ユーザーと権利の管理 (作業マップ)

Trusted Extensions でユーザー、承認、権利、および役割を管理するには、セキュリティー管理者役割になります。次の作業マップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的な作業について説明します。

作業	説明	参照先
ユーザーのラベル範囲を変更します。	ユーザーが作業できるラベルを修正します。この変更により、`label_encodings` ファイルで許可される範囲を制限または拡張できます。	「ユーザーのラベル範囲を変更する」
使いやすい承認のための権利プロファイルを作成します。	一般ユーザーに役立つ承認はいくつか存在します。これらの承認の資格を持つユーザーのプロファイルを作成します。	「便利な承認のための権利プロファイルを作成する」
ユーザーをいくつかのアプリケーションに制限するデスクトップを作成します。	デスクトップ上に表示されるアプリケーションのみをユーザーが開けるようにする権利プロファイルを割り当てます。コマンド行は使用できないか、必要に応じて少数のコマンドのみを受け入れます。	「デスクトップアプリケーションにユーザーを制限する」
ユーザーのデフォルト特権セットを修正します。	ユーザーのデフォルトの特権セットから特権を削除します。	「ユーザーの特権セットを制限する」
特定ユーザーのアカウントロックを回避します。	役割になることができるユーザーに対しては、アカウントロックをオフにする必要があります。	「ユーザーのアカウントロックを禁止する」
ユーザーがデータに再ラベル付けできるようにします。	ユーザーによる情報のダウングレードまたはアップグレードを許可します。	「ユーザーによるデータのセキュリティーレベルの変更を有効にする」
システムからユーザーを削除します。	ユーザーおよびユーザーのプロセスを完全に削除します。	「Trusted Extensions システムからユーザーアカウントを削除する」

ユーザーのラベル範囲を変更する

ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーが、ある特定のラベルで実行されているシステムの一覧を表示できるようになります。ユーザーは内容を表示できますが、内容の変更はできません。

また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限できます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

次のいずれかを行います。
- ユーザーのラベル範囲を拡張するには、より高位の認可上限を割り当てます。
```
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
```
  また、最小ラベルを下げることでユーザーのラベル範囲を拡張することもできます。
```
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
```
  詳細は、usermod(1M) および user_attr(4) のマニュアルページを参照してください。
- ラベル範囲を 1 つのラベルに制限するには、認可上限を最小ラベルと等しくします。
```
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
```

便利な承認のための権利プロファイルを作成する

サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成できます。特定システムのすべてのユーザーが承認されるようにするには、「policy.conf のデフォルトを修正する」を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

次の 1 つ以上の承認を含む権利プロファイルを作成します。
詳細な手順については、『Oracle Solaris の管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」を参照してください。

ユーザーにとって便利な可能性のある承認を次に示します。
- solaris.device.allocate – マイクロフォンや CD-ROM などの周辺デバイスの割り当てをユーザーに承認します。
  
  デフォルトでは、Oracle Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。
- solaris.label.file.downgrade – ファイルのセキュリティーレベル引き下げをユーザーに承認します。
- solaris.label.file.upgrade – ファイルのセキュリティーレベル引き上げをユーザーに承認します。
- solaris.label.win.downgrade – 上位レベルファイルからの情報の選択と、下位レベルファイルへの情報の配置をユーザーに承認します。
- solaris.label.win.noview – 移動対象の情報を表示せずに移動することを、ユーザーに承認します。
- solaris.label.win.upgrade – 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。
- solaris.login.remote – 遠隔ログインをユーザーに承認します。
- solaris.print.ps – PostScript ファイルの印刷をユーザーに承認します。
- solaris.print.nobanner – バナーページなしのハードコピーの印刷をユーザーに承認します。
- solaris.print.unlabeled – ラベルを表示しないハードコピーの印刷をユーザーに承認します。
- solaris.system.shutdown – システムの停止とゾーンの停止をユーザーに承認します。
ユーザーまたは役割に権利プロファイルを割り当てます。
詳細な手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

デスクトップアプリケーションにユーザーを制限する

サイトのセキュリティーによっては、デスクトップアイコンから開けるアプリケーションのみにユーザーがアクセスできるようにしなければいけない場合があります。この手順では、必要なアプリケーションのみにユーザーを制限する権利プロファイルを割り当てます。

注 - Trusted Extensions デスクトップでは、コマンドの実行は常に権利プロファイルに基づいて行われます。

特定システムのすべてのユーザーが承認されるようにするには、「policy.conf のデフォルトを修正する」を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

Oracle Solaris ユーザーがデスクトップ上の基本的なアプレットを実行できるようにする Desktop Applets という名前の権利プロファイルを作成します。
手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ユーザーをデスクトップアプリケーションに制限する方法」を参照してください。

Trusted Extensions ユーザーがデスクトップ上の必要なトラステッドアプレットを実行できるようにする別の権利プロファイルを作成します。

行は表示のために折り返されています。

# profiles -p "Trusted Desktop Applets"
profiles:Trusted Desktop Applets> 
set desc="Can use trusted desktop applications except terminal"
profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end
profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end
profiles:Trusted Desktop Applets> commit

Desktop Applets プロファイルを補助的な権利プロファイルとして、Trusted Desktop Applets プロファイルに追加します。
この権利プロファイルは手順 2 で作成済みです。
```
profiles:Trusted Desktop Applets> add profiles="Desktop Applets"
profiles:Trusted Desktop Applets> commit
profiles:Trusted Desktop Applets> exit
```
Trusted Desktop Applets 権利プロファイルに正しいエントリが含まれていることを確認します。
エントリにタイプミスや抜け、重複などの誤りが含まれていないか確認します。
```
# profiles -p "Trusted Desktop Applets" info
Found profile in files repository.
name=Trusted Desktop Applets
desc=Can use trusted desktop applications except terminal
profiles=Desktop Applets
cmd=/usr/dt/config/tsoljds-migration
cmd=/usr/bin/tsoljds-xagent
```
ヒント - デスクトップアイコンを持つアプリケーションまたはアプリケーションクラスの権利プロファイルを作成できます。その後、Trusted Desktop Applets 権利プロファイルを、デスクトップアクセスのための補助的な権利プロファイルとして追加します。
Trusted Desktop Applets および Stop 権利プロファイルをユーザーに割り当てます。
```
# usermod -P "Trusted Desktop Applets,Stop" username
```
このユーザーは、トラステッドデスクトップを使用することはできますが、端末ウィンドウを起動したり、コンソールユーザーとして振る舞ったり、Basic Solaris User 権利プロファイルに含まれる権利を持ったりすることはできません。

例 11-5 デスクトップユーザーが端末ウィンドウを開けるようにする

この例の管理者は、デスクトップユーザーが端末ウィンドウを開けるようにします。管理者はすでに、Oracle Solaris デスクトップユーザー用の Desktop Applets 権利プロファイルと Trusted Extensions デスクトップユーザー用の Trusted Desktop Applets 権利プロファイルを、LDAP リポジトリに作成済みです。

まず、管理者は Terminal Window 権利プロファイルを作成し、その内容を確認します。

# profiles -p "Terminal Window" -S ldap
profiles:Terminal Window> set desc="Can open a terminal window"
profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end
profiles:Terminal Window> commit
profiles:Terminal Window> exit
# profiles -p "Terminal Window" info
Found profile in ldap repository.
name=Terminal Window
desc=Can open a terminal window
cmd=/usr/bin/gnome-terminal

次に、管理者はこの権利プロファイルと All 権利プロファイルを、タスク実行時に端末ウィンドウを必要とするデスクトップユーザーに割り当てます。All 権利プロファイルがなければ、ls や cat などの特権を必要としない UNIX コマンドを、ユーザーは実行することができません。

# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe

この一連の権利プロファイルにより、ユーザー jdoe は、デスクトップや端末ウィンドウを使用できますが、コンソールユーザーとして振る舞ったり、Basic Solaris User 権利プロファイルに含まれる権利を持ったりすることはできません。

ユーザーの特権セットを制限する

サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

basic セットにある 1 つ以上の特権を削除します。

注意 - proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用できません。
```
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
```
proc_info 特権を削除することにより、ユーザーは自分が開始元でないプロセスを一切検査できなくなります。proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。

参照

権利プロファイル内の特権制限を収集する例については、『Oracle Solaris の管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」のあとの例を参照してください。

システム上のすべてのユーザーの特権を制限するには、例 11-2 を参照してください。

ユーザーのアカウントロックを禁止する

この手順は、役割になれるすべてのユーザーで実行します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

ローカルユーザーのアカウントロックを無効にします。
```
# usermod -K lock_after_retries=no jdoe
```
LDAP ユーザーのアカウントロックを無効にするには、LDAP リポジトリを指定します。
```
# usermod -S ldap -K lock_after_retries=no jdoe
```

ユーザーによるデータのセキュリティーレベルの変更を有効にする

一般ユーザーまたは役割には、ファイルおよびディレクトリまたは選択されたテキストのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。

注意 - データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

「便利な承認のための権利プロファイルを作成する」の手順に従って、権利プロファイルを作成します。
次の承認によって、ユーザーがファイルに再ラベル付けできるようになります。
- 「Downgrade File Label」
- 「Upgrade File Label」
次の承認によって、ユーザーがファイル内の情報に再ラベル付けできるようになります。
- 「Downgrade DragNDrop or CutPaste Info」
- 「DragNDrop or CutPaste Info Without Viewing」
- 「Upgrade DragNDrop or CutPaste Info」
そのプロファイルを適切なユーザーや役割に割り当てます。
詳細な手順については、『Oracle Solaris の管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

Trusted Extensions システムからユーザーアカウントを削除する

ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更できます。

管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

各ラベルでユーザーのホームディレクトリをアーカイブします。
各ラベルでユーザーのメールファイルをアーカイブします。
ユーザーアカウントを削除します。
```
# userdel -r jdoe
```
各ラベル付きゾーンで、ユーザーのディレクトリとメールファイルを手動で削除します。
注 - すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。

その他の考慮点については、「ユーザーの削除について」を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語)