ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
Trusted Extensions のユーザーセキュリティー機能
Trusted Extensions のデフォルトのユーザーセキュリティー属性
Trusted Extensions の policy.conf ファイルのデフォルト
Trusted Extensions の構成可能なユーザー属性
Trusted Extensions でのユーザーへのセキュリティー属性の割り当て
.copy_files ファイルと .link_files ファイル
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次の決定事項は、Trusted Extensions のユーザーが実行可能なアクションや、必要とされる作業量に影響を与えます。一部の決定事項は、Oracle Solaris OS のインストール時に行なった内容と同じです。Trusted Extensions に固有の決定事項は、サイトのセキュリティーや使いやすさに影響する場合があります。
policy.conf ファイルでユーザーのデフォルトセキュリティー属性を変更するかどうかを決定する。label_encodings ファイル中のユーザーデフォルトは、初期設定チームによって最初に構成されています。デフォルトの説明については、「Trusted Extensions のデフォルトのユーザーセキュリティー属性」を参照してください。
各ユーザーの最小ラベルのホームディレクトリから上位レベルのホームディレクトリにコピーまたはリンクする、起動ファイルを決定する。手順については、「Trusted Extensions のユーザーの起動ファイルを構成する」を参照してください。
ユーザーがマイクロフォン、CD-ROM ドライブ、USB ドライブなどの周辺デバイスにアクセスできるかどうかを決定する。
ユーザーにアクセスを許可する場合は、サイトセキュリティーを満たすために追加の承認が必要かどうかを決定します。デバイスに関する承認のデフォルトリストについては、「デバイス承認を割り当てる」を参照してください。より詳しいデバイス承認のセットを作成するには、「Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ) 」を参照してください。
ラベル付きゾーンで個別にユーザーアカウントを作成する必要があるかどうかを決定します。
デフォルトでは、ラベル付きゾーンは大域ゾーンのネームサービス構成を共有します。したがって、ユーザーアカウントは大域ゾーンで作成され、すべてのゾーンに使用されます。ラベル付きゾーンの /etc/passwd ファイルと /etc/shadow ファイルは、大域ゾーンのファイルの読み取り専用表示です。同様に、ラベル付きゾーンでは LDAP データベースは読み取り専用です。
ゾーン内からゾーンにアプリケーションをインストールする場合は、pkg:/service/network/ftp などのユーザーアカウントの作成が必要になることがあります。ゾーン固有のアプリケーションがユーザーアカウントを作成できるようにするには、「ラベル付きゾーンごとに異なるネームサービスを構成する」の説明に従って、ゾーンごとのネームサービスデーモンを構成する必要があります。そのようなアプリケーションによってラベル付きゾーンに追加されたユーザーアカウントは、ゾーン管理者が手動で管理する必要があります。
注 - LDAP に格納されたアカウントは、引き続き大域ゾーンから管理されます。