テンプレートマネージャで各ホストタイプに割り当てられるテンプレート
注 -
テンプレートマネージャ画面でホストタイプを一度選択すると、そのホストタイプに適用されないフィールドは、使用できないようにグレー表示になります。
以下の項では、サポートされているホストタイプ別に、図を参照しながら、サポートされているテンプレートおよびフィールドについて説明しています。
TRUSTED SOLARIS 7、2.5.1、2.5 (sun_tsol) ホストタイプ
| Ethernet ヘッダー | IP ヘッダー [IP オプション] | TCP または UDP ヘッダー | SAMP ヘッダー [バイナリ属性] | データ | Ethernet トレーラ |
sun_tsol ホストタイプを指定した場合 (つまり、テンプレートマネージャで「Trusted Solaris 7, 2.5.1, 2.5」オプションを選択した場合)、トラステッドネットワークソフトウェアは SAMP (Security Attribute Modulation Protocol) を使ってセキュリティ属性を送信します。セキュリティ属性はトークンマッピング形式でなく、バイナリ形式で表現されます。
注 -
Trusted Solaris 7、2.5.1、2.5 サーバーのディスクレスクライアントは、sun_tsol ホストタイプとして指定されなければなりません。
sun_tsol ホストタイプのエントリで、「I.P. ラベルの型 (IP. Label Type)」フィールドを「CIPSO」または「RIPSO」に設定すると、IP ヘッダーの IP オプションに CIPSO または RIPSO ラベルが挿入され、Trusted Solaris 7、2.5.1、および 2.5 ホストからの通信のトラステッドルーティングに使用されます。「トラステッドネットワークデータベースにおけるエントリの作成」、および 「パケットの CIPSO ラベル」を参照してください。
Trusted Solaris 7、2.5.1、および 2.5 ホストに設定できるセキュリティ属性は、図 10-2 のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
図 10-2 Tnrhtp で Trusted Solaris 7、2.5.1、2.5 ホストタイプに設定できるフィールド
次の表に、sun_tsol ホストタイプの設定可能なセキュリティ属性の詳細を示します。
表 10-2 sun_tsol ホストタイプのセキュリティ属性の詳細| 設定可能な属性 | 説明 |
|---|---|
| 最下位機密ラベル (min_sl=) | ADMIN_LOW または他の有効な機密ラベルを指定し、sun_tsol ホストとの通信を制限する。 |
| 最上位機密ラベル (max_sl=) | ADMIN_HIGH または他の有効な機密ラベルを指定し、sun_tsol ホストとの通信を制限する。 |
| 許容された特権 (allowed_privs=) | 当該ホストによりネットワーク (受信と送信の両方) で伝達される有効な特権セットを制限するために指定する。指定した特権だけが許可される。all はすべての特権が解釈されることを意味する。none は特権が解釈されないことを意味する。ホストに適用される tnrhtp テンプレートでは、allowed_privs=empty は、このフィールドの tnidb に指定したものが適用されることを意味する。tnidb ファイルでは、empty は特権が適用されないことを意味する。 |
| IP ラベル (ip_label=) | 有効なタイプ (none、ripso、cipso) を 1 つだけ指定する。 |
| RIPSO ラベル (ripso_label=) | ip_label=empty の場合、ripso_label=emplty を指定する。IP ラベルタイプが ripso の場合、サポートされる格付けレベルエンコーディング (Top_Secret、Secret、Confidential、Unclassified) を 1 つだけ指定する。 |
| RIPSO エラー (ripso_error=) | ip_label=empty の場合、ripso_error=empty を指定する。IP ラベルタイプが ripso の場合、サポートされる保護権限フラグ (GENSER、SIOP-ESI、SCI、NSA、DOE) を 1 つだけ指定する。格付けレベルには ripso_label フィールドの値が使われる。 |
| CIPSO DOI (cipso_doi=) | ip_label=empty の場合、cipso_doi=empty を指定する。IP ラベルタイプが cipso の場合、ホストの CIPSO ラベル付きパケット用ドメイン解釈に対応する番号を指定する。 |
| 監査マスク、監査端末 ID、監査セッション ID |
TSIX (tsix) ホストタイプ
| Ethernet ヘッダー | IP ヘッダー [IP オプション] | TCP または UDP ヘッダー | SAMP ヘッダー | データ | Ethernet トレーラ |
tsix ホストタイプを指定した場合 (つまり、テンプレートマネージャの「ホストタイプ (Host Type)」メニューで「TSIX」を選択した場合)、トラステッドネットワークソフトウェアは TSIG (Trusted System Interoperability Group) で制定された TSIX 規格に準拠するホストと通信します (Sun Microsystems Federal, Inc. は TSIG のメンバーです)。tsix ホストタイプの場合、トラステッドネットワークソフトウェアは SATMP (Security Attribute Token Mapping Protocol) を使います。属性がトークン形式であることは、SAMP ヘッダーの属性ヘッダーで識別されます。属性がバイナリ形式の代わりにトークン形式で伝送されることを除けば、パケットは sun_tsol ホストタイプと同じ形式になります。
「I.P. ラベルの型 (IP Label Type)」フィールドは「なし (None)」、「CIPSO」、「RIPSO」のいずれかに設定できます。このフィールドを設定すると、IP ヘッダーの IP オプションに、トラステッドルーティングに使用される CIPSO または RIPSO ラベルが挿入されます。「トラステッドネットワークデータベースにおけるエントリの作成」を参照してください。
TSIX ホストタイプを使用して通信を行うには、送信側と受信側のホストを両方とも同じ TSIX DOT (domain of translation) 内に設定する必要があります。
注 -
サンの TSIX トークンマップの定義は、最初に定義された TSIX DOT であるため、Trusted Solaris システムとの通信を希望する他の組織では、少なくとも 1 つ以上の TSIX DOT が定義されるまでは、このサン定義の DOT を使用する必要があります。将来的には、トークンの意味を定義する TSIX DOT レジストリが設定される予定です。
「I.P. ラベルの型 (IP Label Type)」フィールドに CIPSO が指定された tsix タイプのホストでは、system(4) ファイルの tsol_admin_high_to_cipso スイッチを 1 に設定しなければなりません。そうしないと、Trusted Solaris ホストとの通信が不能になります。/etc/system ファイルにスイッチを追加する方法については、第 13 章「Trusted Solaris カーネルスイッチ設定の変更」を参照してください。
tsix ホストに設定できるセキュリティ属性は、次の図のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
図 10-3 Tnrhtp で TSIX ホストタイプに設定できるフィールド
次の表に、tsix ホストタイプの必須セキュリティ属性の詳細を示します。
表 10-3 tsix ホストタイプの必須セキュリティ属性| 設定可能な属性 | 説明 |
|---|---|
| 最下位機密ラベル (min_sl=) | 16 進数形式の ADMIN_LOWまたは他の有効な機密ラベルを指定し、tsix ホストとの通信を制限する。 |
| 最上位機密ラベル (max_sl=) | 16 進数形式の ADMIN_HIGH または他の有効な機密ラベルを指定し、tsix ホストとの通信を制限する。 |
| 許容された特権 (allowed_privs=) | 当該ホストによりネットワーク (受信と送信の両方) で伝達される有効な特権セットを制限するために指定する。指定した特権だけが許可される。all はすべての特権が解釈されることを意味する。none は特権が解釈されないことを意味する。ホストに適用される tnrhtp テンプレートでは、allowed_privs=empty は、このフィールドの tnidb に指定したものが適用されることを意味する。tnidb ファイルでは、empty は特権が適用されないことを意味する。 |
| 強制された特権 (forced_privs=) | 当該ホストは特権を提供しないため、定義しているホストからの着信パケットに適用される特権を指定する。all はすべての特権が解釈されることを意味する。none は特権が解釈されないことを意味する。ホストに適用される tnrhtp テンプレートでは、forced_privs=empty は、このフィールドの tnidb に指定したものが適用されることを意味する。tnidb ファイルでは、empty は特権が適用されないことを意味する。 |
| デフォルトのラベル (def_label=) | 当該ホストは機密ラベルを提供しないため、定義しているホストからの着信パケットに適用される機密ラベルを指定する。 |
| デフォルトの認可上限 (def_cl=) | 当該ホストは認可上限を提供しないため、 定義しているホストからの着信パケットに適用される認可上限ラベルを指定する。プロセスは、その認可上限に対応する機密ラベルに書き換えることができる。 |
| デフォルトの UID(def_uid=) | 当該ホストは UID を提供しないため、定義しているホストからの着信パケットに適用される UID を指定する。 |
|
IP ラベル (ip_label=) | 有効なタイプ (NONE、RIPSO、CIPSO) を 1 つだけ指定する。 |
|
RIPSO ラベル (ripso_label= | ip_label=empty の場合、ripso_label=emplty を指定する。IP ラベルタイプが ripso の場合、サポートされる格付けレベルエンコーディング (Top_Secret、Secret、Confidential、Unclassified) を 1 つだけ指定する。 |
|
RIPSO エラー (ripso_error=) | ip_label=empty の場合、ripso_error=empty を指定する。IP ラベルタイプが ripso の場合、サポートされる保護権限フラグ (GENSER、SIOP-ESI、SCI、NSA、DOE) を 1 つだけ指定する。格付けレベルには ripso_label フィールドの値が使われる。 |
|
CIPSO DOI (cipso_doi=) | ip_label=empty の場合、cipso_doi=empty を指定する。IP ラベルタイプが cipso の場合、ホストの CIPSO ドメイン解釈に対応する番号を指定する。 |
TRUSTED SOLARIS 1.2、1.1 (msix) ホストタイプ
Trusted Solaris 1.2、1.1 (msix) ホストからの通信にサポートされるセキュリティ属性ではラベルだけが使用され、IP ヘッダーによって搬送されます。
Trusted Solaris 1.2 または 1.1 オペレーティング環境では MSIX 1.0 の完全な機能と MSIX 2.0 の一部の機能が含まれているため、これらの環境が動作しているホストのテンプレートでは Trusted Solaris 1.2 or 1.1 ホストタイプを指定する必要があります。Trusted Solaris 1.2 と 1.1 の MSIX のバージョンは MSIX 2.0 の一部の機能だけしかサポートしていないため、MSIX 2.0 プロトコルを使うホストのテンプレートでは msix ホストタイプを指定してはなりません。
Trusted Solaris 1.2、1.1 ホストに指定できるセキュリティ属性は、次の図のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
図 10-4 Tnrhtp で TRUSTED SOLARIS 1.2、1.1 ホストタイプに設定できるフィールド
CIPSO (cipso) ホストタイプ
| Ethernet ヘッダー | IP ヘッダー [CIPSO ラベルが入ったIP オプション] | TCP または UDP ヘッダー | データ | Ethernet トレーラ |
CIPSO ホストタイプは、CIPSO 規格に準拠するホストとの通信をサポートします。CIPSO ホストでサポートされるセキュリティ属性は CIPSO ラベルだけです。このラベルはデータの機密ラベルから取得され、cipso ホストタイプのホストに送信されるパケットの IP ヘッダーに挿入されます。ホストのエントリには、宛先ホスト、および送信したパケットがルートされるすべてのゲートウェイと同じ CIPSO DOI (domain of interpretation) を指定しなければなりません。送信側ホストが CIPSO ホストタイプとして指定されると、トラステッドネットワークソフトウェアは、着信パケットの IP ヘッダーに挿入された CIPSO ラベルを検索します。
CIPSO ホストに指定できるセキュリティ属性は、次の図のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
図 10-5 Tnrhtp で CIPSO ホストタイプに設定できるフィールド
RIPSO (ripso) ホストタイプ
| Ethernet ヘッダー | IP ヘッダー [RIPSO ラベルが入ったIP オプション] | TCP または UDP ヘッダー | データ | Ethernet トレーラ |
RIPSO 規格に準拠するホストをサポートします。ripso タイプのホストとの通信に使用される RIPSO ラベルは、tnrhtp(4) のマニュアルページに書かれているように、そのホストのテンプレートに管理上の目的で定義されます。ripso ホストタイプのテンプレートでは、「RIPSO 送信クラス RIPSO Send Class)」フィールドを Top Secret、Secret、Confidential、Unclassified または 16 進数の値のいずれかに設定しなければなりません。また、テンプレートの「RIPSO 送信 PF (RIPSO Send PAF)」フィールドと「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドは、どちらも「GENSER」、「SIOP-ESI」、「SCI」、「NSA」、「DOE」または 16 進数の値のいずれかに設定する必要があります。
ripso ホストに指定できるセキュリティ属性は、次の図のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
図 10-6 Tnrhtp で RIPSO ホストタイプに設定できるフィールド
送信は、最下位機密ラベル (「最下位 SL (Minimum SL)」フィールドで指定する) とデフォルトの機密ラベル (「ラベル (Label)」フィールドで指定する) の間のどの機密ラベルでも行えます。一方、受信はデフォルトの機密ラベルでのみ行えます。
注 -
自サイトの送信を 1 つの機密ラベルに制限する必要がある場合だけ、「ラベル (Label)」フィールドで指定したデフォルトの機密ラベルと同じ最下位 SL を設定する必要があります。
ラベルなし (unlabeled) ホストタイプ
| Ethernet ヘッダー | IP ヘッダー [IP オプション] | TCP または UDP ヘッダー | データ | Ethernet トレーラ |
ラベルなしホストに指定できるセキュリティ属性は、図 10-7 のとおりです。このホストタイプに適用されないフィールドは、使用できないようにグレー表示されます。
最下位および最上位機密ラベルフィールドは、トラステッドルーティングに使用され、ラベルなしゲートウェイを介したパケットのルーティングを行います。セキュリティ管理者役割は、最下位機密ラベルと最上位機密ラベルを使用してパケットの範囲を定義し、ラベルなしゲートウェイを介した転送を実現することができます。
ラベルなしホスト、あるいは RIPSO ホストでは、送信は、最下位機密ラベル (「最下位 SL (Minimum SL)」フィールドで指定) とデフォルトの機密ラベル (「ラベル (Label)」フィールドで指定) 間のどの機密ラベルでも行われるのに対して、受信は、デフォルトの機密ラベルでのみ行われます。
注 -
自分のサイトの送信を 1 つの機密ラベルに限定する必要がある場合は、「ラベル (Label)」フィールドで指定したデフォルトの機密ラベルと同じ最下位 SL を設定する必要があります。
認可範囲は、ラベルなしホストでユーザーが実行できる書き込み操作の上限を設定します。たとえば、あるサイトで、Solaris オペレーティング環境を実行するラベルなしホストに対し、デフォルトの機密ラベルとして CONFIDENTIAL (C) を、認可上限として SECRET (S) を設定したとします。その結果、Trusted Solaris ホストからマウントされたファイルシステムで作業する Solaris ホストのユーザーは、機密ラベル S を持つ昇格されたファイルを開いて、そのファイルに書き込み操作を行うことができます (ただしこれは、ユーザーに対し、そのファイル名が表示される場合に限ります)。
図 10-7 Tnrhtp でラベルなしホストタイプに設定できるフィールド
- © 2010, Oracle Corporation and/or its affiliates