Oracle Solaris の権利機能を使用してシステムを管理している場合は、ネットワーク管理の役割またはネットワークセキュリティーの役割を提供するためにこの手順を使用します。
始める前に
役割を作成して割り当てるには、root 役割になる必要があります。標準ユーザーは、使用可能な権利プロファイルの内容を一覧表示できます。
% getent prof_attr | grep Network | more ... Network Management:RO::Manage the host and network configuration... Network Security:RO::Manage network and host security...:profiles=Network Wifi Security,Network Link Security,Network IPsec Management... Network Wifi Management:RO::Manage wifi network configuration... Network Wifi Security:RO::Manage wifi network security... Network Link Security:RO::Manage network link security... Network IPsec Management:RO::Manage IPsec and IKE... System Administrator:RO::Can perform most non-security administrative tasks: profiles=...Network Management... Information Security:RO::Maintains MAC and DAC security policies: profiles=...Network Security...
Network Management プロファイルは、System Administrator プロファイルを補完するプロファイルです。System Administrator 権利プロファイルを役割に含めると、その役割は Network Management プロファイルでコマンドを実行できます。
% profiles -p "Network Management" info ... cmd=/usr/sbin/dladm cmd=/usr/sbin/dlstat ... cmd=/usr/sbin/svcadm cmd=/usr/sbin/svccfg cmd=/usr/sbin/dumpcap
決定には、Step 1 の権利プロファイルの定義を参考にしてください。
すべてのネットワークセキュリティーを扱う役割を作成する場合は、Network Security 権利プロファイルを使用します。
IPsec と IKE だけを扱う役割を作成するには、Network IPsec Management 権利プロファイルを使用します。
ネットワーク管理とセキュリティーを処理する役割を作成するには、Network Management プロファイルに加えて、Network Security または Network IPsec Management 権利プロファイルを使用します。
手順については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 役割の作成および使用例 35を参照してください。
この例では、管理者が Network Management と Network Security という 2 つの権利プロファイルを 1 つの役割に割り当てます。次に、管理者は信頼できるユーザーにこの役割を割り当てます。
# roleadd -c "Network Mgt and Security" \ -S ldap -K profiles="Network Management Plus" netmgtsec # passwd netmgtsec New Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -R netmgtsec jdoe
ユーザー jdoe が netmgtsec 役割になると、jdoe はこれらのプロファイルの権利を利用できるようになります。
% su - netmgtsec Password: xxxxxxxx #使用例 34 ネットワークセキュリティーの責任を役割に振り分ける
この例では、管理者がネットワークセキュリティーの責任を 2 つの役割に振り分けます。一方の役割は Wifi とリンクのセキュリティーを管理し、もう一方の役割は IPsec と IKE を管理します。各役割には、シフトごとに 1 人、合計 3 人を割り当てます。
管理者によって次のように役割が作成されます。
最初の役割には LinkWifi という名前を付けます。
この役割には Network Wifi、Network Link Security、および Network Management 権利プロファイルを割り当てます。
管理者は該当するユーザーにこの LinkWifi 役割を割り当てます。
2 番目の役割には IPsec Administrator という名前を付けます。
この役割には Network IPsec Management および Network Management 権利プロファイルを割り当てます。
管理者は該当するユーザーにこの IPsec Administrator 役割を割り当てます。
この例では、管理者が 1 人のユーザーに IPsec を構成および管理する役割を与えます。
Network Management と IPsec Network Management の権利プロファイルに加えて、管理者はユーザーに hosts ファイルを編集する権限とそのログを読み取る権限を与えます。
管理者は、ファイル編集用とログ読み取り用の 2 つの権利プロファイルを作成します。
# profiles -p -S LDAP "Hosts Configuration" profiles:Network Configuration> set desc="Edits root-owned network files" ...Configuration> add auth=solaris.admin.edit/etc/hosts ...Configuration> commit ...Configuration> end ...Configuration> exit # profiles -p -S LDAP "Read Network Logs" profiles:Read Network Logs> set desc="Reads root-owned network log files" ...Logs> add cmd=/usr/bin/more ...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/* ...Logs:more>set privs={file_dac_read}:/var/log/ikev2/* ...Logs:more> set privs={file_dac_read}:/etc/inet/ike/* ...Logs:more> set privs={file_dac_read}:/etc/inet/secret/* ...Logs:more>end ...Logs> add cmd=/usr/bin/tail ...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/* ...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/* ...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/* ...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/* ...Logs:tail>end ...Logs> add cmd=/usr/bin/page ...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/* ...Logs:page>set privs={file_dac_read}:/var/log/ikev2/* ...Logs:page>set privs={file_dac_read}:/etc/inet/ike/* ...Logs:page> set privs={file_dac_read}:/etc/inet/secret/* ...Logs:page>end ...Logs> exit
この権利プロファイルによって、ユーザーは more、tail、および page コマンドを使用してログを読み取れるようになります。cat コマンドと head コマンドは使用できません。
管理者は、ユーザーが IPsec とその鍵サービスのすべての構成および管理タスクを実行できる権利プロファイルを作成します。
# profiles -p "Site Network Management" profiles:Site Network Management> set desc="Handles all network files and logs" ...Management> add profiles="Network Management" ...Management> add profiles="Network IPsec Management" ...Management> add profiles="Hosts Configuration" ...Management> add profiles="Read Network Logs" ...Management> commit; end; exit
管理者はプロファイルの役割を作成し、それにパスワードを割り当ててから、ネットワーキングとセキュリティーを理解している信頼できるユーザーにその役割を割り当てます。
# roleadd -S LDAP -c "Network Management Guru" \ -m -K profiles="Site Network Management" netadm # passwd netadm Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -S LDAP -R +netadm jdoe
帯域外で、管理者は jdoe に役割のパスワードを渡します。