test

Solaris のシステム管理 (セキュリティサービス)

権利プロファイルの作成または変更

権利プロファイルを作成または変更するには、Primary Administrator 権利プロファイルが割り当てられている役割を引き受ける必要があります。役割が設定されていない場合は、スーパーユーザーとしてユーザーツールコレクション を実行する必要があります。権利プロファイルの詳細は、RBAC の役割推奨される役割の構成 を参照してください。

権利ツールを使用して権利プロファイルを作成または変更する方法

  1. 権利ツールを起動します。

    権利ツールを実行するには、Solaris 管理コンソールを起動する必要があります (コンソールツールで役割を引き受ける方法 を参照)。次に、「ユーザーツールコレクション (User Tool Collection)」を開いて、「権利 (Rights)」アイコンをクリックします。

    権利ツールが起動すると、既存の権利プロファイルのアイコンが表示区画に表示されます。

  2. 権利プロファイルの作成または変更に適した次の動作を選択します。

    • 新しい権利プロファイルを作成するときは、「アクション (Action)」メニューから「権利を追加 (Add Rights)」を選択する

    • 既存の権利プロファイルを変更するときは、その権利プロファイルのアイコンをクリックして、「アクション (Action)」メニューから「プロパティ (Properties)」を選択するか、権利プロファイルのアイコンをダブルクリックする

    どちらの場合も 「権利プロパティ (Rights Properties)」に似たダイアログボックスが表示されます。次の図に示す「権利を追加 (Add Right)」ダイアログボックスには、書き込み可能な 「名前 (Name)」フィールドがあります。標準の「権利プロパティ (Rights Properties)」ダイアログボックスの「名前 (Name)」フィールドは、読み取り専用になっています。いったん定義した権利プロファイルは、変更できないためです。

    図 19–5 「権利を追加 (Add Right)」ダイアログボックス

    「Add Right」ダイアログボックスには、左にヘルプ区画、右に「General」「Supplementary Rights」「Commands」「Authorizations」のタブがあります。

  3. 新しい情報を入力します。「了解 (OK)」をクリックして、権利プロファイルを保存します。

    次の表は、「権利プロパティ (Right Properties)」ダイアログボックスのタブとフィールドの一覧です。

    タブ 

    フィールド 

    フィールドの説明 

    基本 (General) 

    名前 (Name) 

    新しい権利プロファイル名 

     

    備考欄 (Descrition) 

    新しい権利プロファイルの説明 

     

    ヘルプファイル名 (Help File Name) 

    新しい権利プロファイルの HTML ヘルプファイル名 

    コマンド (Commands) 

    ディレクトリを追加 (Add Directory) 

    「拒否されたコマンド (Commands Denied)」または「許可されたコマンド (Commands Permitted)」列に存在しないディレクトリを追加するためのダイアログボックスを開く 

     

    拒否されたコマンド (Commands Denied) / 許可されたコマンド (Commands Permitted) 

    権利プロファイルのコマンドの割り当てまたは削除を行う 

     

    セキュリティ属性を設定 (Set Security Attributes)

    コマンドのセキュリティ属性 (実 UID または GID、あるいは実効 UID または GID) の割り当てまたは削除を行うダイアログボックスを開く (図 19–6 を参照)

    注 –

    実 ID ではなく、実効 ID を割り当てることが望ましい。実 ID は、pkgadd などのコマンドで必要な場合にだけ使用する

     

    検索 (Find (command)) 

    2 つのコマンドリストから指定した文字列を検索する 

    承認 (Authorizations) 

    含まれない承認 (Authorizations Excluded) / 含まれる承認 (Authorizations Included) 

    権利プロファイルの承認の割り当てまたは削除を行う 

    補助権利 (Supplementary Rights) 

    含まれない権利 (Rights Excluded) / 含まれる権利 (Rights Included) 

    権利プロファイルの補助権利プロファイルの割り当てまたは削除を行う 

    図 19–6 セキュリティ属性をコマンドに追加する

    「Set Security Attributes」ダイアログボックスには、ヘルプと、権利にコマンドを追加したりコマンド ID を指定したりするためのフィールドがあります。

例 19–2 権利ツールを使用して新しい権利プロファイルを作成する

次の表は、「Restart」と呼ばれる仮想権利プロファイルを作成するときのサンプルデータです。この例の権利プロファイル「Restart」には、サブディレクトリ /etc/init.d のコマンドが割り当てられています。これらのコマンドの実効 UID は 0 です。この権利プロファイルは、/etc/init.d 内のデーモンを停止および起動できるシステム管理者が使用します。

タブ 

フィールド 

例 

基本 (General) 

名前 (Name) 

Restart 

 

備考欄 (Description) 

/etc/init.d 内のデーモンを起動および停止する

 

ヘルプファイル名 (Help File Name) 

Restart.html

コマンド (Commands) 

ディレクトリを追加 (Add Directory) 

「ディレクトリを追加 (Add Directory)」をクリックし、ダイアログボックスに /etc/init.d と入力して、「了解 (OK)」をクリックする

 

拒否されたコマンド (Commands Denied) / 許可されたコマンド (Commands Permitted) 

/etc/init.d を選択し、「追加 (Add)」をクリックして、「許可されたコマンド (Commands Permitted)」列にコマンドを移動する

 

セキュリティ属性を設定 (Set Security Attributes) 

/etc/init.d を選択し、「セキュリティ属性を設定 (Set Security Attributes)」をクリックして、Effective UID = root を設定する (図 19–6 を参照)

 

検索 (Find (command)) 

 

承認 (Authorizations) 

含まれない承認 (Authorizations Excluded) / 含まれる承認 (Authorizations Included) 

 

補助権利 (Supplementary Rights) 

含まれない権利 (Rights Excluded) / 含まれる権利 (Rights Included) 

 

コマンド行から権利プロファイルを変更する方法

  1. スーパーユーザーになるか、Primary Administrator 権利プロファイルを持つ役割を引き受けます。

  2. 操作に適した smprofile のサブコマンドを使用します。

    このコマンドは認証を必要とします。このコマンドは、すべてのネームサービスに適用できます。smprofile コマンドは、Solaris 管理コンソールサーバーのクライアントとして動作します。

    • 新しいプロファイルを追加するときは、 smprofileadd サブコマンドを使用する

    • 既存のプロファイルを変更するときは、smprofilemodify サブコマンドを使用する