Trusted Extensions で policy.conf のデフォルトを変更する方法は、Oracle Solaris でセキュリティー関連のシステムファイルを変更する方法と同じです。システムのすべてのユーザーのデフォルトを変更するには、この手順を使用します。
始める前に
大域ゾーンで root 役割になっている必要があります。詳細は、Trusted Extensions の大域ゾーンに入るを参照してください。
Trusted Extensions のキーワードについては、表 16を参照してください。
# pfedit /etc/security/policy.conf
この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、root 役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。
IDLECMD=LOGOUT
また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、root 役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。
IDLETIME=10
これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。
ログインユーザーがある役割になると、その役割に対するユーザーの IDLECMD 値と IDLETIME 値が有効となります。
使用例 13 各ユーザーの基本的な特権セットの修正この例では、大規模 Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、root 役割は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のようにコメントを外して修正します。
PRIV_DEFAULT=basic,!proc_info使用例 14 システムのすべてのユーザーに対する印刷関連の承認の割り当て
この例では、サイトセキュリティーが、パブリックキオスクコンピュータがラベルなしで印刷することを許可します。パブリックキオスクの root 役割が、/etc/security/policy.conf ファイル内の AUTHS_GRANTED の値を変更します。次のブート以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。
AUTHS_GRANTED=solaris.print.unlabeled
管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はさらに policy.conf エントリを変更します。
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
パブリックキオスクのリブート後、すべての印刷ジョブがラベルなしになり、バナーページやトレーラページもなくなります。