test

SunSHIELD 基本セキュリティモジュール

device_allocate ファイル

device_allocate ファイルを変更して、デバイスを割り当て可能から割り当て不可に変更したり、新しいデバイスを追加したりします。 表 4-1 は、device_allocate ファイルのサンプルを示しています。

表 4-1 device_allocate ファイルのサンプル
st0;st;;;;/etc/security/lib/st_clean
fd0;fd;;;;/etc/security/lib/fd_clean
sr0;sr;;;;/etc/security/lib/sr_clean
audio;audio;;;*;/etc/security/lib/audio_clean

管理者は、基本セキュリティモジュールの初期構成中に、どのデバイスを割り当て可能にするかを定義します。表 4-1 のように、デフォルトのデバイスとその定義済み特性をそのまま使用するように決定できます。システムを稼働させた後の実行中にマシンにデバイスを追加するときには、新しいデバイスを割り当て可能にするかどうかを決定しなければなりません。

管理者は、デバイスをインストールした後に、device_allocate ファイル内でそのデバイスのエントリを変更できます。割り当てたいデバイスは、使用する前に各マシン上の device_allocate ファイル内で定義しなければなりません。現在、カートリッジテープドライブ、フロッピーディスクドライブ、CD-ROM デバイス、オーディオチップは割り当て可能と見なされ、デバイスクリーンスクリプトが用意されています。

注 -

XylogicsTM テープドライブまたは Archive テープドライブを追加する場合は、SCSI デバイス用に用意されている st_clean スクリプトも使用できます。他には、モデム、端末、グラフィックスタブレットなどのデバイスを割り当て可能にすることができますが、この種のデバイスの場合は独自のデバイスクリーンスクリプトを作成する必要があります。また、その場合、スクリプトはそのタイプのデバイスのオブジェクト再使用要件を満たさなければなりません。

device_allocate ファイル内のエントリは、デバイスが割り当て可能であると特に記述されていない限り、そのデバイスが割り当て可能であることを意味しません。表 4-1 で、オーディオデバイスエントリの第 5 フィールドにアスタリスク (*) が入っているので注意してください。第 5 フィールド内のアスタリスクは、そのデバイスが割り当て可能でないことをシステムに指示します。つまり、システム管理者はユーザにデバイスを使用する前に割り当てたり、後で割り当てを解除するように要求する必要がありません。このフィールド内の他の文字列は、デバイスが割り当て可能であることを示します。

device_allocate ファイル内で、次の書式の 1 行のエントリで各デバイスを表します。 


device-name;device-type;reserved;reserved;alloc;device-clean

たとえば、次の行はデバイス名 st0: のエントリを示しています。 


st0;st;;;;;/etc/security/lib/st_clean

device_allocate 内の各行の終わりに ¥ を付けて、エントリを次行に継続させることができます。コメントも挿入できます。# を付けると、その後のすべてのテキストは、¥ の直後にない次の改行までコメントになります。どのフィールドでも先行ブランクと後続ブランクを使用できます。

次の各段落では、device_allocate ファイル内の各フィールドについて詳しく説明します。

device-name

st0fd0、または sr0 など、デバイス名を指定します。新しい割り当て可能デバイスを作成するときには、device_maps ファイル内の device-name フィールドから device-name を検索するか、または dminfo コマンドを使用します (この名前は、デバイスの DAC ファイル名でもあります)。

device-type

汎用デバイスタイプ (stfdsr など、デバイスクラスの名前) を指定します。このフィールドによって、関連するデバイスがグループ化されます。新しい割り当て可能デバイスを作成するときには、device_maps ファイル内の device-type フィールドから device-type を探すか、または dminfo コマンドを使用してください。

reserved

これらのフィールドは、将来のために予約されています。

alloc

デバイスが割り当て可能かどうかを指定します。このフィールドにアスタリスク (*) が入っている場合は、デバイスが割り当て不可であることを示します。このフィールドに他の文字列が入っている場合や、空の場合は、デバイスが割り当て可能であることを示します。

device-clean

割り当て処理中にクリーンアップやオブジェクト再使用防止などの特殊処理のために呼び出されるプログラムのパス名を与えます。デバイスが deallocate -F によって強制的に割り当て解除されるときなど、デバイスが deallocate によって有効になると、必ず device-clean プログラムが実行されます。