セキュリティー管理者は、新しいユーザーのセキュリティー属性を変更できます。デフォルト値を含むファイルについては、Trusted Extensions のデフォルトのユーザーセキュリティー属性を参照してください。次の表に、ユーザーに割り当て可能なセキュリティー属性とそれぞれの割り当ての効果を示します。
|
ユーザーアカウントが作成されると、セキュリティー管理者は、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。
ユーザーにセキュリティー属性を割り当てるときには、次の情報を考慮してください。
システム管理者は、ユーザーアカウントの作成時にアカウントにパスワードを割り当てることができます。この初期割り当てのあと、セキュリティー管理者またはユーザーはパスワードを変更できます。
パスワード変更ポリシーは業界標準に従っている必要があります。パスワードの変更時に Oracle Solaris が適用できるパスワード属性については、passwd(1) のマニュアルページを参照してください。
1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。
Oracle Solaris OS と同様、承認をユーザーに割り当てると、これらの承認は既存の承認に追加されます。スケーラビリティーを確保するため、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てます。
Oracle Solaris OS と同様に、権利プロファイルの順序は重要です。プロファイルメカニズムでは、承認を除いて、割り当て済みセキュリティー属性の最初のインスタンスの値が使用されます。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられた権利の検索順序を参照してください。
プロファイルの整列順を利用できます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。
多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、ユーザーの特権セットを制限するを参照してください。
ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。
Oracle Solaris OS と同様に、ユーザーに監査クラスを割り当てると、そのユーザーの事前選択マスクが変更されます。監査の詳細は、Oracle Solaris 11.3 での監査の管理および Trusted Extensions と監査を参照してください。
Trusted Extensions では、ファイルはスケルトンディレクトリからアカウントの最小ラベルを含むゾーンにのみ、自動的にコピーされます。上位ラベルのゾーンで起動ファイルを使用できるようにするには、ユーザーまたは管理者が .copy_files ファイルと .link_files ファイルを作成する必要があります。
Trusted Extensions の .copy_files ファイルと .link_files ファイルは、起動ファイルをアカウントの各ラベルのホームディレクトリに自動的にコピーまたはリンクします。ユーザーが新しいラベルでワークスペースを作成するごとに、updatehome コマンドはアカウントの最小ラベルで .copy_files ファイルと .link_files ファイルの内容を読み取ります。続いてコマンドは、リストに指定されたファイルを上位ラベルのワークスペースにコピーまたはリンクします。
.copy_files ファイルは、ユーザーが別のラベルで少しだけ異なる起動ファイルを使用する場合に有効です。たとえば、ユーザーが別のラベルで異なるメールエイリアスを使用する場合は、コピーが適しています。.link_files ファイルは、起動ファイルを、そのファイルが呼び出されたすべてのラベルでまったく同じにする必要がある場合に便利です。たとえば、すべてのラベル付き印刷ジョブを 1 台のプリンタで処理する場合は、リンクが適しています。サンプルファイルについては、Trusted Extensions のユーザーの起動ファイルを構成するを参照してください。
次のリストに、ユーザーに上位ラベルへのコピーまたはリンクを許可する起動ファイルの例を示します。
.acrorc
.aliases
.bashrc
.bashrc.user
.cshrc
.emacs
.login
.mailrc
.mime_types
.newsrc
.signature
.soffice