ユーザーアカウントが作成されると、セキュリティー管理者は、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。
ユーザーにセキュリティー属性を割り当てるときには、次の情報を考慮してください。
システム管理者は、ユーザーアカウントの作成時にアカウントにパスワードを割り当てることができます。この初期割り当てのあと、セキュリティー管理者またはユーザーはパスワードを変更できます。
Oracle Solaris の場合と同様に、ユーザーに定期的なパスワードの変更を強制できます。パスワードの有効期限オプションは、パスワードを推測または盗むことができる侵入者がシステムにアクセスできる期間を制限します。変更が可能になるまでの最低期間を設定すると、新しいパスワードに変更したユーザーがすぐに古いパスワードに戻すのを防ぐこともできます。詳細は、passwd(1) のマニュアルページを参照してください。
1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。
Oracle Solaris OS と同様、承認をユーザーに割り当てると、これらの承認は既存の承認に追加されます。スケーラビリティーを確保するため、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てます。
Oracle Solaris OS と同様に、権利プロファイルの順序は重要です。プロファイルメカニズムでは、承認を除いて、割り当て済みセキュリティー属性の最初のインスタンスの値が使用されます。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられた権利の検索順序を参照してください。
プロファイルの整列順を利用できます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。
多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、ユーザーの特権セットを制限するを参照してください。
ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。
Oracle Solaris OS と同様に、ユーザーに監査クラスを割り当てると、そのユーザーの事前選択マスクが変更されます。監査の詳細は、Oracle Solaris 11.2 での監査の管理 およびChapter 22, Trusted Extensions と監査を参照してください。