tnrhtp 데이터베이스
tnrhtp(4) 데이터베이스에는 소스 호스트에 할당될 보안 속성값을 포함하는 템플리트가 있습니다. 동종 네트워크에서는 하나의 템플리트만 있으면 됩니다. 이종 네트워크에서는 각 호스트 종류에 대하여 서로 다른 템플리트가 있어야 합니다. 이 속성들은 수신 데이터에서 빠진 속성에 대한 기본값으로 사용되며, 전송 데이터에 대한 대상 정보를 제공하고 수신 패킷에 대한 인가 확인에도 사용됩니다. 사용되는 보안 속성은 템플리트에 지정된 호스트 종류에 따라 다릅니다. tnrhtp에 저장될 수 있는 보안 속성은 다음과 같습니다.
-
강제 특권
-
RIPSO 레이블
-
RIPSO 오류 - ICMP 오류 메시지에 RIPSO 레이블이 포함된 경우 사용되는 보호 허가 플래그
-
CIPSO DOI - CIPSO 레이블 패킷에서 호스트의 Domain of Interpretation(DOI)을 식별합니다.
-
감사 마스크
-
감사 터미널 ID
-
감사 세션 ID
템플리트의 ip_label 필드가 cipso로 설정되거나 원격 호스트 종류가 cipso인 경우 태그 종류 1이 사용됩니다. 태그 종류 3은 원격 호스트 종류가 MSIX일 때 사용됩니다. 그러나 각 종류의 속성은 특정 호스트 종류에만 적합합니다. 표 5-1은 각 호스트 종류에 허용되는 보안 속성을 설명합니다.
표 5-1 호스트 종류별 보안 속성|
호스트 종류 |
보안 속성 |
|---|---|
|
unlabeled |
민감도 레이블, 정보 레이블, 클리어런스, UID, GID, 강제 특권, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID, (게이트웨이 호스트에 대한 최소 SL과 최대 SL) |
|
sun_tsol |
허용 특권, 최소 SL과 최대 SL, IP 레이블, RIPSO 레이블, RIPSO 오류, CIPSO DOI, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID |
|
ripso |
민감도 레이블, 정보 레이블, 클리어런스, UID, GID, 강제 특권, RIPSO 레이블, RIPSO 오류, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID, (게이트웨이 호스트에 대한 최소 SL과 최대 SL) |
|
cipso |
클리어런스, 정보 레이블, UID, GID, 강제 특권, 최소 SL과 최대 SL, CIPSO DOI, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID |
|
tsix |
민감도 레이블, 정보 레이블, 클리어런스, UID, GID, 허용 특권, 강제 특권, 최소 SL과 최대 SL, IP 레이블, RIPSO 레이블, RIPSO 오류, CIPSO DOI, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID |
|
msix |
민감도 레이블, 정보 레이블, 클리어런스, UID, GID, 최소 SL과 최대 SL, 감사 UID, 감사 마스크, 감사 터미널 ID, 감사 세션 ID |
데이터베이스 관리자에서 tnrhtp 데이터베이스를 선택하여 읽어 들이면 tnrhtp 데이터베이스의 내용이 데이터베이스 관리자 주 윈도우에 표시되어, 각 원격 호스트 템플리트 이름 및 이 이름과 관련된 기본값을 보여줍니다. tnrhdb 데이터베이스를 편집하려면 추가(Add)를 선택하거나 템플리트를 선택한 다음 편집(Edit) 메뉴에서 수정(Modify)을 선택합니다. 다음 페이지의 그림 id와 같은 대화 상자가 표시됩니다.
그림 5-6 원격 호스트 템플리트 추가를 위한 데이터베이스 관리자 대화 상자(tnrhtp)
대화 상자는 다음과 같은 네 부분으로 구분됩니다.
-
템플리트 이름(Template Name)과 호스트 종류(Host Type) - 템플리트를 식별할 수 있습니다. 호스트 종류(Host Type) 메뉴를 사용하여 템플리트에 대한 호스트 종류를 선택할 수 있습니다.
-
인가 범위(Accreditation Range) - 최소 SL(Minimum Sl)과 최대 SL(Maximum SL) 필드를 사용하여 템플리트에 대한 인가 범위를 설정할 수 있습니다. 이들 필드는 민감도 레이블, 정보 레이블 또는 클리어런스를 포함하는 다른 필드와 마찬가지로 레이블 작성기 대화 상자를 표시하는 버튼을 제공합니다.
-
받는 정보에 대한 속성(Attributes for Incoming Information) - 받는 정보에 적용되는 사용자 ID, 민감도 레이블, 정보 레이블, 클리어런스, 강제 특권 및 허용 특권의 값을 설정할 수 있습니다. 강제 특권(Forced Privileges) 및 허용 특권(Allowed Privileges) 버튼을 선택하면 특권 선택(Privilege Selection) 대화 상자가 표시됩니다.
-
보내는 정보에 대한 속성(Attributes on Outgoing Information) - 보내는 정보에 적용되는 IP 레이블 형식(IP Label Type), RIPSO 보내기 클래스(RIPSO Send Class), RIPSO 보내기 PAF(RIPSO Send PAF), RIPSO 반환 PAF(RIPSO Return PAF) 및 CIPSO 도메인(CIPSO Domain)을 설정할 수 있습니다. IP 레이블 유형(IP Label Type) 필드에는 없음(None), RIPSO 또는 CIPSO를 선택할 수 있는 옵션 메뉴가 있습니다. 이 필드를 CIPSO로 설정하거나 호스트 종류가 CIPSO인 경우 CIPSO 태그 종류 1이 데이터 패킷 내의 IP 옵션 필드에 사용됩니다. 호스트 종류가 MSIX이면 CIPSO 태그 종류 2가 사용됩니다. RIPSO 보내기 클래스(RIPSO Send Class) 필드 옵션 메뉴를 사용하면 보낼 RIPSO 레이블의 분류 등급 부분을 없음(None), Top Secret, Secret, Confidential, Unclassified 또는 Hex 중에서 선택할 수 있습니다. Hex를 선택하면 16진수 값을 직접 입력할 수 있는 대화 상자가 표시됩니다. RIPSO 보내기 PAF(RIPSO Send PAF) 필드를 사용하면 보낼 RIPSO 레이블의 보호 허가 플래그 부분을 없음(None), GENSER, SIOP_ESI, SCI, NSA, DOE 또는 Hex 중 하나로 입력할 수 있습니다. RIPSO 반환 PAF(RIPSO Return PAF) 필드를 사용하면 옵션 메뉴로부터 오류 플래그를 없음(None), GENSER, SIOP_ESI, SCI, NSA, DOE 및 He챦첼}lPARA>에서 선택할 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates