Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

ユーザーに割り当てる必要のあるセキュリティー属性

セキュリティー管理者は、新しいユーザーのセキュリティー属性を変更できます。デフォルト値を含むファイルについては、Trusted Extensions のデフォルトのユーザーセキュリティー属性を参照してください。次の表に、ユーザーに割り当て可能なセキュリティー属性とそれぞれの割り当ての効果を示します。

表 17  ユーザーの作成後に割り当てられるセキュリティー属性
ユーザー属性
デフォルト値の設定場所
アクションの要/不要
割り当ての効果
パスワード
なし
必須
ユーザーにパスワードが設定されます
役割
なし
オプション
ユーザーは役割を引き受けることができます
承認
policy.conf ファイル
オプション
ユーザーに追加承認が割り当てられます
権利プロファイル
policy.conf ファイル
オプション
ユーザーに追加の権利プロファイルが割り当てられます
ラベル
label_encodings ファイル
オプション
ユーザーに異なるデフォルトラベルまたは認可範囲が与えられます
特権
policy.conf ファイル
オプション
ユーザーに特権の異なるセットが与えられます
アカウントの使用
policy.conf ファイル
オプション
アイドル時に、ユーザーにコンピュータの異なる設定が与えられます
監査
カーネル
オプション
ユーザーはシステムデフォルトと異なる監査を受けます

Trusted Extensions でのユーザーへのセキュリティー属性の割り当て

ユーザーアカウントが作成されると、セキュリティー管理者は、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。

ユーザーにセキュリティー属性を割り当てるときには、次の情報を考慮してください。

パスワードの割り当て

システム管理者は、ユーザーアカウントの作成時にアカウントにパスワードを割り当てることができます。この初期割り当てのあと、セキュリティー管理者またはユーザーはパスワードを変更できます。

パスワード変更ポリシーは業界標準に従っている必要があります。パスワードの変更時に Oracle Solaris が適用できるパスワード属性については、passwd(1) のマニュアルページを参照してください。

注 - 役割になれるユーザーのパスワードは、パスワードの有効期限の制約を受けないようにします。
役割の割り当て

1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。

承認の割り当て

Oracle Solaris OS と同様、承認をユーザーに割り当てると、これらの承認は既存の承認に追加されます。スケーラビリティーを確保するため、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てます。

権利プロファイルの割り当て

Oracle Solaris OS と同様に、権利プロファイルの順序は重要です。プロファイルメカニズムでは、承認を除いて、割り当て済みセキュリティー属性の最初のインスタンスの値が使用されます。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられた権利の検索順序を参照してください。

プロファイルの整列順を利用できます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。

注 - 管理コマンドを含む権利プロファイルは、一般ユーザーに割り当てないでください。一般ユーザーは大域ゾーンに入れないため、権利プロファイルは機能できません。
特権デフォルトの変更

多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、ユーザーの特権セットを制限するを参照してください。

ラベルのデフォルトの変更

ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。

監査デフォルトの変更

Oracle Solaris OS と同様に、ユーザーに監査クラスを割り当てると、そのユーザーの事前選択マスクが変更されます。監査の詳細は、Oracle Solaris 11.3 での監査の管理および Trusted Extensions と監査を参照してください。

.copy_files ファイルと .link_files ファイル

Trusted Extensions では、ファイルはスケルトンディレクトリからアカウントの最小ラベルを含むゾーンにのみ、自動的にコピーされます。上位ラベルのゾーンで起動ファイルを使用できるようにするには、ユーザーまたは管理者が .copy_files ファイルと .link_files ファイルを作成する必要があります。

Trusted Extensions の .copy_files ファイルと .link_files ファイルは、起動ファイルをアカウントの各ラベルのホームディレクトリに自動的にコピーまたはリンクします。ユーザーが新しいラベルでワークスペースを作成するごとに、updatehome コマンドはアカウントの最小ラベルで .copy_files ファイルと .link_files ファイルの内容を読み取ります。続いてコマンドは、リストに指定されたファイルを上位ラベルのワークスペースにコピーまたはリンクします。

.copy_files ファイルは、ユーザーが別のラベルで少しだけ異なる起動ファイルを使用する場合に有効です。たとえば、ユーザーが別のラベルで異なるメールエイリアスを使用する場合は、コピーが適しています。.link_files ファイルは、起動ファイルを、そのファイルが呼び出されたすべてのラベルでまったく同じにする必要がある場合に便利です。たとえば、すべてのラベル付き印刷ジョブを 1 台のプリンタで処理する場合は、リンクが適しています。サンプルファイルについては、Trusted Extensions のユーザーの起動ファイルを構成するを参照してください。

次のリストに、ユーザーに上位ラベルへのコピーまたはリンクを許可する起動ファイルの例を示します。

  • .acrorc

  • .aliases

  • .bashrc

  • .bashrc.user

  • .cshrc

  • .emacs

  • .login

  • .mailrc

  • .mime_types

  • .newsrc

  • .signature

  • .soffice

Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ