test

Solaris for ISPs 管理ガイド

Solaris for ISPs のアクセス制御

Solaris for ISPs ではディレクトリサービスに対するアクセス制御を設定して、特定のソフトウェアに必要なアクセスを許可すると同時に不要なアクセスを拒否してセキュリティを強化します。アクセス制御の基本方針は、全構成要素に対して読み込み権を与え、書き込み権を制限することです。現在のアクセス制御設定を変更しないでください。変更した場合には、セキュリティリスクが発生したり、Solaris for ISPs が異常終了したりする可能性があります。

アクセス制御規則では順序が重要なことに注意してください。Sun Directory Services がアクセス権をチェックするときは、要求に対して最初に当てはまる規則が適用され、残りの規則は無視されます。そのため、ファイル内の規則の順序は変更しないでください。新しい規則を作成する場合は、誤って既存の Solaris for ISPs 情報に適用されたり、既存のアクセス制御規則を無効にすることがないように注意してください。

注 -

ディレクトリに管理者としてバインドすると、アクセス制御チェックは行われません。

通常、Solaris for ISPs に固有の情報は、Solaris for ISPs のスキーマ拡張で定義されたオブジェクトクラスをサポートするエントリに入っています。このようなオブジェクトクラスは、名前が「isp」で始まります。アクセス構成ファイル内の規則のうち、このようなオブジェクトクラス (または属性) を含むものは Solaris for ISPs の規則であり、変更するとその影響を受けます。アクセス制御規則は、 /etc/opt/SUNWconn/ldap/current/dsserv.acl.conf で定義されています。

Sun Directory Services のアクセス制御については、『Sun Directory Services 3.1 管理ガイド』の第 1 章「ディレクトリの概念」と第 4 章「ディレクトリサーバーの構成」を参照してください。

以降の項では、Solaris for ISPs のアクセス制御により保証されている通常の動作について説明します。「アクセス権を持つ」ということは、エントリの識別名とパスワードでディレクトリにバインドすることにより必要なアクセス権が取得できることを意味します。

Sun Internet Administrator の諸機能を有効にするための規則

Sun Internet Administrator が正しく機能するためには、次のアクセス権が必要です。

サービスに必要なアクセス権を許可する規則

Solaris for ISPs の各種サービスは、各サービスエントリに保存されている構成情報 (サブドメインと仮想ドメイン内の Services ノードの下にある情報) に対する読み取り権と書き込み権を必要とします。そのため、DIT の特定部分 (サービスエントリ自体も含む) にエントリを作成または変更するための書き込み権と情報を持ちます。

必要なユーザーアクセスを許可する規則

ユーザー (加入者と管理者) は各自のパスワード属性に対する書き込み権を持ちますが、パスワード以外の部分は変更できません。Sun Internet Administrator に対して管理アクセス権を持つ管理者はグローバルアクセス権を持つため、あらゆるデータを変更する権限を持ちます。