JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 構成と管理     Oracle Solaris 11 Information Library (日本語)
search filter icon
search icon

ドキュメントの情報

はじめに

パート I Trusted Extensions の初期構成

1.  Trusted Extensions のセキュリティー計画

2.  Trusted Extensions の構成ロードマップ

3.  Oracle Solaris への Trusted Extensions 機能の追加 (手順)

4.  Trusted Extensions の構成 (手順)

5.  Trusted Extensions のための LDAP の構成 (手順)

パート II Trusted Extensions の管理

6.  Trusted Extensions の管理の概念

7.  Trusted Extensions 管理ツール

8.  Trusted Extensions システムのセキュリティー要件 (概要)

9.  Trusted Extensions での一般的なタスクの実行 (手順)

10.  Trusted Extensions でのユーザー、権利、および役割 (概要)

11.  Trusted Extensions でのユーザー、権利、役割の管理 (手順)

12.  Trusted Extensions での遠隔管理 (手順)

13.  Trusted Extensions でのゾーンの管理 (手順)

14.  Trusted Extensions でのファイルの管理とマウント (手順)

15.  トラステッドネットワーク (概要)

16.  Trusted Extensions でのネットワークの管理 (手順)

17.  Trusted Extensions と LDAP (概要)

18.  Trusted Extensions でのマルチレベルメール (概要)

19.  ラベル付き印刷の管理 (手順)

20.  Trusted Extensions のデバイス (概要)

21.  Trusted Extensions でのデバイス管理 (手順)

Trusted Extensions でのデバイスの扱い (作業マップ)

Trusted Extensions でのデバイスの使用法 (作業マップ)

Trusted Extensions でのデバイスの管理 (作業マップ)

Trusted Extensions でデバイスを構成する

Trusted Extensions でデバイスを解除または再利用する

Trusted Extensions で割り当て不可のデバイスを保護する

Trusted Extensions で Device_Clean スクリプトを追加する

Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ)

新しいデバイス承認を作成する

Trusted Extensions でサイト固有の承認をデバイスに追加する

デバイス承認を割り当てる

22.  Trusted Extensions での監査 (概要)

23.  Trusted Extensions のソフトウェア管理 (リファレンス)

A.  サイトのセキュリティーポリシー

セキュリティーポリシーの作成と管理

サイトのセキュリティーポリシーと Trusted Extensions

コンピュータのセキュリティーに関する推奨事項

物理的セキュリティーに関する推奨事項

個人のセキュリティーに関する推奨事項

よくあるセキュリティー違反

その他のセキュリティー関連資料

B.  Trusted Extensions の構成チェックリスト

Trusted Extensions を構成するためのチェックリスト

C.  Trusted Extensions 管理の手引き

Trusted Extensions の管理インタフェース

Trusted Extensions による Oracle Solaris インタフェースの拡張

Trusted Extensions の厳密なセキュリティーデフォルト

Trusted Extensions で制限されるオプション

D.  Trusted Extensions マニュアルページのリスト

Trusted Extensions マニュアルページ (アルファベット順)

Trusted Extensions によって変更される Oracle Solaris マニュアルページ

用語集

索引

Trusted Extensions でのデバイスの管理 (作業マップ)

次の作業マップでは、サイトのデバイスを保護する手順について説明します。

作業
説明
参照先
デバイスポリシーを設定または修正します。
デバイスへのアクセスに必要な特権を変更します。
ユーザーによるデバイス割り当てを承認します。
セキュリティー管理者役割が、「デバイスの割り当て」承認のある権利プロファイルをユーザーに割り当てます。
セキュリティー管理者役割が、サイト固有の承認のあるプロファイルをユーザーに割り当てます。
デバイスを構成します。
セキュリティー機能を選択してデバイスを保護します。
デバイスを解除または再利用します。
デバイスマネージャーを使用して、デバイスを利用できるようにします。
Oracle Solaris コマンドを使用して、デバイスを利用可能または利用不可にします。
割り当て可能なデバイスへのアクセスを禁止します。
デバイスへのきめ細かいアクセス制御を提供します。
割り当て可能なデバイスへのすべてのアクセスを禁止します。
プリンタとフレームバッファーを保護します。
割り当て不可のデバイスが割り当て可能にならないようにします。
新しいデバイスクリーンスクリプトを使用します。
新しいスクリプトを適切な場所に配置します。

Trusted Extensions でデバイスを構成する

デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは変更可能です。

使用するために割り当て可能なデバイスは次のとおりです。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。

    デバイスマネージャーが表示されます。


    image:デバイスマネージャーには、root が使用可能なデバイスが表示されています。左下付近にある「管理」メニューを選択すると、管理 GUI が開きます。
  2. デフォルトのセキュリティー設定を表示します。

    「管理」をクリックして、デバイスを強調表示します。次の図は、root 役割が表示しているオーディオデバイスを示したものです。


    image:「デバイスのプロパティー: audio0」ダイアログボックスには、大域ゾーンの root によって割り当てられたオーディオデバイスのデフォルトのセキュリティー設定が表示されています。
  3. (省略可能) デバイスのラベル範囲を制限します。
    1. 最小ラベルを設定します。

      「最小ラベル」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。

    2. 最大ラベルを設定します。

      「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。

  4. デバイスがローカルに割り当て可能かどうかを指定します。

    「トラステッドパスからの割り当て」の下の「Device Configuration」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。

    • デバイスを割り当て不可にするには、「なし」をクリックします。

      プリンタ、フレームバッファーなど、割り当て可能にしてはいけないデバイスを構成する場合は、「なし」を選択します。

    • デバイスを割り当て可能だが承認不要にするには、「すべてのユーザー」をクリックします。
  5. デバイスが遠隔で割り当て可能かどうかを指定します。

    「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。

    • ユーザー承認を必要にするには、「承認されたユーザーによって割り当て可能」を選択します。
    • 遠隔ユーザーによる割り当てを不可にするには、「なし」を選択します。
    • 任意のユーザーがデバイスを割り当てできるようにするには、「すべてのユーザー」を選択します。
  6. デバイスが割り当て可能であり、かつサイトで新しいデバイス承認を作成してある場合、適切な承認を選択します。

    次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。


    image:「デバイスのプロパティー: audio0」ダイアログボックスには、このデバイスで必要な承認が表示されています。

    サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ) 」を参照してください。

  7. 「了解」をクリックして変更を保存します。

Trusted Extensions でデバイスを解除または再利用する

デバイスがデバイスマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復できます。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。

  1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。

    次の図では、オーディオデバイスがすでにユーザーに割り当てられています。


    image:デバイスマネージャーから、audio0 デバイスが内部用のラベルでユーザーに割り当てられていることがわかります。
  2. 「管理」ボタンをクリックします。
  3. デバイスの状態をチェックします。

    デバイス名を選択し、「状態」フィールドを確認します。

    • 「状態」フィールドが「割り当てエラーの状態」の場合は、「再利用」ボタンをクリックします。
    • 「状態」フィールドが「割り当て済み」の場合は、次のいずれかを行います。
      • 「所有者」フィールドのユーザーに、デバイスの割り当て解除を依頼する。
      • 「解除」ボタンを押して、デバイスを強制的に割り当て解除する。
  4. デバイスマネージャーを閉じます。

Trusted Extensions で割り当て不可のデバイスを保護する

「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
  2. デバイスマネージャーで「管理」ボタンをクリックします。
  3. 新しいプリンタまたはフレームバッファーを選択します。
    1. デバイスを割り当て不可にするには、「なし」をクリックします。
    2. (省略可能) デバイスのラベル範囲を制限します。
      1. 最小ラベルを設定します。

        「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。

      2. 最大ラベルを設定します。

        「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。

例 21-1 オーディオデバイスの遠隔割り当ての禁止

「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、遠隔ユーザーは遠隔システム周辺の会話を聞くことができません。

セキュリティー管理者は、デバイスマネージャーで次のようにオーディオデバイスを構成します。

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate
Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

Trusted Extensions で Device_Clean スクリプトを追加する

デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。

始める前に

使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。

大域ゾーンで root 役割になっている必要があります。

  1. スクリプトを /etc/security/lib ディレクトリにコピーします。
  2. 「Device Properties」ダイアログボックスで、スクリプトへのフルパスを指定します。
    1. デバイスマネージャーを開きます。
    2. 「管理」ボタンをクリックします。
    3. デバイスの名前を選択し、「構成」ボタンをクリックします。
    4. 「clean プログラム」フィールドに、スクリプトへのフルパスを入力します。
  3. 変更を保存します。