このセクションでは、次のネットワーク構成のセキュリティーテンプレートを作成するためのアドバイスや例を示します。
DOI は 1 とは異なる値です。異なる解釈ドメインを構成する方法を参照してください。
信頼できるリモートホストに特定のラベルが割り当てられます。Example 16–1を参照してください。
信頼できないリモートホストに特定のラベルが割り当てられます。Example 16–2を参照してください。
特定の要件に対応するセキュリティーテンプレートの例については、セキュリティーテンプレートへのホストの追加を参照してください。
始める前に
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー値を修正できます。セキュリティー管理者役割には、これらの権利プロファイルが含まれています。
これらのテンプレートは、コピーして変更できます。
そして、これらのテンプレートに割り当てられたホストを削除したりホストを追加したりできます。例については、トラステッドネットワーク上で接続できるホストを制限するを参照してください。
CONFIDENTIAL などのラベルでは、ラベル文字列または 16 進値のいずれかをラベル値として使用できます。tncfg コマンドはどちらの形式も受け入れます。
# atohexlabel "confidential : internal use only" 0x0004-08-48
詳細は、ラベルの 16 進値を求めるを参照してください。
tncfg -t コマンドには、新しいテンプレートを作成するための方法が 3 つ用意されています。
tncfg コマンドを対話モードで使用します。info サブコマンドは、デフォルトで提供された値を表示します。Tab キーを押すと、部分的なプロパティーや値が補完されます。exit と入力してテンプレートを完成します。
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set mTab set max_label=" set min_label="Auto-complete shows two possible completions tncfg:newunlabeled> set maTabUser types the letter a tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
セキュリティーテンプレートの完全な属性リストをコマンド行で指定することもできます。複数の set サブコマンドはセミコロンで区切ります。省略された属性ではデフォルト値が使用されます。ネットワークセキュリティー属性については、Trusted Extensions のネットワークセキュリティー属性を参照してください。
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
既存のセキュリティーテンプレートに割り当てられているホストは、新しいテンプレートにコピーされません。
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
インポート用のソーステンプレートの作成例については、tncfg(1M) のマニュアルページを参照してください。
この例では、セキュリティー管理者はラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを定義します。
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、Example 16–4 を参照してください。
使用例 16-2 ラベル PUBLIC でのラベルなしセキュリティーテンプレートの作成この例では、セキュリティー管理者は、PUBLIC ラベルでのみパケットを送受信できる信頼できないホストのためのラベルなしテンプレートを作成します。このテンプレートは、Trusted Extensions システムが PUBLIC ラベルでマウントする必要のあるファイルシステムを含むホストに割り当てることができます。
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにホストを追加します。追加方法については、Example 16–15 を参照してください。