Trusted Extensions におけるネットワーキング

Trusted Extensions では、TSIX や TSOL ネットワークプロトコルはサポートされていません。Trusted Extensions では、tnrhtp データベース内に CIPSO ラベルが付いたテンプレートとラベルがないテンプレートが定義されています。ラベル ADMIN_HIGH は上限として使用されますが、CIPSO ラベルとして送信されることはありません。詳細は、「Trusted Extensions 内のゾーン」を参照してください。

特権、ユーザー ID、グループ ID などのプロセス属性は現在サポートされていないため、tnrhtp データベースの書式はシンプルになりました。tnrhdb データベースの書式は変わりません。tnidb データベースは、tnzonecfg データベースによって置き換えられました。しかし、この 2 つのデータベースは同等ではありません。

Solaris Trusted Extensions リリースでインストールされる /etc/security/tsol/tnrhtp ファイルには、あらゆる label_encodings ファイルとともに使用できるテンプレートが含まれます。次の表は、tnrhtp の以前のバージョンと Solaris Trusted Extensions リリースに含まれるバージョンの対応を示しています。

表 1 Trusted Solaris 8 リリースと Solaris Trusted Extensions リリース内にあるテンプレート名

Trusted Solaris テンプレート名	Trusted Extensions 名	注
cipso	cipso	ラベル付きホスト用
unlab	admin_low	ラベルなしホスト用
tsol, tsol_cipso, tsix	なし	cipso テンプレートを使用してください
tsol_ripso, ripso_top_secret	なし	削除されました

ネットワーク通信はラベルで制限されます。デフォルトでは、ゾーン同士の通信は行えません。これは、ゾーンのラベルがそれぞれ異なるためです。

Trusted Extensions ドメインの外から発生する、ラベルなしホストからのパケットは、セキュアドメインからドメイン外の別のホストに対してトラステッドルーティングが行えるように、IP オプションを使用してラベルを付けることができます。着信パケットは、tnrhdb 内にある、それらの発生元ホストのエントリに従ってラベル付けが行われます。着信パケットは、それらの機密ラベルとトラステッドルーティング情報に従って経路が決定されて Trusted Extensions ドメインに送られます。機密ラベルは、IP オプション内でも使用されます。このラベルは、パケットがトラステッドドメインから出る際に除去されます。現在、IPv6 はトラステッドルーティングをサポートします。

動的ルーティングはサポートされません。静的ルーティングはサポートされます。