tnrhtp データベース
tnrhtp(4) データベースには、ソースホストに割り当てるセキュリティ属性値を含むテンプレートが保持されます。同機種システムネットワークでは 1 種類のテンプレートしか必要ありませんが、異機種システムネットワークになると、ホストタイプに応じて別々のテンプレートが必要になります。テンプレートに含まれる属性は、着信データに属性が欠如している場合のデフォルト属性として使用されるほか、発信データの宛先情報も提供します。対応付けられるセキュリティ属性は、テンプレートに指定されたホストタイプに依存します。tnrhtp に保持されるセキュリティ属性には、次のものがあります。
-
強制された特権
-
RIPSO ラベル
-
RIPSO エラー - ICMP エラーメッセージに RIPSO ラベルが含まれているときに使用される保護許可フラグ
-
CIPSO DOI - CIPSO ラベルのパケットで使用されるホストの DOI (Domain of Interpretation) を識別する
-
監査マスク
-
監査端末 ID
-
監査セッション ID
テンプレートの ip_label フィールドが「cipso」に設定されている場合、または、リモートホストタイプが「cipso」である場合は、タグタイプ 1 が使用されます。リモートホストタイプが MSIX の場合は、タグタイプ 3 が使用されます。ただし、どの属性も特定のタイプのホストだけに適用されます。表 5-1 は、適用されるセキュリティ属性をホストタイプ別に示しています。
表 5-1 ホストタイプ別セキュリティ属性|
ホストタイプ |
セキュリティ属性 |
|---|---|
|
ラベルなし |
機密ラベル、情報ラベル、認可上限、UID、GID、強制された特権、監査 UID、監査マスク、監査端末 ID、監査セッション ID、(ゲートウェイホストの最下位 SL と最上位 SL) |
|
sun_tsol |
許容された特権、最下位 SL と最上位 SL、IP ラベル、RIPSO ラベル、RIPSO エラー、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID |
|
ripso |
機密ラベル、情報ラベル、認可上限、UID、GID、強制された特権、RIPSO ラベル、RIPSO エラー、監査 UID、監査マスク、監査端末 ID、監査セッション ID、(ゲートウェイホストの最下位 SL と最上位 SL) |
|
cipso |
認可上限、情報ラベル、UID、GID、強制された特権、最下位 SL と最上位 SL、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID |
|
tsix |
機密ラベル、情報ラベル、認可上限、UID、GID、許容された特権、強制された特権、最下位 SL と最上位 SL、IP ラベル、RIPSO ラベル、RIPSO エラー、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID |
|
msix |
機密ラベル、情報ラベル、認可上限、UID、GID、最下位 SL と最上位 SL、監査 UID、監査マスク、監査端末 ID、監査セッション ID |
データベースマネージャから tnrhtp データベースを選択して読み込むと、データベースマネージャのメインウィンドウに tnrhtp データベースの内容が表示され、各リモートホストのテンプレート名と、それに対応付けられたデフォルト属性値を確認できます。tnrhtp データベースを編集するためには、「編集 (Edit)」メニューから「追加 (Add)」を選択するか、テンプレートを指定してから「変更 (Modify)」を選択します。次の図に示すようなダイアログボックスが表示されます。
図 5-6 リモートホストテンプレートの追加時に表示されるデータベースマネージャのダイアログボックス (tnrhtp 用)
ダイアログボックスは、次の 4 つの領域に分かれています。
-
テンプレート名とホストタイプ - テンプレートを識別する領域「ホストタイプ (Host Type)」メニューから、そのテンプレートを適用するホストの種類を選択できます。
-
認可範囲 - 「最下位 SL (Minimum SL)」と「最上位 SL (Maximum SL)」の両フィールドテンプレートの認可範囲を確定できます。このフィールドには、機密ラベル、情報ラベル、認可上限などのフィールドと、ラベルビルダーのダイアログボックスを表示するためのボタンがあります。
-
着信情報の属性 - 着信情報に適用するユーザー ID、機密ラベル、情報ラベル、認可上限、強制された特権と許容された特権を設定する領域「強制された特権 (Forced Privileges)」ボタン、「許容された特権 (Allowed Privileges)」ボタンをクリックすると、特権を選択するダイアログボックスが表示されます。
-
発信情報の属性 - 発信情報に適用する IP ラベルタイプ、RIPSO 戻りクラス、RIPSO 送信クラス、RIPSO 戻り PAF、CIPSO ドメインを設定する「I.P. ラベルの型 (IP Label Type)」フィールドにはオプションメニューがあり、「なし (None)」、「RIPSO」、「CIPSO」のうちいずれかを選択できます。このフィールドを「CIPSO」に設定すると (またはホストタイプが CIPSO の場合は)、データパケットの IP オプションのフィールドに CIPSO のタグタイプ 1 が使用されます。ホストタイプが MSIX の場合は、CIPSO のタグタイプ 2 が使用されます。「RIPSO 送信クラス (RIPSO Send Class)」フィールドのオプションメニューからは、送信される RIPSO ラベルの格付け要素として、「なし (None)」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「UNCLASSIFIED」、「16 進数 (Hex)」を選択できます。「16 進数 (Hex)」を選択すると、16進数を直接入力できるダイアログボックスが表示されます。「RIPSO 送信 PAF (RIPSO Send PAF)」フィールドでは、送信される RIPSO ラベルの保護許可フラグ要素として、「なし (None)」、「GENSER」、「SIOP_ESI」、「SCI」、「NSA」、「DOE」、「16 進数 (Hex)」を選択できます。「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドでは、「なし (None)」、「GENSER」、「SIOP_ESI」、「SCI」、「NSA」、「DOE」、「16 進数 (Hex)」のオプションメニューから、エラーフラグを選択できます。
- © 2010, Oracle Corporation and/or its affiliates