Oracle® Solaris 11.2 でのユーザーとプロセスのセキュリティー保護

印刷ビューの終了

更新: 2014 年 7 月
 
 

user_attr データベース

user_attr データベースには、ユーザーと役割の情報が格納されます。これらの情報は、passwd および shadow データベースによって利用されます。attr フィールドにはセキュリティー属性が含まれ、qualifier フィールドには、セキュリティー属性の効果を 1 つのシステムまたはシステムのグループに限定または制限する属性が含まれています。

    attr フィールドのセキュリティー属性は、roleaddrolemoduseraddusermod、および profiles コマンドを使用して設定できます。ローカルに設定するか、または LDAP ネーミングスコープ内で設定できます。

  • ユーザーの場合、roles キーワードで 1 つ以上の定義された役割を割り当てます。

  • 役割の場合、roleauth キーワードの値を user にすると、その役割は役割のパスワードではなくユーザーのパスワードを使用して認証できるようになります。デフォルトでは、この値は role です。

  • ユーザーまたは役割の場合、次の属性を設定できます。

    • access_times キーワード – 指定されているアプリケーションとサービスにアクセスできる日と時間を指定します。詳細は、getaccess_times(3C) のマニュアルページを参照してください。

    • access_tz キーワード – access_times エントリの時間を解釈するときに使用する時間帯を指定します。詳細は、pam_unix_account(5) のマニュアルページを参照してください。

    • audit_flags キーワード – 監査マスクを変更します。詳細は、audit_flags(5) のマニュアルページを参照してください。

    • auths キーワード – 承認を割り当てます。詳細は、auths(1) のマニュアルページを参照してください。

    • auth_profiles キーワード – 認証権利プロファイルを割り当てます。詳細は、profiles(1) のマニュアルページを参照してください。

    • defaultpriv キーワード – デフォルトの特権の基本セットに特権を追加するか、または特権を削除します。

    • limitpriv キーワード – デフォルトの特権の制限セットに特権を追加するか、または特権を削除します。

      defaultpriv および limitpriv 特権は、ユーザーの初期プロセスに割り当てられているため常に有効です。詳細は、privileges(5) のマニュアルページと 特権の実装方法を参照してください。

    • idlecmd キーワード – idletime に達したあとでユーザーをログアウトし、画面をロックします。

    • idletime キーワード – キーボードアクティビティーが行われなかったあとでシステムが使用可能である時間を設定します。idlecmd の値を指定するときには idletime を設定します。

    • lock_after_retries キーワード –値が yes の場合、再試行回数が /etc/default/login ファイルで許可されている回数を超えると、システムはロックされます。詳細は、login(1) のマニュアルページを参照してください。

    • profilesキーワード – 権利プロファイルを割り当てます。詳細は、profiles(1) のマニュアルページを参照してください。

    • project キーワード - デフォルトのプロジェクトを追加します。詳細は、project(4) のマニュアルページを参照してください。


注 -  access_times および access_tz 属性は PAM 属性であるため、認証中に検査されます。したがって、ユーザーまたは役割に直接割り当てるか、または認証権利プロファイルに含める必要があります。これらは通常の権利プロファイルでは無視されます。

修飾属性は、LDAP ネーミングスコープ内のユーザーと役割に対してのみ設定できます。これらの修飾子により、権利プロファイルなどのユーザーと役割の属性割り当てが 1 つまたは複数のシステムに限定されます。例については、useradd(1M) および user_attr(4) のマニュアルページを参照してください。

    修飾子は hostnetgroup です。

  • host 修飾子 – ユーザーまたは役割が指定されたアクションを実行できるシステムを識別します。

  • netgroup 修飾子 – ユーザーまたは役割が指定されたアクションを実行できるシステムを一覧表示します。host 割り当ては、netgroup よりも優先されます。

詳細は、user_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent user_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページと Chapter 6, Oracle Solaris の権利の一覧表示を参照してください。