デバイスが承認を必要としない場合、デフォルトではすべてのユーザーがデバイスを使用できます。承認が必要な場合は、承認されたユーザーのみがそのデバイスを使用できます。
割り当て可能なデバイスへのアクセスをすべて拒否するには、使用例 52を参照してください。新しい承認を作成して使用するには、使用例 54を参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ヘルプファイルは HTML 形式です。命名規則は AuthName.html で、たとえば DeviceAllocateCD.html となります。
# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
# profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
デバイスマネージャーで、新しい承認を、必須の承認リストに追加します。手順については、Trusted Extensions でサイト固有の承認をデバイスに追加するを参照してください。
この例で、NewCo のセキュリティー管理者は、自社のため、きめ細かいデバイス承認を構築する必要があります。
最初に、管理者は次のヘルプファイルを作成します。
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
次に、管理者はテンプレートヘルプファイルを作成します。ほかのヘルプファイルはこのテンプレートからコピーして変更します。
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
ヘルプファイルを作成したあと、管理者は auths コマンドを使用して各デバイス承認を作成します。承認は会社全体で使用されるため、管理者は承認を LDAP リポジトリに置きます。コマンドにはヘルプファイルのパス名が含まれます。
管理者は 2 つのデバイス承認と Newco 承認ヘッダーを作成します。
1 つの承認は、ユーザーが CD-ROM または DVD ドライブを割り当てることを承認します。
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
1 つの承認は、ユーザーが USB デバイスを割り当てることを承認します。
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 承認ヘッダーは、すべての Newco 承認を識別します。
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
デフォルトでは、「デバイスの割り当て」承認によって、トラステッドパスからもトラステッドパス以外からも割り当てが可能です。
次の例では、サイトのセキュリティーポリシーがリモート CD-ROM および DVD の割り当て制限を要求しています。セキュリティー管理者は、com.newco.dev.allocate.cdvd.local 承認を作成します。この承認は、トラステッドパスによって割り当てられる CD-ROM および DVD ドライブ用です。com.newco.dev.allocate.cdvd.remote 承認は、トラステッドパス以外からの CD-ROM または DVD ドライブの割り当てを許可される少数のユーザー用です。
セキュリティー管理者は、ヘルプファイルを作成し、auth_attr データベースにデバイス承認を追加し、その承認をデバイスに追加して、権利プロファイルに配置します。root 役割は、それらのプロファイルを、デバイスの割り当てを許可されているユーザーに割り当てます。
次のコマンドは、デバイス承認を auth_attr データベースに追加します。
# auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local # auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
デバイスマネージャーの割り当ては次のとおりです。
CD-ROM ドライブのローカル割り当ては、トラステッドパスによって保護されます。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
リモート割り当てはトラステッドパスによって保護されないため、リモートユーザーは信頼できるユーザーでなければなりません。最後の手順で、管理者は 2 つの役割にのみリモート割り当てを承認します。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
次のコマンドは、これらの承認用の Newco 権利プロファイルを作成し、承認をプロファイルに追加します。
# profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
# profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
次のコマンドは、承認されたユーザーに権利プロファイルを割り当てます。root 役割はプロファイルを割り当てます。このサイトでは、役割だけが周辺デバイスのリモート割り当てを承認されています。
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin