Go to main content
Oracle® Solaris 11.3 でのユーザーとプロセスのセキュリティー保護

印刷ビューの終了

更新: 2016 年 11 月
 
 

権利データベース

    次のデータベースには、Oracle Solaris の権利のデータが格納されます。

  • 拡張ユーザー属性のデータベース (user_attr) ユーザーと役割を、ほかのキーワードの中でも承認、特権、権利プロファイルに関連付けます。

  • 権利プロファイル属性のデータベース (prof_attr) 権利プロファイルを定義し、そのプロファイルに割り当てられている承認、特権、およびキーワードを一覧表示し、関連するヘルプファイルを識別します

  • 承認属性のデータベース (auth_attr) 承認とその属性を定義し、関連するヘルプファイルを指定します

  • 実行属性のデータベース (exec_attr) 特定の権利プロファイルに割り当てられたセキュリティー属性を持つコマンドを識別します

policy.conf データベースには、すべてのユーザーに適用される承認、特権、および権利プロファイルが含まれます。詳細については、policy.conf ファイルを参照してください。

権利データベースおよびネームサービス

権利データベースのネームサービススコープは、ネームサービススイッチ svc:/system/name-service/switch の SMF サービスで定義されます。このサービス内での権利データベースのプロパティーは、auth_attrpassword、および prof_attr です。password プロパティーは、passwd および user_attr データベースに対するネームサービスの優先順位を設定します。prof_attr プロパティーは、prof_attr および exec_attr データベースに対するネームサービスの優先順位を設定します。

次の出力では、auth_attrpassword、および prof_attr エントリは一覧表示されていません。したがって、権利データベースは files ネームサービスを使用しています。

# svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       files
config/host                  astring       "files ldap dns"
config/printer               astring       "user files ldap"

user_attr データベース

user_attr データベースには、ユーザーと役割の情報が格納されます。これらの情報は、passwd および shadow データベースによって利用されます。attr フィールドにはセキュリティー属性が含まれ、qualifier フィールドには、セキュリティー属性の効果を 1 つのシステムまたはシステムのグループに限定または制限する属性が含まれています。

    attr フィールドのセキュリティー属性は、roleaddrolemoduseraddusermod、および profiles コマンドを使用して設定できます。ローカルに設定するか、または LDAP ネーミングスコープ内で設定できます。

  • ユーザーの場合、roles キーワードで 1 つ以上の定義された役割を割り当てます。

  • 役割の場合、roleauth キーワードの値を user にすると、その役割は役割のパスワードではなくユーザーのパスワードを使用して認証できるようになります。デフォルトでは、この値は role です。

  • ユーザーまたは役割の場合、次の属性を設定できます。

    • access_times キーワード – 指定されているアプリケーションとサービスにアクセスできる日と時間を指定します。詳細は、getaccess_times(3C) のマニュアルページを参照してください。

    • access_tz キーワード – access_times エントリの時間を解釈するときに使用する時間帯を指定します。詳細は、pam_unix_account(5) のマニュアルページを参照してください。

    • audit_flags キーワード – 監査マスクを変更します。詳細は、audit_flags(5) のマニュアルページを参照してください。

    • auths キーワード – 承認を割り当てます。詳細は、auths(1) のマニュアルページを参照してください。

    • auth_profiles キーワード – 認証権利プロファイルを割り当てます。詳細は、profiles(1) のマニュアルページを参照してください。

    • defaultpriv キーワード – デフォルトの特権の基本セットに特権を追加するか、またはそこから特権を削除します。

    • limitpriv キーワード – デフォルトの特権の制限セットに特権を追加するか、または特権を削除します。

      defaultpriv および limitpriv 特権は、ユーザーの初期プロセスに割り当てられているため常に有効です。詳細は、privileges(5) のマニュアルページと 特権の実装方法を参照してください。

    • idlecmd キーワード – idletime に達したあとでユーザーをログアウトし、画面をロックします。

    • idletime キーワード – キーボードアクティビティーが行われなかったあとでシステムが使用可能である時間を設定します。idlecmd の値を指定するときには idletime を設定します。

    • lock_after_retries キーワード – この値が yes の場合は、再試行回数が /etc/default/login ファイルで許可されている回数を超えると、システムはロックされます。詳細は、login(1) のマニュアルページを参照してください。ロックされたアカウントのロックを解除するには、passwd(1) のマニュアルページを参照してください。

    • profilesキーワード – 権利プロファイルを割り当てます。詳細は、profiles(1) のマニュアルページを参照してください。

    • project キーワード - デフォルトのプロジェクトを追加します。詳細は、project(4) のマニュアルページを参照してください。

注 -  access_times および access_tz 属性は PAM 属性であるため、認証中に検査されます。したがって、ユーザーまたは役割に直接割り当てるか、または認証権利プロファイルに含める必要があります。これらは通常の権利プロファイルでは無視されます。

修飾属性は、LDAP ネーミングスコープ内のユーザーと役割に対してのみ設定できます。これらの修飾子により、権利プロファイルなどのユーザーと役割の属性割り当てが 1 つまたは複数のシステムに限定されます。例については、useradd(1M) および user_attr(4) のマニュアルページを参照してください。

    修飾子は hostnetgroup です。

  • host 修飾子 – ユーザーまたは役割が指定されたアクションを実行できるシステムを識別します。

  • netgroup 修飾子 – ユーザーまたは役割が指定されたアクションを実行できるシステムを一覧表示します。host 割り当ては、netgroup よりも優先されます。

詳細は、user_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent user_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページとOracle Solaris の権利の一覧表示を参照してください。

auth_attr データベース

auth_attr データベースには、承認定義が格納されます。承認は、ユーザー、役割、権利プロファイルに割り当てることができます。承認を権利プロファイルに配置してから、その権利プロファイルを役割またはユーザーに割り当てる方法が推奨されます。

このデータベースの内容を表示するには、getent auth_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページとOracle Solaris の権利の一覧表示を参照してください。

prof_attr データベース

prof_attr データベースには、権利プロファイルに割り当てる名前、説明、ヘルプファイルの場所、特権、および承認が格納されます。権利プロファイルに割り当てられたコマンドとセキュリティー属性は、exec_attr データベースに格納されます。詳細については、exec_attr データベースを参照してください。

詳細は、prof_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent exec_attr コマンドを使用します。詳細は、getent(1M) のマニュアルページとOracle Solaris の権利の一覧表示を参照してください。

exec_attr データベース

exec_attr データベースでは、成功するためにセキュリティー属性を必要とするコマンドが定義されます。このコマンドは、権利プロファイルの一部です。セキュリティー属性を指定したコマンドは、プロファイルが割り当てられている役割またはユーザーが実行できます。

詳細は、exec_attr(4) のマニュアルページを参照してください。このデータベースの内容を表示するには、getent コマンドを使用します。詳細は、getent(1M) のマニュアルページとOracle Solaris の権利の一覧表示を参照してください。

policy.conf ファイル

    /etc/security/policy.conf ファイルは、特定の権利プロファイル、特定の承認、および特定の特権をすべてのユーザーに付与する方法を定義します。ファイル内の関連するエントリは、key=value のペアから構成されます。

  • AUTHS_GRANTED=authorizations – 1 つまたは複数の承認を示します。

  • AUTH_PROFS_GRANTED=rights profiles – 1 つまたは複数の認証権利プロファイルを示します。

  • PROFS_GRANTED=rights profiles – 1 つまたは複数の未認証の権利プロファイルを示します。

  • CONSOLE_USER=Console User – Console User 権利プロファイルを示します。このプロファイルは、便利な承認セットとともにコンソールユーザーに提供されます。このプロファイルはカスタマイズできます。

  • PRIV_DEFAULT=privileges – 1 つまたは複数の特権を示します。

  • PRIV_LIMIT=privileges – すべての特権を示します。

次の例では、policy.conf データベースの権利値をいくつか示します。

## 
AUTHS_GRANTED=
AUTH_PROFS_GRANTED=
CONSOLE_USER=Console User
PROFS_GRANTED=Basic Solaris User
#PRIV_DEFAULT=basic
#PRIV_LIMIT=all
Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ