test

Oracle Solaris Trusted Extensions ユーザーズガイド

第 3 章 Trusted Extensions での作業 (手順)

この章では、Solaris Trusted Extensions のワークスペースで作業する方法について説明します。この章で扱う内容は、次のとおりです。

Trusted Extensions のデスクトップセキュリティーの表示

Trusted Extensions では、Solaris Trusted Extensions (CDE) デスクトップおよび Solaris Trusted Extensions (JDS) デスクトップの 2 種類のラベル付きデスクトップが提供されます。

Trusted Extensions が設定されたシステムでは、ログイン時および画面ロック時を除き、トラステッドストライプが表示されます。上記の場合以外は常にトラステッドストライプが表示されています。Trusted CDE では、トラステッドストライプは画面の最下部に表示されます。Trusted JDS では、画面の最上部に表示されます。トラステッドシンボルは、トラステッドコンピューティングベースとの対話が行われるときに、トラステッドストライプに表示されます。たとえば、パスワードを変更するときは TCB と対話します。

マルチヘッドの Trusted Extensions システムのモニターが水平に設定されている場合、1 つのトラステッドストライプが複数のモニターにまたがって表示されます。ただし、マルチヘッドのシステムが垂直に表示するよう設定されているか、または別個のデスクトップがモニターごとに 1 つずつ存在する場合、トラステッドストライプは 1 つのモニターにだけ表示されます。

注意 – 注意 –

マルチヘッドのシステム上で 2 つめのトラステッドストライプが表示される場合、それはオペレーティングシステムによって生成されたものではありません。システムに承認されていないプログラムが存在する可能性があります。

ただちにセキュリティー管理者に連絡してください。正しいトラステッドストライプを確認するには、『Oracle Solaris Trusted Extensions 管理の手順』「デスクトップの現在のフォーカスへの制御を取り戻す」を参照してください。

アプリケーション、メニュー、ラベル、およびデスクトップの機能の詳細は、第 4 章Trusted Extensions の構成要素 (リファレンス)を参照してください。

Trusted Extensions のログアウトプロセス

ログインしたまま放置されたワークステーションは、セキュリティー上のリスクを招きます。ワークステーションから離れるときは、ワークステーションのセキュリティー保護を行う習慣をつけてください。すぐに端末に戻るつもりであれば、画面をロックしてください。ほとんどのサイトでは、一定時間アイドル状態のままにしておくと、画面が自動的にロックされます。長時間席をはずしたり、ほかのユーザーがワークステーションを使用すると思われる場合は、ログアウトしてください。

ラベル付きシステムでの作業

注意 – 注意 –

ワークスペースにトラステッドストライプが表示されない場合は、セキュリティー管理者に連絡してください。システムに重大な問題が起きている可能性があります。

ログイン時および画面ロック時は、トラステッドストライプは表示されません。トラステッドストライプが表示されている場合は、ただちに管理者に連絡してください。

Procedure画面をロックおよびロック解除する

ワークステーションから短時間離れるときは、画面をロックしてください。

  1. 画面をロックするには、次の操作のいずれかを行います。

    • Trusted CDE では、フロントパネルのワークスペーススイッチ領域にある画面ロック用のアイコンをクリックします。

      図 3–1 フロントパネルのスイッチ領域

      スイッチ領域の左側に画面ロック用のアイコン、右側にログアウト用のアイコンが表示されたフロントパネル

    • Trusted JDS では、「メイン (Main)」メニューから「画面ロック (Lock Screen)」を選択します。

      図 3–2 ロック画面の選択

      図では、「画面ロック (Lock Screen)」項目が選択されたメインメニューを示しています。

      画面が消えます。この時点で再びログインできるのは、画面をロックしたユーザーのみです。

      注 –

      画面がロックされているときに、トラステッドストライプが表示されることはありません。トラステッドストライプが表示されている場合は、ただちにセキュリティー管理者に報告してください。

  2. 画面のロックを解除するには、次の操作を行います。

    1. マウスを動かして、「画面ロック (Lock Screen)」ダイアログボックスを表示します。

      「画面ロック (Lock Screen)」ダイアログボックスが表示されない場合は、Return キーを押します。

    2. パスワードを入力します。

      これにより、画面をロックする前の状態のセッションに戻ります。

ProcedureTrusted Extensions からログアウトする

ほとんどのサイトでは、一定時間アイドル状態のままにしておくと、画面が自動的にロックされます。ワークステーションから長時間離れたり、ほかのユーザーがワークステーションを使用すると思われる場合は、ログアウトしてください。

  1. ログアウトするには、次のいずれかの操作を行います。

    • Trusted CDE では、フロントパネルのワークスペーススイッチ領域にある「EXIT」アイコンをクリックします。

      フロントパネルの画面は、図 3–1 を参照してください。

      「ログアウト確認 (Logout Confirmation)」ダイアログボックスが表示されます。

      「了解 (OK)」、「取り消し (Cancel)」、「ヘルプ (Help)」のボタンが表示された「ログアウト確認 (Logout Confirmation)」というタイトルのダイアログボックス現在のセッションが保存されることを告げるテキスト

    • Trusted JDS では、「メイン (Main)」メニューから「 your-name をログアウト (Log Out your-name)」を選択します。

      「ログアウト確認 (Logout Confirmation)」ダイアログボックスが表示されます。

      画像は、Trusted JDS のログアウトダイアログボックスを示しています。

  2. ログアウトを確認するか、または「取り消し (Cancel)」をクリックします。

Procedureシステムをシャットダウンする方法

Trusted Extensions のセッションを終了する正規の方法はログアウトです。次の手順は、ワークステーションの電源を切る必要がある場合に使用してください

注 –

コンソール上で操作していない場合、システムをシャットダウンできません。たとえば、Sun Ray クライアントはシステムをシャットダウンできません。

  1. システムをシャットダウンするには、次のいずれかの操作を行います。

    • Trusted JDS で、「メイン (Main)」メニューから「停止 (Shut Down)」を選択します。

      シャットダウンを確認します。

      図は、「停止 (Shutdown)」項目が選択されたメインメニューを示しています。

    • Trusted CDE で、ワークスペースメニューから「システム保存停止 (Suspend System)」を選択します。

      メニューを表示するには、背景でマウスボタン 3 をクリックしてください。

      1. 続行する操作を確定します。

        • システムをシャットダウンするには、「停止 (Shutdown)」をクリックします。

        • システムを省電力モードにするには、「保存停止 (Suspend)」をクリックします。

        • それ以外の場合は「取り消し (Cancel)」をクリックします。

        注 –

        デフォルトでは、Stop-A (L1-A) キーの組み合わせは Trusted Extensions では使用できません。このデフォルト設定はセキュリティー管理者が変更できます。

Procedureラベル付きワークスペースにファイルを表示する

ファイルを表示するには、Solaris システムでの Trusted CDE または Trusted JDS で使用するものと同じアプリケーションを使用します。複数のラベルで作業している場合は、ワークスペースのラベルのファイルのみが表示されます。

  1. Trusted CDE のワークスペースで、端末ウィンドウまたはファイルマネージャーを開きます。

    • 端末ウィンドウを開き、ホームディレクトリの内容を一覧表示します。

      背景でマウスボタン 3 をクリックします。ワークスペースメニューから、「ツール (Programs)」->「端末エミュレータ (Terminal)」の順に選択します。

    • フロントパネルで、ファイルマネージャーをクリックします。

      図 3–3 ラベルの付いたファイルマネージャー

      画面は、PUBLIC のラベルが付き、格納されているファイルが表示されたファイルマネージャーを示しています。

      ファイルマネージャーは、そのラベルのホームディレクトリの内容を示した状態で表示されます。

      ファイルマネージャーは、現在のワークスペースと同じラベルで開きます。このアプリケーションでは、同じラベルのファイルのみにアクセスできます。別のラベルのファイルの表示に関する詳細は、「コンテナとラベル」を参照してください。

  2. Trusted JDS のワークスペースで、端末ウィンドウまたはファイルブラウザを開きます。

    • 端末ウィンドウを開き、ホームディレクトリの内容を一覧表示します。

      背景でマウスボタン 3 をクリックします。メニューから、「端末エミュレータを開く (Open Terminal)」を選択します。

    • デスクトップのドキュメントフォルダ、またはこのコンピュータフォルダをダブルクリックします。

      これらのフォルダがファイルブラウザに表示されます。ファイルブラウザアプリケーションは、現在のワークスペースと同じラベルで開きます。このアプリケーションでは、同じラベルのファイルのみにアクセスできます。別のラベルのファイルの表示に関する詳細は、「コンテナとラベル」を参照してください。

ProcedureTrusted Extensions のマニュアルページにアクセスする

  1. Solaris Trusted Extensions の Solaris 10 11/06 および Solaris 10 8/07 リリースでは、Intro(3TSOL) のマニュアルページを参照してください。

    1. 端末ウィンドウを開きます。

      • Trusted CDE では、背景でマウスボタン 3 をクリックします。次に「ツール (Programs)」->「端末エミュレータ (Terminal)」の順に選択します。

      • Trusted JDS では、背景でマウスボタン 3 をクリックします。次に、「端末エミュレータを開く (Open Terminal)」を選択します。

    2. Trusted Extensions の紹介マニュアルページを開きます。


      % man -s 3tsol intro

      Trusted Extensions に固有のユーザーコマンドのリストは、『Oracle Solaris Trusted Extensions 管理の手順』の付録 B「Trusted Extensions マニュアルページのリスト」を参照してください。

      マニュアルページは、Sun の マニュアル Web サイト からも入手できます。

  2. Solaris 10 5/08 リリース以降では、端末ウィンドウで trusted_extensions(5) のマニュアルページを確認します。


    % man trusted_extensions

    Trusted Extensions に固有のユーザーコマンドのリストは、『Oracle Solaris Trusted Extensions 管理の手順』の付録 B「Trusted Extensions マニュアルページのリスト」を参照してください。

ProcedureTrusted Extensions のオンラインヘルプにアクセスする

  1. Trusted CDE では、フロントパネルの「Help」アイコンをクリックします。

    図 3–4 Trusted Extensions のオンラインヘルプ

    Solaris Trusted Extensions のデスクトップヘルプが表示された「ヘルプ・ビューア (Help Viewer)」というタイトルのウィンドウ

    1. 「索引 (Index)」ボタンをクリックします。

    2. 「索引 (Index)」で、「全ボリューム (All Volumes)」から Trusted という言葉を検索します。

    3. リンクをクリックして、Trusted Extensions 固有のヘルプを探します。

  2. Trusted JDS では、トラステッドパスメニューの「Help」をクリックします。

    • トラステッドパスメニューを開くには、トラステッドストライプの左側にあるトラステッドシンボルをクリックします。

      図は、トラステッドストライプの左側にあるトラステッドシンボルの下のトラステッドパスメニューを示しています。

    • タスク固有のヘルプを検索するには、「デバイスマネージャー」など、現在使用しているトラステッドアプリケーションの「ヘルプ」ボタンをクリックします。

ProcedureCDE のワークスペースメニューをカスタマイズする

Trusted CDE では、ユーザーおよび役割が、ラベルごとにワークスペースメニューをカスタマイズできます。

  1. 現在のワークスペースで、ワークスペースメニューのカスタマイズを開始します。

    • メニューに 1 つ以上の項目を追加するには、「メニューに項目を追加 (Add Item to Menu)」項目を選択します。

      「ブラウズ (Browse)」ボタンのあるダイアログボックスが表示されます。

    • メニューまたはメニューのプロパティーを変更するには、「メニューをカスタマイズ (Customize Menu)」項目を選択します。

      ファイルマネージャーが表示されます。

  2. ワークスペースメニューに項目を追加する場合は、次の操作を行います。

    1. プログラムごとに、プログラムを検索して追加します。

      「ブラウズ (Browse)」ボタンをクリックすると、現在のワークスペースの現在のラベルで使用可能なファイルが表示されます。

    2. プログラムを選択します。

    3. ウィンドウを閉じます。

      選択した項目がワークスペースメニューの最上部に追加されます。

  3. ワークスペースメニューを変更するには、次の手順を行います。

    • メニュー項目を削除するには、項目の上でマウスボタン 3 をクリックし、「ごみ箱に捨てる (Put in Trash)」をクリックします。

    • アクセス権などのプロパティーを変更するには、項目の上でマウスボタン 3 をクリックし、「属性 (Properties)」をクリックします。

      ここでアクセス権を変更できます。ファイルの情報と機密ラベルを確認することもできます。

  4. メニューの変更を確定するか、取り消します。

    • 変更を確定するには、「ファイル (File)」->「ワークスペースメニューの更新 (Update Workspace Menu)」の順に選択します。

      ワークスペースメニューに変更が反映されます。

    • 変更を取り消すには、「ファイル (File)」->「閉じる (Close)」の順にクリックします。

Procedureあらゆるラベルの初期設定ファイルにアクセスする

別のラベルにファイルをリンクまたはコピーする操作は、ラベルの低いファイルを高いラベルで表示できるようにするのに便利です。リンクされたファイルへの書き込みは、低い方のラベルでのみ実行できます。コピーされたファイルはラベルごとに一意であり、各ラベルで変更できます。詳細は、『Oracle Solaris Trusted Extensions 管理の手順』「.copy_files ファイルと .link_files ファイル」を参照してください。

始める前に

マルチレベルセッションにログインしている必要があります。 サイトのセキュリティーポリシーでリンクが許可されている必要があります。

これらのファイルの変更は管理者とともに行なってください。

  1. ほかのラベルにリンクする初期設定ファイルを決定します。

  2. ~/.link_files ファイルを作成または変更します。

    1 行につき 1 つのファイルのエントリを入力します。ホームディレクトリ内のサブディレクトリへのパスを指定できますが、先頭のスラッシュは使用できません。すべてのパスがホームディレクトリ内にある必要があります。

  3. ほかのラベルにコピーする初期設定ファイルを決定します。

    初期設定ファイルのコピーは、常に特定の名前でファイルへの書き込みを行うアプリケーションで、そのデータを複数のラベルに分ける必要があるときに便利です。

  4. ~/.copy_files ファイルを作成または変更します。

    1 行につき 1 つのファイルのエントリを入力します。ホームディレクトリ内のサブディレクトリへのパスを指定できますが、先頭のスラッシュは使用できません。すべてのパスがホームディレクトリ内にある必要があります。

例 3–1 .copy_files ファイルの作成

この例のユーザーは、複数の初期設定ファイルをラベルごとにカスタマイズしたいと望んでいます。ユーザーの組織では、会社の Web サーバーを Restricted レベルで使用できます。そのため、このユーザーは、.mozilla ファイル内のさまざまな初期設定を、Restricted レベルで行なっています。同様に、このユーザーは Restricted レベルの特殊なテンプレートと別名を持っています。そのため、.aliases 初期設定ファイルと .soffice 初期設定ファイルの変更を、Restricted レベルで行なっています。.copy_files ファイルをユーザー自身の最下位ラベルで作成したあとは、前述のファイルを簡単に変更できるようになります。


% vi .copy_files
# Copy these files to my home directory in every zone
.aliases
.mozilla
.soffice
例 3–2 .link_files ファイルの作成

この例では、ユーザーが自分のメールのデフォルトとシェルのデフォルトをすべてのラベルで同一にすることを望んでいます。


% vi .link_files
# Link these files to my home directory in every zone
.cshrc
.mailrc
注意事項

これらのファイルには、異常に対処する予防策がありません。両方のファイルでエントリが重複したり、ファイルエントリがほかのラベルですでに存在したりすると、エラーが起きる可能性があります。

Procedureウィンドウラベルを対話的に表示する

この操作は、一部が隠れたウィンドウのラベルを識別するために役立つことがあります。

  1. トラステッドパスメニューから「ウィンドウのラベルを照会 (Query Window Label)」を選択します。

    ポインタが疑問符に変わります。

  2. ポインタを画面上で動かします。

    ポインタの位置のラベルが、画面中央の小さな四角形のボックスに表示されます。

    図 3–5 「ウィンドウのラベルを照会 (Query Window Label)」の操作画面

    画面は、「ウィンドウのラベルを照会 (Query Window Label)」のポインタと、照会されたウィンドウのラベルを示す「ウィンドウのラベル (Window Label)」インジケータを表示しています。

  3. マウスボタンをクリックして操作を終了します。

ProcedureTrusted Extensions の共通デスクトップタスクを実行する

一部の共通タスクは、ラベルおよびセキュリティーによって影響を受けます。特に次のタスクは Trusted Extensions の影響を受けます。

  1. ごみ箱を空にする。

    ごみ箱には、ワークスペースのラベルのみのファイルを格納できます。機密情報は、ごみ箱に入れた直後に削除してください。

    • Trusted CDE では、フロントパネルで「ごみ箱 (Trash Can)」を開きます。

      「ファイル (File)」->「すべてを選択 (Select All)」の順に選択してから、「ファイル (File)」->「廃棄 (Shred)」を選択します。その後、確定します。

    • Trusted JDS では、デスクトップの「ごみ箱 (Trash Can)」アイコンの上でマウスボタン 3 をクリックします。

      「ごみ箱を空にする (Empty Trash)」を選択してから確定します。

  2. あらゆるラベルのカレンダイベントを検索する。

    カレンダには、そのカレンダを開いたワークスペースのラベルのイベントのみが表示されます。

    • マルチレベルセッションでは、別のラベルのワークスペースからカレンダを開きます。

    • シングルレベルセッションでは、ログアウトします。次に別のラベルでログインし、そのラベルのカレンダイベントを表示します。

  3. Trusted CDE で、トラステッドストライプをクリックしてフロントパネルを復元します。

    アイコン化されているフロントパネルが復元されます。

  4. あらゆるラベルのカスタマイズ済みデスクトップを保存する (両方のデスクトップ)。

    ログインするあらゆるラベルについて、ワークスペース設定をカスタマイズできます。

    1. デスクトップを設定します。

      ウィンドウの整列、フォントサイズの設定、およびその他のカスタマイズを実行します。

      注 –

      ユーザーはデスクトップの設定を保存できます。役割はデスクトップの設定を保存できません。

    2. 現在のワークスペースを保存します。

      • Trusted CDE で、スタイルマネージャーを開きます。「起動」アイコンの設定を選択します。

        注 –

        スタイルマネージャーにはトラステッドパスが必要です。スタイルマネージャーは、フロントパネルまたはワークスペースメニューから実行します。この場合はスタイルマネージャーにトラステッドパスが与えられます。

        このラベルで次回ログインするときは、デスクトップがこの設定で復元されます。

      • Trusted JDS では、ログアウトするときに、現在の設定を保存するように選択します。

        このラベルで次回ログインするときは、デスクトップがこの設定で復元されます。

      • Trusted JDS で、「メイン (Main)」メニューをクリックします。

        1. 「設定 (Preferences)」、「セッション (Sessions)」の順にクリックします。

        2. 「セッションオプション (Session Options)」ボタンをクリックします。

        3. 「現在実行中のアプリケーションを記憶する (Remember currently running applications)」をクリックして、ダイアログボックスを閉じます。

        このラベルで次回ログインするときは、デスクトップがこの設定で復元されます。

トラステッドアクションの実行

次に説明するセキュリティー関連のタスクは、トラステッドパスを必要とします。

注意 – 注意 –

セキュリティー関連のアクションを実行しようとしたときにトラステッドシンボルが表示されない場合は、ただちにセキュリティー管理者に連絡してください。システムに重大な問題が起きている可能性があります。

ProcedureTrusted Extensions でパスワードを変更する

Solaris OS と異なり、Trusted Extensions ではパスワードを変更するための GUI が提供されています。この GUI により、パスワードの操作が完了するまでポインタが占有されます。ポインタを占有したプロセスを中止するには、『Oracle Solaris Trusted Extensions 管理の手順』「デスクトップの現在のフォーカスへの制御を取り戻す」を参照してください。

  1. トラステッドパスメニューから「パスワード変更 (Change Password)」を選択します。

    • Trusted JDS で、トラステッドストライプ内のトラステッドパスをクリックします。

      図 3–6 トラステッドパスメニュー

      図は、トラステッドストライプの左側にあるトラステッドシンボルの下のトラステッドパスメニューを示しています。

    • Trusted CDE で、フロントパネルの中央からトラステッドパスメニューを開きます。

      基本的なトラステッドパスメニューを示す画面

  2. 現在のパスワードを入力します。

    これにより、このユーザー名の正当なユーザーであることが確認されます。セキュリティー保護のため、入力するパスワードは表示されません。

    注意 – 注意 –

    パスワードを入力するときは、カーソルが「パスワード変更 (Change Password)」ダイアログボックス上にあること、およびトラステッドシンボルが表示されていることを必ず確認してください。カーソルがダイアログボックス上にない場合に、誤ってパスワードを別のウィンドウに入力すると、ほかのユーザーにパスワードを見られる恐れがあります。トラステッドシンボルが表示されていない場合は、だれかがパスワードを盗もうとしている可能性があります。ただちにセキュリティー管理者に連絡してください。

  3. 新しいパスワードを入力します。

  4. パスワードをもう一度入力して確定します。

Procedure別のラベルにログインする

最初のログインのあとに続くログインセッションで表示される最初のワークスペースのラベルは、許可されているラベル範囲内の任意のラベルに設定できます。

ユーザーは、ログインしているすべてのラベルに対して、起動セッション特性を設定できます。

始める前に

マルチレベルセッションにログインしている必要があります。

  1. すべてのラベルでワークスペースを作成します。

    詳細は、「特定のラベルのワークスペースを追加する」を参照してください。

  2. それぞれのワークスペースを、希望する表示になるように設定します。

  3. ログインしたときに表示するワークスペースに移動します。

  4. この現在のワークスペースを保存します。

    詳細は、「Trusted Extensions の共通デスクトップタスクを実行する」を参照してください。

ProcedureTrusted Extensions でデバイスを割り当てる

「デバイスを割り当てる (Allocate Device)」メニュー項目を使用して、デバイスを自分専用にマウントして割り当てることができます。デバイスを割り当てないまま使おうとすると、「アクセス権がありません (Permission Denied)」というエラーメッセージが表示されます。

始める前に

デバイスを割り当てるには承認が必要です。

  1. トラステッドパスメニューから「デバイスを割り当てる (Allocate Device)」を選択します。

    または Trusted CDE で、フロントパネルの「ツール (Tools)」サブパネルから「デバイスの割り当て」を選択します。

    図 3–7 Trusted CDE の「デバイス割り当て (Device Allocation)」アイコン

    画面は、フロントパネルに表示されるデバイス割り当てマネージャーのアイコンを示しています。

    「デバイス割り当てマネージャー」が表示されます。Solaris Trusted Extensions (JDS) では、この GUI はデバイスマネージャーと呼ばれます。

    図 3–8 「デバイス割り当てマネージャー (Device Allocation Manager)」

    画面は、「使用可能デバイス (Available Devices)」リストにオーディオデバイスが表示された「デバイス割り当てマネージャー (Device Allocation Manager)」を示しています。

  2. 使用するデバイスをダブルクリックします。

    現在のラベルで割り当てが許可されているデバイスが「使用可能デバイス (Available Devices)」に表示されます 。

    • audion – マイクロフォンとスピーカを表します

    • cdromn – CD-ROM ドライブを表します

    • floppyn – フロッピーディスクドライブを表します

    • mag_tapen – テープドライブ (ストリーマテープドライブ) を表します

    • rmdiskn – JAZ ドライブや ZIP ドライブなどのリムーバブルディスク、または USB ホットプラグ対応媒体を表します

  3. デバイスを選択します。

    「使用可能デバイス (Available Devices)」リストから「割り当てられたデバイス (Allocated Devices)」リストにデバイスを移動します。

    • 「使用可能デバイス (Available Devices)」リストのデバイス名をダブルクリックします。

    • または、デバイスを選択してから割り当てボタン (右向き矢印) をクリックします。

    この操作で clean スクリプトが起動されます。clean スクリプトは、ほかのトランザクションからのデータが媒体に残るのを防ぎます。

    デバイスには、現在のワークスペースのラベルが適用されます。このラベルは、デバイスの媒体に転送される、またはデバイスの媒体から転送されるすべてのデータのラベルよりも優位である必要があります。

  4. 画面の指示に従います。

    指示により、媒体のラベルが正しいことが確認されます。たとえば、マイクロフォンの使用に関して次の指示が表示されます。

    図 3–9 マイクロフォンの使用に関する指示

    図は、使用していないときはマイクロフォンをオフにするようユーザーに指示するダイアログボックスを示しています。

    次にデバイスがマウントされます。この段階で、デバイス名が「割り当てられたデバイス (Allocated Devices)」リストに表示されます。これで、このデバイスがユーザー専用のデバイスとして割り当てられました。

例 3–3 ファイルシステムを読み取るためのリムーバブルメディアの読み込み

この例では、SECRET というラベルが付いた CD-ROM からシステムに情報を読み込みます。ユーザーは CD-ROM の割り当てを承認されています。

まず、SECRET というラベルでワークスペースを作成します。このワークスペースでデバイス割り当てマネージャーを開き、CD-ROM ドライブを割り当てます。次に CD を挿入し、マウントするかどうかの確認に対して yes を答えます。

ソフトウェアにより CD がマウントされ、ファイルマネージャーが表示されます。現在のディレクトリは、マウントポイントに設定されます。

例 3–4 オーディオデバイスの割り当て

この例では、ユーザーがシステムにオーディオデバイスを割り当てます。オーディオデバイスを「割り当てられたデバイス (Allocated Devices)」リストに移動したところ、次のようなメッセージが表示されました。

マイクロフォンの使用に関する警告テキストを表示したダイアログボックス

このデバイスは、Confidential : Internal Use Only というラベルに割り当てられます。ラベルは、「割り当てられたデバイス (Allocated Devices)」リストでデバイスを選択したときに表示されます。

「割り当てられたデバイス (Allocated Devices)」リストでオーディオデバイスを選択すると、そのラベルがラベルフィールドに表示されます。

ユーザーは、オーディオデバイスの使用が終了したら、その割り当てを解除します。システムから、マイクロフォンのスイッチを切るように指示するメッセージが表示されます。

マイクロフォンのスイッチを切るようにユーザーに警告するダイアログボックス
注意事項

使用するデバイスがリストに表示されない場合は、管理者に確認してください。デバイスがエラー状態にあるか、だれかが使用中である可能性があります。あるいは、そのデバイスの使用を承認されていない可能性があります。

別の役割のワークスペースや、異なるラベルのワークスペースに切り替えた場合、割り当てられているデバイスはそのラベルでは機能しません。デバイスを新しいラベルで使用するには、まず最初のラベルでデバイスの割り当てを解除してから、新しいラベルでデバイスを割り当てる必要があります。Trusted CDE では、ウィンドウメニューの「配置するワークスペース (Occupy Workspace)」コマンドを使用して、デバイス割り当てマネージャーを新しいワークスペースに移動すると、「使用可能デバイス (Available Devices)」リストと「割り当てられたデバイス (Allocated Devices)」リストの内容も、状況に合わせて変化します。Trusted JDS のデバイスマネージャーは、GUI を別のラベルのワークステーションに移動した場合も同様に機能します。

ファイルマネージャーまたはファイルブラウザウィンドウが表示されない場合は、ウィンドウを手動で開き、root ディレクトリ (/) に移動してください。このディレクトリで、割り当てたデバイスに移動して内容を表示します。

ProcedureTrusted Extensions でデバイスの割り当てを解除する

  1. デバイスの割り当てを解除します。

    1. デバイス割り当てマネージャーが表示されたワークスペースに移動します。

    2. 割り当てられたデバイスのリストから、割り当てを解除するデバイスを移動します。

  2. メディアを取り出します。

  3. 「Deallocation」ダイアログボックスで、「了解 (OK)」をクリックします。

    別の承認されたユーザーがデバイスを利用できるようになります。

ProcedureTrusted Extensions で役割になる

Solaris OS と異なり、Trusted Extensions では役割を選択するための GUI が提供されます。

  1. トラステッドパスメニューを開きます。

    • Solaris Trusted Extensions (CDE) では、フロントパネルの中央をクリックします。

      セキュリティー管理者から役割を割り当てられている場合は、トラステッドパスメニューに「役割になる: rolename (Assume rolename Role)」メニュー項目が表示されます。

      「役割になる: rolename (Assume rolename)」を選択します。

    • Solaris Trusted Extensions (JDS) では、トラステッドシンボルの右側にあるユーザー名をクリックします。

      メニューから役割名を選択します。

  2. 役割のパスワードを入力し、Return キーを押します。

    これにより、この役割になるのが正当なユーザーであることが確認されます。セキュリティー保護のため、入力するパスワードは表示されません。

    注意 – 注意 –

    パスワードを入力するときは、カーソルが「パスワード変更 (Change Password)」ダイアログボックス上にあること、およびトラステッドシンボルが表示されていることを必ず確認してください。カーソルがダイアログボックス上にない場合に、誤ってパスワードを別のウィンドウに入力すると、ほかのユーザーにパスワードを見られる恐れがあります。トラステッドシンボルが表示されていない場合は、だれかがパスワードを盗もうとしている可能性があります。ただちにセキュリティー管理者に連絡してください。

    役割のパスワードが受け入れられると、役割のワークスペースに切り替わります。Trusted JDS では、現在のワークスペースが役割のワークスペースになります。Trusted CDE では、役割用に新しいワークスペースが作成されます。ここは大域ゾーンです。自分の役割の権利プロファイルで許可されているタスクを実行できます。

Procedureワークスペースのラベルを変更する

Trusted Extensions では複数のワークスペースラベルを設定できるので、同じセッション内で複数のラベルで作業するのに便利です。

ラベルが異なる同じワークスペースで作業する場合は、この手順を使用します。別のラベルのワークスペースを作成するには、「特定のラベルのワークスペースを追加する」を参照してください。

始める前に

マルチレベルセッションにログインしている必要があります。

  1. 現在のワークスペースのワークスペースラベルを変更します。

    • Trusted CDE では、ワークスペースボタンの上でマウスボタン 3 をクリックします。

      メニューから「ワークスペースラベルを変更 (Change Workspace Label)」を選択します。

    • Trusted JDS では、トラステッドストライプ内のウィンドウラベルをクリックします。

      「ワークスペースラベルを変更 (Change Workspace Label)」をクリックします。

      図は、トラステッドストライプ内のウィンドウラベルの下にある「ワークスペースラベルを変更 (Change Workspace Label)」メニューを示しています。

  2. ラベルビルダーからラベルを選択します。

    ワークスペースラベルが新しいラベルに変更されます。ラベルの変更前に起動していたウィンドウやアプリケーションは、前のラベルで引き続き実行されます。トラステッドストライプには新しいラベルが表示されます。ラベルが色分けされているシステムでは、新しいウィンドウが新しい色で区別されます。Trusted CDE では、ワークスペースボタンが色分けされています。Trusted JDS では、パネルが色分けされています。

Procedure特定のラベルのワークスペースを追加する

Trusted Extensions では複数のワークスペースラベルを設定できるので、同じセッション内で複数のラベルで作業するのに便利です。両方のデスクトップで、最下位ラベルにワークスペースを追加できます。Trusted CDE では、既存のワークスペースのラベルでワークスペースを追加できます。

ヒント –

Trusted CDE では、ワークスペースのラベルを反映するように、それぞれのワークスペースボタンの名前を変更します。

現在のワークスペースのラベルを変更するには、「ワークスペースのラベルを変更する」を参照してください。

始める前に

マルチレベルセッションにログインしている必要があります。

  1. Trusted JDS で最下位ラベルにワークスペースを作成するには、次の手順に従います。

    1. ワークスペースパネルの上でマウスボタン 3 をクリックします。

    2. メニューから「設定 (Preferences)」を選択します。

    3. 「ワークスペースの数」フィールドの数を増やします。

      ワークスペースが最下位ラベルで作成されます。このダイアログボックスを使用して、ワークスペースに名前を付けることもできます。名前がツールチップに表示されます。

      注 –

      Trusted JDS では、異なるラベルでワークスペースを追加するには、ワークスペースパネルを選択してそのラベルを変更します。詳細は、「ワークスペースのラベルを変更する」を参照してください。

  2. Trusted CDE で最下位ラベルにワークスペースを作成するには、次の手順に従います。

    1. ワークスペーススイッチ領域でマウスボタン 3 をクリックします。

    2. メニューから、「ワークスペースの追加 (Add Workspace)」を選択します。

      ワークスペースが最下位ラベルで作成されます。

    3. (省略可能) ワークスペースの名前を変更します。

  3. Trusted CDE で既存のワークスペースのラベルにワークスペースを作成するには、次の手順に従います。

    1. ワークスペースボタンの上でマウスボタン 3 をクリックします。

    2. メニューから、「ワークスペースの追加 (Add Workspace)」を選択します。

      ワークスペースボタンのラベルでワークスペースが作成されます。

Procedure別のラベルのワークスペースに切り替える

  1. 既存のワークスペースに切り替えるには、次のいずれかの操作を行います。

    • Trusted CDE では、希望するラベルのワークスペーススイッチをクリックします。

      図 3–10 異なるラベルのスイッチがあるフロントパネル

      画面は、3 つの異なるラベルのスイッチが 4 つあるフロントパネルを示しています。

    • Trusted JDS では、パネル画面上のワークスペースパネルをクリックします。

      図では、デスクトップの右下にあるパネルを表示しています。

      これで、そのラベルのワークスペースに切り替わります。

注意事項

シングルレベルセッションにログインしている場合、別のラベルで作業するにはログアウトする必要があります。その後、希望するラベルにログインしてください。許可されている場合は、マルチレベルセッションにログインする方法もあります。

Procedureウィンドウを別のワークスペースに移動する

別のワークスペースに移動したウィンドウは、元のラベルを維持します。このようなウィンドウで行われるすべてのアクションは、ウィンドウが置かれているワークスペースのラベルではなく、ウィンドウのラベルで行われます。ウィンドウの移動は、情報を比較するときに便利です。アプリケーションをワークスペース間で移動せずに、異なるラベルで使うこともできます。

  1. ウィンドウを別のワークスペースに移動するには、次のいずれかの操作を行います。

    • Trusted CDE で、「配置するワークスペース (Occupy Workspace)」メニューを使用します。

      1. アプリケーションのウィンドウメニューから「配置するワークスペース (Occupy Workspace)」を選択します。

        図 3–11 Trusted CDE の「配置するワークスペース (Occupy Workspace)」メニュー

        画面は、「配置するワークスペース (Occupy Workspace)」ダイアログボックスを示しています。

      2. 別のラベルのワークスペースを選択し、「了解 (OK)」をクリックします。

        これにより、異なるラベルを持つワークスペースにアプリケーションが移動します。「配置するワークスペース (Occupy Workspace)」ダイアログボックスのラベルは「トラステッドパス」です。このラベルは、ワークスペースへの配置がトラステッドコンピューティングベースに影響を与えることを示しています。

        次の図は、1 つのワークスペースに配置された 2 つのラベルの異なる端末ウィンドウを示しています。

        図 3–12 1 つのワークスペース内のラベルの異なるウィンドウ

        画面は、1 つのワークスペース内の Public ウィンドウと Confidential ウィンドウを示しています。

    • Trusted JDS では、パネル画面で、ウィンドウを元のワークスペースパネルから別のパネルにドラッグします。

      ドラッグしたウィンドウが、2 つ目のワークスペースに表示されます。

Procedureファイルのラベルを判断する

通常は、ファイルのラベルは明らかです。しかし、現在のワークスペースよりも低いラベルのファイルの表示を許可されている場合は、ファイルのラベルが明らかではないことがあります。特に、ファイルのラベルがファイルブラウザまたはファイルマネージャーのラベルと異なる場合があります。

  1. Trusted CDE では、ファイルマネージャーを使用してファイルのラベルを判断します。

    • ファイルマネージャーで、ファイルを選択し、「ファイル (File)」から「属性 (Properties)」メニュー項目を選択します。

      ファイルの機密ラベルプロパティーの値を確認します。

    • または、ファイルが表示されたファイルマネージャーからデスクトップにファイルをドラッグします。

      ファイルのアイコンにファイルのラベルが表示されます。

  2. Trusted JDS では、ファイルブラウザを使用します。

    ヒント –

    トラステッドパスメニューの「ウィンドウのラベルを照会 (Query Label)」メニュー項目を 使用することもできます。

Procedureラベル間でデータを移動する

Solaris システムの場合と同様に、Trusted Extensions でもウィンドウ間でデータを移動できます。ただし、データは同じラベルである必要があります。ラベルの異なるウィンドウ間で情報を転送するときは、その情報の機密度を昇格または降格することになります。

始める前に

サイトのセキュリティーポリシーでこのような転送が許可され、含まれるゾーンでラベルの付け直しが許可されている必要があります。また、ユーザーはラベル間のデータ移動を承認されている必要があります。

したがって、管理者は次の手順を完了している必要があります。

マルチレベルセッションにログインしている必要があります。

  1. 両方のラベルでワークスペースを作成します。

    詳細は、「特定のラベルのワークスペースを追加する」を参照してください。

  2. 移動元ファイルのラベルを確認します。

    詳細は、「ファイルのラベルを判断する」を参照してください。

  3. ソース情報が表示されたウィンドウを、ターゲットラベルのワークスペースに移動します。

    詳細は、「ウィンドウを別のワークスペースに移動する」を参照してください。次の図は、同じワークスペースに配置されたラベルの異なる 2 つのエディタを示しています。

    図 3–13 1 つのワークスペース内のラベルの異なるアプリケーション

    図は、2 つのテキストエディタを 2 つの異なるラベルで 1 つのワークスペースに表示し、異なるラベルの 2 つのファイルマネージャーを示しています。

  4. 移動する情報を強調表示し、選択したものをターゲットウィンドウに貼り付けます。

    選択マネージャーの確認ダイアログボックスが表示されます。

    図 3–14 Trusted JDS の選択マネージャーの確認ダイアログボックス

    1 つのウィンドウから別のウィンドウに転送されるテキストのソース、ターゲット、トランザクション情報が表示された「選択マネージャー」というタイトルのウィンドウ

  5. 選択マネージャーの確認ダイアログボックスを確認します。

    このダイアログボックスには、次の情報が表示されます。

    • トランザクションの確認が必要な理由。

    • ソースファイルのラベルと所有者。

    • ターゲットファイルのラベルと所有者。

    • 転送用に選択されたデータの種類、ターゲットファイルの種類、およびデータのサイズ (バイト単位)。デフォルトでは、選択されたデータはテキスト形式で表示されます。

    • トランザクションを完了するための残り時間。時間の長さおよびタイマーの使用は、サイトの設定により異なります。

    図 3–15 Trusted CDE の選択マネージャーの確認ダイアログボックス

    1 つのウィンドウから別のウィンドウに転送されるテキストのソース、ターゲット、トランザクション情報が表示された「選択マネージャー」というタイトルのウィンドウ

  6. (省略可能) 「表示形式 (View As)」メニューで、ソース情報の表示方法を選択します。

    • データを 16 進形式で表示する場合は、16 進数を選択します。

    • データをすべて非表示にする場合は、「なし (None)」を選択します。

      表示形式 (View As)」メニューの設定を変更すると、以降の転送データの表示に反映されます。判読不能なデータが含まれるファイルを選択した場合などは、「なし (None)」を選択してください。

  7. データのラベルを変更するかどうかを確定します。

    • トランザクションを中止するには「取り消し (Cancel)」をクリックします。

    • それ以外の場合は「了解 (OK)」をクリックします。

ProcedureTrusted CDE でラベル間でファイルを移動する

標準的な Solaris システムの場合と同様に Trusted Extensions でファイルを移動できます。ファイルを別のラベルに移動するときは、ファイルに含まれる情報の機密度を昇格または降格することになります。

始める前に

サイトのセキュリティーポリシーでこのような転送が許可され、含まれるゾーンでラベルの付け直しが許可されている必要があります。また、ユーザーはラベル間のファイル移動を承認されている必要があります。

したがって、管理者は次の手順を完了している必要があります。

Trusted CDE のマルチレベルセッションにログインしている必要があります。移動させるファイルは閉じておく必要があります。ほかにこのファイルを使用している人がいないことを確認します。

  1. 両方のラベルでワークスペースを作成します。

    詳細は、「特定のラベルのワークスペースを追加する」を参照してください。

  2. 両方のラベルでファイルマネージャーを開きます。

    詳細は、「ラベル付きワークスペースにファイルを表示する」を参照してください。

  3. ソース側のファイルマネージャーで、ラベルを変更するファイルを表示します。

  4. ターゲット側のファイルマネージャーで、ファイルの新しいディレクトリを表示します。

  5. 2 つのファイルマネージャーを 1 つのワークスペースに移動します。

    詳細は、「ウィンドウを別のワークスペースに移動する」を参照してください。

    図 3–16 1 つのワークスペース内のラベルの異なるファイルマネージャー

    図は、同じワークスペース内にある 2 つの異なるラベルのファイルマネージャーを示しています。

  6. ファイルをターゲットディレクトリにドラッグしてドロップします。

    図 3–17 異なるラベルのファイルマネージャー間でのファイルのドラッグ

    図は、2 つの異なるラベルのファイルマネージャーと、1 つのマネージャーからもう 1 つのマネージャーにドラッグされるファイルを示しています。

    図 3–18 に示すように、ファイルマネージャーの確認ダイアログボックスが表示されます。

    このダイアログボックスは選択マネージャーの確認ダイアログボックスと似ていますが、タイマーはありません。このダイアログボックスには、次の情報が表示されます。

    • トランザクションの確認が必要な理由。

    • ソースファイルのラベルと所有者。

    • ターゲットファイルのラベルと所有者。

    • 転送用に選択されたデータの種類、ターゲットファイルの種類、およびデータのサイズ (バイト単位)。

    図 3–18 ファイルマネージャーの確認ダイアログボックス

    ドラッグされたファイルのソース、ターゲット、転送情報が表示された「ファイルマネージャーのドラッグアンドドロップ確認」というタイトルで「トラステッドパス」というラベルのウィンドウ

  7. ファイルのラベルを変更するかどうかを確定します。

    • トランザクションを中止するには「取り消し (Cancel)」をクリックします。

    • ファイルを新しいラベルに移動するには「適用 (Apply)」をクリックします。

例 3–5 別のラベルへのファイルのリンク

別のラベルにファイルをリンクする操作は、ラベルの低いファイルを高いラベルで表示するときに便利です。ファイルへの書き込みは、低い方のラベルでのみ実行できます。

ファイルをリンクするには、Shift キーと Control キーを押しながら、ソース側のファイルマネージャーからターゲット側のファイルマネージャーに、ファイルのアイコンをドラッグします。次に、リンクを確定するか、操作を取り消します。

注意事項

システムがラベルの昇格または降格を許可するように設定されていない場合は、転送が承認されないことを示すダイアログボックスが表示されます。このような場合は、管理者に確認してください。