세션 범위

세션 범위는 Trusted Solaris 세션 중 사용자가 사용할 수 있는 민감도 레이블 집합입니다. 이 범위는 다음과 같은 내용의 함수입니다.

• 사용자 계정 레이블 범위

• 사용자의 세션 모드 선택(단일 레이블 또는 다중 레이블)

• 세션 민감도 레이블 대화 상자(단일 레이블 세션의 경우) 또는 클리어런스 대화 상자(다중 레이블 세션의 경우)에 사용자가 입력하는 값

• 사용자 워크스테이션에 대한 레이블 범위

클리어런스 대화 상자에 나타나는 세션 클리어런스는 사용자 클리어런스로부터 (인가) 최소 클리어런스 및 (계정) 최소 보안 레이블 중 높은 레이블에 이르기까지 다양하며 이는 label_encodings 파일의 클리어런스 규칙 정의의 추가 조합이나 제약 조건에 따라 결정됩니다. 단일 레이블 세션을 선택하는 경우 사용자는 동일한 범위의 레이블로부터 선택이 가능하지만 이 역시 label_encodings 파일의 민감도 규칙 정의의 필요한 조합이나 제약 조건의 적용에 따라 결정됩니다.

로그인 장치에 범위를 부여할 수도 있습니다. device_allocate 파일에서 최소 민감도 레이블 및 최소 민감도 레이블을 지정하면 됩니다. 자세한 설명은 "Trusted Solaris에서 장치 액세스를 제어하는 방법"을 참조하십시오.

한 예제로서, 사용자는 그림 1-3의 S A B와 TS A B 사이에서 양호한 형식의 레이블을 사용하여 세션 클리어런스를 지정할 수 있습니다. 사용자 클리어런스가 최소 클리어런스를 지배하지 않는 경우 사용자는 로그인할 수 없습니다. 사용자의 (계정) 최소 민감도 레이블이 (인가) 최소 민감도 레이블보다 낮을 경우 (인가) 최소 민감도 레이블이 세션 범위의 하한을 정의합니다.

그림 1-4 (a)는 사용자가 S A B 세션 클리어런스로 다중 레이블 세션을 선택한 경우, 사용할 수 있는 민감도 레이블 범위를 나타내고 있는 예제의 연장입니다. S A B 및 C 사이에 다른 잠재 레이블이 허용되지 않았기 때문에 사용자는 효과적으로 S A B, C A B 또는 C에서만 작업할 수 있습니다.

그림 1-4 (b)는 사용자가 C A B 세션 민감도 레이블로 단일 레이블 세션을 선택한 경우의 레이블 범위를 보여줍니다. C A B는 최소 클리어런스 미만이지만 사용자가 클러어런스가 아닌 세션 민감도 레이블을 선택하기 때문에 C A B에 액세스할 수 있습니다. 이 세션은 단일 레이블 세션이므로 사용자는 한 레이블에서만 작업할 수 있습니다. 이 예제에서 S A B 또는 C가 선택할 수 있었지만 사용자는 C A B를 지정했습니다.

그림 1-4 세션 범위 비교

다음 그림은 이 예제에서 사용 가능한 민감도 레이블을 점진적으로 제거하는 것을 요약하여 보여줍니다. 레이블이 필터링되어 후속 범위에서는 나타나지 않는 범위에서 제거된 민감도 레이블에는 선이 그어져 있습니다.

그림 1-5 제약 조건이 세션 범위에 미치는 누적 효과