一般ユーザーまたは役割には、ファイルおよびディレクトリまたは選択されたテキストのセキュリティーレベルまたはラベルを変更する承認を与えることができます。この承認に加えて、ユーザーまたは役割を、複数のラベルで作業するように構成する必要があります。ラベル付きゾーンは、再ラベル付けを許可するように構成する必要があります。手順については、ラベル付きゾーンからファイルに再ラベル付けできるようにするを参照してください。
注意 - データのセキュリティーレベルの変更は特権操作です。このタスクは、信頼できるユーザーのみを対象とします。 |
始める前に
大域ゾーンでセキュリティー管理者役割になります。
詳細な手順については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の ユーザーへの権利の割り当てを参照してください。
Object Label Management 権利プロファイルにより、ユーザーはラベルのアップグレードとダウングレードを行うことができます。この例では、管理者は信頼できるユーザーにデータのアップグレードを許可しますが、ダウングレードは禁止します。
管理者は Object Label Management プロファイルに基づいて権利プロファイルを作成し、この新しいプロファイルの「ファイルラベルのダウングレード」承認と「DragNDrop または CutPaste 情報のダウングレード」承認を削除します。
# profiles -p "Object Label Management" profiles:Object Label Management> set name="Object Upgrade" profiles:Object Upgrade> info auths ... profiles:Object Upgrade> remove auths="solaris.label.file.downgrade, solaris.label.win.downgrade" profiles:Object Upgrade> commit profiles:Object Upgrade> end
次に、管理者は信頼できるユーザーにこのプロファイルを割り当てます。
# usermod -P +"Object Upgrade" jdoe