JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 管理者の手順     Oracle Solaris 10 1/13 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Trusted Extensions の管理の概念

2.  Trusted Extensions 管理ツール

3.  Trusted Extensions 管理者として開始 (タスク)

4.  Trusted Extensions システムのセキュリティー要件 (概要)

5.  Trusted Extensions でのセキュリティー要件の管理 (タスク)

6.  Trusted Extensions でのユーザー、権利、および役割 (概要)

7.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

セキュリティーのためのユーザー環境のカスタマイズ (タスクマップ)

デフォルトのユーザーラベル属性を修正する

policy.conf のデフォルトを修正する

Trusted Extensions のユーザーの起動ファイルを構成する

Trusted Extensions でフェイルセーフセッションにログインする

Solaris 管理コンソールでのユーザーと権利の管理 (タスクマップ)

Solaris 管理コンソールでユーザーのラベル範囲を修正する

便利な承認のための権利プロファイルを作成する

ユーザーの特権セットを制限する

ユーザーのアカウントロックを禁止する

ユーザーによるデータのセキュリティーレベルの変更を有効にする

Trusted Extensions システムからユーザーアカウントを削除する

Solaris 管理コンソールでほかのタスクを処理する (タスクマップ)

8.  Trusted Extensions でのリモート管理 (タスク)

9.  Trusted Extensions と LDAP (概要)

10.  Trusted Extensions でのゾーンの管理 (タスク)

11.  Trusted Extensions でのファイルの管理とマウント (タスク)

12.  トラステッドネットワーク (概要)

13.  Trusted Extensions でのネットワークの管理 (タスク)

14.  Trusted Extensions でのマルチレベルメール (概要)

15.  ラベル付き印刷の管理 (タスク)

16.  Trusted Extensions のデバイス (概要)

17.  Trusted Extensions でのデバイス管理 (タスク)

18.  Trusted Extensions での監査 (概要)

19.  Trusted Extensions のソフトウェア管理 (タスク)

A.  Trusted Extensions 管理の手引き

B.  Trusted Extensions マニュアルページのリスト

索引

Solaris 管理コンソールでのユーザーと権利の管理 (タスクマップ)

Trusted Extensions では、Solaris 管理コンソールを使用してユーザー、承認、権利、および役割を管理する必要があります。ユーザーとそのセキュリティー属性を管理するには、セキュリティー管理者役割である必要があります。次のタスクマップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的なタスクについて説明します。

タスク
説明
参照先
ユーザーのラベル範囲を変更します。
ユーザーが作業できるラベルを修正します。この変更により、label_encodings ファイルで許可される範囲を制限または拡張できます。
「Solaris 管理コンソールでユーザーのラベル範囲を修正する」
使いやすい承認のための権利プロファイルを作成します。
一般ユーザーに役立つ承認はいくつか存在します。これらの承認の資格を持つユーザーのプロファイルを作成します。
「便利な承認のための権利プロファイルを作成する」
ユーザーのデフォルト特権セットを修正します。
ユーザーのデフォルトの特権セットから特権を削除します。
「ユーザーの特権セットを制限する」
特定ユーザーのアカウントロックを回避します。
役割になることができるユーザーに対しては、アカウントロックをオフにする必要があります。
「ユーザーのアカウントロックを禁止する」
ユーザーがデータに再ラベル付けできるようにします。
ユーザーによる情報のダウングレードまたはアップグレードを許可します。
「ユーザーによるデータのセキュリティーレベルの変更を有効にする」
システムからユーザーを削除します。
ユーザーおよびユーザーのプロセスを完全に削除します。
「Trusted Extensions システムからユーザーアカウントを削除する」
ほかのタスクを処理します。
Solaris 管理コンソールを使用して、Trusted Extensions に固有ではないタスクを処理します。
「Solaris 管理コンソールでほかのタスクを処理する (タスクマップ)」

Solaris 管理コンソールでユーザーのラベル範囲を修正する

ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーは、Solaris 管理コンソールを実行できます。ユーザーは内容を表示できますが、内容の変更はできません。

また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限できます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。
  4. ユーザーアカウントから個々のユーザーを選択します。
  5. 「Trusted Extensions の属性」タブをクリックします。
    image:ダイアログボックスはユーザーに「Trusted Extensions の属性」タブを示します。
    • ユーザーのラベル範囲を拡張するには、より高位の認可上限を選択します。

      最小ラベルを低くすることもできます。

    • ラベル範囲を 1 つのラベルに制限するには、認可上限を最小ラベルと等しくします。
  6. 「了解」をクリックして変更を保存します。

便利な承認のための権利プロファイルを作成する

サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成できます。特定システムのすべてのユーザーが承認されるようにするには、policy.conf のデフォルトを修正する」を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

  2. 「システムの構成」で、「権利」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。
  4. 権利プロファイルを追加するには、「アクション」 –> 「権利を追加」をクリックします。
  5. 次の 1 つ以上の承認を含む権利プロファイルを作成します。

    詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」を参照してください。

    次の図では、ユーザーにとって便利な承認が「含まれる承認」ウィンドウに表示されています。


    image:サイトのユーザーに適切な承認を示すダイアログボックス

    • 「デバイスの割り当て」– マイクロフォンなどの周辺機器の割り当てをユーザーに承認します。

      デフォルトでは、Oracle Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。

    • 「Downgrade DragNDrop or CutPaste Info」– 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。

    • 「Downgrade File Label」– ファイルのセキュリティーレベル引き下げをユーザーに承認します。

    • 「内容を表示せずに DragNDrop またはCutPaste を行う」– 移動する情報を表示せずに情報を移動することをユーザーに承認します。

    • 「Postscript を印刷」– PostScript ファイルの印刷をユーザーに承認します。

    • 「バナーなしで印刷」- バナーページなしのハードコピーの印刷をユーザーに承認します。

    • 「ラベルなしで印刷」– ラベルを表示しないハードコピーの印刷をユーザーに承認します。

    • 「リモートログイン」– リモートログインをユーザーに承認します。

    • 「システムの停止」– システムの停止とゾーンの停止をユーザーに承認します。

    • 「Upgrade DragNDrop or CutPaste Info」– 低レベルファイルからの情報の選択と、高レベルファイルへの情報の配置をユーザーに承認します。

    • 「Upgrade File Label」– ファイルのセキュリティーレベル引き上げをユーザーに承認します。

  6. ユーザーまたは役割に権利プロファイルを割り当てます。

    詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

例 7-5 役割への印刷関連の承認の割り当て

次の例では、セキュリティー管理者が、本文ページのラベルなしでジョブを印刷することを、役割に許可します。

Solaris 管理コンソールで、セキュリティー管理者は管理者役割にナビゲートします。特定の役割に含まれている権利プロファイルを確認してから、印刷関連の承認が役割の権利プロファイルの 1 つに含まれていることを確認します。

ユーザーの特権セットを制限する

サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Trusted Extensions を Sun Ray システム上で使用しているサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

    適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。
  4. ユーザーのアイコンをダブルクリックします。
  5. basic セットにある 1 つ以上の特権を削除します。
    1. ユーザーのアイコンをダブルクリックします。
    2. 「権利」タブをクリックします。
      image:ダイアログボックスは一般ユーザーの「権利」タブの内容を示します。
    3. right_extended_attr フィールドの basic セットの右にある「編集」ボタンをクリックします。
    4. proc_session または file_link_any を削除します。

      proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。

      注意

      注意 - proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用することができません。


      image:ダイアログボックスは一般ユーザーの基本的な特権セットを示します。
  6. 「了解」をクリックして変更を保存します。

ユーザーのアカウントロックを禁止する

Trusted Extensions では、Solaris 管理コンソールのユーザーセキュリティー機能を拡張してアカウントロックが追加されています。役割になれるユーザーに対してアカウントロックをオフにする必要があります。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. Solaris 管理コンソール を起動します。

    適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

  2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

    パスワードプロンプトが表示されます。

  3. 役割のパスワードを入力します。
  4. ユーザーのアイコンをダブルクリックします。
  5. 「Trusted Extensions の属性」タブをクリックします。
  6. 「アカウントの利用」セクションで、「ログイン失敗の最大回数に達したあとでアカウントをロックする」 の隣にあるプルダウンメニューから 「いいえ」 を選択します。
  7. 「了解」をクリックして変更を保存します。

ユーザーによるデータのセキュリティーレベルの変更を有効にする

一般ユーザーまたは役割には、ファイルおよびディレクトリのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。

注意

注意 - データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 「便利な承認のための権利プロファイルを作成する」 の手順に従って、権利プロファイルを作成します。

    次の承認によって、ユーザーがファイルに再ラベル付けできるようになります。

    • 「Downgrade File Label」

    • 「Upgrade File Label」

    次の承認によって、ユーザーがファイル内の情報に再ラベル付けできるようになります。

    • 「Downgrade DragNDrop or CutPaste Info」

    • 「DragNDrop or CutPaste Info Without Viewing」

    • 「Upgrade DragNDrop or CutPaste Info」

  2. Solaris 管理コンソールを使用して、適切なユーザーおよび役割にプロファイルを割り当てます。

    詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。

Trusted Extensions システムからユーザーアカウントを削除する

ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更できます。

管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。

始める前に

システム管理者役割である必要があります。

  1. 各ラベルでユーザーのホームディレクトリをアーカイブします。
  2. 各ラベルでユーザーのメールファイルをアーカイブします。
  3. Solaris 管理コンソールで、ユーザーアカウントを削除します。
    1. Solaris 管理コンソールで Trusted Extensions ツールボックスを開きます。

      適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

    2. 「システムの構成」で、「ユーザーアカウント」にナビゲートします。

      パスワードプロンプトが表示されます。

    3. 役割のパスワードを入力します。
    4. 削除するユーザーアカウントを選択して、「削除」ボタンをクリックします。

      ユーザーのホームディレクトリとメールファイルを削除するプロンプトが表示されます。プロンプトを受け入れると、ユーザーのホームディレクトリとメールファイルが大域ゾーンでのみ削除されます。

  4. 各ラベル付きゾーンで、ユーザーのディレクトリとメールファイルを手動で削除します。

    注 - すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。

Copyright © 1992, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ