ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

ユーザーアカウントとユーザー環境の管理の新機能と変更された機能

このリリースでは、次の機能が新しく導入または変更されています。

• 「ユーザーアカウントの管理に影響するセキュリティーの変更」

• 「ユーザーマネージャー GUI の概要」

• 「管理エディタ (pfedit)」

• 「/var/user/$USER サブディレクトリ」

• 「groupadd コマンドの変更」

• 「失敗したログイン回数の通知」

ユーザーアカウントの管理に影響するセキュリティーの変更

このリリースでは、次の機能が変更されました。

• password コマンドの状態遷移の微調整。この変更により、ロックできるユーザーアカウントとできないユーザーアカウントが明確になります。主な変更点は、LK および NL プロパティーの定義に影響するもので、次のとおりです。

  LK

  アカウントがロックされています。passwd -l コマンドが実行されたか、認証の失敗回数が許容される構成済みの最大値に到達したためアカウントが自動的にロックされました。policy.conf(4) および user_attr(4) のマニュアルページを参照してください。

  NL

  アカウントが UNIX 以外の認証用に構成されています。passwd -N コマンドが実行されました。このリリース以降、この状態のアカウントは passwd -l コマンドを実行してロックし、passwd -u コマンドを実行してロック解除することができます。

• 条件付きの承認。承認は、グループ、ゾーン、ファイル名などの特定のオブジェクトに適用するために制限することができます。「管理エディタ (pfedit)」を参照してください。

• profiles コマンドは、ローカルおよび LDAP スコープの権利プロファイルを管理するように書き換えられました。役割に基づくアクセス制御 (RBAC) ファイルの直接編集はサポートされなくなりました。

• このリリースでは、権利プロファイルにユーザーごとのプラグイン可能認証モジュール (PAM) ポリシー (pam_policy) を設定する機能を使用できます。pam_policy は、pam_conf(4) 書式付きファイルの絶対パス名か、/etc/security/pam_policy ファイルにある pam.conf (4) 書式付きファイルの名前のいずれかである必要があります。pam_user_policy(5) を参照してください。

  権利プロファイルに PAM ポリシーを設定することに加えて、useradd または usermod コマンドを使用して、ユーザーの user_attr エントリに pam_policy を直接設定することもできます。例 2-1 を参照してください。

• ユーザーセキュリティー権利プロファイルが割り当てられたユーザーと役割は、新しいユーザーアカウントを作成できるほか、root 役割にならなくても、自分の権利の一部を他のアカウントに委任できます。

詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』のパート III「役割、権利プロファイル、特権」を参照してください。

ユーザーマネージャー GUI の概要

Oracle Solaris ユーザーマネージャーグラフィカルユーザーインタフェース (GUI) によって、ユーザー、役割、グループを設定し、管理できるようになりました。ユーザーマネージャー GUI は、デスクトップから使用でき、Visual Panels プロジェクトに含まれます。ユーザーマネージャー GUI はこのリリースで Solaris Management Console GUI に置き換わるものです。ユーザーマネージャー GUI を使用して実行できるタスクは、CLI を使用して実行できるタスクと基本的に同じで、たとえば、useradd 、usermod、userdel、roleadd 、rolemod、roledel コマンドなどがあります。

ユーザーマネージャー GUI を使用する方法については、第 3 章ユーザーマネージャー GUI を使用したユーザーアカウントの管理 (タスク) およびオンラインヘルプを参照してください。

管理エディタ (pfedit)

このリリースでは、管理エディタ (pfedit) を使用して、システムファイルを編集できます。システム管理者によって定義された場合、このエディタの値は $EDITOR です。エディタが定義されていない場合、エディタのデフォルトは vi コマンドに設定されます。

次のようにエディタを起動します。

$ pfedit system-filename

pfedit コマンドを使用して、システムファイルを編集するには、ユーザーまたはユーザーの役割に、編集している特定のファイルの solaris.admin.edit/ system-filename 承認が必要です。この auth-sysfilename を既存の権利プロファイルに割り当てることで、サービス管理機能 (SMF) コマンドと通常のファイル編集の組み合わせが含まれる手順が簡素化されます。たとえば、solaris.admin.edit/etc/security/audit_warn 承認が割り当てられている場合、audit_warn ファイルを編集できます。

pfedit コマンドを使用して、/etc ディレクトリにあるほとんどの構成ファイル、そのサブディレクトリ、および GNOME ファイルや Firefox ファイルなどのアプリケーション構成ファイルも編集できます。pfedit コマンドは、/etc/security/policy.conf ファイルなど、ユーザーにシステムの広範な権限を与えるシステムファイルの編集には使用できません。それらのファイルを編集するには、root アクセス権が必要です。pfedit(1M) のマニュアルページおよび『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。

/var/user/$USER サブディレクトリ

ユーザーがログインし、pam_unix_cred モジュールによって正常に認証すると、/var/user/$USER ディレクトリがまだ存在しない場合に、明示的に作成されます。このディレクトリを使用して、アプリケーションは、ホストシステム上の特定のユーザーに関連付けられている永続的データを保存できます。/var/user/$USER ディレクトリは、最初の資格情報の確立時と、su、ssh、rlogin、および telnet コマンドを使用したユーザーの変更時のセカンダリ認証時に作成されます。/var/user/$USER ディレクトリは管理を必要としません。ただし、ユーザーはディレクトリの作成方法、その機能、および /var ディレクトリで表示できることを知っておくべきです。

groupadd コマンドの変更

solaris.group.manage 承認を持つ管理者はグループを作成できます。グループの作成時に、solaris.group.assign /groupname が管理者に割り当てられ、これにより管理者は、そのグループを完全に制御できます。管理者は必要に応じてそのグループを変更または削除できます。詳細については、groupadd(1M) および groupmod (1M) のマニュアルページを参照してください。

失敗したログイン回数の通知

システムは、ユーザーアカウントが失敗したログインを強制するように構成されていない場合でも、失敗した認証の試みをユーザーに通知するようになりました。正しい認証に失敗したユーザーには、認証の成功時に、次のようなメッセージが表示されます。

Warning: 2 failed authentication attempts since last successful
authentication. The latest at Thu May 24 12:02 2012.

それらの通知を抑止するには、/.hushlogin ファイルを作成します。