ラベルの管理

ユーザーに対するラベルの表示方法を設定できます。ラベルの表示/非表示、ラベルの色、印刷出力のラベルが設定可能です。ラベルに対する操作には、承認または特権が必要なものがあります。オブジェクトのラベルのアップグレードまたはダウングレードには承認が必要です。ラベルの内部表現とテキスト表現の間でラベルを操作するには、特権が必要な場合があります。

ラベルの表示/非表示

「ラベル付けされたワークスペース」の説明のように、ラベルはデスクトップのウィンドウに表示されます。単一ラベルのシステムでは、ラベルを表示しないようにすることもできます。ラベルの表示/非表示は、システムの policy.conf ファイルおよび各ユーザーの Solaris 管理コンソールで設定します。設定の手順については、「ラベルエンコーディングの管理 (作業マップ)」を参照してください。

通常、下位ラベルのファイルの内容は上位ラベルのユーザーが読み取ることができます。たとえば、システムファイルおよび一般使用の実行可能ファイルには ADMIN_LOW ラベルが割り当てられます。「下位読み取り、同位読み取り」の規則に従い、どのラベルで作業するアカウントも、ADMIN_LOW ファイルを読み取ることができます。Solaris OS と同様に、DAC の権限によって、読み取りアクセスをできないようにすることが可能です。ゾーンでも、ファイルが読み取られないように保護できます。下位レベルのゾーンがマウントされていない場合、上位レベルのゾーンのユーザーはファイルにアクセスして読み取ることができません。

システムログファイルや label_encodings ファイルなど、一般ユーザーに表示すべきでないデータが含まれるファイルは、ADMIN_HIGH で保守します。保護されているシステムファイルに管理者がアクセスできるようにするには、ADMIN_LOW および ADMIN_HIGH の管理ラベルを役割の最下位ラベルおよび認可上限として割り当てます。

印刷出力のラベル

印刷ジョブのバナーページ、トレーラページ、および本文ページに印刷されるラベルはカスタマイズできます。さらに、バナーページおよびトレーラページに現れる付随のテキストもカスタマイズできます。詳細は、第 4 章「プリンタ出力のラベル付け (手順)」を参照してください。

情報の再ラベル付けの承認

現在の情報のラベルよりも優位のラベルに情報をアップグレードするための承認は、「ファイルラベルのアップグレード」承認と呼ばれます。現在の情報のラベルよりも下位のラベルに情報をダウングレードするための承認は、「ファイルラベルのダウングレード」承認と呼ばれます。これらの承認の定義については、 /etc/security/auth_attr を参照してください。

ラベルを変換する特権

プログラムがラベルの操作を行うたびにラベルの変換が行われます。ラベルの変換はテキスト文字列と内部表現とで行われます。たとえば、getlabel などのプログラムがファイルのラベルを取得する場合、ラベルがユーザーに表示される前に、ラベルの内部表現が人間の理解できる形に変換されます。コマンド行で指定したラベルを setlabel プログラムが設定する場合、ラベル名のテキスト文字列がラベルの内部表現に変換されます。Trusted Extensions では、変換されるラベルに対して呼び出しプロセスのラベルが優位である場合にのみラベル変換が許可されます。プロセスのラベルが、変換を試みた対象のラベルよりも優位でない場合、変換は許可されません。この制限を無効にするには、sys_trans_label 特権が必要です。