Oracle® Solaris 11.2 でのネットワークのセキュリティー保護

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

ネットワークセキュリティーの役割を構成する方法

Oracle Solaris の権利機能を使用してシステムを管理している場合は、ネットワーク管理の役割またはネットワークセキュリティーの役割を提供するためにこの手順を使用します。

始める前に

役割を作成して割り当てるには、root 役割になる必要があります。標準ユーザーは、使用可能な権利プロファイルの内容を一覧表示できます。

  1. 使用可能なネットワーク関連の権利プロファイルを一覧表示します。 
    % getent prof_attr | grep Network | more
...
Network Management:RO::Manage the host and network configuration...
Network Security:RO::Manage network and host security...:profiles=Network Wifi
Security,Network Link Security,Network IPsec Management...
Network Wifi Management:RO::Manage wifi network configuration...
Network Wifi Security:RO::Manage wifi network security...
Network Link Security:RO::Manage network link security...
Network IPsec Management:RO::Manage IPsec and IKE...
System Administrator:RO::Can perform most non-security administrative tasks:
profiles=...Network Management...
Information Security:RO::Maintains MAC and DAC security policies:
profiles=...Network Security...

    Network Management プロファイルは、System Administrator プロファイルを補完するプロファイルです。System Administrator 権利プロファイルを役割に含めると、その役割は Network Management プロファイルでコマンドを実行できます。

  2. Network Management 権利プロファイル内のコマンドを一覧表示します。 
    % profiles -p "Network Management" info
...
cmd=/usr/sbin/dladm
cmd=/usr/sbin/dlstat
...
cmd=/usr/sbin/svcadm
cmd=/usr/sbin/svccfg
cmd=/usr/sbin/dumpcap
  3. サイトでのネットワークセキュリティーの役割の範囲を決定します。

      決定には、Step 1 の権利プロファイルの定義を参考にしてください。

    • すべてのネットワークセキュリティーを扱う役割を作成する場合は、Network Security 権利プロファイルを使用します。

    • IPsec と IKE だけを扱う役割を作成するには、Network IPsec Management 権利プロファイルを使用します。

    • ネットワーク管理とセキュリティーを処理する役割を作成するには、Network Management プロファイルに加えて、Network Security または Network IPsec Management 権利プロファイルを使用します。

  4. 役割を作成して、その役割を 1 人または複数のユーザーに割り当てます。

    手順については、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の役割の作成およびExample 7–7 を参照してください。

使用例 7-5  ネットワーク管理およびセキュリティーの役割の作成と割り当て

この例では、管理者が Network Management と Network Security という 2 つの権利プロファイルを 1 つの役割に割り当てます。次に、管理者は信頼できるユーザーにこの役割を割り当てます。

# roleadd -c "Network Mgt and Security" \
-S ldap -K profiles="Network Management Plus" netmgtsec
# passwd netmgtsec
New Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -R netmgtsec jdoe

ユーザー jdoenetmgtsec 役割になると、jdoe はこれらのプロファイルの権利を利用できるようになります。

% su - netsecmgt
Password: xxxxxxxx
#
使用例 7-6  ネットワークセキュリティーの責任を役割に振り分ける

この例では、管理者がネットワークセキュリティーの責任を 2 つの役割に振り分けます。一方の役割は Wifi とリンクのセキュリティーを管理し、もう一方の役割は IPsec と IKE を管理します。各役割には、シフトごとに 1 人、合計 3 人を割り当てます。

    管理者によって次のように役割が作成されます。

  1. 最初の役割には LinkWifi という名前を付けます。

  2. この役割には Network Wifi、Network Link Security、および Network Management 権利プロファイルを割り当てます。

  3. 管理者は該当するユーザーにこの LinkWifi 役割を割り当てます。

  4. 2 番目の役割には IPsec Administrator という名前を付けます。

  5. この役割には Network IPsec Management および Network Management 権利プロファイルを割り当てます。

  6. 管理者は該当するユーザーにこの IPsec Administrator 役割を割り当てます。

使用例 7-7  信頼できるユーザーに IPsec を構成および管理する権限を与える

この例では、管理者が 1 人のユーザーに IPsec を構成および管理する役割を与えます。

Network Management と IPsec Network Management の権利プロファイルに加えて、管理者はユーザーに hosts ファイルを編集する権限とそのログを読み取る権限を与えます。

  1. 管理者は、ファイル編集用とログ読み取り用の 2 つの権利プロファイルを作成します。

    # profiles -p -S LDAP "Hosts Configuration"
profiles:Network Configuration> set desc="Edits root-owned network files"
...Configuration> add auth=solaris.admin.edit/etc/hosts
...Configuration> commit
...Configuration> end
...Configuration> exit

# profiles -p -S LDAP "Read Network Logs"
profiles:Read Network Logs> set desc="Reads root-owned network log files"
...Logs> add cmd=/usr/bin/more
...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:more>end
...Logs> add cmd=/usr/bin/tail
...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:tail>end
...Logs> add cmd=/usr/bin/page
...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:page>end
...Logs> exit

    この権利プロファイルによって、ユーザーは moretail、および page コマンドを使用してログを読み取れるようになります。cat コマンドと head コマンドは使用できません。

  2. 管理者は、ユーザーが IPsec とその鍵サービスのすべての構成および管理タスクを実行できる権利プロファイルを作成します。

    # profiles -p "Site Network Management"
profiles:Site Network Management> set desc="Handles all network files and logs"
...Management> add profiles="Network Management"
...Management> add profiles="Network IPsec Management"
...Management> add profiles="Hosts Configuraton"
...Management> add profiles="Read Network Logs"
...Management> commit; end; exit

  3. 管理者はそのプロファイルの役割を作成し、役割にパスワードを割り当て、ネットワーキングとセキュリティーを理解している信頼できるユーザーにその役割を割り当てます。

    # roleadd -S LDAP -c "Network Management Guru" \
-m -K profiles="Site Network Management" netadm
# passwd netadm
Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -S LDAP -R +netadm jdoe

  4. 帯域外で、管理者は jdoe に役割のパスワードを渡します。

Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ