Oracle Solaris Trusted Extensions 管理の手順

Trusted Extensions のネットワークセキュリティー属性

Trusted Extensions には、セキュリティーテンプレートのデフォルトのセットがインストールされています。ホストにテンプレートを割り当てると、テンプレートのセキュリティー値がホストに適用されます。Trusted Extensions では、ネットワーク上のラベルなしホストとラベル付きホストの両方に、テンプレートによってセキュリティー属性が割り当てられます。セキュリティーテンプレートが割り当てられていないホストとは通信できません。テンプレートは、ローカルに保存したり、Sun Java System Directory Server の LDAP ネームサービスに保存することができます。

テンプレートはホストに直接または間接的に割り当てることができます。直接割り当てでは、テンプレートを特定の IP アドレスに割り当てます。間接割り当てでは、ホストを含むネットワークアドレスにテンプレートを割り当てます。セキュリティーテンプレートがないホストは、Trusted Extensions が設定されたホストと通信できません。直接割り当てと間接割り当てについては、「トラステッドネットワーク代替機構」を参照してください。

テンプレートは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して修正または作成することができます。「セキュリティーテンプレート」ツールは、テンプレートの必要なフィールドへの入力を実施します。どのフィールドが必要かは、ホストタイプに基づきます。

各ホストタイプには、必須および任意のセキュリティー属性の独自セットがあります。セキュリティーテンプレートで、次のセキュリティー属性を指定します。

セキュリティーテンプレートのホストタイプとテンプレート名

Trusted Extensions は、トラステッドネットワークデータベースで 2 種類のホストタイプをサポートし、2 つのデフォルトテンプレートを提供します。


注意 – 注意 –

admin_low テンプレートは、ラベルなしテンプレートをサイト固有のラベルで構築する例を提供します。Trusted Extensions のインストールには admin_low テンプレートが必要ですが、通常のシステム操作に対してセキュリティー設定が適切でない場合があります。システム保守やサポート上の理由により、提供されているテンプレートは変更を加えずそのまま保持してください。


セキュリティーテンプレートのデフォルトラベル

ラベルなしホストタイプのテンプレートでは、デフォルトラベルが指定されます。このラベルは、Solaris システムなど、ラベルを認識しないオペレーティングシステムを実行しているホストとの通信を制御するために使用します。割り当てられるデフォルトラベルは、ホストとそのユーザーに適切な信頼レベルを反映します。

ラベルなしホストとの通信は原則的にデフォルトラベルのみに限定されるため、これらのホストは「シングルラベルのホスト」とも呼ばれます。

セキュリティーテンプレートの解釈のドメイン

同じ DOI (解釈のドメイン) を使用する組織は、ラベル情報やその他のセキュリティー属性を同じ方法で解釈します。Trusted Extensions がラベルの比較を行う場合、DOI が同じであるかどうかが確認されます。

Trusted Extensions システムでは、1 つの DOI 値に対してラベルポリシーを適用します。Trusted Extensions システムのすべてのゾーンは、同じ DOI で動作する必要があります。Trusted Extensions システムでは、異なる DOI を使用するシステムから受信されるパケットに対する例外処理を用意していません。

サイトでデフォルト値と異なる DOI 値を使用する場合は、その値を /etc/system ファイルに追加し、各セキュリティーテンプレートの DOI 値を変更する必要があります。初期手順については、『Oracle Solaris Trusted Extensions 構成ガイド』「解釈ドメインの構成」を参照してください。各セキュリティーテンプレートで DOI を設定する場合は、例 13–1 を参照してください。

セキュリティーテンプレートのラベル範囲

「最小ラベル」および「最大ラベル」属性は、ラベル付きホストおよびラベルなしホストのラベル範囲を決定するために使用されます。これらの属性は、次の処理に使用されます。

セキュリティーテンプレートのセキュリティーラベルセット

セキュリティーラベルセットは、遠隔ホストでパケットを受信、転送、または送信できる不連続なラベルを、最大で 4 つ定義します。この属性は省略可能です。デフォルトでは、セキュリティーラベルセットは定義されていません。