ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

Trusted Extensions の一般的なタスク (タスクマップ)

次のタスクマップでは、Trusted Extensions での一般的な管理手順について説明します。

root ユーザーのパスワードを変更する方法

Trusted Extensions には、パスワードを変更するための GUI が用意されています。

1. root 役割になります。

   手順については、「Trusted Extensions の大域ゾーンに入る」を参照してください。

2. トラステッドストライプのトラステッドシンボルをクリックしてトラステッドパスメニューを開きます。
3. 「Change Login Password」を選択します。

   ゾーンごとに異なるパスワードが作成されている場合は、メニューに「Change Workspace Password」と表示されます。

4. パスワードを変更し、変更を確定します。

ラベル付きゾーンで新しいローカルユーザーパスワードを有効にする

次の場合は、ラベル付きゾーンをリブートする必要があります。

• 1 人以上のローカルユーザーがパスワードを変更した。

• ネームサービスキャッシュデーモン (nscd) の単一インスタンスをすべてのゾーンが使用している。

• システムが LDAP ではなくファイルで管理されている。

始める前に

Zone Security 権利プロファイルが割り当てられている必要があります。

• パスワードの変更を有効にするには、ユーザーがアクセスできるラベル付きゾーンをリブートします。

  次のいずれかの方法を使用します。

  • txzonemgr GUI を使用します。

    # txzonemgr &

    Labeled Zone Manager でラベル付きゾーンに移動し、コマンドの一覧から、「停止」を選択したあと「ブート」を選択します。

  • 大域ゾーンの端末ウィンドウでゾーン管理コマンドを使用します。

    システムのシャットダウンまたは停止を選択できます。

    • zlogin コマンドは、ゾーンを正常にシャットダウンします。

      # zlogin labeled-zone shutdown -i 0
      # zoneadm -z labeled-zone boot

    • halt サブコマンドは、シャットダウンスクリプトを無視します。

      # zoneadm -z labeled-zone halt
      # zoneadm -z labeled-zone boot

注意事項

ラベル付きゾーンのユーザーパスワードを自動的に更新するには、LDAP を構成するか、ゾーンごとにネームサービスを 1 つずつ構成する必要があります。その両方を構成することもできます。

• LDAP を構成するには、第 5 章Trusted Extensions のための LDAP の構成 (タスク)を参照してください。

• ゾーンごとにネームサービスを 1 つずつ構成するには、高度なネットワークスキルが必要となります。手順については、「ラベル付きゾーンごとに異なるネームサービスを構成する」を参照してください。

デスクトップの現在のフォーカスへの制御を取り戻す

「セキュアアテンション」キーの組み合わせは、信頼できないアプリケーションによるポインタグラブやキーボードグラブを解除するために使用できます。また、このキーの組み合わせは、ポインタまたはキーボードが信頼できるアプリケーションによってグラブされているかどうかを確認するためにも使用できます。複数のトラステッドストライプを表示するようにスプーフィングされているマルチヘッドシステムでは、このキーの組み合わせにより、ポインタは承認されているトラステッドストライプに移動します。

1. Sun 製キーボードの制御を取り戻すには、次のキーの組み合わせを使用します。

   キーを同時に押して、現在のデスクトップのフォーカスへの制御を取り戻します。Sun 製キーボードでは、ダイヤモンドマークの付いたキーが Meta キーです。

   <Meta> <Stop>

   ポインタなどのグラブが信頼できない場合は、このポインタはストライプに移動します。信頼できるポインタはトラステッドストライプには移動しません。

2. Sun 製以外のキーボードでは、次のキーの組み合わせを使用してください。

   <Alt> <Break>

   キーを同時に押して、ラップトップコンピュータ上で現在のデスクトップのフォーカスへの制御を取り戻します。

例 9-1 パスワードのプロンプトが信頼できるかどうかテストする

Sun 製キーボードを使用している x86 システム上で、ユーザーがパスワードの入力を求められたとします。カーソルはグラブされた状態になり、パスワード入力ダイアログボックスの中にあります。プロンプトが信頼できることを確認するために、ユーザーは <Meta> <Stop> キーを同時に押します。ポインタがダイアログボックスの中に残っているときに、ユーザーはパスワードプロンプトが信頼できることを認識します。

ポインタがトラステッドストライプに移動していた場合は、ユーザーはパスワードプロンプトが信頼できないことがわかるので、管理者に連絡します。

例 9-2 ポインタを強制的にトラステッドストライプに移動させる

この例では、ユーザーはトラステッドプロセスを実行していませんが、マウスポインタを確認できません。ポインタをトラステッドストライプの中央に移動させるために、ユーザーは <Meta> <Stop> キーを同時に押します。

ラベルの 16 進値を求める

この手順では、ラベルの内部 16 進形式について説明します。この形式は、公共ディレクトリでの格納に安全です。詳細は、atohexlabel(1M) のマニュアルページを参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

• ラベルの 16 進値を求めるには、次のいずれかを行います。
  • 機密ラベルの 16 進値を求めるには、ラベルをコマンドに渡します。

    $ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY"
    0x0004-08-48

    文字列では大文字と小文字は区別されませんが、空白は正確でなければいけません。たとえば、次の引用符付き文字列では、16 進値のラベルが返されます。

    • "CONFIDENTIAL : INTERNAL USE ONLY"

    • "cnf : Internal"

    • "confidential : internal"

    次の引用符付き文字列では、解析エラーが返されます。

    • "confidential:internal"

    • "confidential: internal"

  • 認可上限の 16 進値を求めるには、-c オプションを使用します。

    $ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
    0x0004-08-68

    ---

    注 - 可読式の機密ラベルと認可上限ラベルは label_encodings ファイルの中のルールに従って形成されます。各ラベルタイプでは、このファイルの別々のセクションにあるルールを使用します。機密ラベルと認可上限ラベルの両方が根本的に同じレベルの機密性を表している場合は、両方のラベルはまったく同じ 16 進形式になります。ただし、両ラベルの可読形式は異なることがあります。可読形式のラベルを入力として受け入れるシステムインタフェースは、1 つのタイプのラベルを想定しています。ラベルタイプの文字列が異なっている場合、これらの文字列は相互に利用することはできません。

    label_encodings ファイルでは、認可上限ラベルと同等のテキストにコロン (:) は含まれません。

    ---

例 9-3 atohexlabel コマンドの使用法

有効なラベルを 16 進形式で渡すと、コマンドは次のように引数を返します。

$ atohexlabel 0x0004-08-68
0x0004-08-68

管理ラベルを渡すと、コマンドは次のように引数を返します。

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

注意事項

atohexlabel parsing error found in <string> at position 0 というエラーメッセージは、atohexlabel に渡した <string> 引数が有効なラベルまたは認可上限でないことを意味しています。入力を確認し、インストールした label_encodings ファイルにラベルが存在していることを確認します。

可読のラベルを 16 進形式から取得する

この手順では、内部データベースに格納されているラベルを確認する方法について説明します。詳細は、hextoalabel(1M) のマニュアルページを参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

• ラベルの内部表現に相当するテキストを取得するには、次のいずれかの操作を行います。
  • 機密ラベルに相当するテキストを取得するには、ラベルの 16 進形式を渡します。

    $ hextoalabel 0x0004-08-68
    CONFIDENTIAL : NEED TO KNOW

  • 認可上限に相当するテキストを求めるには、-c オプションを使用します。

    $ hextoalabel -c 0x0004-08-68
    CONFIDENTIAL NEED TO KNOW

システムファイルでセキュリティーデフォルトを変更する

セキュリティー値は、/etc/security ディレクトリと /etc/default ディレクトリにあるファイルに記述されています。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。

---

注意 - システムのセキュリティーデフォルトを変更するのは、サイトのセキュリティーポリシーで許可されている場合のみにしてください。

---

始める前に

大域ゾーンにいて、solaris.admin.edit/ filename 承認が割り当てられています。デフォルトでは、root 役割にこの承認が含まれています。

• システムファイルを編集します。

  次の表に、セキュリティーファイルと各ファイル内で変更可能なセキュリティー値の一覧を示します。最初の 2 つのファイルは、Trusted Extensions に固有のものです。

  
  

  ファイル タスク 参照先 /usr/share/gnome/ 内の sel_config 情報が別のラベルに移動されるときにシステムがどのように動作するかを指定します。 sel_config(4) のマニュアルページ /usr/lib/xorg/ 内の TrustedExtensionsPolicy X サーバーのラベル分離のSUN_TSOL セキュリティーポリシーの実施を変更します。 TrustedExtensionsPolicy(4) のマニュアルページ /etc/default/login パスワード試行の許容回数を減らします。 『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「すべてのログイン失敗操作を監視する方法」にある例を参照してください。 passwd(1) のマニュアルページ /etc/default/kbd キーボードでの停止を無効にします。 『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「システムのアボートシーケンスを無効にする方法」 注 - 管理者がデバッグの目的で使用するホストでは、KEYBOARD_ABORT のデフォルト設定によって kadb カーネルデバッガへのアクセスが許可されています。 kadb(1M) のマニュアルページ /etc/security/policy.conf ユーザーパスワードに対してより強力なアルゴリズムを要求します。 このホストのすべてのユーザーから基本的な特権を削除します。 このホストのユーザーを Basic Solaris User の承認に制限します。 policy.conf(4) のマニュアルページ /etc/default/passwd ユーザーに頻繁なパスワード変更を要求します。 ユーザーに最大限に異なるパスワードの設定を要求します。 より長いユーザーパスワードを要求します。 辞書で見つからないようなパスワードを要求します。 passwd(1) のマニュアルページ