Go to main content

Oracle® Solaris 11.4 でのユーザーとプロセスのセキュリティー保護

印刷ビューの終了

更新: 2018 年 8 月
 
 

の権利の新機能

    このセクションでは、ユーザー権利における重要な新機能である権利に基づくアクセス制御 (RBAC) と、プロセス権利における新機能である特権について、既存のお客様を対象に説明します。

  • は、データおよびユーザープロセスにラベルを付けます。この機能によって、サイトのセキュリティーのために特別な保護が必要なディレクトリや情報に対するデータ損失保護が提供されます。ラベル付けが常に有効になっていると、管理者がラベル付けの階層を構成し、特定のファイルやディレクトリにラベルを適用して、信頼できるユーザーがラベル付きプロセスを実行できるようにするまで、システムの動作は変更されません。

    詳細は、Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の 第 2 章, データ損失保護のためのファイルのラベル付けおよびデータ損失保護のためのプロセスのラベル付けを参照してください。

  • パスワードの最小文字数は 6 文字でなく 8 文字になりました。詳細は、passwd(1) のマニュアルページを参照してください。

  • サービス管理機能 (SMF) は、システム全体のセキュリティー属性のためのリポジトリで、以前は次のファイルで管理されていました。

      /etc/security/policy.conf
  /etc/default/login
  /etc/default/passwd
  /etc/default/su

    属性およびその値は、svc:/system/account-policy:default サービスがオンラインで、レガシーの /etc ファイルからのセキュリティー属性 (たとえば、/etc/default/su ファイルからのすべてのセキュリティー属性) が有効なとき、SMF サービスとしてロードされて管理されます。

    詳細は、account-policy(8S) のマニュアルページ、システム全体の特権、承認、および権利プロファイルの変更、およびファイルおよび対応する SMF プロパティー内のセキュリティー属性を参照してください。

  • リモート RAD インタフェースから不変ゾーンを管理できます。詳細は、不変ゾーンの管理を参照してください。

  • user_attr データベースに追加のセキュリティー属性が格納されます。

    • account-policy SMF ステンシルの login_policy/annotation=value セキュリティー属性を有効にするか、ユーザーアカウントに値を設定することによって、管理者はユーザーがログインの目的を注釈として付けることを求める (yes) またはリクエストする (optional) ことができます。注釈はログインイベントの監査レコードに追加されます。account-policy サービスが有効でない場合、値は policy.conf ファイルにシステム全体で設定できます。

      詳細は、Managing Auditing in Oracle Solaris 11.4 の New Feature – Annotating Reason for Access in the Audit Recordと、pam_unix_cred(7) および account-policy(8S) のマニュアルページを参照してください。

    • account-policy SMF ステンシルの login_policy/auto_unlock_time=time セキュリティー属性を有効にするか、ユーザーアカウントに値を設定することによって、管理者はロックされたアカウントが認証の成功によって自動的にロック解除されるまでの時間を指定できます。管理者は時間を、分数、時間数、日数、または週数として指定できます。account-policy サービスが有効でない場合、値は policy.conf ファイルにシステム全体で設定できます。

      この属性の時間を指定しない場合、管理者は 標準ユーザーに対してアカウントロックを設定する方法に示すように、アカウントを明示的にロック解除する必要があります。

      注 -  login_policy/auto_unlock_time 属性は、ロックされて提供され、パスワードのないシステムアカウントには適用されません。この属性は、たとえば管理者が passwd -l コマンドなどを使用して、パスワードを持つユーザーアカウントをロックした場合は適用されません。

    詳細は、account-policy(8S) および user_attr(5) のマニュアルページを参照してください。user_attr データベースも参照してください。

  • はワンタイムパスワード (OTP) を処理するための pam_otp_auth PAM モジュールを提供します。OTP はログイン前のもう 1 つの認証ステップを提供します。モジュールをインストールするパッケージによって、/etc/security/pam_policy ディレクトリに 2 つの PAM スタックもインストールされます。詳細は、Managing Authentication in Oracle Solaris 11.4 の Task Map: Using OTP in Oracle Solarisを参照してください。

  • は、スマートカード認証を管理するための pam_pkcs11 PAM モジュールを提供します。スマートカードにより、ユーザーは、1) ログインサーバーによって認識されているスマートカードを持っていて、2) 正しい PIN を入力できる場合にのみログインできます。詳細は、Managing Authentication in Oracle Solaris 11.4 の 第 3 章, Using Smart Cards for Multifactor Authentication in Oracle Solarisを参照してください。

Copyright © 2002, 2018, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ