、および、実際のまたは有効な UID、GID などの特殊属性の値から構成されます。現在有効なセキュリティポリシーは suser (スーパーユーザー) のみであることに注意してください。
audit_user データベースは事前に選択された監査用データを格納します。
次のマニュアルが、ファイル、システム、およびネットワークレベルでのセキュリティ管理に関する最新情報を提供します。
表 5-1 セキュリティ関連マニュアル
主題 |
マニュアル名 |
検索場所 |
---|---|---|
システムセキュリティの管理方法 |
『Solaris のシステム管理 (第 2 巻)』 |
Solaris 8 System Administrator Collection - Japanese |
NIS+ ネームサービス承認、認証 |
『Solaris ネーミングの管理』 |
Solaris 8 System Administrator Collection - Japanese |
NIS+ セキュリティ |
『NIS+ への移行』 |
Solaris 8 System Administrator Collection - Japanese |
NFS のセキュリティ保護 |
『Solaris のシステム管理 (第 3 巻)』 |
Solaris 8 System Administrator Collection - Japanese |
RPC のセキュリティ保護 |
『Solaris のシステム管理 (第 3 巻)』 |
Solaris 8 System Administrator Collection - Japanese |
TCP/IP |
『Solaris のシステム管理 (第 3 巻)』 |
Solaris 8 System Administrator Collection - Japanese |
以下の節では、『Solaris 移行ガイド』の情報を更新するマニュアルを紹介します。
パスワードの設定および保守については、『Solaris のシステム管理 (第 1 巻)』の「ユーザーアカウントとグループの管理 (概要)」を参照してください。
ACL に関する最新情報は、『Solaris のシステム管理 (第 2 巻)』の「システムセキュリティの管理の概要」を参照してください。
ASET に関する最新情報は、『Soalris のシステム管理 (第 2 巻)』の「システムセキュリティの管理の概要」を参照してください。
以下の節では、『Solaris 移行ガイド』の情報を更新するマニュアルを紹介します。
『Solaris のシステム管理 (第 2 巻)』の「認証サービスの使用手順」では、Kerberos ログイン認証の設定方法をステップごとに示しています。
この機能は、Kerberos V5 クライアントサイドのインフラストラクチャ、Pluggable Authentication Module (PAM) への追加、NFS サービスなどの RPC ベースのアプリケーションをセキュリティ保護するために使用可能なユーティリティプログラムを提供します。Kerberos は選択可能で安定したユーザーまたはサーバーレベルの認証、完全性、および機密性サポートを提供します。Kerberos クライアントは、Sun Enterprise 認証機構 (SEAM) (SEAS 3.0 の一部)、またはその他の Kerberos V5 ソフトウェア (たとえば、MIT 頒布) と共に、完成された単一のネットワーク・サインオン・ソリューションを構築するために使用できます。『Solaris のシステム管理 (第 3 巻)』の「Solaris NFS の環境」で、NFS 環境のための Kerberos サポートについての説明を参照してください。
以下の節では、『Solaris 移行ガイド』の情報を更新するマニュアルを紹介します。
SunSHIELDTM 基本セキュリティモジュール (BSM) パッケージに関する情報は、Trusted Solaris 7 の AnswerBook で『Trusted Solaris 管理の概要』を参照してください。
Pluggable Authentication Module (PAM) に関するステップごとの管理手順については、『Solaris のシステム管理 (第 2 巻)』の「認証サービスの使用手順」を参照してください。