ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 10 から Oracle Solaris 11 への移行 Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 10 から Oracle Solaris 11 への移行 (概要)
2. Oracle Solaris 11 インストール方法への移行
10. 仮想環境での Oracle Solaris リリースの管理
Oracle Solaris 11 のマニュアルページの変更
Oracle Solaris 11 では、コマンド行ツールのみを使用してユーザー、グループ、および役割を作成および管理します。現在、これらのタスクを実行するための GUI ツールは存在していません。さらに、Solaris Management Console で使用されるコマンド行ツールはもう使用できなくなっています。「レガシーシステム管理コマンド、ツール、サービス、およびファイルの削除」を参照してください。
使用するアカウントとグループの管理については、『Oracle Solaris の管理: 一般的なタスク』の第 2 章「ユーザーアカウントとグループの管理 (概要)」および『Oracle Solaris の管理: 一般的なタスク』の第 3 章「ユーザーアカウントとグループの管理 (手順)」を参照してください。
デフォルトのパスワードハッシュアルゴリズムは現在 SHA256 になっています。このパスワードハッシュは、次のようになります。
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
また、ユーザーパスワードの 8 文字の制限もなくなりました。8 文字の制限は、古い crypt_unix(5) アルゴリズムを使用するパスワードのみに適用されます。これは、既存の passwd ファイルのエントリと NIS マップとの下位互換性のために残されています。
パスワードは、policy.conf ファイル内のデフォルトである SHA256 アルゴリズムなど、その他の crypt(3c) アルゴリズムのいずれかを使用して符号化されます。そのため、8 文字よりもずっと長いパスワードを使用できるようになりました。policy.conf(4) を参照してください。
Oracle Solaris 11 でのユーザーアカウントの作成と管理は、次のように変更されました。
ユーザーアカウントは個別の ZFS ファイルシステムとして作成されます。これにより、ユーザーは独自のファイルシステムと独自の ZFS データセットを持つことができます。useradd および roleadd コマンドで作成されるどのホームディレクトリも、ユーザーのホームディレクトリを個別の ZFS ファイルシステムとして /export/home 上に配置します。
useradd コマンドでは、ホームディレクトリのマウントを自動マウントサービス svc:/system/filesystem/autofs に任せます。このサービスは決して無効にしないでください。passwd データベース内のユーザーの各ホームディレクトリエントリでは /home/username 形式が使用されており、これはオートマウンタで auto_home マップを使って解決される autofs トリガーです。
useradd コマンドは、このコマンドの -d オプションを使って、指定されたパス名に対応するエントリを auto_home マップ内に自動的に作成します。パス名に foobar:/export/home/jdoe などのリモートホスト指定が含まれている場合は、jdoe のホームディレクトリをシステム foobar 上に作成する必要があります。デフォルトのパス名は localhost:/export/home/ user です。/export/home は ZFS データセットのマウントポイントであるため、ユーザーのホームディレクトリは ZFS データセットの子として作成され、スナップショットを取得するための ZFS アクセス権がそのユーザーに委任されます。ZFS データセットに対応しないパス名を指定した場合は、通常のディレクトリが作成されます。-S ldap オプションを指定した場合は、ローカルの auto_home マップではなく、LDAP サーバーで auto_home マップエントリが更新されます。
Oracle Solaris 10 では、usermod コマンドを使用して監査属性を割り当てることができません。Oracle Solaris 11 では、usermod コマンドは LDAP およびファイルとともに機能します。このメカニズムを使用して、すべてのセキュリティー属性をユーザーに割り当てることができます。
たとえば、管理者は usermod コマンドを使用して、役割をユーザーのアカウントに追加できます。
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
追加の例については、usermod(1M) を参照してください。
役割は、ローカルに作成することも LDAP リポジトリに作成することもできます。役割を作成し、最初のパスワードを割り当てるには、User Management 権利プロファイルが割り当てられている必要があります。その役割にセキュリティー属性を割り当てるには、User Security 権利プロファイルが割り当てられている必要があります。Oracle Solaris 11 での役割認証の重要な違いは、roleauth=user キーワードと、認証キャッシュ用の pam_tty_tickets モジュールが追加されていることです。pam_tty_tickets モジュールはデフォルトでは有効になっていないことに注意してください。このモジュールを追加するには、/etc/pam.conf ファイルを次のように編集します。
# vi /etc/pam.conf su auth required pam_unix_cred.so.1 su auth sufficient pam_tty_tickets.so.1 su auth requisite pam_authtok_get.so.1 su auth required pam_dhkeys.so.1 su auth required pam_unix_auth.so.1
完全な su スタックが必要です。pam_tty_tickets.so.1 モジュールはキャッシュを提供します。pam.conf(4) を参照してください。役割を作成する手順については、『Oracle Solaris の管理: セキュリティーサービス』の「役割を作成する方法」を参照してください。
ZFS ファイルシステムの NFS 共有または SMB 共有が作成されてから、その共有が公開されます。これには、次の操作が含まれます。
zfs set share コマンドを使用して、ファイルシステム共有を作成します。このとき、特定の共有プロパティーを定義できます。共有プロパティーを定義しない場合は、デフォルトのプロパティー値が使用されます。
sharenfs または sharesmb プロパティーを設定して、NFS または SMB 共有を公開します。この共有は、プロパティーが off に設定されるまで永続的に公開されます。
『Oracle Solaris の管理: 一般的なタスク』の「ZFS ファイルシステムとして作成されたホームディレクトリを共有する方法」を参照してください。
Oracle Solaris 11 では、ホームディレクトリは ZFS ファイルシステムとして作成されるため、通常はホームディレクトリを手動でマウントする必要はありません。ホームディレクトリは、その作成中に、そして SMF ローカルファイルシステムサービスからのブート時にも自動的にマウントされます。ユーザーのホームディレクトリを手動でマウントする手順については、『Oracle Solaris の管理: 一般的なタスク』の「ユーザーのホームディレクトリの手動マウント」を参照してください。