ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
Solaris 管理コンソールでのユーザーと権利の管理 (タスクマップ)
Solaris 管理コンソールでユーザーのラベル範囲を修正する
ユーザーによるデータのセキュリティーレベルの変更を有効にする
Trusted Extensions システムからユーザーアカウントを削除する
Solaris 管理コンソールでほかのタスクを処理する (タスクマップ)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
すべてのユーザー用にシステムをカスタマイズする、または個々のユーザーアカウントをカスタマイズするときに実行できる一般的なタスクは、次のタスクマップのとおりです。
|
最初のシステムの構成中に、デフォルトのユーザーラベル属性を変更できます。変更はすべての Trusted Extensions ホストにコピーする必要があります。
始める前に
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
デフォルトについては 「label_encodings ファイルのデフォルト」を参照してください。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。Trusted CDE では、「ラベルエンコーディングの編集」アクションも使用できます。詳細は、「Trusted Extensions の CDE 管理アクションを起動する」を参照してください。
label_encodings ファイルは、すべてのホストで同一である必要があります。
Trusted Extensions で policy.conf のデフォルトを変更する方法は、Oracle Solaris OS でセキュリティー関連のシステムファイルを変更する方法に似ています。Trusted Extensions では、トラステッドエディタを使用してシステムファイルを修正します。
始める前に
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
Trusted Extensions のキーワードについては、表 6-1 を参照してください。
トラステッドエディタを使用して、システムファイルを編集します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
例 7-1 システムのアイドル設定の変更
この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、セキュリティー管理者役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。
IDLECMD=LOGOUT
また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、セキュリティー管理者役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。
IDLETIME=10
これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。
例 7-2 各ユーザーの基本的な特権セットの修正
この例では、Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、管理者は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のように修正します。
PRIV_DEFAULT=basic,!proc_info
例 7-3 システムのすべてのユーザーに対する印刷関連の承認の割り当て
この例では、セキュリティー管理者は、コンピュータの /etc/security/policy.conf ファイルで次のように入力して、公共キオスクコンピュータからラベルのない印刷を行えるようにします。次のブート以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。
AUTHS_GRANTED= solaris.print.unlabeled
管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はまず、印刷マネージャーの「バナーを常に印刷」チェックボックスがチェックされていないことを確認します。次に、policy.conf エントリを次のように修正し、リブートします。これで、すべての印刷ジョブはラベルなしになり、バナーページもトレーラページもなくなります。
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner
ユーザーは、.copy_files ファイルと .link_files ファイルを、最小の機密ラベルに対応するラベルのホームディレクトリに配置できます。また、ユーザーの最小ラベルで既存の .copy_files および .link_files ファイルを修正することもできます。この手順は、管理者役割がサイトの設定を自動化するためのものです。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
起動ファイルのリストに、.copy_files および .link_files を追加します。
# cd /etc/skel # touch .copy_files .link_files
詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
/etc/skel/.copy_files
「.copy_files ファイルと .link_files ファイル」 を参照してください。サンプルファイルについては、例 7-4 を参照してください。
起動ファイルに含める内容については、『Oracle Solaris の管理: 基本管理』の「ユーザーの作業環境のカスタマイズ」を参照してください。
詳細は、『Oracle Solaris の管理: 基本管理』の「ユーザー初期設定ファイルをカスタマイズする方法」を参照してください。
例については、例 7-4 を参照してください。
P はプロファイルシェルを表します。
X はシェル名の先頭の文字を表します。たとえば、Bourne シェルの場合は B、Korn シェルの場合は K、C シェルの場合は C、プロファイルシェルの場合は P です。
例 7-4 ユーザーの起動ファイルのカスタマイズ
この例では、セキュリティー管理者が各ユーザーのホームディレクトリのファイルを構成します。ファイルは、ユーザーのログイン前に配置されています。ファイルは、ユーザーの最小ラベルにあります。このサイトでは、ユーザーのデフォルトのシェルは C シェルです。
セキュリティー管理者は、トラステッドエディタで次の内容を含む .copy_files および .link_files ファイルを作成します。
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq
シェルの初期設定ファイルで、管理者はユーザーの印刷ジョブがラベル付きプリンタで実行されることを確認します。
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
管理者は、.Xdefaults- home-directory-server ファイルを修正して、dtterm コマンドによる新しい端末の .profile ファイルの読み取りを強制します。
## Xdefaults-HDserver Dtterm*LoginShell: true
カスタマイズしたファイルが、適切なスケルトンディレクトリにコピーされます。
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK
注意事項
最小のラベルで .copy_files ファイルを作成する場合、上位のゾーンにログインして updatehome コマンドを実行します。コマンドがアクセスエラーで失敗したら、次のようにしてください。
上位レベルのゾーンから下位レベルのディレクトリを表示できるかどうかを確認します。
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
そのディレクトリを表示できない場合、上位レベルのゾーンで自動マウントサービスを再起動します。
higher-level zone# svcadm restart autofs
ホームディレクトリの NFS マウントを使用しないかぎり、上位ゾーンのオートマウンタは /zone/lower-level-zone/export/home/username から /zone/lower-level-zone/home/username にループバックマウントするはずです。
Trusted Extensions では、復旧ログインは保護されています。一般ユーザーがシェル初期設定ファイルをカスタマイズしており、現在ログインできない場合は、フェイルセーフログインを使用してユーザーのファイルを修正できます。
始める前に
root のパスワードを知っている必要があります。
これで、ユーザーの初期設定ファイルをデバッグできるようになります。