ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

セキュリティーのためのユーザー環境のカスタマイズ (タスクマップ)

すべてのユーザー用にシステムをカスタマイズする、または個々のユーザーアカウントをカスタマイズするときに実行できる一般的なタスクは、次のタスクマップのとおりです。これらのタスクの多くは、一般ユーザーがログインできるようになる前に実行します。

デフォルトのユーザーラベル属性を修正する

最初のシステムの構成中に、デフォルトのユーザーラベル属性を変更できます。変更はすべての Trusted Extensions システムにコピーする必要があります。

---

注意 - 一般ユーザーがシステムにアクセスする前にこのタスクを実行する必要があります。

---

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

1. /etc/security/tsol/label_encodings ファイルで、デフォルトのユーザー属性設定を確認します。

   詳細は、「Trusted Extensions でのユーザーセキュリティーの計画」の表 1-2 を参照してください。

2. label_encodings ファイルで、ユーザー属性設定を修正します。
3. ファイルのコピーを各 Trusted Extensions システムに配布します。

   ---

   注意 - label_encodings ファイルは、すべてのシステムで同一である必要があります配布方法については、「Trusted Extensions でファイルをポータブルメディアにコピーする」と 「Trusted Extensions でポータブルメディアからファイルをコピーする」を参照してください。

   ---

policy.conf のデフォルトを修正する

Trusted Extensions で policy.conf のデフォルトを変更する方法は、Oracle Solaris でセキュリティー関連のシステムファイルを変更する方法と同じです。システムのすべてのユーザーのデフォルトを変更するには、この手順を使用します。

始める前に

大域ゾーンで root 役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

1. /etc/security/policy.conf ファイルで、デフォルト設定を確認します。

   Trusted Extensions のキーワードについては、表 10-1 を参照してください。

2. 設定を修正します。

例 11-1 システムのアイドル設定の変更

この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、root 役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。

IDLECMD=LOGOUT

また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、root 役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。

IDLETIME=10

これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。

ログインユーザーがある役割になると、その役割に対するユーザーの IDLECMD 値と IDLETIME 値が有効となります。

例 11-2 各ユーザーの基本的な特権セットの修正

この例では、大規模 Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、root 役割は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のようにコメントを外して修正します。

PRIV_DEFAULT=basic,!proc_info

例 11-3 システムのすべてのユーザーに対する印刷関連の承認の割り当て

この例では、サイトセキュリティーが、パブリックキオスクコンピュータがラベルなしで印刷することを許可します。パブリックキオスクの root 役割が、/etc/security/policy.conf ファイル内の AUTHS_GRANTED の値を変更します。次のブート以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。

AUTHS_GRANTED=solaris.print.unlabeled

管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はさらに policy.conf エントリを変更します。

AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner

パブリックキオスクのリブート後、すべての印刷ジョブがラベルなしになり、バナーページやトレーラページもなくなります。

Trusted Extensions のユーザーの起動ファイルを構成する

ユーザーは、.copy_files ファイルと .link_files ファイルを、最小の機密ラベルに対応するラベルのホームディレクトリに配置できます。また、ユーザーの最小ラベルで既存の .copy_files および .link_files ファイルを修正することもできます。この手順は、管理者役割がサイトの設定を自動化するためのものです。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

1. 2 つの Trusted Extensions 起動ファイルを作成します。

   起動ファイルのリストに、.copy_files および .link_files を追加します。

   # cd /etc/skel
   # touch .copy_files .link_files

2. .copy_files ファイルをカスタマイズします。
   1. エディタで、.copy_files ファイルへのフルパス名を入力します。

      # pfedit /etc/skel/.copy_files

   2. .copy_files に、すべてのラベルでユーザーのホームディレクトリにコピーするファイルを、1 行に 1 ファイルずつ入力します。

      「.copy_files ファイルと .link_files ファイル」 を参照してください。サンプルファイルについては、例 11-4 を参照してください。

3. .link_files ファイルをカスタマイズします。
   1. エディタで、.link_files ファイルへのフルパス名を入力します。

      # pfedit /etc/skel/.link_files

   2. .link_files に、すべてのラベルでユーザーのホームディレクトリにリンクするファイルを、1 行に 1 ファイルずつ入力します。
4. ユーザーのほかの起動ファイルをカスタマイズします。

   • 起動ファイルにどのファイルを含めるかについては、『Oracle Solaris 11.1 のユーザーアカウントとユーザー環境の管理』の「ユーザーの作業環境のカスタマイズ」を参照してください。

   • 詳細は、『Oracle Solaris 11.1 のユーザーアカウントとユーザー環境の管理』の「ユーザー初期設定ファイルをカスタマイズする方法」を参照してください。

5. (省略可能) デフォルトのシェルがプロファイルシェルであるユーザーに、 skelP サブディレクトリを作成します。

   P はプロファイルシェルを表します。

6. カスタマイズした起動ファイルを、適切なスケルトンディレクトリにコピーします。
7. ユーザーを作成するときには、適切な skelX パス名を使用します。

   X はシェル名の先頭の文字を表します。たとえば、Bourne シェルの場合は B、Korn シェルの場合は K、C シェルの場合は C、プロファイルシェルの場合は P です。

例 11-4 ユーザーの起動ファイルのカスタマイズ

この例では、システム管理者が各ユーザーのホームディレクトリのファイルを構成します。ファイルは、ユーザーのログイン前に配置されています。ファイルは、ユーザーの最小ラベルにあります。このサイトでは、ユーザーのデフォルトのシェルは C シェルです。

システム管理者は、次の内容を含む .copy_files および .link_files ファイルを作成します。

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

シェルの初期設定ファイルで、管理者はユーザーの印刷ジョブがラベル付きプリンタで実行されることを確認します。

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

カスタマイズしたファイルが、適切なスケルトンディレクトリにコピーされます。

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

注意事項

最小のラベルで .copy_files ファイルを作成する場合、上位のゾーンにログインして updatehome コマンドを実行します。コマンドがアクセスエラーで失敗したら、次のようにしてください。

• 上位レベルのゾーンから下位レベルのディレクトリを表示できるかどうかを確認します。

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• そのディレクトリを表示できない場合、上位レベルのゾーンで自動マウントサービスを再起動します。

  higher-level zone# svcadm restart autofs

ホームディレクトリの NFS マウントを使用しないかぎり、上位ゾーンのオートマウンタは /zone/lower-level-zone/export/home/username から /zone/lower-level-zone/home/username にループバックマウントするはずです。

Trusted Extensions でフェイルセーフセッションにログインする

Trusted Extensions では、復旧ログインは保護されています。一般ユーザーがシェル初期設定ファイルをカスタマイズしており、現在ログインできない場合は、フェイルセーフログインを使用してユーザーのファイルを修正できます。

始める前に

root のパスワードを知っている必要があります。

1. ログイン画面でユーザー名を入力します。
2. 画面最下部で、デスクトップメニューから「Solaris Trusted Extensions Failsafe Session」を選択します。
3. プロンプトが表示されたら、パスワードを入力します。
4. 追加のパスワードを求めるプロンプトが表示されたら、root のパスワードを入力します。

   これで、ユーザーの初期設定ファイルをデバッグできるようになります。