Solaris のシステム管理

ユーザー ID 番号

ユーザー名に関連するものとして、ユーザー ID (UID) 番号があります。ユーザーがログインしようとするシステムは、UID 番号によりユーザー名を識別したり、また、ファイルとディレクトリの所有者を識別します。多数の異なるシステム上で、ある個人用に複数のユーザーアカウントを作成する場合は、常に同じユーザー名とユーザー ID を使用してください。そうすれば、そのユーザーは、所有権の問題を起こすことなく、システム間で簡単にファイルを移動できます。

UID 番号は、2147483647 以下の整数でなければなりません。また、通常のユーザーアカウントと特殊なシステムアカウントに必要です。表 1-1 にユーザーアカウントとシステムアカウントに予約されている UID 番号を示します。

表 1-1 予約済みの UID 番号


ユーザー ID 番号	ログインアカウント	説明
0 - 99	root、`daemon`、`bin`、`sys`、など	システムアカウント
100 - 2147483647	通常のユーザー	汎用アカウント
60001	`nobody`	アクセス権のないユーザー
60002	`noaccess`	以前の Solaris 2.x と SVR4 リリースとの互換性のために提供

0 から 99 までの UID 番号は予約されていますが、これらの番号でユーザーを追加することはできます。ただし、通常のユーザーアカウントには使用しないでください。システム上の定義により、root には常に UID 0、daemon には UID 1、擬似ユーザー bin には UID 2 が設定されます。また、UID が passwd ファイルの先頭にくるように、uucp ログインや、who、tty、ttytype などの擬似的なユーザーログインには低い UID を与えるようにしてください。

ユーザー (ログイン) 名と同様に、固有の UID を割り当てる方法を決めてください。企業によっては、固有の従業員番号に、管理者が 1000 を加えて固有の UID 番号を作成している場合もあります。

セキュリティ上のリスクを最小限に抑えるために、削除したアカウントの UID を再利用することは避けてください。どうしても UID を再利用する必要がある場合、はじめから作りなおして、新しいユーザーが前のユーザーの属性に影響されないようにしてください。たとえば、前のユーザーがプリンタの拒否リストに含まれていたためプリンタにアクセスできなかった場合、その属性を新しいユーザーにも適用するとは限りません。必要な場合には、固有の UID が使い果たされたとき、1 つの NIS+ ドメイン内で重複する UID を使用することができます。

大きなユーザー ID とグループ ID の使用

以前の Solaris 2.x ソフトウェアリリースは、32 ビットのデータ型を使用してユーザー ID (UID) とグループ (GID) を格納していました。ただし、UID と GID に使用できる最大値は 60000 に制限されていました。Solaris 2.5.1 リリースから、UID と GID の値の制限は符号付き整数の最大値 (つまり、2147483647) に引き上げられました。

60000 を超える UID と GID は機能的に完全でなく、多くの Solaris の機能と互換性がありません。したがって、60000 を超える UID と GID を使用することは避けてください。Solaris 2.x 製品とコマンドとの相互運用性に関する完全なリストについては、表 1-2 を参照してください。

表 1-2 に、以前の Solaris と Solaris 製品リリースとの相互運用性に関する問題を説明します。

表 1-2 60000 を超える UID と GID の相互運用性に関する問題


分類	製品またはコマンド	問題または注意
NFS^TM 互換性	SunOS 4.x NFS ソフトウェア	SunOS 4.x NFS サーバーとクライアントのコードは、大きな UID と GID を 16 ビットに切り捨てる。これによって、大きな UID と GID を使用している環境において SunOS 4.x マシンを使用すると、セキュリティの問題が発生する可能性がある。SunOS 4.x システムにはパッチが必要である。
ネームサービスの相互運用性	NIS ネームサービスおよびファイルベースのネームサービス	60000 を超える UID を持つユーザーは、Solaris 2.x オペレーティング環境の初期のバージョンが動作しているシステムでは、ログインしたり、`su` コマンドを使用できるが、そのユーザーの UID と GID は 60001 (nobody) に設定される。
	NIS+ ネームサービス	60000 を超える UID を持つユーザーは、古い Solaris 2.x バージョンと NIS+ ネームサービスが動作しているシステムではアクセスが拒否される。
UID と GID の表示	OpenWindows のファイルマネージャ	OpenWindows^TM のファイルマネージャを拡張ファイルリスト表示オプションで使用する場合、大きな UID と GID は正しく表示されない。

表 1-3 大きな UID と GID の制限の要約


UID と GID の値	制限
60003 以上	この分類のユーザーが、以前の Solaris リリースと NIS ネームサービスまたはファイルネームサービスが動作しているシステムにログインすると、`nobody` の UID および GID を取得する。
65535 以上	NFS バージョン 2 ソフトウェアが動作している SunOS 4.x システムでは、この分類の UID は 16 ビットに切り捨てられる。その結果、セキュリティの問題が発生する場合がある。この分類のユーザーが `cpio` コマンド (デフォルトのアーカイブフォーマットを使用する) を使用してファイルをコピーすると、ファイルごとにエラーメッセージが表示されて、UID と GID はアーカイブにおいて `nobody` に設定される。 SPARC システム: この分類のユーザーが SunOS 4.x 互換アプリケーションを実行すると、一部のシステムコールから `EOVERFLOW` が戻されて、そのユーザーの UID と GID は `nobody` にマップされる。 x86 システム: この分類のユーザーが SVR3 互換のアプリケーションを実行すると、一部のシステムコールから `EOVERFLOW` が戻される場合がある。 x86 システム: この分類のユーザーが、マウントされた System V ファイルシステムでファイルまたはディレクトリを作成しようとした場合、System V ファイルシステムは `EOVERFLOW` エラーを戻す。
100000 以上	`ps -l` コマンドは最大 5 桁の UID を表示する。したがって、99999 より大きな UID または GID を含むときは、出力される列が揃わない。
262144 以上	この分類のユーザーが `cpio` コマンド (`-H odc` フォーマットを使用する) または `pax -x cpio` コマンドを使用してファイルをコピーすると、ファイルごとにエラーメッセージが戻されて、UID と GID はアーカイブにおいて `nobody` に設定される。
1000000 以上	この分類のユーザーが `ar` コマンドを使用すると、そのユーザーの UID と GID はアーカイブにおいて `nobody` に設定される。
2097152 以上	この分類のユーザーが `tar` コマンド、`cpio -H ustar` コマンド、または `pax -x tar` コマンドを使用すると、そのユーザーの UID と GID は `nobody` に設定される。