Trusted Extensions ソフトウェアは、Solaris OS を拡張します。次のリストに概要を示します。クイックリファレンスについては、付録 A Trusted Extensions 管理の手引きを参照してください。
Trusted Extensions は、「ラベル」という特別なセキュリティータグを使用して、データへのアクセスを制御します。ラベルでは「必須アクセス制御」(MAC) が使用されます。MAC 保護は、UNIX のファイルアクセス権、つまり随意アクセス制御 (DAC) に追加されます。ラベルは、ユーザー、ゾーン、デバイス、ウィンドウ、およびネットワークの終端に直接割り当てられます。ラベルは、プロセス、ファイル、およびその他のシステムオブジェクトにも暗黙的に割り当てられます。
一般ユーザーが MAC を上書きすることはできません。Trusted Extensions では、一般ユーザーはラベルが割り当てられたゾーンで作業する必要があります。デフォルトでは、ラベルが割り当てられたゾーンのユーザーまたはプロセスは MAC を上書きできません。
Solaris OS と同様に、MAC の上書きを許可する場合は、セキュリティーポリシーを上書きできる機能を特定のプロセスまたはユーザーに割り当てます。たとえば、ファイルのラベルを変更できるようにユーザーを承認することができます。これらの処理は、ファイル内の情報の機密度をアップグレードまたはダウングレードします。
Trusted Extensions は、既存の構成ファイルやコマンドを拡張します。たとえば、Trusted Extensions は監査イベント、承認、特権、権利プロファイルを追加します。
Trusted Extensions システムでは、Solaris システムでオプションとされている機能の中に必要なものがあります。たとえば、Trusted Extensions が設定されたシステムではゾーンと役割が必要です。
Trusted Extensions システムでは、Solaris システムでオプションとされている機能の中に推奨されるものがあります。たとえば、Trusted Extensions では、root ユーザーを root 役割に変更するようにしてください。
Trusted Extensions では、Solaris OS のデフォルトの動作が変更される場合があります。たとえば、Trusted Extensions が設定されたシステムでは、監査がデフォルトで有効です。また、デバイス割り当てが必要です。
Trusted Extensions では、利用できる選択肢が Solaris OS よりも制限される場合があります。たとえば、Trusted Extensions が設定されたシステムでは、NIS+ ネームサービスはサポートされません。また、Trusted Extensions では、すべてのゾーンはラベル付きゾーンです。Solaris OS と異なり、ラベル付きゾーンは同じプールのユーザー ID とグループ ID を使用する必要があります。Trusted Extensions では、複数のラベル付きゾーンで 1 つの IP アドレスを共有することもできます。
Trusted Extensions には、トラステッドバージョンの 2 つのデスクトップがあります。ラベル付き環境で作業するには、Trusted Extensions のデスクトップユーザーはこれらのデスクトップのいずれかを使用する必要があります。
Solaris Trusted Extensions (CDE) – トラステッドバージョンの共通デスクトップ環境 (CDE) です。この名称はTrusted CDE と略すことができます。
Solaris Trusted Extensions (JDS) – トラステッドバージョンの Java Desktop System, Release number です。この名称は Trusted JDS と略すことができます。
Trusted Extensions には、グラフィカルユーザーインタフェース (GUI) とコマンド行インタフェース (CLI) が追加されています。たとえば、Trusted Extensions にはデバイスを管理するデバイス割り当てマネージャーが用意されています。また、updatehome コマンドは、一般ユーザーの各ラベルのホームディレクトリに、起動ファイルを配置するために使用します。
Trusted Extensions では、管理に特定の GUI を使用する必要があります。たとえば、Trusted Extensions が設定されたシステムでは、Solaris 管理コンソールを使用してユーザー、役割、およびネットワークを管理します。同様に、Trusted CDE では、システムファイルを編集するには管理エディタを使用します。
Trusted Extensions は、ユーザーが表示できる内容を制限します。たとえば、ユーザーが割り当てできないデバイスは、そのユーザーに対して表示されません。
Trusted Extensions は、ユーザーのデスクトップオプションを制限します。たとえば、ユーザーがワークステーションを非活動のままにできる時間は制限されています。この時間を過ぎると、画面がロックされます。