前のトピック: ユーザ置換 sesu のセットアップ方法次のトピック: システムの su ユーティリティを CA ControlMinder の sesu ユーティリティに置換

UNIX エンドポイント管理ガイドアカウントの保護安全なユーザの置換ユーザ置換 sesu のセットアップ方法基本的なユーザ置換ルールの設定

基本的なユーザ置換ルールの設定

sesu ユーティリティの使用を開始する前に、一般的なユーザ置換ルールをデータベースに定義する必要があります。 これらのルールによって、不明なユーザが特権ユーザのアカウントへユーザ置換するのを防ぐ一方で、特定のユーザまたはプロセスが必要なユーザ置換操作を行えるようにします。

基本的なユーザ置換ルールを設定するには、以下の手順に従います。

  1. 以下の属性を指定して、root ユーザ(USER.root)用の SURROGATE リソースを作成します。

    これにより、特に許可のない限り、すべてのユーザが root にユーザ置換できなくなります。 すべての管理者に、root にユーザ置換する権限が明示的に付与されます。

    注: 個々の管理者に別々に権限を付与するか、管理者のグループを使用してすべての管理者に権限を付与することができます。

  2. 以下の属性を指定して、root グループ(GROUP.other)用の SURROGATE リソースを作成します。

    これにより、特に許可のない限り、すべてのユーザが root グループに置換できなくなります。 すべての管理者に、root グループに置換する権限が明示的に付与されます。

    注: ほとんどの UNIX システムでは、root グループは other または sys です。

  3. USER._default 用のユーザ置換ルールを以下のように変更します。

    これにより、特に許可のない限り、すべてのユーザがユーザ置換できなくなります。また、特に拒否のない限り、root および root グループにユーザ置換する権限が付与されます。

    注: root に権限を与えることは、dtlogin などのプログラムがセッションの所有者をデフォルトの X ウィンドウ所有者である root (ユーザ ID = 0)からほかのユーザに変更する場合などに特に必要になります。 権限を付与しないと、ログインに失敗します。これは、CA ControlMinder が明示的に許可されていないユーザ置換操作をブロックしているためです。

  4. GROUP._default 用のグループ置換ルールを以下のように変更します。

    これにより、特に許可のない限り、すべてのユーザがグループに置換できなくなります。また、特に拒否のない限り、root および root グループにグループを置換する権限が付与されます。

例: selang での基本的なユーザ置換ルールの設定

以下の selang コマンドを使用して、基本的なユーザ置換ルールを環境に設定します。

nr surrogate USER.root defacc(n) own(nobody)
auth surrogate USER.root gid(sys_admin_GID) acc(a)
nr surrogate GROUP.other defacc(n) own(nobody)
auth surrogate GROUP.other gid(sys_admin_GID) acc(a)
cr surrogate USER._default defacc(n) own(nobody)
cr surrogate GROUP._default defacc(n) own(nobody)
auth surrogate USER._default uid(root) acc(a)
auth surrogate GROUP._default uid(root) acc(a)
auth surrogate USER._default gid(sys_admin_GID) acc(a)
auth surrogate GROUP._default gid(sys_admin_GID) acc(a)