test

Solaris のシステム管理 (基本編)

Solaris 管理ツールを RBAC と組み合わせて使用する (作業マップ)

この作業マップでは、スーパーユーザーアカウントを使用するのではなく、役割によるアクセス制御 (RBAC) のセキュリティ機能を使用して管理作業を実行する場合に行うべき作業について説明します。

注 -

この節の内容は、コンソールを RBAC と組み合わせて使用する方法について書かれています。最初にコンソールを使って RBAC を設定する方法について説明するため、RBAC の概要や作業にも触れています。

RBAC の詳細や、RBAC を他のアプリケーションと組み合わせて使用する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。

作業 

説明 

参照先 

1. コンソールを起動する 

ユーザーアカウントをすでに設定してある場合は、まずユーザーとしてコンソールを起動し、次に root としてコンソールにログインする。ユーザーアカウントを設定していない場合は、まずスーパーユーザーになり、次にコンソールを起動する 

「スーパーユーザーまたは役割としてコンソールを起動する方法」

2. 自分のユーザーアカウントを追加する 

自分のユーザーアカウントが存在しない場合はそれを追加する 

Solaris Management Console のオンラインヘルプ 

3. プライマリ管理者の役割を作成する 

プライマリ管理者の役割を作成し、自分をこの役割に追加する 

「最初の役割 (プライマリ管理者) を作成する方法」

4. プライマリ管理者の役割を引き受ける 

プライマリ管理者の役割を作成後、その役割を引き受ける 

「プライマリ管理者の役割を引き受ける方法」

5. (省略可能) root を役割にする 

root を役割にし、他のユーザーが su コマンドを使用して root になれないようにルートの役割に自分を追加する

Solaris のシステム管理 (セキュリティサービス)』の「root を役割に変換する方法」

6. (省略可能) 他の管理役割を作成する 

他の管理役割を作成し、各役割に適切な権利を付与する。次に、各役割に該当するユーザーを追加する 

Solaris のシステム管理 (セキュリティサービス)』の「管理役割ツールを使用して役割を作成する方法」

次の節では、Solaris Management Console と RBAC のセキュリティ機能の使い方に関する概要とその手順について説明します。

コンソールに最初にログインした場合

管理者としてコンソールに最初にログインした場合は、まずユーザー (自分自身) としてコンソールを起動し、次にスーパーユーザーとしてログインします。この方法では、コンソールのすべてのツールに完全にアクセスできます。

ここで、RBAC を使用しているかどうかに応じて、一般的な手順を示します。

プライマリ管理者の役割を作成する

管理役割は、特殊なユーザーアカウントの 1 つです。この役割を引き受けたユーザーは、定義済みの管理作業を実行することができます。

プライマリ管理者の役割は、スーパーユーザーと同様に、すべての管理機能の実行が許可されています。

スーパーユーザー、またはプライマリ管理者の役割を引き受けたユーザーは、他の管理者が実行できる作業を定義することができます。「管理役割を追加 (Add Administrative Role)」ウィザードを使用すると、役割を作成し、その役割に権利を付与し、その役割を引き受けられるユーザーを指定できます。権利とは、特定のアプリケーションを使用するため (またはアプリケーション内にある特定の機能を実行するため) のコマンド (あるいは承認) と他の権利 (その使用は管理者が付与または拒否できる) をまとめて名前を付けたものです。

プライマリ管理者の役割を作成するときは、次の情報の入力を求めるプロンプトが表示されます。

表 2-2 コンソールを使用して役割を追加するための項目の説明

項目 

説明 

役割名 

管理者が特定の役割にログインするために使用する名前を選択する 

役割の正式名称 

(省略可能) この役割の名前をフルネームでわかりやすく入力する  

備考欄 

この役割の詳細な説明 

役割 ID 番号 

この役割に割り当てられている ID 番号を選択する。この番号は、UID の ID セットと同じ 

役割シェル 

ユーザーが端末またはコンソールのウィンドウにログインするか、そのウィンドウで役割を引き受けるときに実行するシェルを選択する 

役割のメーリングリストを作成 

項目をチェックすると、役割と同じ名前でメーリングリストを作成する。メーリングリストを使用すると、その役割に割り当てられているすべてのユーザーに電子メールを送信できる 

役割パスワードとパスワードを確認 

役割のパスワードを設定および再入力する 

有効な権利と許可された権利 

「有効な権利 (Available Rights)」のリストから権利を選択し、「許可された権利 (Granted Rights)」のリストに追加することにより、この役割に権利を割り当てる 

ホームディレクトリの選択 

この役割の専有ファイルが格納されるホームディレクトリサーバーを選択する 

ユーザーの役割への割り当て 

特定のユーザーが特定の作業を行うための役割を持つようにユーザーを役割に追加する 

役割によるアクセス制御の詳細と、役割を使用して安全な環境を作成する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要) 」を参照してください。

最初の役割 (プライマリ管理者) を作成する方法

この手順では、プライマリ管理者の役割を作成し、それをユーザーアカウントに割り当てる方法について説明します。ユーザーアカウントはすでに作成してあるものとします。

  1. ユーザーとしてコンソールを起動します。


    % /usr/sadm/bin/smc &

    コンソールの起動方法については、「スーパーユーザーまたは役割としてコンソールを起動する方法」を参照してください。

    ユーザーアカウントを作成する必要がある場合は、コンソールのオンラインヘルプを参照してください。

  2. ナビゲーション区画で「このコンピュータ (This Computer)」アイコンをクリックします。

  3. 「System Configuration」->「ユーザー (Users)」->「管理役割 (Administrative Roles)」の順にクリックします。

  4. 「アクション (Action)」->「管理役割を追加 (Add Administrative Role)」の順にクリックします。

    「管理役割を追加 (Add Administrative Role)」ウィザードが開きます。

  5. 次の手順に従って、「管理役割を追加 (Add Administrative Role)」ウィザードでプライマリ管理者の役割を作成します。

    1. 役割名、役割の正式名称、備考欄、役割 ID、役割シェル、役割のメーリングリストを作成するかどうかを設定する。「次へ (Next)」をクリックする。

    2. 役割のパスワードを設定し、入力する。「次へ (Next)」をクリックする。

    3. 「有効な権利 (Available Rights)」欄からプライマリ管理者の権利を選択後、「追加 (Add)」をクリックし、「許可された権利 (Granted Rights)」欄に追加する。「次へ (Next)」をクリックする。

    4. 役割のホームディレクトリを選択する。「次へ (Next)」をクリックする。

    5. この役割を引き受けることができるユーザーのリストに自分を割り当てる。「次へ (Next)」をクリックする。

    必要に応じて、表 2-2 で役割の各項目の説明を参照してください。

  6. 「完了 (Finish)」をクリックします。

プライマリ管理者の役割を引き受ける方法

プライマリ管理者の役割を作成し終わったら、まずユーザー (自分自身) としてコンソールにログインし、次にプライマリ管理者の役割を引き受けます。

役割を引き受けるときは、その役割の権利を含むすべての属性を引き受けます。同時に、自分自身のユーザープロパティはすべて放棄します。

  1. コンソールを起動します。


    % /usr/sadm/bin/smc &

    コンソールの起動方法については、「スーパーユーザーまたは役割としてコンソールを起動する方法」を参照してください。

  2. ユーザー名とパスワードを使ってログインします。

    引き受けることができる役割のリストが表示されます。

  3. プライマリ管理者の役割にログインし、役割のパスワードを入力します。