| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
RBAC の「承認」は、役割またはユーザーに許可できる個別の権限です。RBAC に準拠したアプリケーションによって承認が確認されてから、ユーザーはアプリケーションまたはアプリケーションの特定の操作へのアクセス権を取得します。
承認はユーザーレベルであり、したがって拡張可能です。承認を必要とするプログラムを作成し、承認をシステムに追加し、これらの承認の権利プロファイルを作成して、その権利プロファイルを、プログラムの使用が許可されているユーザーまたは役割に割り当てることができます。
承認には、内部で使用される名前があります。たとえば solaris.system.date は承認の名前です。また、グラフィカルユーザーインタフェース (GUI) に表示される短い説明もあります。たとえば、Set Date & Time は solaris.system.date 承認の説明です。
承認名の書式は、インターネット名と逆の順序になり、サプライヤ、被認証者領域、任意の下位領域、および承認の機能で構成されます。承認名の区切り文字はドット (.) です。たとえば、com.xyzcorp.device.access のように指定します。Oracle Solaris からの承認はこの規則の例外であり、インターネット名の代わりに接頭辞 solaris が使用されます。システム管理者は、承認を階層方式で適用することができます。ワイルドカード (*) は、ドットの右側の任意の文字列を表すことができます。
承認の使用方法の例として、次を考えてみてください。Network Link Security 役割のユーザーは solaris.network.link.security 承認に制限されますが、Network Security 役割には Network Link Security 権利プロファイルが補助プロファイルとして含まれ、さらに solaris.network.* と solaris.smf.manage.ssh の承認も加わります。
接尾辞が delegate の承認が許可されたユーザーまたは役割は、割り当てられている承認のうち同じ接頭辞で始まるものを、ほかのユーザーに委任できます。
solaris auth.delegate 承認が許可されたユーザーまたは役割は、これらのユーザーまたは役割が割り当てられている任意の承認をほかのユーザーに委託できます。
たとえば、solaris auth.delegate と solaris.network.wifi.wep の承認を持つ役割は、solaris.network.wifi.wep 承認をほかのユーザーまたは役割に委託できます。同様に、solaris auth.delegate と solaris.network.wifi.wep の承認を持つ役割は、solaris.network.wifi.wep 承認をほかのユーザーまたは役割に委任できます。
|