ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
セキュリティーのためのユーザー環境のカスタマイズ (タスクマップ)
Trusted Extensions のユーザーの起動ファイルを構成する
Trusted Extensions でフェイルセーフセッションにログインする
Solaris 管理コンソールでほかのタスクを処理する (タスクマップ)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
Trusted Extensions では、Solaris 管理コンソールを使用してユーザー、承認、権利、および役割を管理する必要があります。ユーザーとそのセキュリティー属性を管理するには、セキュリティー管理者役割である必要があります。次のタスクマップでは、ラベル付きの環境で操作するユーザーに対して実行する一般的なタスクについて説明します。
|
ユーザーのラベル範囲を拡張して、ユーザーに管理用アプリケーションへの読み取りアクセスを許可したい場合があります。たとえば、大域ゾーンにログインできるユーザーは、Solaris 管理コンソールを実行できます。ユーザーは内容を表示できますが、内容の変更はできません。
また、ユーザーのラベル範囲を制限したい場合もあります。たとえば、ゲストユーザーを 1 つのラベルに制限できます。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
パスワードプロンプトが表示されます。
最小ラベルを低くすることもできます。
サイトのセキュリティーポリシーで許可される場合、承認の必要なタスクを実行できるユーザーに対する承認を含む権利プロファイルを作成できます。特定システムのすべてのユーザーが承認されるようにするには、「policy.conf のデフォルトを修正する」を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
パスワードプロンプトが表示されます。
詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」を参照してください。
次の図では、ユーザーにとって便利な承認が「含まれる承認」ウィンドウに表示されています。
「デバイスの割り当て」– マイクロフォンなどの周辺機器の割り当てをユーザーに承認します。
デフォルトでは、Oracle Solaris のユーザーは CD-ROM に対して読み取りと書き込みが可能です。一方、Trusted Extensions で CD-ROM ドライブにアクセスできるのは、デバイスを割り当てることができるユーザーだけです。使用するドライブを割り当てるには、承認が必要です。したがって、Trusted Extensions で CD-ROM に対する読み取りと書き込みを行うには、ユーザーは「デバイスの割り当て」承認が必要です。
「Downgrade DragNDrop or CutPaste Info」– 下位レベルファイルからの情報の選択と、上位レベルファイルへの情報の配置をユーザーに承認します。
「Downgrade File Label」– ファイルのセキュリティーレベル引き下げをユーザーに承認します。
「内容を表示せずに DragNDrop またはCutPaste を行う」– 移動する情報を表示せずに情報を移動することをユーザーに承認します。
「Postscript を印刷」– PostScript ファイルの印刷をユーザーに承認します。
「バナーなしで印刷」- バナーページなしのハードコピーの印刷をユーザーに承認します。
「ラベルなしで印刷」– ラベルを表示しないハードコピーの印刷をユーザーに承認します。
「リモートログイン」– リモートログインをユーザーに承認します。
「システムの停止」– システムの停止とゾーンの停止をユーザーに承認します。
「Upgrade DragNDrop or CutPaste Info」– 低レベルファイルからの情報の選択と、高レベルファイルへの情報の配置をユーザーに承認します。
「Upgrade File Label」– ファイルのセキュリティーレベル引き上げをユーザーに承認します。
詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。
例 7-5 役割への印刷関連の承認の割り当て
次の例では、セキュリティー管理者が、本文ページのラベルなしでジョブを印刷することを、役割に許可します。
Solaris 管理コンソールで、セキュリティー管理者は管理者役割にナビゲートします。特定の役割に含まれている権利プロファイルを確認してから、印刷関連の承認が役割の権利プロファイルの 1 つに含まれていることを確認します。
サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Trusted Extensions を Sun Ray システム上で使用しているサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにします。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
パスワードプロンプトが表示されます。
proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。
![]() | 注意 - proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用することができません。 |
Trusted Extensions では、Solaris 管理コンソールのユーザーセキュリティー機能を拡張してアカウントロックが追加されています。役割になれるユーザーに対してアカウントロックをオフにする必要があります。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
パスワードプロンプトが表示されます。
一般ユーザーまたは役割には、ファイルおよびディレクトリのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。
![]() | 注意 - データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。 |
始める前に
大域ゾーンでセキュリティー管理者役割になります。
次の承認によって、ユーザーがファイルに再ラベル付けできるようになります。
「Downgrade File Label」
「Upgrade File Label」
次の承認によって、ユーザーがファイル内の情報に再ラベル付けできるようになります。
「Downgrade DragNDrop or CutPaste Info」
「DragNDrop or CutPaste Info Without Viewing」
「Upgrade DragNDrop or CutPaste Info」
詳細は、オンラインヘルプを参照してください。詳細な手順については、『Solaris のシステム管理: セキュリティーサービス』の「ユーザーの RBAC プロパティーを変更する方法」を参照してください。
ユーザーをシステムから削除する場合、管理者は、ユーザーのホームディレクトリと、そのユーザーが所有するオブジェクトも、確実に削除する必要があります。ユーザーの所有するオブジェクトを削除する代わりに、管理者はそのオブジェクトの所有権を有効なユーザーに変更できます。
管理者は、削除されたユーザーに関連付けられているバッチジョブも、すべて確実に削除する必要があります。削除されたユーザーに属するオブジェクトまたはプロセスがシステムに残っていないことを確認してください。
始める前に
システム管理者役割である必要があります。
適切な有効範囲のツールボックスを使用します。詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。
パスワードプロンプトが表示されます。
ユーザーのホームディレクトリとメールファイルを削除するプロンプトが表示されます。プロンプトを受け入れると、ユーザーのホームディレクトリとメールファイルが大域ゾーンでのみ削除されます。
注 - すべてのラベルで、/tmp ディレクトリのファイルなど、ユーザーの一時ファイルを検索して削除します。