アカウントラベル範囲
アカウントラベル範囲は、個々のユーザーや役割に付与される機密ラベルの有効範囲です。ユーザーが最初にログインしたときに表示されるセッション機密ラベルを設定するダイアログボックスと「認可上限 (Clearance)」ダイアログボックスには、このアカウントラベル範囲に従って、ユーザーが使用できる機密ラベルの候補が表示されます。これについては、『Trusted Solaris ユーザーズガイド』の第 2 章「Trusted Solaris 環境へのアクセスとログアウト」の「セッションレベルの設定」を参照してください。アカウントラベル範囲内として許可されるラベルには、次のような意味があります。
-
ユーザー認可範囲の定義 - ユーザーは、ユーザー認可範囲に含まれていない機密ラベルを使用できない
-
label_encodings ファイルの (認可範囲の) 最下位機密ラベルの定義 - ユーザーに割り当てられる絶対的に最下位の機密ラベルを定義する
-
tsoluser データベースのユーザー認可上限の定義 - アカウントラベル範囲の上限を定義する
注 -tsoluser データベースには、ユーザーおよび役割のセキュリティ属性が保持されています。これらは、管理者がユーザーマネージャを使用して編集します。
-
tsoluser データベースの (アカウントラベル範囲の) 最下位機密ラベルの設定 - label_encodings ファイルの (認可範囲の) 最下位機密ラベルによって無効にされていない場合に限り、アカウントラベル範囲の下限を設定する
アカウントラベル範囲は、ユーザー認可範囲のサブセットであり、やはり label_encodings ファイルの最下位機密ラベルによって制約を受けます。次の図は、前の認可範囲の例の続きとして、アカウントラベル範囲の例を示しています。
図 1-3 アカウントラベル範囲の制約
このユーザーのアカウント範囲は、一番上にあるユーザー認可上限の「TS A B」から、一番下の (アカウントラベル範囲の) 最下位機密ラベルの「C」までとなります。これらの定義により、ユーザーがログインできるラベルは、「TS A B」、「TS A」、「TS」、「S A B」に限定されます。ユーザーの (アカウントラベル範囲の) 最下位機密ラベルは「C」であり、label_encodings ファイルの最下位機密ラベルと偶然一致しています。2 つの最下位機密ラベルが異なる場合は、高い方の機密ラベルがアカウントラベル範囲の下限として設定されます。
注 -
ユーザーの認可上限を (アカウントラベル範囲の) 最下位機密ラベルと同じに設定すると、そのユーザーは、事実上、その機密ラベルのシングルラベルセッションで操作することになります。
- © 2010, Oracle Corporation and/or its affiliates