提供される権利プロファイルに必要な権利の集合が含まれていない場合は、権利プロファイルを作成または変更できます。限られた権利を持つユーザー、新しいアプリケーション、あるいはそのほかの目的で権利プロファイルを作成できます。
Oracle Solaris が提供する権利プロファイルは読み取り専用です。提供される権利プロファイルの一連の権利では不十分な場合は、その権利プロファイルをクローニングできます。たとえば、提供される権利プロファイルに solaris.admin.edit/path-to-system-file 承認を追加できます。背景情報については、権利プロファイルの詳細を参照してください。
提供される承認に、特権付きアプリケーションでコーディングされている承認が含まれていない場合は、承認を作成できます。既存の承認は変更できません。背景情報については、ユーザー承認に関する詳細を参照してください。
始める前に
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
# profiles -p [-S repository] profile-name
説明を入力するよう求められます。
1 つの値を持つプロファイルプロパティーには set サブコマンドを使用します (set desc など)。複数の値を指定できるプロパティーには add サブコマンドを使用します (add cmd など)。
次のコマンドは、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の 変更された PAM ポリシーを割り当てる方法 のカスタム PAM 権利プロファイルを作成します。読みやすくするため、名前が短縮されています。
# profiles -p -S LDAP "Site PAM LDAP" profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap" ...LDAP> set pam_policy=ldap ...LDAP> commit ...LDAP> end ...LDAP> exit
この例では、管理者は、LDAP リポジトリ内に Sun Ray ユーザーのための権利プロファイルを作成します。管理者は、すでに Basic Solaris User 権利プロファイルの Sun Ray バージョンを作成し、Sun Ray サーバー上の policy.conf ファイルからすべての権利プロファイルを削除しています。
# profiles -p -S LDAP "Sun Ray Users" profiles:Sun Ray Users> set desc="For all users of Sun Rays" ... Ray Users> add profiles="Sun Ray Basic User" ... Ray Users> set defaultpriv="basic,!proc_info" ... Ray Users> set limitpriv="basic,!proc_info" ... Ray Users> end ... Ray Users> exit
管理者は、内容を確認します。
# profiles -p "Sun Ray Users" info
Found profile in LDAP repository.
name=Sun Ray Users
desc=For all users of Sun Rays
defaultpriv=basic,!proc_info,
limitpriv=basic,!proc_info,
profiles=Sun Ray Basic User
使用例 46 特権付きコマンドを含む権利プロファイルの作成
この例では、セキュリティー管理者は、その管理者が作成した権利プロファイル内のアプリケーションに特権を追加します。このアプリケーションは特権を認識できます。
# profiles -p SiteApp profiles:SiteApp> set desc="Site application" profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd" profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid" profiles:SiteApp:site-cmd> end profiles:SiteApp> exit
確認するには、管理者は site-cmd を選択します。
# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end" Found profile in files repository. id=/opt/site-app/bin/site-cmd privs=proc_fork,proc_taskid
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12および 使用例 22を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。
始める前に
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
# profiles -p [-S repository] existing-profile-name
この例では、管理者がサイトの IPsec Management 権利プロファイルに solaris.admin.edit 承認を追加し、これにより root 役割が不要になります。この権利プロファイルは、信頼されており /etc/hosts ファイルを変更できるユーザーだけに割り当てられます。
管理者は、Network IPsec Management 権利プロファイルを変更できないことを確認します。
# profiles -p "Network IPsec Management" profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts" Cannot add. Profile cannot be modified
管理者は、Network IPsec Management プロファイルを含む権利プロファイルを作成します。
# profiles -p "Total IPsec Mgt" ... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts" ... IPsec Mgt> add profiles="Network IPsec Management" ... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts" ... IPsec Mgt> end ... IPsec Mgt> exit
管理者は、内容を確認します。
# profiles -p "Total IPsec Mgt" info
name=Total IPsec Mgt
desc=Network IPsec Mgt plus /etc/hosts
auths=solaris.admin.edit/etc/hosts
profiles=Network IPsec Management
この例では、管理者は VSCAN サービスのプロパティーの管理を、このサービスを有効および無効にする機能から分離します。
最初に、管理者は、Oracle Solaris が提供する権利プロファイルの内容を一覧表示します。
# profiles -p "VSCAN Management" info
name=VSCAN Management
desc=Manage the VSCAN service
auths=solaris.smf.manage.vscan,solaris.smf.value.vscan,
solaris.smf.modify.application
help=RtVscanMngmnt.html
次に、管理者はサービスを有効化および無効化できる権利プロファイルを作成します。
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Control" profiles:VSCAN Control> set desc="Start and stop the VSCAN service" ... VSCAN Control> remove auths="solaris.smf.value.vscan" ... VSCAN Control> remove auths="solaris.smf.modify.application" ... VSCAN Control> end ... VSCAN Control> exit
次に、管理者は、サービスのプロパティーを変更できる権利プロファイルを作成します。
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Properties" profiles:VSCAN Properties> set desc="Modify VSCAN service properties" ... VSCAN Properties> remove auths="solaris.smf.manage.vscan" ... VSCAN Properties> end ... VSCAN Properties> exit
管理者は、新しい権利プロファイルの内容を確認します。
# profiles -p "VSCAN Control" info
name=VSCAN Control
desc=Start and stop the VSCAN service
auths=solaris.smf.manage.vscan
# profiles -p "VSCAN Properties" info
name=VSCAN Properties
desc=Modify VSCAN service properties
auths=solaris.smf.value.vscan,solaris.smf.modify.application
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12および 使用例 22を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。
始める前に
開発者は、ユーザーがインストールするアプリケーションで承認を定義および使用しています。手順については、Oracle Solaris 11 セキュリティーサービス開発ガイド の 承認についてを参照してください。
たとえば、ユーザーがアプリケーション内のデータを変更できるようにするための承認のヘルプファイルを作成します。
# pfedit /docs/helps/NewcoSiteAppModData.html
<HTML>
-- Copyright 2015 Newco. All rights reserved.
-- NewcoSiteAppModData.html
-->
<HEAD>
<TITLE>NewCo Modify SiteApp Data Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.siteapp.data.modify authorization authorizes you
to modify existing data in the application.
<p>
Only authorized accounts are permitted to modify data.
Use this authorization with care.
<p>
</BODY>
</HTML>
たとえば次のコマンドは、com.newco.siteapp.data.modify 承認をローカルシステムに作成します。
# auths add -t "SiteApp Data Modify Authorized" \ -h /docs/helps/NewcoSiteAppModData.html com.newco.siteapp.data.modify
これで承認をテストし、権利プロファイルに追加し、役割またはユーザーにそのプロファイルを割り当てることができます。
この例では、管理者が使用例 46の SiteApp 権利プロファイルを使用して com.newco.siteapp.data.modify 承認をテストします。
# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1
テストが正常に完了したら、管理者は承認を削除します。
# rolemod -A-=com.newco.siteapp.data.modify siteapptester
保守を容易にするため、管理者は使用例 50の SiteApp 権利プロファイルにこの承認を追加します。
使用例 50 権利プロファイルへの承認の追加承認が適切に機能することをテストしたら、セキュリティー管理者は com.newco.siteapp.data.modify 承認を既存の権利プロファイルに追加します。使用例 46に、管理者がプロファイルを作成した方法を示します。
# profiles -p "SiteApp" profiles:SiteApp> add auths="com.newco.siteapp.data.modify" profiles:SiteApp> end profiles:SiteApp> exit
確認するために、管理者はプロファイルの内容を一覧表示します。
# profiles -p SiteApp Found profile in files repository. id=/opt/site-app/bin/site-cmd auths=com.newco.siteapp.data.modify
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12および 使用例 22を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。