セキュリティ方針決定時の注意点

ネームサービス環境で Solstice AutoClient ソフトウェアを使用するためのセキュリティ方針を作成する場合は、次の点に注意してください。

• どの程度の信頼性が必要かを決定する

  ネットワークが安全で、認証セキュリティを使用する必要がない場合は、デフォルトのレベル 1 のセキュリティで Solstice AutoClient ソフトウェアを使用することができます。

  セキュリティのレベルを高くしたい場合は、sadmind のセキュリティレベルをレベル 2 に設定することができます。

• 使用するネームサービスを決定する

  使用するネームサービスによって、ユーザーおよびグループの識別情報をセキュリティ機能が取得する場所が決まります。ネームサービスは、/etc/nsswitchoconf ファイルに指定します。詳細は、「/etc/nsswitch.conf ファイル」および 「ネームサービス情報」を参照してください。

• Solstice AutoClient ソフトウェアにアクセスするユーザーを決定する

  Solstice AutoClient ソフトウェアを使用してネットワーク上で管理作業を行うユーザーを決め、そのユーザーをサーバーによってアクセスされる sysadmin グループのメンバーとして記述します。sysadmin グループは、Solstice AutoClient ソフトウェアによって管理データーが更新される各システムからアクセス可能でなければなりません。管理者が決定する方針に応じて、sysadmin グループは、各システムにローカルに設定したり、ネームサービスドメイン全体で使用できるように設定することができます。

• グローバルおよびローカルの方針を決定する

  グローバルの方針 (ネームサービスドメイン全体の方針) は、ネットワーク内のすべてのホストに影響を与えます。たとえば、NIS および NIS+ の group ファイルに、sysadmin グループのメンバーを追加することができます。sysadmin グループのメンバーは、ネームサービスを一次情報源としているすべてのサーバー上で、管理作業を行うことができます。ネームサービスは、/etc/nsswitchoconf ファイルに記述されています。nsswitch.conf ファイルについての詳細は、「/etc/nsswitch.conf ファイル」および 「ネームサービス情報」を参照してください。

  ユーザーは、ローカルの /etc/group ファイルに sysadmin グループを作成して、ローカルシステムへのアクセス権を持つユーザーを記述することによって、グローバルの方針とは異なる、ローカルの方針を設定することができます。このグループのメンバーは、そのローカルシステム上で Solstice AutoClient ソフトウェアを実行して操作することができます。

ローカルの方針を設定してもグローバルの方針は有効です。ネームサービスのアクセス権は、nsswitch.conf ファイルによって決まります。

• NIS+ 管理用のアクセス権を設定する

  Solstice AutoClient ソフトウェアを使用して NIS+ ファイルを変更または更新する場合は、適切なアクセス権が必要です。また、NIS+ セキュリティ機能に対するアクセス権も必要です。NIS+ セキュリティ機能についての詳細は、日本語 Solaris 2.5 システム管理 AnswerBook の『NIS+ と FNS の管理』を参照してください。

• NIS 管理用のアクセス権を設定する

  NIS マスターサーバーで Solaris 1.x が稼働している場合、ユーザーが NIS ファイルを変更するためには NIS マスターサーバー上に .rhosts のエントリが必要です。NIS マスターサーバーで Solaris 2.x およびネームサービス移行キット 1.2 が稼働している場合、AdminSuite がすでにインストールされていればエントリは必要ありません。NIS の変更は、標準の sysadmin グループの機能によって承認されます。