システムアクセスの制限とモニターで説明した初期ユーザーと同様に、ユーザーには特権、権利プロファイル、および承認の基本セットが /etc/security/policy.conf ファイルから割り当てられます。これらの権利は構成可能です。ユーザーの基本的な権利を拒否したり、権利を増やしたりできます。
Oracle Solaris は、パスワードに対する柔軟な複雑性の要件、異なるサイト要件に応じて構成可能な認証、および権利プロファイル、承認、特権を使用して管理者権限を信頼できるユーザーに制限および配布するユーザー権利管理によって、ユーザーを保護します。さらに、役割と呼ばれる特殊な共有アカウントによって、ユーザーがその役割を引き受けたときに、該当する管理者権限だけがそのユーザーに割り当てられます。ARMOR (Authorization Rules Managed On RBAC) パッケージは、事前定義された役割を提供します。
強力なユーザーパスワードは、ブルートフォースの推測を伴う攻撃を防止するために役立ちます。Oracle Solaris は、業界標準とサイト要件に合ったユーザーパスワードを構成するために使用できるいくつかの機能を提供します。
詳細については、次を参照してください。
Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の ログイン制御の管理
Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の ログインとパスワードのセキュリティー
選択したマニュアルページには、passwd(1) および crypt.conf(4) が含まれています。
プラグイン可能認証モジュール (PAM) フレームワークを使用すると、管理者は認証を要求するサービスを変更せずに、アカウント、資格、セッション、およびパスワードのユーザー認証要件を調整および構成できます。
PAM フレームワークを使用すると、組織がアカウント、セッション、およびパスワード管理機能に加えて、ユーザー認証エクスペリエンスもカスタマイズできます。login や ssh などのシステムエントリサービスは、新規にインストールされたシステムのすべてのエントリポイントをセキュリティー保護するために PAM フレームワークを使用します。PAM では、フィールド内の認証モジュールを交換または変更することによって、PAM フレームワークを使用するシステムサービスを変更せずに、新たに見つかった弱点からシステムをセキュリティー保護できます。
Oracle Solaris は、ほとんどのサイトポリシーに対応するさまざまな PAM モジュールと構成のセットを提供します。詳細については、次を参照してください。
Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の 第 1 章, プラグイン可能認証モジュールの使用
Oracle Solaris 11 セキュリティーサービス開発ガイド の PAM サービスを使用するアプリケーションの記述
pam.conf(4) のマニュアルページ
Oracle Solaris のユーザー権利は、最小特権のセキュリティー原則に準拠します。組織は、組織固有のニーズと要件に従って、ユーザーまたは役割に管理者権限を選択的に付与できます。また、必要に応じてユーザーに対する権利を拒否することもできます。権利は、プロセスに対する特権と、ユーザーまたは SMF メソッドに対する承認として実装されます。権利プロファイルは、特権と承認を集めて関連する権利のバンドルを作成するための便利な方法を提供します。
詳細については、次を参照してください。
選択したマニュアルページには、auths(1)、privileges(5)、profiles(1)、rbac(5)、roleadd(1M)、roles(1)、および user_attr(4) が含まれています。