権利プロファイルと役割の使用

言語:

注意 - usermod および rolemod コマンドを使用して承認、権利プロファイル、または役割を追加する際は、注意してください。

Oracle Solaris 10 OS の場合、usermod または rolemod コマンドは既存の値を置き換えます。値を置き換える代わりに追加するには、既存の値と新しい値のコンマ区切りのリストを指定します。
Oracle Solaris 11 OS の場合は、追加する承認ごとにプラス記号 (+) を使用して値を追加します。たとえば、usermod -A +auth username コマンドは、rolemod コマンドと同様に、auth 承認を username ユーザーに付与します。

ユーザー権利プロファイルの管理

次の手順は、ローカルファイルを使用してシステム上のユーザー権利プロファイルを管理する方法を示しています。ネームサービスでユーザープロファイルを管理するには、System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) を参照してください。

権利プロファイルをユーザーに割り当てる方法

LDoms Management プロファイルが直接割り当てられているユーザーは、セキュリティー属性を指定して ldm コマンドを実行するために、プロファイルシェルを起動する必要があります。詳細は、System Administration Guide: Security Services またはOracle Solaris 11.1 Administration: Security Services のパート IIIRoles, Rights Profiles, and Privilegesを参照してください。

管理者になります。
- Oracle Solaris 10 の場合は、System Administration Guide: Security Services のConfiguring RBAC (Task Map)を参照してください。
- Oracle Solaris 11.2 については、Securing Users and Processes in Oracle Solaris 11.2 の第 1 章About Using Rights to Control Users and Processesを参照してください。
管理プロファイルをローカルユーザーアカウントに割り当てます。
LDoms Review プロファイルまたは LDoms Management プロファイルのいずれかをユーザーアカウントに割り当てることができます。
```
# usermod -P "profile-name" username
```
次のコマンドは、LDoms Management プロファイルをユーザー sam に割り当てます。
```
# usermod -P "LDoms Management" sam
```

ユーザーへの役割の割り当て

次の手順は、ローカルファイルを使用して役割を作成し、ユーザーに割り当てる方法を示しています。ネームサービスで役割を管理するには、System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) を参照してください。

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になれることです。役割にパスワードが割り当てられている場合は、その役割になるときにパスワードが必要です。次の 2 つのセキュリティー階層は、パスワードを保有するユーザーが、割り当てられていない役割になることを防止します。

役割を作成し、ユーザーにその役割を割り当てる方法

管理者になります。
- Oracle Solaris 10 の場合は、System Administration Guide: Security Services のConfiguring RBAC (Task Map)を参照してください。
- Oracle Solaris 11.2 については、Securing Users and Processes in Oracle Solaris 11.2 の第 1 章About Using Rights to Control Users and Processesを参照してください。
役割を作成します。
```
# roleadd -P "profile-name" role-name
```
役割にパスワードを割り当てます。
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
```
# passwd role-name
```
ユーザーに役割を割り当てます。
```
# useradd -R role-name username
```
ユーザーにパスワードを割り当てます。
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
```
# passwd username
```
必要に応じてそのユーザーになり、パスワードを入力します。
```
# su username
```
ユーザーが割り当てられた役割にアクセスできることを確認します。
```
$ id
uid=nn(username) gid=nn(group-name)
$ roles
role-name
```
必要に応じてその役割になり、パスワードを入力します。
```
$ su role-name
```
ユーザーがその役割になったことを確認します。
```
$ id
uid=nn(role-name) gid=nn(group-name)
```

使用例 2-1 役割の作成とユーザーへの割り当て

次の例では、ldm_read の役割を作成し、その役割を user_1 ユーザーに割り当てて user_1 ユーザーになり、ldm_read の役割を引き受けます。

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password:
Re-enter new Password:
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password:
Re-enter new Password:
passwd: password successfully changed for user_1
# su user_1
Password:
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password:
$ id
uid=99667(ldm_read) gid=14(sysadmin)