Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ)

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ)

次のタスクマップでは、サイトでデバイス承認を変更する手順について説明します。

タスク	説明	参照先
新しいデバイス承認を作成します。	サイト固有の承認を作成します。	「新しいデバイス承認を作成する」
デバイスへの承認を追加します。	選択したデバイスにサイト固有の承認を追加します。	「Trusted Extensions でサイト固有の承認をデバイスに追加する」
ユーザーおよび役割へデバイス承認を割り当てます。	ユーザーと役割が新しい承認を使えるようにします。	「デバイス承認を割り当てる」

新しいデバイス承認を作成する

デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。

割り当て可能なデバイスへのアクセスをすべて拒否するには、例 21-1 を参照してください。新しい承認を作成して使用するには、例 21-3 を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

(省略可能) 新しいデバイス承認ごとにヘルプファイルを作成します。
ヘルプファイルは HTML 形式です。命名規則は AuthName.html で、たとえば DeviceAllocateCD.html となります。

デバイス承認を作成します。

$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name

新しい承認を適切な権利プロファイルに追加します。

$ profiles rights-profile
profiles:rights-profile > add auths="authorization-name"...

そのプロファイルをユーザーと役割に割り当てます。

# usermod -P "rights-profile" username
# rolemod -P "rights-profile" rolename

承認を使用して、選択したデバイスへのアクセスを制限します。
デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、「Trusted Extensions でサイト固有の承認をデバイスに追加する」を参照してください。

例 21-2 きめ細かいデバイス承認の作成

この例で、NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。

最初に、管理者は次のヘルプファイルを作成します。

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

次に、管理者はテンプレートヘルプファイルを作成します。ほかのヘルプファイルはこのテンプレートからコピーして変更します。

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html 
-->
<HEAD>
        <TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the 
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account 
is a security violation.
<p>
</BODY>
</HTML>

ヘルプファイルを作成したあと、管理者は auths コマンドを使用して各デバイス承認を作成します。承認は会社全体で使用されるため、管理者は承認を LDAP リポジトリに置きます。コマンドにはヘルプファイルのパス名が含まれます。

管理者は 2 つのデバイス承認と Newco 承認ヘッダーを作成します。

1 つの承認は、ユーザーが CD-ROM または DVD ドライブを割り当てることを承認します。

# auths add -S ldap -t "Allocate CD or DVD" \
-h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

1 つの承認は、ユーザーが USB デバイスを割り当てることを承認します。

# auths add -S ldap -t "Allocate USB" \
-h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

Newco 承認ヘッダーは、すべての Newco 承認を識別します。

# auths add -S ldap -t "Newco Auth Header" \
-h /docs/helps/Newco.html com.newco

例 21-3 トラステッドパスデバイス承認と非トラステッドパスデバイス承認の作成と割り当て

デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。

次の例では、サイトのセキュリティーポリシーがリモート CD-ROM および DVD の割り当て制限を要求しています。セキュリティー管理者は、com.newco.dev.allocate.cdvd.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM および DVD ドライブ用です。com.newco.dev.allocate.cdvd.remote 承認は、トラステッドパス以外からの CD-ROM または DVD ドライブの割り当てを許可される少数のユーザー用です。

セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースにデバイス承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。root 役割は、それらのプロファイルを、デバイスの割り当てを許可されているユーザーに割り当てます。

次のコマンドは、デバイス承認を auth_attr データベースに追加します。

$ auths add -S ldap -t "Allocate Local DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDLocal.html \
com.newco.dev.allocate.cdvd.local
$ auths add -S ldap -t "Allocate Remote DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDRemote.html \
com.newco.dev.allocate.cdvd.remote

デバイスマネージャーの割り当ては次のとおりです。

CD-ROM ドライブのローカル割り当ては、トラステッドパスによって保護されます。
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.local
```
リモート割り当てはトラステッドパスによって保護されないため、リモートユーザーは信頼できるユーザーでなければなりません。最後の手順で、管理者は 2 つの役割にのみリモート割り当てを承認します。
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.remote
```

次のコマンドは、これらの承認用の Newco 権利プロファイルを作成し、承認をプロファイルに追加します。

$ profiles -S ldap "Remote Allocator"
profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
profiles:Remote Allocator > end
profiles:Remote Allocator > exit

$ profiles -S ldap "Local Only Allocator"
profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
profiles:Local Only Allocator > end
profiles:Local Only Allocator > exit

次のコマンドは、承認されたユーザーに権利プロファイルを割り当てます。root 役割はプロファイルを割り当てます。このサイトでは、役割だけが周辺デバイスのリモート割り当てを承認されています。
```
# usermod -P "Local Only Allocator" jdoe
# usermod -P "Local Only Allocator" kdoe
```
```
# rolemod -P "Remote Allocator" secadmin
# rolemod -P "Remote Allocator" sysadmin
```

Trusted Extensions でサイト固有の承認をデバイスに追加する

始める前に

セキュリティー管理者役割であるか、「デバイス属性の構成」承認を持つ役割である必要があります。あらかじめサイト固有の承認を作成してあることが必要です。詳細は、「新しいデバイス承認を作成する」を参照してください。

「Trusted Extensions でデバイスを構成する」の手順に従います。
1. 新しい承認で保護する必要のあるデバイスを選択します。
2. 「管理」ボタンをクリックします。
3. 「承認」ボタンをクリックします。
  新しい承認は「必須でない」リストに表示されます。
4. 新しい承認を承認の「必須」リストに追加します。
「了解」をクリックして変更を保存します。

デバイス承認を割り当てる

「デバイスの割り当て」承認は、ユーザーがデバイスを割り当てられるようにします。「デバイスの割り当て」承認と、「デバイスの解除または再利用」承認は、管理役割に適しています。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

既存のプロファイルが適切でない場合、セキュリティー管理者が新しいプロファイルを作成できます。例については、「便利な承認のための権利プロファイルを作成する」を参照してください。

ユーザーに、「デバイスの割り当て」承認を含む権利プロファイルを割り当てます。
詳細な手順については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「ユーザーのセキュリティー属性を変更する方法」を参照してください。

次のプロファイルでは、役割がデバイスを割り当てることができます。
- All Authorizations
- Device Management
- Media Backup
- Object Label Management
- Software Installation
次の権利プロファイルでは、役割がデバイスを解除または再利用できます。
- All Authorizations
- Device Management
次の権利プロファイルでは、役割がデバイスを作成または構成できます。
- All Authorizations
- Device Security
例 21-2 は、承認を割り当てる方法を示しています。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語)