情報のラベル付けとプリンタへのアクセス制御
Trusted Solaris 印刷サブシステムには、デフォルトで以下の機能が組み込まれています。
-
すべての印刷ジョブのバナーページとトレーラページには、印刷ジョブの機密ラベルに基づく処理情報 (サイトで構成可能) や、ジョブの開始と終了を識別する識別番号が示されます。
注 -組織によっては、バナーページとトレーラページの情報に基づいて、印刷出力の取り扱いと配布を管理する担当者を置いている場合があります。通常その担当者は、ポリシーに従って、バナーとトレーラページの識別番号が一致しないジョブを廃棄します。
-
印刷ジョブと印刷データ自体についてのセキュリティ関連情報は保護されます。
-
印刷待ち行列内のジョブの状態情報は、MAC および DAC によって制御されます。
-
プリンタごとに機密ラベル範囲の制限を設定し、そのプリンタで印刷するジョブを制御できます。
-
異なる機密ラベルの情報は、MLD (マルチレベルディレクトリ) として構成されている標準の印刷サービスディレクトリ内にある SLD (シングルレベルディレクトリ) に格納されます。
バナーページとトレーラページ、および本文ページの最上部と最下部のラベルの印刷は、承認されたユーザーまたは役割アカウントがコマンド行オプションを使用することにより抑制することができ、また、管理アクションを使用して、すべてのユーザーに対してこれらの機能を無効にすることができます。
システムの MAC および DAC ポリシーは、それぞれの印刷要求に含まれるデータに対して適用されます。これが適用されるのは、印刷要求が提示された時点から要求されたデータが物理的なページに印刷されるまでの間です。ジョブがプリンタに送信されるのは、印刷ジョブのラベルがプリンタのラベル範囲内にあるときだけです。保護規定を破ったり回避しようとする試みはすべて検出され、監査トレールが生成されます。
注意 - ラベルなしホスト間で送受信される印刷ジョブには、ホストに割り当てられているトラステッドネットワークテンプレートから UID とデフォルトの機密ラベルが割り当てられます。ラベルなしホスト (unlab) のデフォルトのテンプレートでは、デフォルトの UID は nobody で、デフォルトの機密ラベルは ADMIN_LOW です。デフォルトの UID は変更可能であり、デフォルトの機密ラベルは変更しなければなりません。テンプレート例において ADMIN_LOW 機密ラベルが使われているのは、label_encodings ファイルにおけるユーザーレベルのラベルの設定がサイトごとに異なるためです。セキュリティ管理者役割はデフォルトの機密ラベルを、サイトのユーザー認可範囲内に収まるようなラベルに変更する必要があります。そうしなければ、通常のユーザーは ADMIN_LOW では操作を行えないので、印刷することはできません。
プリンタ出力の処理は、サイトごとに、サイトのセキュリティポリシーと手順に従って制御されます。機密情報を印刷するプリンタは、見る権限のない人がアクセスできないように物理的に保護する必要があります。また、その印刷出力も、サイトに固有な手順に従って、見る権限のない人がアクセスできないように物理的に保護する必要があります。
Trusted Solaris オペレーティングシステムが動作しているホストからのすべてのプリンタの出力には、サイトの要件に従って自動的にラベルが印刷されます。
次のディレクトリが MLD として作成されます。
| /var/spool/print |
| /var/spool/lp/requests/system_name |
| /var/spool/lp/tmp/system_name |
| /var/spool/lp/tmp/.net/requests/system_name |
| /var/spool/lp/tmp/.net/tmp/system_name |
ジョブの一覧表示に関するアクセス制御
デフォルトでは、待ち行列一覧表示コマンド (lpstat と lpq) は、ユーザーが発行したジョブの中で、そのユーザーの現在の機密ラベルと同じかまたはそれよりも優位な機密ラベルを持つジョブだけを表示します。他のユーザーが発行したジョブを表示できるのは、承認されたユーザーだけです。Trusted Solaris に固有な lpstat と lpq の -M オプションを使うと、承認されたユーザーはすべての機密ラベルのジョブを一覧表示できます。承認の一覧については、「印刷デフォルトを回避するための承認」を参照してください。
注 -
単一ラベルのホストから Trusted Solaris 7 印刷サーバーにジョブを発行したユーザーは、待ち行列内のジョブを見ることができません。ユーザーがラベル付きホストからジョブを送信した場合、トラステッドネットワークは印刷要求を送信したユーザーの UID を提供します。ユーザーがラベルなしホストからジョブを送信した場合、ジョブを送信したユーザーの UID は利用できません。したがって、印刷ジョブに割り当てられた UID はそのジョブを発行したユーザーの UID と一致しません。
ジョブの取り消しに関するアクセス制御
デフォルトでは、待ち行列一覧表示コマンド (lpstat と lpq) は、ユーザーが発行したジョブの中で、そのユーザーの現在の機密ラベルを持つジョブだけを取り消します。他のユーザーが発行したジョブを取り消すことができるのは、承認されたユーザーだけです。Trusted Solaris に固有な lpstat と lpq の -M オプションを使うと、承認されたユーザーはすべての機密ラベルのジョブを一覧表示できます。承認の一覧については、「印刷デフォルトを回避するための承認」を参照してください。
注 -
単一ラベルのホストから Trusted Solaris 7 印刷サーバーにジョブを発行したユーザーは、そのジョブを取り消すことができません。ユーザーがラベル付きホストからジョブを送信した場合、トラステッドネットワークは印刷要求を送信したユーザーの UID を提供します。ユーザーがラベルなしホストからジョブを送信した場合、ジョブを送信したユーザーの UID は利用できません。したがって、印刷ジョブに割り当てられた UID はそのジョブを発行したユーザーの UID と一致しません。
- © 2010, Oracle Corporation and/or its affiliates