セッション範囲

「セッション範囲」は、Trusted Extensions セッション時にユーザーアカウントで使用できるラベルのセットです。セッション範囲は次を対象として制約します。

• ユーザーのラベル範囲

• ユーザーが選択したラベル

• ローカルシステムのラベル範囲

単一ラベルアカウントのセッション範囲は、アカウントのラベルです。ユーザーアカウントが複数のラベルを使用できるように設定されている場合にのみ、一連のラベルからの選択が可能です。複数のラベルを使用できるように設定されているユーザーアカウントは、セッション中に異なるラベルを選択できます。ラベルの指定については『Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

ログイン時に選択した単一のラベルまたはセッションの認可上限は、ログアウトするまでのそのセッションを通じて有効です。マルチラベルセッションでは、セッション認可上限からユーザーの最下位ラベルまでの間の任意の有効なラベルで、ユーザーが作業できます。

図 1–6 の例は図 1–7 に続きます。この例では、ユーザーは TS A B と S A B の間の適格な形式のラベルを使用するセッション認可上限を指定できます。

図 1–7 の (a) は、ユーザーがセッション認可上限 S A B のマルチラベルセッションを選択した場合に使用可能なラベルを示します。S A B と C の中間にあるその他のラベルは適格な形式ではないので、ユーザーは S A B、C A B、または C でのみ作業できます。

図 1–7 の (b) は、ユーザーがセッションラベル C A B の単一ラベルセッションを選択した場合に使用可能なラベルを示します。C A B は minimum clearance (最下位の認可上限) より下位にあります。ただし、ユーザーは認可上限ではなくセッションラベルを選択するので、C A B はアクセス可能です。セッションは単一ラベルなので、ユーザーは 1 つのラベルでのみ作業できます。ユーザーは S A B または C を選択することも可能でしたが、この例では C A B を指定しました。

図 1–7 セッション範囲の比較

次の図に、この例で使用可能なラベルを段階的に除外して示します。それぞれの範囲で除外されるラベルは上に線が引かれます。除外されたラベルは、それ以降の範囲では表示されません。

図 1–8 セッション範囲に対する制約の段階的効果