新しいデバイス承認を作成する

言語:

デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。

割り当て可能なデバイスへのアクセスをすべて拒否するには、使用例 52を参照してください。新しい承認を作成して使用するには、使用例 54を参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

(オプション)新しいデバイス承認ごとにヘルプファイルを作成します。
ヘルプファイルは HTML 形式です。命名規則は AuthName.html で、たとえば DeviceAllocateCD.html となります。

デバイス承認を作成します。

# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name

新しい承認を適切な権利プロファイルに追加します。

# profiles rights-profile
profiles:rights-profile > add auths="authorization-name"...

そのプロファイルをユーザーと役割に割り当てます。

# usermod -P "rights-profile" username
# rolemod -P "rights-profile" rolename

承認を使用して、選択したデバイスへのアクセスを制限します。
デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、Trusted Extensions でサイト固有の承認をデバイスに追加するを参照してください。

使用例 53 きめ細かいデバイス承認の作成

この例で、NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。

最初に、管理者は次のヘルプファイルを作成します。

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

次に、管理者はテンプレートヘルプファイルを作成します。ほかのヘルプファイルはこのテンプレートからコピーして変更します。

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html
-->
<HEAD>
<TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account
is a security violation.
<p>
</BODY>
</HTML>

ヘルプファイルを作成したあと、管理者は auths コマンドを使用して各デバイス承認を作成します。承認は会社全体で使用されるため、管理者は承認を LDAP リポジトリに置きます。コマンドにはヘルプファイルのパス名が含まれます。

管理者は 2 つのデバイス承認と Newco 承認ヘッダーを作成します。

1 つの承認は、ユーザーが CD-ROM または DVD ドライブを割り当てることを承認します。

# auths add -S ldap -t "Allocate CD or DVD" \
  -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

1 つの承認は、ユーザーが USB デバイスを割り当てることを承認します。

# auths add -S ldap -t "Allocate USB" \
  -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

Newco 承認ヘッダーは、すべての Newco 承認を識別します。

# auths add -S ldap -t "Newco Auth Header" \
  -h /docs/helps/Newco.html com.newco

使用例 54 トラステッドパスデバイス承認と非トラステッドパスデバイス承認の作成と割り当て

デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。

次の例では、サイトのセキュリティーポリシーがリモート CD-ROM および DVD の割り当て制限を要求しています。セキュリティー管理者は、com.newco.dev.allocate.cdvd.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM および DVD ドライブ用です。com.newco.dev.allocate.cdvd.remote 承認は、トラステッドパス以外からの CD-ROM または DVD ドライブの割り当てを許可される少数のユーザー用です。

セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースにデバイス承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。root 役割は、それらのプロファイルを、デバイスの割り当てを許可されているユーザーに割り当てます。

次のコマンドは、デバイス承認を auth_attr データベースに追加します。

# auths add -S ldap -t "Allocate Local DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDLocal.html \
  com.newco.dev.allocate.cdvd.local
# auths add -S ldap -t "Allocate Remote DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDRemote.html \
  com.newco.dev.allocate.cdvd.remote

デバイスマネージャーの割り当ては次のとおりです。
CD-ROM ドライブのローカル割り当ては、トラステッドパスによって保護されます。
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.local
```
リモート割り当てはトラステッドパスによって保護されないため、リモートユーザーは信頼できるユーザーでなければなりません。最後の手順で、管理者は 2 つの役割にのみリモート割り当てを承認します。
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.remote
```

次のコマンドは、これらの承認用の Newco 権利プロファイルを作成し、承認をプロファイルに追加します。

# profiles -S ldap "Remote Allocator"
profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
profiles:Remote Allocator > end
profiles:Remote Allocator > exit

# profiles -S ldap "Local Only Allocator"
profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
profiles:Local Only Allocator > end
profiles:Local Only Allocator > exit

次のコマンドは、承認されたユーザーに権利プロファイルを割り当てます。root 役割はプロファイルを割り当てます。このサイトでは、役割だけが周辺デバイスのリモート割り当てを承認されています。
```
# usermod -P "Local Only Allocator" jdoe
# usermod -P "Local Only Allocator" kdoe
```
```
# rolemod -P "Remote Allocator" secadmin
# rolemod -P "Remote Allocator" sysadmin
```