Solstice AdminSuite 2.3 管理者ガイド

セキュリティ情報

Solstice AdminSuite は、ネットワークを介して管理作業を行う際に、分散型のシステム管理デーモン (sadmind) を使用して、セキュリティ処理を行います。sadmind デーモンは、クライアントの要求をサーバー上で実行し、Solstice AdminSuite を使用できるユーザーを制御します。

セキュリティの管理には、「ユーザーの認証」と「アクセス権の承認」があります。

認証とは、sadmind デーモンが要求を出したユーザーを確認することを意味します。

承認とは、認証されたユーザーが、サーバー上の Solstice AdminSuite の実行権を持っていることを sadmind デーモンが確認することを意味します。sadmind デーモンは、ユーザーを確認して得たユーザーの情報を使用して「承認」を行います。

Solstice AdminSuite の実行権を持っている場合でも、NIS+ マップを変更するには、作成権、削除権、変更権が必要です。NIS+ セキュリティの詳細は、『NIS+ と DNS の設定と構成』を参照してください。

承認では、ユーザーおよびグループの識別情報は次のように確認されます。

スーパーユーザー

スーパーユーザーには、ローカルシステム上のデータのみのアクセス権および変更権があります。サーバーがローカルシステムの場合 (つまり、一般のユーザーがサーバーにスーパーユーザーとしてログインした場合) 、一般のユーザーはスーパーユーザーとして Solstice AdminSuite 機能を実行できます。

sysadmin グループ (group 14) のメンバーであるユーザー

Solstice AdminSuite のアクセス権は、sysadmin グループのメンバーであるユーザーに与えられます。つまり、管理データを変更するには、変更を行うシステム上で sysadmin グループのメンバーになる必要があります。

セキュリティレベル

管理データを変更する要求には、ユーザー ID とユーザーが所属するグループ ID などの資格情報が含まれています。サーバーはこれらの資格情報を使用して、ユーザーとアクセス権を確認します。

認証セキュリティには、表 3-1 に示す 3 つのレベルがあります。

表 3-1 Solstice AdminSuite のセキュリティレベル


レベル	レベル名	説明
0	NONE	サーバーはユーザー識別情報をチェックしません。すべてのユーザー ID は `nobody` に設定されます。おもにテストでこのレベルを使用します。
1	SYS	サーバーは、クライアントシステムから元のユーザーおよびグループの識別情報を受け取り、それを確認して承認を行います。クライアントのユーザー ID がサーバー上の同じユーザーを示すかどうかは確認しません。つまり、管理者がネットワーク上のすべてのシステムにおいて、ユーザー ID とグループ ID の整合性を保つことを前提としています。このレベルでは、ユーザーが要求の実行権を持っているかどうかについて確認します。
2	DES	DES 認証を使用して資格を確認し、ユーザーが要求の実行権を持っているかどうかを確認します。ユーザーの DES ネットワーク識別情報を、ローカルのユーザー ID およびグループ ID に割り当てることによって、ユーザーおよびグループの識別情報をサーバー上のファイルから取得します。サーバーで選択されるネームサービスによって、どのファイルが使用されるかが決まります。このレベルは、最も安全に管理作業を行うことができる環境を提供します。また、`sadmind` デーモンを実行しているすべてのサーバー、およびツールにアクセスするすべてのユーザーに対して、`publickey` エントリが必要です。

注 -

sadmind は、デフォルトではセキュリティレベルは 1 を使用します。

セキュリティレベルの変更

各システムの /etc/inetd.conf ファイルを編集し、sadmind エントリに -S 2 オプションを追加すると、セキュリティレベルを 1 から 2 へ変更できます。この場合、ドメイン上のサーバーが DES セキュリティを使用するように設定されていることを確認してください。

ネットワーク上のすべてのシステムについて、同じセキュリティレベルを設定しておく必要はありません。たとえば、ファイルサーバーなど厳密なセキュリティを必要とするシステムではセキュリティレベルを 2 とし、その他のシステムについてはデフォルトのセキュリティレベルを 1 にすることもできます。

NIS+ のセキュリティの設定方法については、『NIS+ と FNS の管理』を参照してください。

ネームサービス情報

sadmind デーモンは、ネームサービスが保持している情報を使用します。次の 3 つの情報源があります。

passwd、group、shadow などキーワード files で表わされる /etc ディレクトリ内のファイル

キーワード nis で表わされる NIS ネームサービス

キーワード nisplus で表わされる NIS+ ネームサービス

各システムの /etc/nsswitch.conf ファイルには、管理用のファイルと、情報を検索するために使用されるネームサービスを表わすキーワードが記述されています。複数のキーワードが記述されている場合、記述されている順にネームサービスが使用されます。

たとえば以下のようなエントリの場合、セキュリティ機能は、まずローカルの /etc/group ファイルでエントリを探します。

group:	files nisplus

エントリが見つかるとそのエントリ中の情報を使用し、エントリが見つからない場合は NIS+ の group ファイルを検索します。

Solaris 2.4 以降の OS を使用するシステムには、ローカル /etc/group ファイルに sysadmin グループのエントリがデフォルトで記述されています。ネットワーク全体の情報を使用できるようにシステムを設定するには、ローカルシステム上で sysadmin グループにメンバーを追加するのではなく、ネームサービスのグループテーブルにある sysadmin グループのエントリを変更してください。

セキュリティレベル 2 の場合、セキュリティ機能は公開鍵および非公開鍵の情報を使用します。publickey のエントリの後に nis または nisplus (使用しているネームサービス) のいずれかが記述されていることを確認してから、files を削除します。nsswitch.conf ファイルの詳細は、『NIS+ と FNS の管理』を参照してください。