创建安全模板

本节包含有关针对以下网络配置创建安全模板的链接或示例：

• DOI 是 1 之外的值。请参见如何配置其他系统解释域。

• 为可信远程主机指定了特定标签。请参见Example 16–1。

• 为不可信远程主机指定了特定标签。请参见Example 16–2。

有关满足特定要求的安全模板的更多示例，请参见将主机添加到安全模板。

如何创建安全模板

开始之前

您必须位于全局区域中，并充当可以修改网络安全设置的角色。例如，指定有 "Information Security"（信息安全）或 "Network Security"（网络安全）权限配置文件的角色可以修改安全值。"Security Administrator"（安全管理员）角色拥有这些权限配置文件。

1. (u53ef选)确定非 ADMIN_HIGH 和 ADMIN_LOW 的任何标签的十六进制版本。

   对于 CONFIDENTIAL 等标签，可以使用标签字符串或十六进制值作为标签值。tncfg 命令接受这两种格式中的任一格式。

   # atohexlabel "confidential : internal use only"
   0x0004-08-48

   有关更多信息，请参见如何获取标签的十六进制等效值。

2. 创建安全模板。

   tncfg -t 命令提供了三种创建新模板的方法。

   • 从头创建安全模板。

     在交互式模式下使用 tncfg 命令。info 子命令显示在缺省情况下提供的值。按 Tab 键完成部分属性和值。键入 exit 以完成模板。

     # tncfg -t newunlabeled
     tncfg:newunlabeled> info
     name=newunlabeled
     host_type=unlabeled
     doi=1
     def_label=ADMIN_LOW
     min_label=ADMIN_LOW
     max_label=ADMIN_HIGH
     tncfg:newunlabeled> set mTab
     set max_label=" set min_label="Auto-complete shows two possible completions
     tncfg:newunlabeled> set maTabUser types the letter a
     tncfg:newunlabeled> set max_label=ADMIN_LOW
     ...
     tncfg:newunlabeled> commit
     tncfg:newunlabeled> exit

     您也可以在命令行中提供完整的安全模板属性列表。使用分号分隔 set 子命令。被忽略的属性接收缺省值。有关网络安全属性的信息，请参见Trusted Extensions 中的网络安全属性。

     # tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
     set min_label=ADMIN_LOW;set max_label=ADMIN_LOW

   • 复制现有安全模板，然后对其进行修改。

     # tncfg -t cipso
     tncfg:cipso> set name=newcipso
     tncfg:newcipso> info
     name=newcipso
     host_type=cipso
     doi=1
     min_label=ADMIN_LOW
     max_label=ADMIN_HIGH

     已指定给现有安全模板的主机不会复制到新模板中。

   • 使用 export 子命令创建的模板文件。

     # tncfg -f unlab_1 -f template-file
     tncfg: unlab_1> set host_type=unlabeled
     ...
     # tncfg -f template-file

     有关创建源模板以用于导入的示例，请参见 tncfg(1M) 手册页。

示例 16-1  为在一个标签下处理包的网关创建安全模板

在此示例中，安全管理员定义一个只能在标签 PUBLIC 下传递包的网关。

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

然后，安全管理员将网关主机添加到安全模板中。有关更多信息，请参见Example 16–4。

示例 16-2  在标签 PUBLIC 下创建无标签安全模板

在此示例中，安全管理员为只能使用 PUBLIC 标签收发包的不可信主机创建无标签模板。该模板可能会指定给其文件系统必须由 Trusted Extensions 系统挂载在 PUBLIC 标签的主机。

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

然后，安全管理员将主机添加到安全模板中。有关更多信息，请参见Example 16–15。