アカウントに割り当てることができる認可上限および最下位のラベルを、次の図に示します。これらのラベルは、これまでの節で説明した認可の例に基づいています。
この例で、TS A B がユーザー認可範囲の最上位ラベルです。このラベルには、どの格付けのラベルでも一緒に表示されることが許可される 2 つのコンパートメント A および B のみが含まれます。左側に示されているアカウント範囲は、TS A B によって最上位が定められています。TS A B はアカウントに割り当てられている認可上限です。C はアカウントの最下位のラベルです。これらの定義によって、ラベル TS A B、TS A、TS、S A B、C A B、または C で作業するアカウントが制約されます。許可される認可上限は TS A B、TS A、TS、および S A B です。minimum clearance (最下位の認可上限) の S A B が label_encodings ファイルに設定されます。
TS A B が有効なラベルではなかったとしても、セキュリティー管理者はそのラベルを認可上限として割り当てることができます。この割り当てによって、TS のほうが優位であり、かつ語句 A および B を含む、任意の有効なラベルを、アカウントで使用できるようになります。逆に、TS をアカウント認可上限として割り当てた場合、ユーザーはラベル TS および C でのみ作業できます。コンパートメントを持たない TS は S A B または C A B に対して優位になりません。
表 1–1 認可範囲とアカウントラベル範囲の例
|
認可範囲 |
アカウントラベル範囲 |
|||
---|---|---|---|---|---|
可能なラベル |
システム |
ユーザー |
TS A B 認可上限、S A B 最下位のラベル |
TS 認可上限、C 最下位のラベル |
ADMIN_LOW 認可上限および最下位のラベル、solaris.label.range 承認 |
ADMIN_HIGH |
ADMIN_HIGH |
|
|
|
|
TS A B |
TS A B |
|
TS A B |
|
|
TS A |
TS A |
TS A |
TS A |
|
|
TS |
TS |
TS |
TS |
TS |
|
S A B |
S A B |
S A B |
S A B |
|
|
S A |
|
|
|
|
|
S |
|
|
|
S |
|
C A B |
C A B |
|
|
|
|
C A |
C A |
|
|
|
|
C |
C |
C |
|
C |
|
ADMIN_LOW |
ADMIN_LOW |
|
|
|
ADMIN_LOW |
表 1–1 は、可能なラベルの組み合わせ、システム認可範囲、ユーザー認可範囲、およびいくつかのアカウントラベル範囲の例における違いを示しています。
何も承認されていない一般ユーザーは、ユーザー認可範囲の列にあるラベルでしか作業できません。
4 列目は、認可上限 TS A B および最下位のラベル S A B のユーザーのアカウントラベル範囲を示します。この範囲では、ユーザーはラベル TS A B、TS A、TS、および S A B で作業できます。
表 1–1 の 5 列目は、認可上限 TS および最下位のラベル C のアカウントを示します。TS が優位になるその他のすべての有効なラベルには語句 A および B が含まれるので、このアカウントは TS、S、および C のラベルでのみ作業できます。A および B は認可上限にありません。
6 列目は、ユーザー認可範囲外で作業することが承認されているユーザーを示します。このユーザーには 1 つのラベル ADMIN_LOW が割り当てられます。