ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
Trusted Extensions のユーザーセキュリティー機能
Trusted Extensions でユーザーを作成する前に必要な決定事項
Trusted Extensions のデフォルトのユーザーセキュリティー属性
Trusted Extensions の policy.conf ファイルのデフォルト
Trusted Extensions の構成可能なユーザー属性
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
セキュリティー管理者役割は、次の表のように、新しいユーザーのためにいくつかセキュリティー属性を指定する必要があります。デフォルト値を含むファイルについては、「Trusted Extensions のデフォルトのユーザーセキュリティー属性」を参照してください。次の表に、ユーザーに割り当て可能なセキュリティー属性とそれぞれの割り当ての効果を示します。
表 6-2 ユーザーの作成後に割り当てられるセキュリティー属性
|
ユーザーアカウントが作成されると、セキュリティー管理者役割は Solaris 管理コンソールを使用して、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。
セキュリティー属性をユーザーに割り当てる場合、セキュリティー管理者は次の事項について考慮する必要があります。
ユーザーアカウントが作成されたら、セキュリティー管理者役割はユーザーアカウントにパスワードを割り当てます。最初の割り当てのあと、ユーザーはパスワードを変更できます。
Oracle Solaris OS と同様に、ユーザーに定期的なパスワードの変更を強制できます。パスワードの有効期限オプションは、パスワードを推測または盗むことができる侵入者がシステムにアクセスできる期間を制限します。変更が可能になるまでの最低期間を設定すると、新しいパスワードに変更したユーザーがすぐに古いパスワードに戻すのを防ぐこともできます。詳細は、passwd(1) のマニュアルページを参照してください。
注 - 役割になれるユーザーのパスワードは、パスワードの有効期限の制約を受けないようにします。
1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。
Oracle Solaris OS と同様に、承認をユーザーに直接割り当てると、これらの承認は既存の承認に追加されます。Trusted Extensions では、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てます。
Oracle Solaris OS と同様に、プロファイルの順番が重要です。プロファイルのメカニズムは、アカウントのプロファイルセットにある最初のコマンドまたはアクションのインスタンスを使用します。
プロファイルの整列順を利用できます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。
注 - 管理アクションまたは管理コマンドを含む権利プロファイルは、一般ユーザーに割り当てないでください。一般ユーザーは大域ゾーンに入れないため、プロファイルが機能しません。
多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、Solaris 管理コンソール を使用します。例については、「ユーザーの特権セットを制限する」を参照してください。
ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。
Oracle Solaris OS と同様に、ユーザーに監査クラスを割り当てると、システムの /etc/security/audit_control ファイルに割り当てられている監査クラスの例外が作成されます。監査の詳細は、第 18 章Trusted Extensions での監査 (概要)を参照してください。
Trusted Extensions では、ファイルはスケルトンディレクトリからアカウントの最小ラベルを含むゾーンにのみ、自動的にコピーされます。上位ラベルのゾーンで起動ファイルを使用できるようにするには、ユーザーまたは管理者が .copy_files ファイルと .link_files ファイルを作成する必要があります。
Trusted Extensions の .copy_files ファイルと .link_files ファイルは、起動ファイルをアカウントの各ラベルのホームディレクトリに自動的にコピーまたはリンクします。ユーザーが新しいラベルでワークスペースを作成するごとに、updatehome コマンドはアカウントの最小ラベルで .copy_files ファイルと .link_files ファイルの内容を読み取ります。続いてコマンドは、リストに指定されたファイルを上位ラベルのワークスペースにコピーまたはリンクします。
.copy_files ファイルは、ユーザーが別のラベルで少しだけ異なる起動ファイルを使用する場合に有効です。たとえば、ユーザーが別のラベルで異なるメールエイリアスを使用する場合は、コピーが適しています。.link-files ファイルは、起動ファイルを、そのファイルが呼び出されたすべてのラベルでまったく同じにする必要がある場合に便利です。たとえば、すべてのラベル付き印刷ジョブを 1 台のプリンタで処理する場合は、リンクが適しています。サンプルファイルについては、「Trusted Extensions のユーザーの起動ファイルを構成する」を参照してください。
次のリストに、ユーザーに上位ラベルへのコピーまたはリンクを許可する起動ファイルの例を示します。
|