データのセキュリティーレベルを変更する際の規則

デフォルトでは、一般ユーザーはファイルと選択範囲の両方に対して、カット & ペースト、コピー & ペースト、およびドラッグ & ドロップ操作を実行できます。ソースとターゲットは、同じラベルである必要があります。

ファイルのラベルや、ファイルに含まれる情報のラベルを変更するには、承認が必要です。ユーザーがデータのセキュリティーレベルを変更することが承認されている場合は、選択マネージャーアプリケーションを介して転送が行われます。Trusted CDE では、/usr/dt/config/sel_config ファイルが、ファイルのラベルを再設定するアクションや、別のラベルへの情報のカットおよびコピーを制御します。Trusted JDS では、/usr/share/gnome/sel_config ファイルがこれらの転送を制御します。Trusted CDE では、/usr/dt/bin/sel_mgr アプリケーションが、ウィンドウ間のドラッグ＆ドロップ操作を制御します。次の表が示すように、選択範囲の再ラベル付けはファイルの再ラベル付けよりも多くの制限が加わります。

次の表に、ファイルの再ラベル付け規則の概要を示します。この規則は、カット & ペースト、コピー & ペースト、およびドラッグ & ドロップが対象です。

表 4-1 新しいラベルにファイルを移動する条件

ウィンドウ内やファイル内の選択範囲には、異なる規則が適用されます。「選択範囲」のドラッグ & ドロップでは、常にラベルと所有者が同じである必要があります。ウィンドウ間のドラッグ & ドロップは、sel_config ファイルではなく、選択マネージャーアプリケーションを介して行われます。

選択範囲のラベルを変更するための規則を、次の表に示します。

表 4-2 新しいラベルに選択範囲を移動する条件

Trusted Extensions により、ラベル変更を伝達するための選択確認ダイアログボックスが表示されます。承認されたユーザーがファイルまたは選択範囲のラベルを変更しようとすると、このダイアログボックスが表示されます。ユーザーは 120 秒以内に操作を確定します。このウィンドウを使用せずにデータのセキュリティーレベルを変更するには、ラベル変更の承認に加えて、solaris.label.win.noview 承認が必要です。次の図はウィンドウでの選択範囲 zonename を示しています。

デフォルトでは、データを別のラベルに転送するごとに選択範囲確認のダイアログボックスが表示されます。1 つの選択範囲に複数の転送を決定する必要がある場合は、自動応答メカニズムにより複数の転送に 1 度で応答できます。詳細は、sel_config(4) のマニュアルページと次のセクションを参照してください。

sel_config ファイル

sel_config ファイルは、操作によってラベルがアップグレードまたはダウングレードされる場合の、選択範囲確認ダイアログボックスの動作を決定するために確認されます。

この sel_config ファイルでは、次の内容を定義します。

• 自動応答する選択範囲の種類のリスト

• 特定の種類の操作を自動的に確認するかどうか

• 選択範囲確認のダイアログボックスを表示するかどうか

セキュリティー管理者役割は、Trusted CDE で Trusted_Extensions フォルダの「選択範囲確認の構成」アクションを使用して、デフォルトを変更できます。新しい設定は、次回のログイン時に有効になります。Solaris Trusted Extensions (JDS) では CDE アクションは使用できません。デフォルトを変更するには、/usr/share/gnome/sel_config ファイルをテキストエディタで変更します。