ネイティブ UNIX セキュリティとの同期
のアクセス許可はネイティブ UNIX のアクセス許可よりも複雑ですが、ネイティブ UNIX のアクセス許可を製品のアクセス許可に同期させることができます。つまり、アクセス許可を一致させることができます。ただし、この同期にはいくつかの制限事項があります。
capamsc141
PAM Server Control
のアクセス許可はネイティブ UNIX のアクセス許可よりも複雑ですが、ネイティブ UNIX のアクセス許可を製品のアクセス許可に同期させることができます。つまり、アクセス許可を一致させることができます。ただし、この同期にはいくつかの制限事項があります。- 同期は遡及して適用できません。同期がいったん有効になると、新しく発行されるPAM Server Controlの承認コマンドをすべて制御できますが、既存のアクセス ルールは制御されません。
- PAM Server Controlで付与した権限は UNIX に渡すことができます。ただし、UNIX で付与した権限は、PAM Server Controlには渡されません。
- UNIX 自体のアクセス許可システムの制約により、UNIX では、PAM Server Controlの簡略化されたアクセス許可より複雑な許可は、適用できない場合があります。アクセス制御リスト(ACL)を備えたバージョンの UNIX でも、PAM Server Controlの ACL の複雑な機能をすべて反映することができない場合があります。
PAM Server Control
に同期させることができる ACL を備えた UNIX のプラットフォームは、Sun Solaris、および Tru64 です。このような ACL がない場合でも、従来からある UNIX の rwx 権限を
PAM Server Control
の権限に、ある程度まで同期させることができます。Authorize コマンドの UNIX オプションと seos.ini ファイルの SyncUnixFilePerms トークンの組み合わせによって同期を制御します。
- authorize コマンドは、UNIX オプションを指定することによって、UNIX およびPAM Server Controlで実装を行います。このコマンドでは、それまでアクセス許可がなかった場合でも UNIX のアクセス許可を設定できます。UNIX オプションを使用しない場合、selang のコマンドは UNIX セキュリティに影響を与えません。また、UNIX によってアクセス制御されている場所ではPAM Server Control権限は無効になります。したがって、selang で UNIX によるアクセス制御を解除する唯一の方法は、authorize コマンドの UNIX オプションを使用することです。
- authorize コマンドの UNIX オプションは、SyncUnixFilePerms トークンが seos.ini ファイルの[seos]セクションで適切に設定されている場合にのみ動作します。このトークンでは、以下の値が使用できます。
- noは、ACL 権限を同期させないことを指定します。この値は、デフォルトです。
- warnは、ACL 権限を同期させないが、製品の権限とネイティブ UNIX の権限が競合した場合に警告を発行することを指定します。
- traditionalは、PAM Server Controlの ACL に従ってグループの rwx 権限を調整することを指定します(個々のユーザの権限は UNIX にコピーされません)。
- aclは、PAM Server Controlの ACL に従って UNIX の ACL を調整することを指定します。
- forceは、PAM Server Controlの defaccess 権限に従って UNIX 環境のアクセス属性を調整することを指定します。
h6