label_encodings(4)

名前 | 形式 | インタフェースレベル | 機能説明 | 拡張機能説明 | 使用例 | 属性 | ファイル | 診断 | 関連項目 | 警告 | 注意事項

名前

label_encodings – ラベルエンコーディングファイル

形式

/etc/security/tsol/label_encodings

インタフェースレベル

このファイルは、米国国防情報局 (DIA) の必須アクセス制御 (MAC) ポリシーの一部です。このファイルは、Solaris Trusted Extensions ソフトウェアの将来のリリース向けに作成されるその他の必須ポリシーには適用されない可能性があります。

label_encodings ファイルの一部は標準と見なされており、米国国防情報局 (DIA) ドキュメント DDS-2600-6216-93、『コンパートメントモードワークステーションのラベル作成: エンコード形式』(1993 年 9 月) の制御下にあります。この標準の中で INFORMATION LABELS: および NAME INFORMATION LABELS: のセクションに言及した箇所は、廃止または互換性がなくなる可能性があります。ただし、INFORMATION LABELS: セクションは存在する必要があり、かつ構文的にも正しいものである必要があります。これは、無視されます。NAME INFORMATION LABELS: セクションの使用は、任意です。存在する場合、これは無視されますが、構文的に正しいものである必要があります。

オプションの LOCAL DEFINITIONS: セクション内の、次に示す値は旧式です。これらの値は、旧式の bltos(3TSOL) 関数にのみ有効である場合があるため、label_to_str(3TSOL)置換関数には認識されない可能性があります。

ADMIN LOW NAME=




ADMIN HIGH NAME=




DEFAULT LABEL VIEW IS EXTERNAL




DEFAULT LABEL VIEW IS INTERNAL




DEFAULT FLAGS=




FORCED FLAGS=




CLASSIFICATION NAME=




COMPARTMENTS NAME=

機能説明

label_encodings ファイルは、人間が読み取り可能なラベルから内部形式への変換、内部形式から人間が読み取り可能な正規形式への変換、および印刷出力用バナーページの作成に使用されるセキュリティーラベルの標準エンコーディングファイルです。Solaris Trusted Extensions システムでは、label_encodings ファイルは、ラベル admin_high で保護されています。セキュリティー管理者は、アプリケーションマネージャーの「システム管理」フォルダ内にある「エンコーディングの検査」操作を使って、このファイルを編集および検査するようにしてください。

拡張機能説明

Solaris Trusted Extensions システムでは、『コンパートメントモードワークステーションのラベル作成: エンコード形式』に記載されているラベルエンコーディングファイルの必須セクションに加えて、オプションのローカル拡張機能も使用できます。これらの拡張機能は、文字コード形式のカラー名と機密ラベル間のさまざまな変換オプションおよび関連付けを提供します。これらの拡張機能は、文字コード形式のカラー名と機密ラベル間のさまざまな変換オプションおよび関連付けを提供します。

オプションのローカル拡張機能セクションは、LOCAL DEFINITIONS: キーワードで始まり、次に示す順序付けのない文がゼロ個以上続きます。

DEFAULT USER SENSITIVITY LABEL= sensitivity label

管理データベース内にユーザーに関する定義が存在しない場合、このオプションで指定された機密ラベルが、ユーザーの最下位機密ラベルとして使用されます。デフォルト値は、ラベルエンコーディングファイルの ACCREDITATION RANGE: セクション内の MINIMUM SENSITIVITY LABEL= 値です。

DEFAULT USER CLEARANCE= clearance

管理データベース内にユーザーに関する定義が存在しない場合、このオプションで指定された認可上限が、ユーザーの認可上限として使用されます。デフォルト値は、ラベルエンコーディングファイルの ACCREDITATION RANGE: セクション内の MINIMUM CLEARANCE= 値です。

LOCAL DEFINITIONS: セクションの最終部分では、さまざまな語句、機密ラベル、または格付けに関連付けられる文字コード形式のカラー名が定義されます。このセクションでは、str_to_label(3TSOL) 関数がサポートされます。これには、COLOR NAMES: キーワードと、それに続いて色からラベルへの割り当てがゼロ個以上含まれます。各文は、次に示す 2 つの構文のいずれかが含まれます。

word= word value; color= color value; label= label value; color= color value;

color value は、語句 word value、機密ラベル label value、または格付け label value と関連付けられる文字コード形式のカラー名です。

ラベルの文字コード形式のカラー名 color value は、ラベルを構成する COLOR NAMES: セクション内のエントリの順序により決定されます。ラベルに、このセクションで指定されている語句 word value が含まれる場合、ラベルの color value は、指定された最初の word value に関連付けられた値になります。指定された語句 word value がラベルに含まれない場合、color value は、label value と正確に一致する値に関連付けられた値になります。正確に一致するものがない場合、color value は、ラベルの格付けと一致する格付けを持つ 、最初に指定された label value に関連付けられた値になります。

使用例

---

例 1 LOCAL DEFINITIONS: セクションの例




LOCAL DEFINITIONS:
     
DEFAULT USER SENSITIVITY LABEL= C A;
DEFAULT USER CLEARANCE LABEL= S ABLE;

COLOR NAMES:

label= Admin_Low;    color= Pale Blue;
label= unclassified; color= light grey;
word= Project A;     color= bright blue;
label= c;            color= sea foam green;
label= secret;       color= #ff0000;       * Hexadecimal RGB value
word= Hotel;         color= Lavender;
word= KeLO;          color= red;
label= TS;           color= khaki;
label= TS Elephant;  color= yellow;
label= Admin_High;   color= shocking pink;

---

属性

次の属性については、attributes(5) を参照してください。

属性タイプ	属性値
使用条件	SUNWtsr
安定性レベル	混在。前述の「インタフェースレベル」を参照。

ファイル

/etc/security/tsol/label_encodings

ラベルエンコーディングファイルには、このシステムの定義済みラベルに対する格付け名、語句、制約、および値が含まれます。これは、ラベル admin_high で保護されています。

診断

次に示す診断メッセージは、『コンパートメントモードワークステーションのラベル作成: エンコード形式』の「付録 A」に記載された診断メッセージへの追加情報です。

Can't allocate NNN bytes for color names table.

システムは、COLOR NAMES: セクションの処理に必要なメモリーを動的に割り当てることができません。

Can't allocate NNN bytes for color table entry.

システムは、Color Table エントリの処理に必要なメモリーを動的に割り当てることができません。

Can't allocate NNN bytes for color word entry.

システムは、Color Word エントリの処理に必要なメモリーを動的に割り当てることができません。

Can't allocate NNN bytes for DEFAULT USER CLEARANCE.

システムは、DEFAULT USER CLEARANCE の処理に必要なメモリーを動的に割り当てることができません。

Can't allocate NNN bytes for DEFAULT USER SENSITIVITY LABEL.

システムは、DEFAULT USER SENSITIVITY LABEL の処理に必要なメモリーを動的に割り当てることができません。

DEFAULT USER CLEARANCE= XXX is not in canonical form. Is YYY what is intended?

このエラーは、指定された認可上限が理解されてはいるが、正規の形式ではない場合に発生します。この追加の正規化チェックにより、認可上限の指定でエラーが生成されないことが保証されます。

DEFAULT USER SENSITIVITY LABEL= XXX is not in canonical form. Is YYY what is intended?

このエラーは、指定された機密ラベルが理解されてはいるが、正規の形式ではない場合に発生します。この追加の正規化チェックにより、機密ラベルの指定でエラーが生成されないことが保証されます。

Duplicate DEFAULT USER CLEARANCE= ignored.

複数の DEFAULT USER CLEARANCE= オプションが検出されました。最初のオプション以外は、すべて無視されます。

Duplicate DEFAULT USER SENSITIVITY LABEL= ignored.

複数の DEFAULT USER SENSITIVITY LABEL= オプションが検出されました。最初のオプション以外は、すべて無視されます。

End of File not found where expected. Found instead: XXX.

ラベルエンコーディングファイルの終端が期待される位置に、表記の無関係なテキストが検出されました。

End of File or LOCAL DEFINITIONS: not found. Found instead: XXX.

LOCAL DEFINITIONS: セクションまたはラベルエンコーディングファイルの終端が期待される位置に、表記の無関係なテキストが検出されました。

Found color XXX without associated label.

カラー XXX が検出されましたが、これに関連付けられたラベルや語句が存在しません。

Invalid color label XXX.

ラベル XXX を構文解析できません。

Invalid DEFAULT USER CLEARANCE XXX.

DEFAULT USER CLEARANCE XXX を構文解析できません。

Invalid DEFAULT USER SENSITIVITY LABEL XXX.

DEFAULT USER SENSITIVITY LABEL XXX を構文解析できません。

Label preceding XXX did not have a color specification.

ラベルまたは語句が検出されましたが、一致するカラー名が存在しません。

Word XXX not found as a valid Sensitivity Label word.

語句 XXX は、機密ラベル用の有効な語句として検出されませんでした。

関連項目

chk_encodings(1M), label_to_str(3TSOL), str_to_label(3TSOL), attributes(5), labels(5)

『Solaris Trusted Extensions ラベルの管理』

米国国防情報局 (DIA) ドキュメント DDS-2600-6216-93、『コンパートメントモードワークステーションのラベル作成: エンコード形式』(1993 年 9 月)

警告

ラベルエンコーディングファイルの作成および変更は、 『コンパートメントモードワークステーションのラベル作成: エンコード形式』の概念だけではなく、ローカルのラベル付け要件の詳細も完全に理解している場合にのみ行うようにしてください。

次の警告が、『コンパートメントモードワークステーションのラベル作成: エンコード形式』から表現を変えて表示されます。

Solaris Trusted Extensions システムにロードして実行しているラベルエンコーディングファイルを変更する場合には、特別に注意を払ってください。ラベルエンコーディングファイルを使ってシステムが実行されると、多数のオブジェクトが、ロードされたラベルエンコーディングファイルに合わせて適切に形成された機密ラベルを使ってラベル付けされます。そのあとでラベルエンコーディングファイルが変更されると、既存のラベルが適正なものでなくなってしまう可能性があります。語句に関連付けられたビットパターンを変更すると、その語句を含むラベルを持つ既存のオブジェクトが無効なラベルを持つことになる可能性があります。その語句に関連付けられた最下位の格付けを引き上げるか、最上位の格付けを引き下げると、その語句を含むラベルを持つ既存のオブジェクトが適正でなくなる可能性があります。

すでに使用されている現在のエンコーディングファイルへの変更は、新たな格付けや語句の追加、既存の語句の名前変更、ローカル拡張機能の変更だけに限定するようにしてください。『コンパートメントモードワークステーションのラベル作成: エンコード形式』に説明されているように、ラベルエンコーディングファイルの初回作成時に、あとでラベルエンコーディングファイルを拡張して新しい反転語句を組み込むことができるように、余分の反転ビットを予約しておくことは重要です。追加された反転語句が予約された反転ビットを使用しない場合、システムの既存のオブジェクトはすべて、新規反転語句を含むラベルを誤って保持するようになります。

注意事項

このファイルは、DIA MAC ポリシーに対してのみ有効です。このファイルの一部は旧式であり、移植を容易にする目的で維持されています。旧式の部分は、将来の Solaris Trusted Extensions リリースで削除される可能性があります。

ラベルエンコーディングファイルを定義するには、次の 3 つの手順を実行します。最初に、表示される人間が読み取り可能なラベルセットが識別および理解される必要があります。このセットの定義には、人間が読み取り可能なラベルで使用される格付けおよびその他の語句、語句間の関係、各語句の使用に関連付けられた格付け制限、および必須アクセス制御とラベル付けシステム出力内の語句の意図された使用方法を示すリストが含まれます。次に、この定義は、整数、ビットパターン、および論理関係文の内部形式と関連付けられます。最後に、ラベルエンコーディングファイルが作成されます。『コンパートメントモードワークステーションのラベル作成: エンコード形式』ドキュメントでは、最初の手順は実行済みと想定して、2 番目と 3 番目の手順が記述されています。

SunOS 5.10  最終更新日 2006 年 5 月 31 日

名前 | 形式 | インタフェースレベル | 機能説明 | 拡張機能説明 | 使用例 | 属性 | ファイル | 診断 | 関連項目 | 警告 | 注意事項