RBAC データベース

次のデータベースには、RBAC 要素のデータが格納されます。

• 拡張ユーザー属性のデータベース (user_attr) – ユーザーと役割を承認、特権、キーワード、および権利プロファイルに関連付けます。

• 権利プロファイル属性のデータベース (prof_attr) – 権利プロファイルを定義し、そのプロファイルに割り当てられた承認、特権、およびキーワードを一覧表示し、関連するヘルプファイルを識別します。

• 承認属性のデータベース (auth_attr) – 承認とその属性を定義し、関連するヘルプファイルを指定します

• 実行属性のデータベース (exec_attr) – 特定の権利プロファイルに割り当てられたセキュリティー属性を持つコマンドを指定します

policy.conf データベースには、すべてのユーザーに適用される承認、特権、および権利プロファイルが含まれます。詳細については、「policy.conf ファイル」を参照してください。

RBAC データベースおよびネームサービス

RBAC データベースのネームサービスの適用範囲は、ネームサービススイッチの SMF サービス svc:/system/name-service/switch に定義されます。このサービスに含まれる RBAC データベース用のプロパティーは、auth_attr、password、および prof_attr です。password プロパティーは、passwd および user_attr データベースのネームサービスの優先順位を設定します。prof_attr プロパティーは、prof_attr および exec_attr データベースのネームサービスの優先順位を設定します。

次の出力では、auth_attr、password、および prof_attr エントリは表示されません。したがって、RBAC データベースは files ネームサービスを使用しています。

# svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       files
config/host                  astring       "files ldap dns"
config/printer               astring       "user files ldap"

user_attr データベース

user_attr データベースには、ユーザーと役割の情報が格納されます。これらの情報は、passwd および shadow データベースによって利用されます。

次のセキュリティー属性は、roleadd、rolemod、useradd、usermod、および profiles コマンドを使用すると設定できます。

• ユーザーの場合、roles キーワードで 1 つ以上の定義された役割を割り当てます。

• 役割の場合、roleauth キーワードの値を user にすると、その役割は役割のパスワードではなくユーザーのパスワードで認証できます。デフォルトでは、この値は role です。

• ユーザーまたは役割の場合、次の属性を設定できます。

  • audit_flags キーワード - 監査マスクを変更します。参照情報については、audit_flags(5) のマニュアルページを参照してください。

  • auths キーワード - 承認を割り当てます。参照情報については、auths(1) のマニュアルページを参照してください。

  • defaultpriv キーワード - 特権を追加するか、それらをデフォルトの基本特権セットから削除します。参照情報については、「特権の実装方法」を参照してください。

  • limitpriv キーワード - 特権を追加するか、それらをデフォルトの制限特権セットから削除します。参照情報については、「特権の実装方法」を参照してください。

    これらの特権は常に有効になっており、それらはコマンドの属性ではありません。参照情報については、privileges(5) のマニュアルページおよび「特権の実装方法」を参照してください。

  • projects キーワード - デフォルトのプロジェクトを追加します。参照情報については、project(4) のマニュアルページを参照してください。

  • lock_after_retries キーワード - 値が yes の場合、再試行回数が /etc/default/login ファイルで許可されている回数を超えると、システムはロックされます。

  • profiles キーワード - 権利プロファイルを割り当てます。

詳細は、user_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent user_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。

auth_attr データベース

承認はすべて auth_attr データベースに格納されます。承認は、ユーザー、役割、権利プロファイルに割り当てることができます。承認を権利プロファイルに配置し、権利プロファイルを役割のプロファイルリストに含めたあと、その役割をユーザーに割り当てることをお勧めします。

このデータベースの内容を表示するには、getent prof_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。

prof_attr データベース

prof_attr データベースには、権利プロファイルに割り当てる名前、説明、ヘルプファイルの場所、特権、および承認が格納されます。権利プロファイルに割り当てられたコマンドとセキュリティー属性は、exec_attr データベースに格納されます。詳細については、「exec_attr データベース」を参照してください。

詳細は、prof_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent exec_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。

exec_attr データベース

exec_attr データベースでは、成功するためにセキュリティー属性を必要とするコマンドが定義されます。このコマンドは、権利プロファイルの一部です。セキュリティー属性を指定したコマンドは、プロファイルが割り当てられている役割またはユーザーが実行できます。

詳細は、exec_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。

policy.conf ファイル

policy.conf ファイルは、特定の権利プロファイル、特定の承認、および特定の特権をすべてのユーザーに与える方法を定義します。ファイル内の関連するエントリは、key=value のペアから構成されます。

• AUTHS_GRANTED=authorizations – 1 つまたは複数の承認を示します。

• PROFS_GRANTED=rights profiles – 1 つまたは複数の権利プロファイルを示します。

• CONSOLE_USER=Console User – Console User 権利プロファイルを示します。このプロファイルは、便利な承認セットとともにコンソールユーザーに提供されます。このプロファイルはカスタマイズできます。プロファイルの内容を表示するには、「権利プロファイル」を参照してください。

• PRIV_DEFAULT=privileges – 1 つまたは複数の特権を示します。

• PRIV_LIMIT=privileges – すべての特権を示します。

次の例では、policy.conf データベースの標準的な値をいくつか示します。

# grep AUTHS /etc/security/policy
AUTHS_GRANTED=solaris.device.cdrw

# grep PROFS /etc/security/policy
PROFS_GRANTED=Basic Solaris User

# grep PRIV /etc/security/policy

#PRIV_DEFAULT=basic
#PRIV_LIMIT=all

権限の詳細は、「特権 (概要)」を参照してください。