提供される権利プロファイルに必要な権利の集合が含まれていない場合は、権利プロファイルを作成または変更できます。限られた権利を持つユーザー、新しいアプリケーション、あるいはそのほかの目的で権利プロファイルを作成できます。
が提供する権利プロファイルは読み取り専用です。提供される権利プロファイルの一連の権利では不十分な場合は、その権利プロファイルをクローニングできます。たとえば、提供される権利プロファイルに solaris.admin.edit/path-to-system-file 承認を追加できます。背景情報については、権利プロファイルの詳細を参照してください。
提供される承認に、特権付きアプリケーションでコーディングされている承認が含まれていない場合は、承認を作成できます。既存の承認は変更できません。背景情報については、ユーザー承認に関する詳細を参照してください。
権利プロファイルの特権を制限する例については、使用例 29, リモートユーザー権利プロファイルの作成および使用例 30, 権利プロファイルからの基本特権の削除を参照してください。
始める前に
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
# profiles -p [-S repository] profile-name
説明を入力するよう求められます。
1 つの値を持つプロファイルプロパティーには set サブコマンドを使用します (set desc など)。複数の値を指定できるプロパティーには add サブコマンドを使用します (add cmd など)。
次のコマンドは、Managing Authentication in Oracle Solaris 11.4 の How to Assign a Modified PAM Policy のカスタム PAM 権利プロファイルを作成します。読みやすくするため、名前が短縮されています。
# profiles -p -S LDAP "Site PAM LDAP" profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap" ...LDAP> set pam_policy=ldap ...LDAP> commit ...LDAP> end ...LDAP> exit
この例では、セキュリティー管理者は、その管理者が作成した権利プロファイル内のアプリケーションに特権を追加します。このアプリケーションは特権を認識できます。
# profiles -p SiteApp profiles:SiteApp> set desc="Site application" profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd" profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid" profiles:SiteApp:site-cmd> end profiles:SiteApp> exit
確認するには、管理者は site-cmd を選択します。
# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end" Found profile in files repository. id=/opt/site-app/bin/site-cmd privs=proc_fork,proc_taskid
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12, DHCP を管理する信頼できるユーザーの作成および 使用例 22, 信頼できるユーザーによる拡張アカウントファイル読み取りの有効化を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。
始める前に
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
# profiles -p [-S repository] existing-profile-name
新しいプロファイルに既存の権利プロファイルを補助権利プロファイルとして追加してから、拡張を追加します。使用例 50, Network IPsec Management 権利プロファイルのクローニングと拡張を参照してください。
使用例 51, 権利プロファイルでの選択した権利のクローニングおよび削除を参照してください。
この例では、管理者がサイトの IPsec Management 権利プロファイルに solaris.admin.edit 承認を追加し、これにより root 役割が不要になります。この権利プロファイルは、信頼されており /etc/hosts ファイルを変更できるユーザーだけに割り当てられます。
管理者は、Network IPsec Management 権利プロファイルを変更できないことを確認します。
# profiles -p "Network IPsec Management" profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts" Cannot add. Profile cannot be modified
管理者は、Network IPsec Management プロファイルを含む権利プロファイルを作成します。
# profiles -p "Total IPsec Mgt" ... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts" ... IPsec Mgt> add profiles="Network IPsec Management" ... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts" ... IPsec Mgt> end ... IPsec Mgt> exit
管理者は、内容を確認します。
# profiles -p "Total IPsec Mgt" info
name=Total IPsec Mgt
desc=Network IPsec Mgt plus /etc/hosts
auths=solaris.admin.edit/etc/hosts
profiles=Network IPsec Management
この例では、管理者は VSCAN サービスのプロパティーの管理を、このサービスを有効および無効にする機能から分離します。
最初に、管理者は、 が提供する権利プロファイルの内容を一覧表示します。
# profiles -p "VSCAN Management" info
name=VSCAN Management
desc=Manage the VSCAN service
auths=solaris.smf.manage.vscan,solaris.smf.value.vscan,
solaris.smf.modify.application
次に、管理者はサービスを有効化および無効化できる権利プロファイルを作成します。
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Control" profiles:VSCAN Control> set desc="Start and stop the VSCAN service" ... VSCAN Control> remove auths="solaris.smf.value.vscan" ... VSCAN Control> remove auths="solaris.smf.modify.application" ... VSCAN Control> end ... VSCAN Control> exit
次に、管理者は、サービスのプロパティーを変更できる権利プロファイルを作成します。
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Properties" profiles:VSCAN Properties> set desc="Modify VSCAN service properties" ... VSCAN Properties> remove auths="solaris.smf.manage.vscan" ... VSCAN Properties> end ... VSCAN Properties> exit
管理者は、新しい権利プロファイルの内容を確認します。
# profiles -p "VSCAN Control" info
name=VSCAN Control
desc=Start and stop the VSCAN service
auths=solaris.smf.manage.vscan
# profiles -p "VSCAN Properties" info
name=VSCAN Properties
desc=Modify VSCAN service properties
auths=solaris.smf.value.vscan,solaris.smf.modify.application
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12, DHCP を管理する信頼できるユーザーの作成および 使用例 22, 信頼できるユーザーによる拡張アカウントファイル読み取りの有効化を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。
始める前に
開発者は、ユーザーがインストールするアプリケーションで承認を定義および使用しています。手順については、Oracle Solaris 12 セキュリティーサービス開発ガイド の 承認についてを参照してください。
たとえば、次のコマンドは、com.newco.siteapp.data.modify 承認をローカルシステムに作成します。
# auths add -t "SiteApp Data Modify Authorized" com.newco.siteapp.data.modify
これで承認をテストし、権利プロファイルに追加し、役割またはユーザーにそのプロファイルを割り当てることができます。
この例では、管理者が使用例 49, 特権付きコマンドを含む権利プロファイルの作成の SiteApp 権利プロファイルを使用して com.newco.siteapp.data.modify 承認をテストします。
# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1
テストが正常に完了したら、管理者は承認を削除します。
# rolemod -A-=com.newco.siteapp.data.modify siteapptester
保守を容易にするため、管理者は使用例 53, 権利プロファイルへの承認の追加の SiteApp 権利プロファイルにこの承認を追加します。
使用例 53 権利プロファイルへの承認の追加承認が適切に機能することをテストしたら、セキュリティー管理者は com.newco.siteapp.data.modify 承認を既存の権利プロファイルに追加します。使用例 49, 特権付きコマンドを含む権利プロファイルの作成に、管理者がプロファイルを作成した方法を示します。
# profiles -p "SiteApp" profiles:SiteApp> add auths="com.newco.siteapp.data.modify" profiles:SiteApp> end profiles:SiteApp> exit
確認するために、管理者はプロファイルの内容を一覧表示します。
# profiles -p SiteApp Found profile in files repository. id=/opt/site-app/bin/site-cmd auths=com.newco.siteapp.data.modify
次のステップ
信頼できるユーザーまたは役割に権利プロファイルを割り当てます。例については、使用例 12, DHCP を管理する信頼できるユーザーの作成および 使用例 22, 信頼できるユーザーによる拡張アカウントファイル読み取りの有効化を参照してください。
関連項目
権利割り当てのトラブルシューティングを行うには、権利割り当てをトラブルシューティングする方法を参照してください。背景情報については、割り当てられた権利の検索順序を参照してください。