「ラベル (Labels)」ダイアログボックスでは、管理者役割は次のことを設定します。
認可上限
最下位機密ラベル
アカウントが管理ラベルを見ることを許可するかどうか、またはユーザーの認可範囲内で異なるラベルを見せるようにするか。
ユーザーが機密ラベルを見ることを許可するかどうか
認可上限とは、アカウントが作業を行える機密ラベル範囲のうちの最上位ラベルを定義するものです。管理役割は、認可上限として ADMIN_HIGH
を持ちます。
アカウントの最下位機密ラベルとは、アカウントが作業を行える最も低いラベルのことです。管理役割は、最下位機密ラベルとして ADMIN_LOW
を持ちます。初めてログインしたとき、最初のワークスペースは最下位ラベルで起動します。
最初のワークスペースのラベルは以降のセッションで変更してもかまいません。 アカウントは次のような方法を使って、別のワークスペースが異なるラベルで起動するように指定できます。
(トラステッドパスメニューから「ワークスペースの機密ラベルを変更 (Change Workspace SL)」オプションを選択して) ワークスペースのラベルを変更し、次のうちの 1 つを行います。
「トラステッドデスクトップ (Trusted Desktop)」サブパネルの「デスクトップスタイル (Desktop Style)」ダイアログボックスを使って、次のうちのどちらかを行います。
「ホームセッションを設定 (Set Home Session)」オプションを使って、ワークスペースのラベルをホームセッションと同じ高いラベルに設定し、「ホームセッションに戻る (Return to Home Session)」を指定します。
「このセッションを再開 (Resume Current Session)」を指定し、現在のワークスペースのラベルが高いままログアウトします。
アカウントの持つ認可上限と最下位ラベルはどちらも、label_encodings(4) ファイル内の最上位機密ラベルよりも劣位でなければならず、かつ、そのユーザー認可範囲に定義されている最下位認可上限より優位でなければなりません。
アカウントの認可上限を決定すること。これは、label_encodings ファイルに定義されている最下位認可上限よりも優位であること。
このアカウントが作業することを許される最下位機密ラベルを決定すること。
「ラベル情報を指定または変更するには」、特に 手順 3、手順 4 を参照のこと。
「ラベル (Labels)」ダイアログボックスを使うことで、管理者役割は、ラベルがどのように表示されるかを指定できます。以下の説明では、「CMWラベル」という用語は、以下に示すような標準の形式で両者が表示される場合の情報ラベルおよび機密ラベルを指すものとします。これは、情報ラベルの長形式名 (INFORMATION LABEL) と任意の語の後に、機密ラベルの短形式名 (SL) と任意の語が表示されるものです。
INFORMATION LABEL [SL]
Trusted Solaris 7 以降では情報ラベルは使われません。ADMIN_LOW
の固定された情報ラベルは各 CMW ラベルの一部ですが、情報ラベルセクションは無視されます。
サイトによっては、管理ラベルの名前を機密情報扱いとする場合もあります。ラベル表示のダイアログボックスを使うと、セキュリティ管理者役割は、管理ラベルの ASCII 名を表示するかどうかを決定できます。管理ラベルのデフォルトの ASCII 名は ADMIN_HIGH
および ADMIN_LOW
です。セキュリティ管理者役割は、 label_encodings(4) ファイルに別の管理ラベル名を指定できるため、実際に表示されるラベル名はサイトによって異なる場合があります。管理ラベルは機密ラベル、認可上限内に表示されます。
セキュリティ管理者役割が別の名前を管理ラベルに割り当てる方法については、『Trusted Solaris のラベル管理』を参照してください。
システム全体のデフォルトのラベル表示は、label_encodings ファイルに設定されます。この場合、セキュリティ管理者役割は、インストール時にデフォルトの設定 INTERNAL を変更するかどうかを選択できます。ユーザーまたは役割アカウント用のラベル表示の場合、それぞれのアカウントを設定する際に、セキュリティ管理者役割は、以下のどれかを選択できます。
Internal (内部用)
External (外部用)
Sys Default (Sys デフォルト)
「内部用」オプションを設定すると、アカウントは管理ラベルの名前を見ることができるようになります。管理ラベルの名前は、ADMIN_HIGH
および ADMIN_LOW
または各サイトの管理者が設定した名前になります。
「外部用」オプションを設定されたアカウントは、管理ラベルの ASCII 名を見ることはできません。アカウントのラベル表示が「外部用」である場合、そのアカウントに対しては、ADMIN_LOW
(または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最下位ラベルが表示されます。また、アカウントのラベル表示が「外部用」に設定されると、ADMIN-LOW
(または各サイトの管理者が設定した名前) の代わりに、ユーザー認可範囲内の同じ種類の有効な最上位ラベルが表示されます。
ラベル表示が「外部用」に設定された場合でも、バイナリラベルは変化しないことに注意してください。「内部用」との唯一の違いは、ラベルの持つ本当の名前ではなく、ラベルに別の名前が与えられて表示されるということです。
アカウントに対して 「Sys デフォルト」オプションを設定した場合、 label_encodings(4) ファイルに指定されている値のうち DEFAULT LABEL VIEW キーワードに対応するもの (EXTERNAL または INTERNAL のいずれか) がこのアカウント対して適用されます。
ユーザーが管理ラベルの名前を見ることを許すかどうかを決定すること。または、ユーザーに対して、ADMIN_LOW
ラベルの代わりにユーザー認可範囲内の有効な最下位ラベルを表示するかどうか、ADMIN_HIGH
ラベルの代わりにユーザー認可範囲内の有効な最上位ラベルを表示するかどうかを決定すること。
「ラベル情報を指定または変更するには」、特に 手順 5 を参照のこと。
機密ラベルは、他の要素とともに次のような場所に表示されます。
画面の最下行にあるトラステッドパスインジケータ
ウィンドウ枠の上部
ウィンドウアイコンのタイトルバー
機密ラベルは角括弧 [ ] の内部に長形式名で表示されます。
機密ラベルを表示するかを決定すること。
「ラベル情報を指定または変更するには」、特に 手順 6 を参照のこと。