本节包含有关针对以下网络配置创建安全模板的链接或示例:
DOI 是 1 之外的值。请参见如何配置其他系统解释域。
为可信远程主机指定了特定标签。请参见Example 16–1。
为不可信远程主机指定了特定标签。请参见Example 16–2。
有关满足特定要求的安全模板的更多示例,请参见将主机添加到安全模板。
开始之前
您必须位于全局区域中,并充当可以修改网络安全设置的角色。例如,指定有 "Information Security"(信息安全)或 "Network Security"(网络安全)权限配置文件的角色可以修改安全值。"Security Administrator"(安全管理员)角色拥有这些权限配置文件。
对于 CONFIDENTIAL 等标签,可以使用标签字符串或十六进制值作为标签值。tncfg 命令接受这两种格式中的任一格式。
# atohexlabel "confidential : internal use only" 0x0004-08-48
有关更多信息,请参见如何获取标签的十六进制等效值。
tncfg -t 命令提供了三种创建新模板的方法。
在交互式模式下使用 tncfg 命令。info 子命令显示在缺省情况下提供的值。按 Tab 键完成部分属性和值。键入 exit 以完成模板。
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set mTab set max_label=" set min_label="Auto-complete shows two possible completions tncfg:newunlabeled> set maTabUser types the letter a tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
您也可以在命令行中提供完整的安全模板属性列表。使用分号分隔 set 子命令。被忽略的属性接收缺省值。有关网络安全属性的信息,请参见Trusted Extensions 中的网络安全属性。
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
已指定给现有安全模板的主机不会复制到新模板中。
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
有关创建源模板以用于导入的示例,请参见 tncfg(1M) 手册页。
在此示例中,安全管理员定义一个只能在标签 PUBLIC 下传递包的网关。
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
然后,安全管理员将网关主机添加到安全模板中。有关更多信息,请参见Example 16–4。
示例 16-2 在标签 PUBLIC 下创建无标签安全模板在此示例中,安全管理员为只能使用 PUBLIC 标签收发包的不可信主机创建无标签模板。该模板可能会指定给其文件系统必须由 Trusted Extensions 系统挂载在 PUBLIC 标签的主机。
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
然后,安全管理员将主机添加到安全模板中。有关更多信息,请参见Example 16–15。