この節では、いくつかの標準的な権利プロファイルについて説明します。
「Primary Administrator」権利プロファイルは、Primary Administrator 役割用に設計されている。Primary Administrator 権利プロファイルでは、ワイルドカードを使用できる
「System Administrator」権利プロファイルは、System Administrator 役割用に設計されている。System Administrator 権利プロファイルでは、複数の補助プロファイルを組み合わせて強力な役割を作成する
「Operator」権利プロファイルは、Operator 役割用に設計されているOperator 権利プロファイルでは、複数の補助プロファイルを組み合わせて単純な役割を作成する
「Basic Solaris User」権利プロファイルには、 policy.conf ファイルを使用して、セキュリティに関係しないタスクをユーザーに割り当てる
次の節の表では、コマンド、承認、補助権限、権利プロファイル、関連するヘルプファイルなど、これらの権利プロファイルの目的と内容を示します。
ヘルプファイルは HTML 形式なので、必要に応じて簡単にカスタマイズできます。ヘルプファイルは、/usr/lib/help/auths/locale/C ディレクトリにあります。
Solaris 管理コンソールの権利ツールを使用して、権利プロファイルの内容を検査することもできます。
All 権利プロファイルは、セキュリティ属性のないコマンドを除いたすべてのコマンドを使用できるようにワイルドカードを使用したプロファイルです。この権利プロファイルは、ほかの権利プロファイルに明示的に割り当てられていないすべてのコマンドにアクセスできる役割です。All 権利プロファイルまたはワイルドカードを使用するその他の権利プロファイルを使用しないと、役割は明示的に割り当てられているコマンド以外にはアクセスできません。これは、あまり実用的ではありません。
権利プロファイルのコマンドは、発生順に解釈されます。このため、ワイルドカードを使用する場合は、最後に指定します。明示的に割り当てた属性が、誤って優先指定されないようにするためです。All 権利プロファイルを使用する場合は、最後に割り当ててください。
表 19-1 All 権利プロファイルの内容
目的 |
内容 |
---|---|
ユーザーまたは役割として任意のコマンドを実行する |
コマンド: * ヘルプファイル: RtAll.html |
Primary Administrator 権利プロファイルには、システム上で最も強力な役割が割り当てられます。実質的に、スーパーユーザーの機能を持つ役割が提供されます。
solaris.* 承認は、実質的に Solaris ソフトウェアから提供されるすべての承認を割り当てる
solaris.grant 承認は、任意の権利プロファイル、役割、またはユーザーに任意の承認を割り当てる
*:uid=0;gid=0 のコマンド割り当ては、UID=0 および GID=0 ですべてのコマンドを実行する
ヘルプファイル RtPriAdmin.html はサイト内では同一であるため、必要に応じて変更できます。ヘルプファイルは、 /usr/lib/help/auths/locale/C ディレクトリに格納されています。
Primary Administrator 権利プロファイルがサイトのセキュリティポリシーと矛盾する場合は、 このプロファイルを変更したり、割り当てないようにしたりすることもできます。ただし、Primary Administrator 権利プロファイルのセキュリティ機能は、ほかの権利プロファイルを処理するのに必要となります。
表 19-2 Primary Administrator 権利プロファイルの内容
目的 |
内容 |
---|---|
すべての管理タスクを実行する |
コマンド: * 承認:solaris.*、solaris.grant ヘルプファイル: RtPriAdmin.html |
System Administrator 権利プロファイルは、System Administrator 役割用に設計されています。System Administrator では、Primary Administrator の強力な権限を持たないため、ワイルドカードは使用できません。代わりに、セキュリティに関係しない個別の管理権利プロファイルが割り当てられます。次の表では、補助権利プロファイルに割り当てられているコマンドは説明していません。
All 権利プロファイルは、補助権利プロファイルのリストの最後にあります。
表 19-3 System Administrator 権利プロファイルの内容
目的 |
内容 |
---|---|
セキュリティに関係しない管理タスクを実行する |
補助権利プロファイル: Audit Review、Printer Management、Cron Management、Device Management、File System Management、Mail Management、Maintenance and Repair、Media Backup、Media Restore、Name Service Management、Network Management、Object Access Management、Process Management、Software Installation、User Management、All ヘルプファイル:RtSysAdmin.html |
Operator 権利プロファイルは、権限の弱い管理権利プロファイルで、バックアップとプリンタ管理を行います。ファイルの復元は、セキュリティに影響するため、デフォルトではこの権利プロファイルに割り当てられていません。
表 19-4 Operator 権利プロファイルの内容
目的 |
内容 |
---|---|
単純な管理タスクを実行する |
補助権利プロファイル: Printer Management、Media Backup、All ヘルプファイル: RtOperator.html |
デフォルトでは、Basic Solaris User 権利プロファイルは、policy.conf ファイルによってすべてのユーザーに自動的に割り当てられます。この権利プロファイルでは、通常の操作に使用する基本的な承認を与えます。Basic Solaris User 権利プロファイルを使用するときは、サイトのセキュリティ要件を考慮する必要があります。高いセキュリティを必要とするサイトでは、この権利プロファイルを policy.conf ファイルから削除することをお勧めします。
表 19-5 Basic Solaris User 権利プロファイルの内容
目的 |
内容 |
---|---|
すべてのユーザーに自動的に権限を割り当てる |
承認: solaris.profmgr.read、 solaris.admin.usermgr.read、solaris.admin.logsvc.read、 solaris.admin.fsmgr.read、solaris.admin.serialmgr.read 、solaris.admin.diskmgr.read、solaris.admin.procmgr.user 、solaris.compsys.read、solaris.admin.printer.read 、solaris.admin.prodreg.read、solaris.admin.dcmgr.read 補助権利プロファイル: All ヘルプファイル: RtDefault.html |
Printer Management は、特定のタスクを実行する標準権限ファイルです。Printer Management 権利プロファイルには、承認とコマンドが割り当てられます。次の表では、使用できるコマンドの一部を示します。
表 19-6 Printer Management 権利プロファイルの内容
目的 |
内容 |
---|---|
プリンタ、デーモン、スプール処理を管理する |
承認: solaris.admin.printer.delete、 solaris.admin.printer.modify、 solaris.admin.printer.read コマンド: /usr/sbin/accept:euid=lp、/usr/ucb/lpq:euid=0、/etc/init.d/lp:euid=0、/usr/bin/lpstat:euid=0、/usr/lib/lp/lpsched:uid=0、/usr/sbin/lpfilter:euid=lp ヘルプファイル: RtPrntMngmnt.html |