JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Solaris のシステム管理 (セキュリティサービス)     Oracle Solaris 10 8/11 Information Library (日本語)
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (作業)

4.  デバイスアクセスの制御 (作業)

5.  基本監査報告機能の使用方法 (作業)

6.  ファイルアクセスの制御 (作業)

7.  自動セキュリティー拡張ツールの使用 (手順)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割によるアクセス制御の使用 (手順)

10.  役割によるアクセス制御 (参照)

11.  特権 (手順)

12.  特権 (参照)

パート IV 暗号化サービス

13.  Oracle Solaris の暗号化フレームワーク (概要)

14.  Oracle Solaris の暗号化フレームワーク (手順)

15.  Oracle Solaris 鍵管理フレームワーク

パート V 認証サービスと安全な通信

16.  認証サービスの使用 (手順)

17.  PAM の使用

18.  SASL の使用

19.  Oracle Solaris Secure Shell の使用 (手順)

20.  Oracle Solaris Secure Shell (参照)

パート VI Kerberos サービス

21.  Kerberos サービスについて

22.  Kerberos サービスの計画

23.  Kerberos サービスの構成 (手順)

24.  Kerberos エラーメッセージと障害追跡

25.  Kerberos 主体とポリシーの管理 (手順)

Kerberos 主体とポリシーの管理方法

SEAM Tool

SEAM ツールに対応するコマンド行

SEAM ツールにより変更されるファイル

SEAM ツールの印刷機能とオンラインヘルプ機能

SEAM ツールで大規模な一覧を使用する

SEAM ツールを起動する方法

Kerberos 主体の管理

Kerberos 主体の管理 (作業マップ)

新しい Kerberos 主体の自動作成

Kerberos 主体の一覧を表示する方法

Kerberos 主体の属性を表示する方法

新しい Kerberos 主体を作成する方法

Kerberos 主体を複製する方法

Kerberos 主体を変更する方法

Kerberos 主体を削除する方法

新しい Kerberos 主体を作成するときのデフォルトを設定する方法

Kerberos 管理権限を変更する方法

Kerberos 主体の管理

Kerberos ポリシーの管理 (作業マップ)

Kerberos ポリシーの一覧を表示する方法

Kerberos ポリシーの属性を表示する方法

新しい Kerberos ポリシーを作成する方法

Kerberos ポリシーを複製する方法

Kerberos ポリシーを変更する方法

Kerberos ポリシーを削除する方法

SEAM ツール参照

SEAM ツールパネルの説明

Kerberos 管理権限を制限して SEAM ツールを使用する

キータブファイルの管理

キータブファイルの管理 (作業マップ)

Kerberos サービス主体をキータブファイルに追加する方法

キータブファイルからサービス主体を削除する方法

キータブファイル内のキー一覧 (主体) を表示する方法

ホスト上のサービスの認証を一時的に無効にする方法

26.  Kerberos アプリケーションの使用 (手順)

27.  Kerberos サービス (参照)

パート VII Oracle Solaris 監査

28.  Oracle Solaris 監査 (概要)

29.  Oracle Solaris 監査の計画

30.  Oracle Solaris 監査の管理 (手順)

31.  Oracle Solaris 監査 (参照)

用語集

索引

SEAM ツール参照

この節では、SEAM ツールの各パネルについて説明します。SEAM ツールで制限された権限を使用する方法についても説明します。

SEAM ツールパネルの説明

この節では、SEAM ツールで指定または表示できる主体とポリシーの属性について説明します。属性は、表示されるパネルごとに分類されています。

表 25-2 SEAM ツールの「Principal Basics」パネルの属性

属性
説明
Principal Name
主体名 (完全指定形式の主体名の primary/instance 部分)。主体は、KDC がチケットを割り当てることができる一意の ID です。

主体を変更しても、主体名は編集できません。

パスワード
主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できます。
Policy
主体に使用できるポリシーのメニュー。
Account Expires
主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット (TGT) を取得できず、ログインできなくなります。
Last Principal Change
主体の情報が最後に変更された日付。(読み取り専用)
Last Changed By
この主体のアカウントを最後に変更した主体名。(読み取り専用)
Comments
主体に関連するコメント (「一時アカウント」など)。

表 25-3 SEAM ツールの「Principal Details」パネルの属性

属性
説明
Last Success
主体が最後に正常にログインした日時。(読み取り専用)
Last Failure
主体が最後にログインに失敗した日時。(読み取り専用)
Failure Count
主体のログインが失敗した回数。(読み取り専用)
Last Password Change
主体のパスワードが最後に変更された日時。(読み取り専用)
Password Expires
主体の現在のパスワードが期限切れになる日時。
Key Version
主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更されます。
Maximum Lifetime (seconds)
チケットを主体が使用できる最大期間 (更新しない場合)。
Maximum Renewal (seconds)
既存のチケットを主体が更新できる最大期間。

表 25-4 SEAM ツールの「Principal Flags」パネルの属性

属性 (ラジオボタン)
説明
Disable Account
チェックすると、その主体はログインできなくなります。この属性は、主体のアカウントを一時的に凍結するときに使用します。
Require Password Change
チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは kpasswd コマンドを使用して新しいパスワードを作成しなければなりません。この属性は、セキュリティー侵害が発生し、古いパスワードを置換する必要があるときに使用します。
Allow Postdated Tickets
チェックすると、主体は遅延チケットを取得できます。

たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要があります。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できません。

Allow Forwardable Tickets
チェックすると、主体は転送可能チケットを取得できます。

転送可能チケットは、遠隔ホストに転送されて、シングルサインオンセッションを実現します。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されません。

Allow Renewable Tickets
チェックすると、主体が更新可能チケットを取得できます。

主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができます。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がありません。現在の NFS サービスは、チケットを新しくするチケットサービスです。

Allow Proxiable Tickets
チェックすると、主体は代理可能チケットを取得できます。

代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できます。代理可能チケットを使用すると、サービスはクライアントの ID を使用して別のサービスのチケットを取得できます。ただし、チケット認可チケット (TGT) を取得することはできません。

Allow Service Tickets
チェックすると、サービスチケットを特定の主体に発行できます。

サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはいけません。これらの主体は、KDC データベース以外は更新してはいけません。

Allow TGT-Based Authentication
チェックすると、このサービス主体は別の主体にサービスを提供できます。つまり、KDC は、サービス主体にサービスチケットを発行できます。

この属性は、サービス主体にだけ使用できます。チェックを解除すると、サービスチケットをサービス主体に対して発行できません。

Allow Duplicate Authentication
チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できます。

この属性は、ユーザー主体にだけ使用できます。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できますが、ほかのユーザー主体のサービスチケットは取得できません。

Required Preauthentication
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証します。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われます。

チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。

Required Hardware Authentication
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証します。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われます。

チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。

表 25-5 SEAM ツールの「Policy Basics」区画の属性

属性
説明
ポリシー名
ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことです。

ポリシーを変更しても、ポリシー名は編集できません。

Minimum Password Length
主体の最小パスワード長。
Minimum Password Classes
主体のパスワードに必要な異なる文字タイプの数。

たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要があります。たとえば、英字と数字を使用して「hi2mom」と入力する必要があります。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要があります。たとえば、英字、数字、および句読点を使用して「hi2mom!」と入力する必要があります。

値が 1 の場合は、パスワード文字タイプの数に制限が設定されません。

Saved Password History
主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できません。
Minimum Password Lifetime (seconds)
パスワードの最小使用期間。この期間が経過しないとパスワードを変更できません。
Maximum Password Lifetime (seconds)
パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要があります。
Principals Using This Policy
このポリシーが現在適用されている主体の数。(読み取り専用)

Kerberos 管理権限を制限して SEAM ツールを使用する

admin 主体が Kerberos データベースの管理権限をすべて持っている場合は、SEAM ツールの機能をすべて使用できます。ただし、たとえば主体の一覧の表示、主体のパスワードの変更だけができるように、Kerberos 管理権限を制限することもできます。Kerberos 管理権限を制限した場合でも、SEAM ツールを使用できます。ただし、許可された Kerberos 管理権限によって、SEAM ツールの使い方が異なります。表 25-6 は、Kerberos 管理権限に基づいた SEAM ツールの変更の一覧です。

一覧表示権限がない場合、SEAM ツールの表示がもっとも大きく変わります。この場合、操作する主体とポリシーの一覧が「List」パネルに表示されません。代わりに、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。

SEAM ツールにログインしても、必要な権限がない場合は、次のメッセージが表示されて「SEAM Administration Login」ウィンドウに戻ります。

Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.

主体が Kerberos データベースを管理する権限を変更する方法については、「Kerberos 管理権限を変更する方法」を参照してください。

表 25-6 Kerberos 管理権限が制限された SEAM ツールの使用

許可しない権限
SEAM ツールの変更
a (追加)
「Principal List」および「Policy List」パネルの「Create New」と「Duplicate」ボタンを使用できません。追加権限がない場合は、新しい主体またはポリシーを作成または複製できません。
d (削除)
「Principal List」および「Policy List」パネルの「Delete」ボタンを使用できません。削除権限がない場合は、主体またはポリシーを削除できません。
m (変更)
「Principal List」および「Policy List」パネルの「Modify」ボタンを使用できません。変更権限がない場合は、主体またはポリシーを変更できません。

また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できません。

c (パスワードの変更)
「Principal Basics」パネルの「Password」フィールドが読み取り専用になり、変更できません。パスワードの変更権限がない場合、主体のパスワードを変更できません。

パスワードの変更権限を持っている場合でも、主体のパスワードを変更するときは、さらに変更権限が必要になります。

i (データベースの照会)
「Principal List」および「Policy List」パネルの「Modify」と「Duplicate」ボタンを使用できません。照会権限がない場合は、主体またはポリシーを変更または複製できません。

また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できません。

l (一覧)
「List」パネルで主体とポリシーの一覧を表示できません。一覧権限がない場合は、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。