第 2 章 Trusted Extensions へのログイン (手順)

この章では、Solaris Trusted Extensions が設定されたシステムの 2 つのデスクトップとログインプロセスについて説明します。この章で扱う内容は、次のとおりです。

• 「Trusted Extensions のデスクトップとログイン」

• 「Trusted Extensions のログインプロセス」

• 「Trusted Extensions へのログイン」

• 「Trusted Extensions に遠隔でログインする」

Trusted Extensions のデスクトップとログイン

Trusted Extensions で使用するデスクトップは保護されています。ラベルは、保護されていることを視覚的に示します。アプリケーション、データ、および通信にラベルが付きます。

デスクトップには、共通デスクトップ環境 (CDE)および Sun Java Desktop System のトランステッドバージョンがあります。

• Solaris Trusted Extensions (CDE) – CDE のトラステッドバージョンです。このデスクトップは、シングルレベルセッションおよびマルチレベルセッションで有効です。CDE を使い慣れている場合、またはサイトポリシーでこのデスクトップを使用する必要がある場合は、Trusted CDE デスクトップを使用してください。

• Solaris Trusted Extensions (JDS) – Java Desktop System, Release number のトラステッドバージョンです。このデスクトップは、シングルレベルセッションおよびマルチレベルセッションで有効です。Trusted JDS には、画面拡大機能などのアクセシビリティー機能があります。GNOME や Java Desktop System を使い慣れている場合、またはサイトポリシーでこのデスクトップを使用する必要がある場合は、このデスクトップを使用してください。ファイルのラベルを変更する権限があり、ファイルをドラッグ & ドロップしてラベルを変更する予定の場合、このデスクトップを使用しないでください。ファイルをドラッグ & ドロップしてラベルを変更するには、Trusted CDE デスクトップを使用してください。

ログイン画面にはラベルが付きません。ログインプロセスでは、実行するセッションのラベルを設定する必要があります。ラベルを選択すると、デスクトップ、そのウィンドウ、およびすべてのアプリケーションにラベルが付きます。さらに、セキュリティーに影響を与えるアプリケーションは、保護されていることがトラステッドパスインジケータによって示されます。

Trusted Extensions のログインプロセス

Trusted Extensions が設定されたシステムでのログインプロセスは、Solaris OS でのログインプロセスとほぼ同じです。ただし、Trusted Extensions では、デスクトップセッションを開始する前に、いくつかの画面でセキュリティー関連の情報を確認する手順があります。プロセスの詳細は後続の節で説明します。ここでは簡単な概要を示します。

1. デスクトップの選択 – Solaris OS の場合と同様に、使用するデスクトップを選択します。Trusted Extensions では、2 つのトラステッドデスクトップのいずれかを選択する必要があります。

2. 識別 – Solaris OS の場合と同様に、「ユーザー名 (Username)」フィールドにユーザー名を入力します。

3. 認証 – Solaris OS の場合と同様に、「パスワード (Password)」フィールドにパスワードを入力します。

   識別と認証が完了すると、システムの使用権利が確認されます。

4. メッセージの確認とセッションタイプの選択 – 「最後のログイン (Last Login)」ダイアログボックスで情報を確認します。このダイアログボックスには、最後にログインした日時、管理者からのメッセージ、セッションのセキュリティー属性が表示されます。複数のラベルで操作することが許可されている場合は、セッションのタイプ (シングルレベルまたはマルチレベル) を指定できます。

   ---

   注 –

   1 つのラベルで操作するように制限されたアカウントの場合は、セッションのタイプを指定できません。この制限は、「シングルレベル設定」または「シングルラベル設定」と呼ばれます。例については、「セッションの選択例」を参照してください。

   ---

5. ラベルの選択 – ラベルビルダーで、セッション中の操作に適用する最上位のセキュリティーレベルを選択します。

デフォルトでは、Trusted Extensions での通常のユーザーのリモートログインはサポートされません。サイトでリモートログインがサポートされている場合は、管理者に手順を確認してください。Solaris 10 5/09 リリースから、仮想ネットワークコンピューティング (Virtual Network Computing、VNC) が遠隔でマルチレベルデスクトップの表示に使用できます。手順については、「Trusted Extensions に遠隔でログインする」を参照してください。

ログイン前のデスクトップの選択

Solaris ワークステーションが作業セッション中でないときは、ログイン画面が表示されています。Trusted Extensions のログイン画面は Solaris のログイン画面によく似ています。Solaris のログイン画面と同様に、「オプション (Options)」メニューからデスクトップを選択できます。

ログイン時の識別と認証

ログイン中の識別と認証は Solaris OS によって処理されます。ログイン画面には、最初に「Username」プロンプトが表示されます。ログインプロセスのこの段階が、「識別」と呼ばれます。

ユーザー名を入力すると、パスワードのプロンプトが表示されます。プロセスのこの段階が、「認証」と呼ばれます。パスワードは、ユーザー名を入力したユーザーが本当にそのユーザー名の使用を承認されているユーザーであることを認証します。

「パスワード」とは、キー入力の非公開の組み合わせで、ユーザー ID の妥当性をシステムに対して証明するものです。パスワードは暗号化形式で格納されるため、システム上のほかのユーザーからはアクセスできません。自分のパスワードがほかのユーザーに使用されて不正なアクセスが行われないよう、パスワードはユーザー自身の責任で保護する必要があります。パスワードを書き留めたり、他人に見せたりしないでください。ユーザーが使用しているパスワードを持った人間は、そのユーザーがアクセスできるすべてのデータに本人であることの識別も確認もされずにアクセスできるからです。最初のパスワードはセキュリティー管理者が設定します。

ログイン時のセキュリティー属性の確認

セキュリティー属性の確認は、Solaris OS ではなく Trusted Extensions によって処理されます。ログインが完了する前に、Trusted Extensions によって「最後のログイン (Last Login)」ダイアログボックスが表示されます。このダイアログボックスには、確認する状態情報が表示されます。自分が最後にシステムを使った日時など過去の情報を確認できます。これから行うセッションで有効となるセキュリティー属性も確認できます。複数のラベルで操作するように設定されたアカウントの場合は、シングルレベルセッションかマルチレベルセッションかを選択できます。

その後、ラベルビルダーでシングルラベルを表示したり、ラベルと認可上限を選択したりできます。

Trusted Extensions へのログイン

Trusted Extensions にログインするための手順を次に示します。デスクトップを表示する前に、セキュリティー情報を確認して指定してください。

Trusted デスクトップを選択する

1. ログイン画面で、「オプション (Options)」メニューから「Sessions」を選択します。

   • Trusted CDE を使用する場合は、「Solaris Trusted Extensions (CDE)」を選択します。

   • Trusted JDS を使用する場合は、「Solaris Trusted Extensions (JDS)」を選択します。

2. 「システムにユーザーを識別および認証させる」に進みます。

システムにユーザーを識別および認証させる

1. ログイン画面の「Username」フィールドにユーザー名を入力します。

   管理者から割り当てられたユーザー名を正確に入力してください。スペリング、大文字、小文字を確認してください。

2. 間違えた場合はやり直します。

   • ユーザー名の入力をやり直すには、「やり直し (Start Over)」をクリックします。

   • ウィンドウシステムを完全に再起動するには、「オプション (Options)」メニューから「ログイン画面のリセット (Reset Login)」をクリックします。

     再起動のあと、「Trusted デスクトップを選択する」に進みます。

3. 入力を確認します。

   Return キーを押してユーザー名を確定します。

   ---

   注意 –

   ログイン画面の表示中は、トラステッドストライプが表示されることはありません。ログインしようとしたとき、または画面のロックを解除しようとしたときにトラステッドストライプが表示された場合は、パスワードを入力しないでください。スプーフィングが行われている可能性があります。「スプーフィング」とは、侵入者のプログラムがログインプログラムであるかのように偽って、パスワードを手に入れようとすることです。ただちにセキュリティー管理者に連絡してください。

   ---

4. パスワードの入力フィールドにパスワードを入力して、Return キーを押します。

   セキュリティー保護のため、入力した文字はフィールドには表示されません。ログイン名とパスワードが、承認されたユーザーのリストと照合されます。

注意事項

入力したパスワードが正しくない場合は、次のようなメッセージを示すダイアログボックスが表示されます。

ログインが正しくありません。再度行って下さい。(Login incorrect; please try again.)

「了解 (OK)」をクリックしてエラーダイアログボックスを閉じます。その後、正しいパスワードを入力します。

メッセージを確認し、セッションタイプを選択する

シングルラベルに制限していないユーザーは、異なるラベルのデータを表示できます。操作可能な範囲は、上限がセッション認可上限、下限が管理者によって割り当てられた最下位ラベルに制限されます。

1. 「最後のログイン (Last Login)」ダイアログボックスで、前回のセッションの日時が正しいことを確認します。

   通常の時間外であるなど、最後のログインに疑わしいところがないかを常に確認してください。ログイン時間が正しくないと考える理由がある場合は、セキュリティー管理者に連絡してください。

   図 2–1 「最後のログイン (Last Login)」ダイアログボックス

   
   

2. 管理者からのメッセージがないかどうかを確認します。

   「本日のメッセージ (Message of the Day)」フィールドには、予定されているメンテナンスやセキュリティー上の問題に関する警告が表示されていることがあります。 このフィールドの情報は必ず確認してください。

3. セッションのセキュリティー属性を確認します。

   図 2–1 に示すように、「最後のログイン (Last Login)」ダイアログボックスには、ユーザーがなれる役割や最下位ラベルなどのセキュリティー特性が表示されます。

4. (省略可能) マルチレベルセッションへのログインが許可されている場合は、シングルラベルセッションにするかどうかを決定します。

   「シングルラベルにセッションを制限 (Restrict Session to a Single Label)」ボタンをクリックして、シングルラベルのセッションにログインします。

   ラベルビルダーが表示されます。シングルラベルでログインしている場合は、ラベルビルダーによりそのセッションラベルが示されます。マルチレベルのシステムの場合は、ラベルビルダーによりセッション認可上限を選択できます。

5. ラベルの選択を確定します。

   図 2–2 ラベルビルダー

   
   

   • デフォルトを拒否する理由がないかぎり、デフォルトを受け入れます。

   • マルチレベルセッションの場合は、認可上限を選択します。

     • 現在の認可上限の選択を解除し、格付けと機密ラベルをクリックします。

     • または、「認可上限 (Clearance)」フィールドに認可上限を入力します。

     • または、「更新後のラベル (Update With)」フィールドにラベルを入力します。

   • シングルレベルセッションの場合は、ラベルを選択します。

     • 現在のラベルの選択を解除し、別の格付けをクリックします。

     • または、「更新後のラベル (Update With)」フィールドにラベルを入力します。

6. 「了解 (OK)」をクリックします。

   選択したトラステッドデスクトップ (Trusted CDE または Trusted JDS) が表示されます。

ログインの問題のトラブルシューティング

1. ユーザー名やパスワードが認識されない場合は、管理者に確認してください。

2. 設定したラベル範囲がワークステーションに許可されていない場合は、管理者に確認してください。

   セッション認可上限およびラベルの範囲は、ワークステーションごとに制限することができます。たとえば、ロビーに置かれたワークステーションは PUBLIC ラベル専用に制限されている可能性があります。指定したラベルまたはセッション認可上限が拒否される場合は、そのワークステーションが制限されていないかどうかを管理者に確認してください。

3. シェルの初期設定ファイルをカスタマイズしている場合にログインできないときは、次の 2 つの対処方法があります。

   • システム管理者に連絡して状況を改善してもらう。

   • root になれる場合は、復旧セッションにログインする。

     標準的なログインでは、起動時にシェルの初期設定ファイルが参照され、カスタマイズされた環境が構築されます。復旧ログインの場合は、デフォルトの設定値がそのままシステムに適用され、シェルの初期設定ファイルは参照されません。

     Trusted Extensions では、復旧ログインは保護されています。スーパーユーザーだけが復旧ログインにアクセスできます。

     1. Solaris OS の場合と同様に、ログイン画面で「オプション (Options)」メニューから「復旧セッション (Failsafe Session)」を選択します。

     2. 要求に応じてユーザー名とパスワードを入力します。

     3. 追加のパスワードを要求されたら、root のパスワードを入力します。

Trusted Extensions に遠隔でログインする

仮想ネットワークコンピューティング (Virtual Network Computing、VNC) を利用すると、ラップトップコンピュータまたはホームコンピュータから中央 Trusted Extensions システムにアクセスできます。サイトの管理者は、Solaris Xvnc ソフトウェアが Trusted Extensions サーバーで動作し、Solaris vnc ソフトウェアがクライアントシステムで動作するように構成する必要があります。サーバーにインストールされたラベル範囲のいずれかのラベルで作業できます。

遠隔 Trusted Extensions デスクトップにログインする方法

始める前に

管理者は『Oracle Solaris Trusted Extensions 管理の手順』の「Xvnc を使用して Trusted Extensions システムに遠隔アクセスする」を完了しています。

1. 端末ウィンドウでは、Xvnc サーバーに接続します。

   管理者が Xvnc で設定したサーバーの名前を入力します。

   % /usr/bin/vncviewer Xvnc-server

2. ログインします。

   「Trusted Extensions へのログイン」の手順に従います。

   vnc ビューア内の Trusted Extensions デスクトップで作業できるようになります。