Trusted Extensions でセキュリティー管理者役割を作成する

始める前に

大域ゾーンで root 役割になっています。

1. 役割を作成するには、roleadd コマンドを使用します。

   コマンドの詳細については、roleadd(1M) のマニュアルページを参照してください。

   ---

   注 - ARMOR 役割を使用する場合は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 役割の作成セクションの ARMOR の例を参照してください。

   ---

   次の情報を参考にしてください。

   • 「役割名」– secadmin

   • -c Local Security Officer

     専有情報は入力しないでください。

   • –m home-directory

   • –u role-UID

   • –S repository

   • –K key=value

     Information Security および User Security 権利プロファイルを割り当てます。

     ---

     注 - 管理役割の場合は必ず、ラベル範囲で管理ラベルを使用し、管理コマンドの使用を監査し、lock_after_retries=no を設定し、パスワードの有効期限は設定しないでください。

     ---

   # roleadd -c "Local Security Officer" -m \
   -u 110 -K profiles="Information Security,User Security" -S files \
   -K lock_after_retries=no -K audit_flags=cusa:no secadmin

2. 役割の初期パスワードを提供します。

   # passwd -r files secadmin
   New Password: xxxxxxxx 
   Re-enter new Password: xxxxxxxx
   passwd: password successfully changed for secadmin
   #

   6 文字以上の英数字のパスワードを割り当てます。セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。

3. セキュリティー管理者役割を、ほかの役割を作成する際のガイドとして使用します。

   可能な役割は、次のとおりです。

   • admin 役割 – System Administrator 権利プロファイル

   • oper 役割 – Operator 権利プロファイル

管理者は、ローカルのセキュリティー管理者役割を使用して最初のシステムを構成したあと、LDAP リポジトリ内にセキュリティー管理者役割を作成します。このシナリオでは、LDAP に定義されたセキュリティー管理者役割が LDAP クライアントを管理できます。

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=cusa:no secadmin

管理者は、役割の初期パスワードを指定します。

# passwd -r ldap secadmin
New Password: xxxxxxxx 
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for secadmin
#

次のステップ

ローカルユーザーにローカル役割を割り当てるには、Trusted Extensions で役割になれるユーザーを作成するを参照してください。