ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
次のデータベースには、RBAC 要素のデータが格納されます。
拡張ユーザー属性のデータベース (user_attr) – ユーザーと役割を承認、特権、キーワード、および権利プロファイルに関連付けます。
権利プロファイル属性のデータベース (prof_attr) – 権利プロファイルを定義し、そのプロファイルに割り当てられた承認、特権、およびキーワードを一覧表示し、関連するヘルプファイルを識別します。
実行属性のデータベース (exec_attr) – 特定の権利プロファイルに割り当てられたセキュリティー属性を持つコマンドを指定します
policy.conf データベースには、すべてのユーザーに適用される承認、特権、および権利プロファイルが含まれます。詳細については、「policy.conf ファイル」を参照してください。
RBAC データベースのネームサービスの適用範囲は、ネームサービススイッチの SMF サービス svc:/system/name-service/switch で定義されます。RBAC データベースのためのこのサービス内のプロパティーは、auth_attr、password、および prof_attr です。password プロパティーは、passwd および user_attr データベースに対するネームサービスの優先順位を設定します。prof_attr プロパティーは、prof_attr および exec_attr データベースに対するネームサービスの優先順位を設定します。
次の出力では、auth_attr、password、および prof_attr エントリは一覧表示されません。したがって、RBAC データベースは files ネームサービスを使用しています。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files ldap dns" config/printer astring "user files ldap"
user_attr データベースには、ユーザーと役割の情報が格納されます。これらの情報は、passwd および shadow データベースによって利用されます。
次のセキュリティー属性は、roleadd、rolemod、useradd、usermod、および profiles コマンドを使用すると設定できます。
ユーザーの場合、roles キーワードで 1 つ以上の定義された役割を割り当てます。
役割の場合、roleauth キーワードの値を user にすると、その役割は役割のパスワードではなくユーザーのパスワードで認証できます。デフォルトでは、この値は role です。
ユーザーまたは役割の場合、次の属性を設定できます。
audit_flags キーワード - 監査マスクを変更します。参照情報については、audit_flags(5) のマニュアルページを参照してください。
auths キーワード - 承認を割り当てます。参照情報については、auths(1) のマニュアルページを参照してください。
defaultpriv キーワード - 特権を追加するか、それらをデフォルトの基本特権セットから削除します。参照情報については、「特権の実装方法」を参照してください。
limitpriv キーワード - 特権を追加するか、それらをデフォルトの制限特権セットから削除します。参照情報については、「特権の実装方法」を参照してください。
これらの特権は常に有効になっており、それらはコマンドの属性ではありません。参照情報については、privileges(5) のマニュアルページおよび「特権の実装方法」を参照してください。
project キーワード - デフォルトのプロジェクトを追加します。参照情報については、project(4) のマニュアルページを参照してください。
lock_after_retries キーワード - 値が yes の場合、再試行回数が /etc/default/login ファイルで許可されている回数を超えると、システムはロックされます。
profiles キーワード - 権利プロファイルを割り当てます。
詳細は、user_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent user_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。
承認はすべて auth_attr データベースに格納されます。承認は、ユーザー、役割、権利プロファイルに割り当てることができます。承認を権利プロファイルに配置し、権利プロファイルを役割のプロファイルリストに含めたあと、その役割をユーザーに割り当てることをお勧めします。
このデータベースの内容を表示するには、getent auth_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。
prof_attr データベースには、権利プロファイルに割り当てる名前、説明、ヘルプファイルの場所、特権、および承認が格納されます。権利プロファイルに割り当てられたコマンドとセキュリティー属性は、exec_attr データベースに格納されます。詳細については、「exec_attr データベース」を参照してください。
詳細は、prof_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent exec_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。
exec_attr データベースでは、成功するためにセキュリティー属性を必要とするコマンドが定義されます。このコマンドは、権利プロファイルの一部です。セキュリティー属性を指定したコマンドは、プロファイルが割り当てられている役割またはユーザーが実行できます。
詳細は、exec_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent コマンドを使用します。詳細は、getent(1M) のマニュアルページおよび「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。
policy.conf ファイルは、特定の権利プロファイル、特定の承認、および特定の特権をすべてのユーザーに与える方法を定義します。ファイル内の関連するエントリは、key=value のペアから構成されます。
CONSOLE_USER=Console User – Console User 権利プロファイルを示します。このプロファイルは、便利な承認セットとともにコンソールユーザーに提供されます。このプロファイルはカスタマイズできます。プロファイルの内容を表示するには、「権利プロファイル」を参照してください。
次の例では、policy.conf データベースの標準的な値をいくつか示します。
# grep AUTHS /etc/security/policy AUTHS_GRANTED=solaris.device.cdrw # grep PROFS /etc/security/policy PROFS_GRANTED=Basic Solaris User # grep PRIV /etc/security/policy #PRIV_DEFAULT=basic #PRIV_LIMIT=all
権限の詳細は、「特権 (概要)」を参照してください。