NIS+ グループとディレクトリへのアクセス権の計画
主体をグループに配置したあと、名前空間のオブジェクトによって、他のカテゴリの主体 (未認証、所有者、グループ、その他) だけでなく、これらのグループに許可されるアクセス権の種類を決めます。これらの割り当てを事前に決めておくと、一貫性のあるセキュリティの方針を確立するうえで役立ちます。
Table 3-1 に示すように、NIS+ では名前空間の各オブジェクトに対してデフォルトのアクセス権を提供します。
Table 3-1 NIS+ オブジェクトへのデフォルトのアクセス権|
オブジェクト |
未認証 |
所有者 |
グループ |
その他 |
|---|---|---|---|---|
|
ルートディレクトリオブジェクト |
r--- |
rmcd |
rmcd |
r--- |
|
ルート以外のディレクトリオブジェクト |
r--- |
rmcd |
rmcd |
r--- |
|
groups_dir ディレクトリオブジェクト |
r--- |
rmcd |
rmcd |
r--- |
|
org_dir ディレクトリオブジェクト |
r--- |
rmcd |
rmcd |
r--- |
|
NIS+ グループ |
---- |
rmcd |
r--- |
r--- |
|
NIS+ テーブル |
varies |
varies |
varies |
varies |
デフォルトのアクセス権を使用するか、または独自のアクセス権を割り当てることができます。独自のアクセス権を割り当てるときは、名前空間内のオブジェクトがどのようにアクセスされるかをよく考える必要があります。未認証クラスは、NIS+ クライアントからのすべての要求から構成されており、その要求は認証されていてもいなくても構わない、ということに注意してください。その他のクラスは、NIS+ クライアントからの認証を受けているすべての要求から構成されます。したがって、認証されていない要求に対し、名前空間へのアクセス権を与えたくなければ、未認証クラスへのアクセス権を割り当てず、その他のクラスだけを割り当てます。一方で、いくつかのクライアントが、たとえばアプリケーションを通して、認証されていない読み取り要求を出すことが予測されるときは、未認証クラスに読み取り権を割り当てる必要があります。NIS クライアントを NIS 互換モードでサポートしたい場合は、未認証クラスに読み取り権を割り当てなければなりません。
また、各種の名前空間オブジェクトが、最初に指定した NIS+ グループに割り当てる権利についても検討してください。名前空間の管理方法によって、利用できるアクセス権の一部またはすべてを、このグループに割り当てることができます。マスタサーバー上のユーザー root を、admin グループの所有者にすることをお勧めします。admin グループには、ルートドメインのオブジェクトに対する作成権と削除権が必要です。1 人の管理者にだけ、ルートドメインを作成、変更させたい場合は、その管理者だけを admin グループに所属するようにしてください。グループには、いつでもメンバーを追加することができます。設定を行う管理者が何人かいる場合は、その管理者をすべてグループに追加して、そのグループにすべての権利を割り当ててください。その方が、所有者を切り替えたり元に戻したりするよりも簡単です。
オブジェクトの所有者にはすべての権利が与えられていなければなりません。ただし、グループにすべての権利が与えられていれば、このことはさほど重要ではありません。すべての権利を所有者にだけ与えると、名前空間のセキュリティ保護はより安全なものになります。しかし、管理グループにすべての権利を与えた方が管理は容易です。
- © 2010, Oracle Corporation and/or its affiliates