Solaris 10 8/07 ソフトウェアと Solaris Trusted Extensions の相違点

Trusted Extensions は Solaris ソフトウェアをベースにして構築されており、一部の Solaris ユーティリティーの使用を制限することがあります。これらの相違は、ユーザー、管理者、および開発者に影響を及ぼします。Solaris システムで任意選択であった構成オプションの中には、Trusted Extensions で指定が必須のものもあります。たとえば、システムの管理には役割が必要であり、ユーザー、役割、プロファイル、およびネットワークの管理には Solaris 管理コンソール が必要です。ゾーンをインストールし、各ゾーンに一意のラベルを割り当てるようにしてください。

Trusted Extensions のインストールと構成

Solaris Trusted Extensions は、新規にインストールされた Solaris 10 システム上にパッケージとしてインストールされます。インストールでは次に示す点に注意してください。

• 以前の Trusted Solaris リリースは、現行リリースにアップグレードできない。

• 非大域ゾーンが構成されている Solaris システムにこのソフトウェアをインストールすることはできない。

Trusted Extensions におけるデスクトップ

Solaris Trusted Extensions は、トラステッドバージョンの Sun Java Desktop System (Trusted JDS) および CDE をサポートします。Trusted CDE デスクトップは、ラベル、トラステッドストライプ、デバイス割り当てマネージャ、Admin Editor といった、Trusted Solaris の主要機能をこのリリースでもサポートします。

CDE 1.7 内の新しい管理アクションは、Trusted Extensions デスクトップ上のセキュリティーのために修正されています。Trusted Extensions 固有のアクションは、Trusted_Extensions フォルダに入っています。

• Trusted Extensions が構成されている場合、スタイル・マネージャをアプリケーション・マネージャから実行しないでください。これは、スタイル・マネージャがトラステッドパスを必要とするためです。スタイル・マネージャは、スタイル・マネージャがトラステッドパスを持つフロントパネルとワークスペースメニューから実行してください。

• アプリケーション・マネージャの Trusted_Extensions フォルダの内容は変更されました。ゾーンを管理するアクションが追加されました。NIS+ アクションは削除されました。

• Trusted Solaris 8 2/04 リリースにおける場合と同様に、CDE のワークスペースメニューをカスタマイズしてアクションを追加できます。詳細は、『Solaris Trusted Extensions ユーザーズガイド』の「CDE のワークスペースメニューをカスタマイズする」を参照してください。

Trusted Extensions ソフトウェアにおける CDE アクションのセキュリティー属性

Trusted Extensions では、exec_attr データベースでセキュリティー属性を割り当てることができるオブジェクトに CDE アクションが追加されました。CDE アクションは、特定のラベルに関連するアクションだけを含むようにワークスペースメニューをカスタマイズすることにより、ラベル別に 抑制することができます。メニューをカスタマイズする方法については、『Solaris Trusted Extensions ユーザーズガイド』の「CDE のワークスペースメニューをカスタマイズする」を参照してください。

Trusted Extensions の管理ツール

セキュア管理を行うには、Trusted Extensions が提供する GUI を使用する必要があります。Trusted Extensions では、CDE の Trusted_Extensions フォルダ、デバイス割り当てマネージャ、および Solaris 管理コンソール にアクションが提供されています。Trusted Extensions では、Solaris 管理コンソール の GUI 内の既存のツールに加えて、いくつかのツールとオプションが追加されています。この GUI を使用して管理者は、ユーザー、ネットワーク、ゾーン、その他のデータベースなどを管理できます。Solaris 管理コンソール を起動したあと、管理者は Trusted Extensions の「ツールボックス」を選択します。このツールボックスは、プログラムを集めたものです。続いて管理者は、その役割に許可されているプログラムを使用します。

トラステッドデバイスの管理

Solaris OS には、デバイス管理の方法としてVolume Manager (vold)、logindevperm、およびデバイス割り当ての 3 つが用意されています。Trusted Solaris 8 リリースの場合と同様に、Trusted Extensions ではデバイス割り当てだけがサポートされています。デバイス割り当てマネージャの GUI は、割り当て可能なデバイスの作成に使用します。ゾーンに割り当てられるデバイスはどれも、そのゾーンの停止、休止、または再起動が行われる場合に割り当てが解除されます。デバイス割り当ては、リモート実行することも、あるいはシェルスクリプト内で大域ゾーンからのみ行うことも可能です。

allocate、deallocate、および list_devices コマンドは、役割または通常ユーザー用のラベル付きゾーンでは使用できません。ユーザーと役割は、デバイス割り当てマネージャの GUI を使用してデバイスの割り当て、割り当て解除、および表示を行う必要があります。Trusted Extensions では、デバイスを構成するための solaris.device.config 承認が追加されています。

トラステッド印刷

プリンタを管理するには、大域ゾーンの System_Admin フォルダ内のプリンタ管理アクションを使用します。プリンタのラベル範囲を限定するには、大域ゾーンのデバイス割り当てマネージャを使用します。

Trusted Extensions ソフトウェアとリムーバブルメディア

大域ゾーンでシリアルラインとシリアルポートを管理するには、Solaris 管理コンソール デバイスツールと Solaris 管理コンソール ハードウェアツールを使用します。リムーバブルメディアのラベル範囲を限定するには、大域ゾーンのデバイス割り当てマネージャを使用します。

Trusted Extensions におけるその他の権限と承認

Solaris Trusted Extensions リリースでは、Device Security プロファイルに特権コマンドが追加されており、多数のプロファイルに特権アクションが追加されています。

Solaris Trusted Extensions リリースでは、次に示す承認が追加されました。

• solaris.file.

• solaris.label.

• solaris.print.

• solaris.smf.manage.labels

• solaris.smf.manage.tnctl

• solaris.smf.manage.tnd

• solaris.smf.value.tnd

Solaris Trusted Extensions リリースでは、次に示す権利プロファイルが追加されました。

• All Actions

• Basic Actions

• Information Security

• Object Label Management

• Outside Accred

Solaris Trusted Extensions リリースでは、次に示す権利プロファイルにラベル承認とサービス管理承認が追加されています。

• Maintenance and Repair

• Printer Management

• User Security

• Network Management

• Network Security

Information Security 権利プロファイルと User Security 権利プロファイルにより、セキュリティー管理者役割が定義されます。