Solaris 8 のシステム管理 (追補)

第 3 章 セキュリティの管理

Solaris 8 ソフトウェアリリースに新しいセキュリティ機能が含まれるようになりました。詳細は、次の各節を参照してください。


注 -

最新のマニュアルページを参照するには、man コマンドを使用してください。Solaris 8 Update リリースのマニュアルページには、「Solaris 8 Reference Manual Collection」には記載されていない新しい情報も提供されています。


役割によるアクセス制御

この機能は、Solaris 8 1/01 ソフトウェアリリースで更新されました。

役割によるアクセス制御 (RBAC: role-based access control) データベースを、Solaris Management Console (SMC) のグラフィカルインタフェースの「ユーザー」ツールから管理することができるようになりました。SMC についての詳細は、「Solaris Management Console の概要」 を参照してください。RBAC では以下の機能が更新されています。

次の図は、拡張されたユーザー属性がどのようにユーザーに提供されるかを示します。

図 3-1 拡張された属性データベース

Graphic

user_attr データベースは、表示されている属性を含み、またコンマ (,) で区分されたプロファイル名のリストを含んでいます。プロファイルの内容は、prof_attr ファイル (プロファイル識別情報、そのプロファイルに割り当てられた承認、従属プロファイルを含む) と exec_attr ファイル (ポリシーを識別し、関連するセキュリティ属性を備えたコマンドを含む) に分けられます。auth_attr ファイルは SMC ツールに承認情報を提供します。user_attr を使用してユーザーに直接承認を割り当てることはできますが、これは推奨されない方法であることに注意してください。policy.conf ファイルは、すべてのユーザーに割り当てられるデフォルトの属性を提供します。

たとえば、Printer Management 権利プロファイルが 1 つのユーザーまたは役割に割り当てられると、そのユーザーまたは役割の user_attr エントリはキーワードと値のペア (profiles=Printer Management) を含みます。prof_attr ファイルは以下の行でこのプロファイルを定義します。また、ヘルプファイルと承認も指定します。

Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admin.printer.delete

exec_attr ファイルでは、次の行が有効なユーザー ID = lp を Printer Management プロファイル内のコマンド /usr/sbin/accept に割り当てます。

Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp

次の表は、承認を使用するコマンドのリストです。

表 3-1 コマンドとその承認

コマンド 

関連する承認 

at(1)

solaris.jobs.user 

atq(1)

solaris.jobs.admin 

crontab(1)

solaris.jobs.user, solaris.jobs.admin 

allocate(1M)

solaris.device.allocate, solaris.device.revoke 

deallocate(1M)

solaris.device.allocate, solaris.device.revoke 

list_devices(1M)

solaris.device.revoke 

rdate(1M)

solaris.system.date 

smcron(1M)

solaris.jobs.admin, solaris.jobs.user 

smdiskless(1M)

solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read 

smexec(1M)

solaris.profmgr.read, solaris.profmgr.write 

smgroup(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write 

smmultiuser(1M), smuser(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

smmaillist(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write 

smosservice(1M)

solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read 

smprofile(1M)

solaris.profmgr.read, solaris.profmgr.write 

smrole(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

GSS-API のプログラミング

このマニュアルは、Solaris 8 6/00 リリースで更新されました。

Generic Security Service Application Programming Interface (GSS-API) は、セキュリティのフレームワークです。GSS-API を使用すると、アプリケーションは転送するデータを保護できます。GSS-API は認証、整合性、および機密性のサービスをアプリケーションに提供します。このインタフェースを使用すると、各アプリケーションはセキュリティに関して全般的に「汎用」になります。つまり、どのような実際のプラットフォーム (Solaris プラットフォームなど) やセキュリティ機構 (Kerberos など) が使用されるかを知る必要がありません。これは、GSS-API を使用するアプリケーションの移植性が高くなることを意味します。

詳細は、『GSS-API のプログラミング』を参照してください。

SPARC: 『Solaris スマートカードの管理』の更新

Solaris 8 1/01 リリースで『Solaris スマートカードの管理』が更新され、次の新しい情報が追加されました。

詳細は、『Solaris スマートカードの管理』を参照してください。