ユーザーおよびプロセスの権利の管理は、システム配備の管理に不可欠となることがあります。計画を行うには、組織のセキュリティー要件に関する詳細な知識と、Oracle Solaris での権利を理解しておく必要があります。このセクションでは、サイトでの権利使用の計画の一般的なプロセスを説明します。
権利に関する基本概念を理解します。
Chapter 1, 権利を使用したユーザーとプロセスの制御についてを参照してください。権利を使用したシステムの管理は、従来の UNIX 管理方法を使用する場合と大幅に異なります。
セキュリティーポリシーを調査します。
組織のセキュリティーポリシーでは、システムに対する潜在的な脅威を詳細に記述し、各脅威のリスクを評価して、それらの脅威に対抗するための方策を提供します。この戦略の一環として、権利を使用してセキュリティー関連タスクを切り離すことがあります。
たとえば、サイトでセキュリティー管理とセキュリティー以外の管理を切り分ける必要がある場合などです。責務分離の実施については、Example 3–3 を参照してください。
セキュリティーポリシーで Authorization Rules Managed On RBAC (ARMOR) を使用する場合は、ARMOR パッケージをインストールして使用する必要があります。Oracle Solaris での使用については、Example 3–1 を参照してください。
デフォルトの権利プロファイルを確認します。
デフォルトの権利プロファイルには、タスクの実行に必要な権利がまとめられています。使用可能な権利プロファイルを確認するには、権利プロファイルの一覧表示を参照してください。
役割を使用するか、またはユーザーに権利プロファイルを直接割り当てるかを決定します。
役割では、権利の管理が容易になります。役割名は、その役割が実行できるタスクを識別し、ユーザー権利から役割権利を切り離します。役割を使用する場合には 3 つのオプションがあります。
ARMOR パッケージをインストールできます (この場合 Authorization Roles Managed on RBAC (ARMOR) 標準により定義される 7 つの役割がインストールされます)。Example 3–1 を参照してください。
ユーザー独自の役割を定義したり、ARMOR 役割を使用したりできます。役割の作成および Example 3–1 を参照してください。
ユーザー独自の役割を定義し、ARMOR 役割は使用しないでおくことができます。役割の作成を参照してください。
サイトで役割が不要な場合は、権利プロファイルをユーザーに直接割り当てることができます。ユーザーが各自の権利プロファイルから管理タスクを実行するときにパスワードを求めるには、認証権利プロファイルを使用します。Example 3–11 を参照してください。
追加の権利プロファイルを作成する必要があるかどうかを判断します。
使用するサイトで、アクセスを制限する必要があるアプリケーションを調べます。セキュリティーに影響するアプリケーション、サービス拒否の問題を発生させる可能性のあるアプリケーション、特別な管理者教育を必要とするアプリケーションには、権利を使用することをお勧めします。たとえば Sun Ray システムのユーザーには、すべての基本特権が必要であるわけではありません。ユーザーを制限する権利プロファイルの例については、Example 3–22 を参照してください。
新しいタスクに必要な権利を決定します。
既存の権利プロファイルがこのタスクに対して適切であるかどうかを判断します。
コマンドがその必要な特権を使用して実行されるように権利プロファイルを順序付けます。
順序付けについては、割り当てられた権利の検索順序を参照してください。
どのユーザーにどの権利を割り当てるかを決定します。
最少特権の原則に従って、ユーザーの信頼レベルに適した役割にユーザーを割り当てます。実行する必要のないタスクをユーザーが実行できないようにすると、問題が発生する可能性が減少します。
計画が完成したら、権利プロファイルまたは役割を割り当てることができる信頼できるユーザーのログインを作成します。ユーザーの作成の詳細については、Oracle Solaris 11.2 のユーザーアカウントとユーザー環境の管理 のCLI を使用したユーザーアカウントの設定と管理のタスクマップを参照してください。
権利を割り当てるには、ユーザーへの権利の割り当ての手順から開始します。以降のセクションでは、権利の拡張、権利の制限、リソースへの権利の割り当て、および権利割り当てのトラブルシューティングの例を示します。