Oracle Solaris システムでは、割り当てと承認によってデバイスを保護できます。デフォルトでは、デバイスは承認のない一般ユーザーにも利用可能です。Trusted Extensions 機能が構成されたシステムは、Oracle Solaris OS のデバイス保護メカニズムを使用します。
ただし、Trusted Extensions の場合、デフォルトでは、デバイスを使用するには割り当てが必要であり、デバイスを使用するユーザーに承認が必要です。さらに、デバイスはラベルによっても保護されます。Trusted Extensions には、デバイスを管理する管理者向けのグラフィカルユーザーインタフェース (GUI) が用意されています。ユーザーがデバイスを割り当てる際にも、同じインタフェースを使用します。
Oracle Solaris でのデバイス保護については、Oracle Solaris 11.2 でのシステムおよび接続されたデバイスのセキュリティー保護 の第 4 章デバイスアクセスの制御を参照してください。
Trusted Extensions が構成されたシステムでは、2 つの役割がデバイスを保護します。
システム管理者役割は、周辺機器へのアクセスを制御します。
システム管理者は、デバイスを割り当て可能にします。システム管理者が割り当て不可に設定したデバイスは、どのユーザーも使用できません。割り当て可能なデバイスは、承認ユーザーによってのみ割り当てられます。
セキュリティー管理者役割は、デバイスにアクセスできるラベルを制限し、デバイスポリシーを設定します。セキュリティー管理者は、デバイス割り当てを承認されるユーザーを決定します。
Trusted Extensions ソフトウェアによるデバイス制御の主な機能は、次のとおりです。
デフォルトでは、Trusted Extensions システムの未承認ユーザーは、テープドライブや CD-ROM ドライブなどのデバイスを割り当てることができません。
「デバイスの割り当て」承認を持つ一般ユーザーは、そのユーザーがデバイスを割り当てるラベルで情報をインポートまたはエクスポートできます。
ユーザーが直接ログインしている場合は、デバイス割り当てマネージャーを起動してデバイスを割り当てます。デバイスをリモートで割り当てるには、ユーザーが大域ゾーンにアクセスできる必要があります。通常は、役割だけが大域ゾーンにアクセスできます。
各デバイスのラベル範囲は、セキュリティー管理者によって制限されます。一般ユーザーがアクセスできるのは、そのユーザーが作業を許可されているラベルを含むラベル範囲を持つデバイスだけです。デバイスのデフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
割り当て可能なデバイスにも、割り当て不可のデバイスにも、ラベル範囲を制限できます。割り当て不可のデバイスは、フレームバッファーやプリンタなどのデバイスです。