言語

アーカイブ - Mac OS X Server 1.x: wheel グループについて

この記事はアーカイブ済みで、これ以上更新されることはありません。
(この情報は、こちらの記事を翻訳したものです。日本での状況とは異なる場合があります。)

このリリースノートでは、特に“su”コマンドなどの“wheel”グループの利用方法や、他の 4BSD システムと Mac OS X Server で使用したときの違いについて説明しています。

注意:このドキュメントは、Mac OS X Server によって「/System/Documentation/ReadMe」にインストールされます。その他のリリースノートについては、記事 30925:Mac OS X Server 1.x: リリースノートを参照してください。

注意:この記事は、2001 年 5 月より前にリリースされた Mac OS X Server versions 1.x に関するものです。

“wheel”グループ、および root 以外のユーザによる特別な管理上のアクセスに関する注記

通常のユーザとしてログインしている間に、コマンドラインからルートシェルへのアクセスを許可するプログラム(/usr/bin/su)は、Mac OS X Server とそのほかの 4BSD システムとを比較して、若干異なる動作をします。従来の BSD の動作では、“wheel”グループが存在しないかグループに属するユーザがいない場合を除いては、“wheel”グループに属するユーザだけがスーパーユーザ(root)プロンプトへのアクセスを得るために“su”を使用することができます。Mac OS X Server では、“wheel”グループが空であるか、存在しない時に誰も“su”することができないという点を除いて、動作は同じです。これは、Mac OS X Server 上のグループに属するユーザの一覧を調べる方法の違いが原因で起こります(それは階層的で、「/etc/master.passwd」のような通常の平文ではありません)。

特別な管理アクセスを必要としているユーザは、Network Manager を介して、明示的に“wheel”グループに追加する必要があります。親 NetInfo サーバ上の“wheel”グループへのユーザの追加(適用される場合)はそのユーザに、そのサーバからコンフィグレーションを継承するすべてのマシンへそのようなアクセスを許可し、ローカルの“wheel”グループへユーザを追加する限り、ローカルマシン上にだけ特別なアクセスを許可するということに注意してください。

「設定アシスタント」で任意に作成されたローカルのユーザアカウントは、このユーザがマシンの最初のユーザであり、そのような権限を持つべきであるという仮定に基づいて、自動的に“wheel”グループに追加されます。ネットワークの“wheel”グループではなく、ユーザはローカルの“wheel”グループに追加されます。したがって、ローカルホスト上では 1 つのアカウントだけがそうした権限を持ちます。

“wheel”グループのユーザに与えられる特権には、root プロンプトを得るために“su”プログラムを使用する能力や、「/Local/Library/WebServer」にある Web サーバのドキュメントとコンフィグレーションといった、別の方法では制限されているファイルを編集する能力が備わっています。マシンのコンフィグレーションに応じて与えられるそのほかの権限もあります。そのような権限を持つユーザが、システムを危機に落とす可能性があり、管理者(root)のパスワードなしでも root レベルのアクセスができてしまいます。したがって、そうした権限は信頼できるユーザや適切なホストだけに制限すべきです。ログインウィンドウから「root」としてログインする能力(パスワードを知っている場合)は、“wheel”グループに属するユーザに影響されません。また、別な方法でのみ root ユーザに有益な、特定の権限を得ることができる NetworkManager といったシステム管理ツールを使用する、root パスワードを持つユーザの能力も同様です。“wheel”ユーザを制限することで、root 権限の取得が妨げられることはありません。

「root」として telnet 経由でマシンにリモートログインすることはできません(root のパスワードがない場合を除きます)。リモートで root アクセスをしたいユーザは、最初に標準のユーザとしてログインしてから、“su”を使って root アクセスする必要があります。“wheel”アクセスを制限することで、不正なアカウントによって、ネットワークを介して侵入者がアクセスすることを防ぐこともできます。

最終更新日: 2008/10/04
このページを印刷する
  • 最終更新日: 2008/10/04
  • 記事: TA44217
  • 表示回数:

    53753

その他の製品サポート情報