管理者は、ラベル付きファイルにアクセスすることが必要なユーザーに対して適切な認可上限を割り当てることを担当します。ラベル付きファイルを表示または変更できるのは、ファイルのラベルと少なくとも同じ認可上限を持つユーザーだけです。すべてのユーザーは、ラベルエンコーディングファイル経由で認可上限を受け取ります。機密性の高いファイルへのアクセス権をユーザーに付与するには、さらに高い認可上限を持つようにユーザーを直接許可するか、高い認可上限で実行するコマンドを含む権利プロファイルを承認済みユーザーに割り当てることができます。また、高い認可上限で実行する権利プロファイルを持つ役割をユーザーに割り当てることもできます。
この手順では、権利プロファイルを通じて、または役割の割り当てを通じて高い認可上限をユーザーに直接割り当てる方法を示します。
始める前に
User Management 権利プロファイルが割り当てられているか、または root 役割である必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
$ labelcfg list label-list-from-highest-to-lowest-label
# usermod -K clearance=label username
# rolemod -K clearance=label rolename
また、権利プロファイルを通じて間接的に、ユーザーに認可上限を割り当てることもできます。
コマンドには、高い認可上限に加えて十分な特権が必要です。十分な特権には、コマンドが実行するために十分な認可上限を持つ UID または EUID、またはコマンドが必要とする特権が含まれる場合があります。
次の例の「Labeled Audit Review」権利プロファイルは、Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の ラベル付き監査トレールを作成する方法からのものです。この権利プロファイルをユーザーに直接割り当てたり、ユーザーが引き受ける役割に割り当てたりできます。
# usermod -K profiles+="Labeled Audit Review" username # usermod -K auth_profiles+="Labeled Audit Review" username
# rolemod -K profiles+="Labeled Audit Review" rolename # rolemod -K auth_profiles+="Labeled Audit Review" rolename
# usermod -R +rolename username
ユーザーに認可上限を割り当てたあと、この構成によって、認可上限を持つユーザーは、認可されたファイルにアクセスできること、および認可上限を持たないユーザーは、ファイルの表示やバックアップ、またはこれらのファイルの監査トレールの表示ができないことを検証します。
# su - cleared-user cleared-user$ plabel user's explicit clearance
$ cd labeled-dataset
ゾーン内のラベル付きデータセットをテストするには、Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の ラベル付きファイルシステムをゾーン内に分離する方法を参照してください。
次に例を示します。
ディレクトリ内のファイルをリストします。
ディレクトリにファイルを追加し、ファイルのラベルを表示します。
ディレクトリからファイルを削除します。
ディレクトリ内のファイルを変更します。
ユーザーの認可上限内にある別のラベルのディレクトリに変更します。
同様のラベルが付いたファイルシステムにファイルを送信します。
別のユーザーに変更し、元のユーザーのファイルをラベルのないファイルシステムに送信してみます。
このテストは失敗するはずです。
監査トレールがラベル付きファイルシステムの一部である場合、ADMIN_HIGH ファイルを読み取るための認可上限が必要です。Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の ラベル付き監査トレールを作成する方法を参照してください。次の例では、Labeled Audit Review 権利プロファイルが割り当てられているユーザーがコマンドを実行します。
$ pfexec /usr/demo/tsol/auditfiles.ksh audit-html-file