ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
ユーザーによるデータのセキュリティーレベルの変更を有効にする
Trusted Extensions システムからユーザーアカウントを削除する
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
すべてのユーザー用にシステムをカスタマイズする、または個々のユーザーアカウントをカスタマイズするときに実行できる一般的なタスクは、次の作業マップのとおりです。これらのタスクの多くは、一般ユーザーがログインできるようになる前に実行します。
|
最初のシステムの構成中に、デフォルトのユーザーラベル属性を変更できます。変更はすべての Trusted Extensions システムにコピーする必要があります。
注意 - 一般ユーザーがシステムにアクセスする前にこのタスクを実行する必要があります。 |
始める前に
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
詳細は、表 1-2 in 「Trusted Extensions でのユーザーセキュリティーの計画」 を参照してください。
注意 - label_encodings ファイルは、すべてのシステムで同一である必要があります配布方法については、「Trusted Extensions でファイルをポータブルメディアにコピーする」と 「Trusted Extensions でポータブルメディアからファイルをコピーする」を参照してください。 |
Trusted Extensions で policy.conf のデフォルトを変更する方法は、Oracle Solaris でセキュリティー関連のシステムファイルを変更する方法と同じです。システムのすべてのユーザーのデフォルトを変更するには、この手順を使用します。
始める前に
大域ゾーンで root 役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
Trusted Extensions のキーワードについては、表 10-1 を参照してください。
例 11-1 システムのアイドル設定の変更
この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、root 役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。
IDLECMD=LOGOUT
また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、root 役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。
IDLETIME=10
これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。
ログインユーザーがある役割になると、その役割に対するユーザーの IDLECMD 値と IDLETIME 値が有効となります。
例 11-2 各ユーザーの基本的な特権セットの修正
この例では、大規模インストールのセキュリティー管理者が、一般ユーザーにほかの ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、root 役割は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のようにコメントを外して修正します。
PRIV_DEFAULT=basic,!proc_info
例 11-3 システムのすべてのユーザーに対する印刷関連の承認の割り当て
この例では、サイトセキュリティーが、パブリックキオスクコンピュータがラベルなしで印刷することを許可します。パブリックキオスクの root 役割が、/etc/security/policy.conf ファイル内の AUTHS_GRANTED の値を変更します。次の起動以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。
AUTHS_GRANTED=solaris.print.unlabeled
管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はさらに policy.conf エントリを変更します。
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
パブリックキオスクのリブート後、すべての印刷ジョブがラベルなしになり、バナーページやトレーラページもなくなります。
ユーザーは、.copy_files ファイルと .link_files ファイルを、最小の機密ラベルに対応するラベルのホームディレクトリに配置できます。また、ユーザーの最小ラベルで既存の .copy_files および .link_files ファイルを修正することもできます。この手順は、管理者役割がサイトの設定を自動化するためのものです。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
起動ファイルのリストに、.copy_files および .link_files を追加します。
# cd /etc/skel # touch .copy_files .link_files
# vi /etc/skel/.copy_files
「.copy_files ファイルと .link_files ファイル」 を参照してください。サンプルファイルについては、例 11-4 を参照してください。
起動ファイルにどのファイルを含めるかについては、『Oracle Solaris の管理: 一般的なタスク』の「ユーザーの作業環境のカスタマイズ」を参照してください。
詳細は、『Oracle Solaris の管理: 一般的なタスク』の「ユーザー初期設定ファイルをカスタマイズする方法」を参照してください。
P はプロファイルシェルを表します。
X はシェル名の先頭の文字を表します。たとえば、Bourne シェルの場合は B、Korn シェルの場合は K、C シェルの場合は C、プロファイルシェルの場合は P です。
例 11-4 ユーザーの起動ファイルのカスタマイズ
この例では、システム管理者が各ユーザーのホームディレクトリのファイルを構成します。ファイルは、ユーザーのログイン前に配置されています。ファイルは、ユーザーの最小ラベルにあります。このサイトでは、ユーザーのデフォルトのシェルは C シェルです。
システム管理者は、次の内容を含む .copy_files および .link_files ファイルを作成します。
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
シェルの初期設定ファイルで、管理者はユーザーの印刷ジョブがラベル付きプリンタで実行されることを確認します。
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
カスタマイズしたファイルが、適切なスケルトンディレクトリにコピーされます。
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
注意事項
最小のラベルで .copy_files ファイルを作成する場合、上位のゾーンにログインして updatehome コマンドを実行します。コマンドがアクセスエラーで失敗したら、次のようにしてください。
上位レベルのゾーンから下位レベルのディレクトリを表示できるかどうかを確認します。
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
そのディレクトリを表示できない場合、上位レベルのゾーンで自動マウントサービスを再起動します。
higher-level zone# svcadm restart autofs
ホームディレクトリの NFS マウントを使用しないかぎり、上位ゾーンのオートマウンタは /zone/lower-level-zone/export/home/username から /zone/lower-level-zone/home/username にループバックマウントするはずです。
Trusted Extensions では、復旧ログインは保護されています。一般ユーザーがシェル初期設定ファイルをカスタマイズしており、現在ログインできない場合は、フェイルセーフログインを使用してユーザーのファイルを修正できます。
始める前に
root のパスワードを知っている必要があります。
これで、ユーザーの初期設定ファイルをデバッグできるようになります。