Trusted Extensions には Oracle Solaris と同じセキュリティー機能に加え、いくつかの機能が追加されています。たとえば、Oracle Solaris OS には eeprom 保護、パスワードの要件、強力なパスワードアルゴリズム、ユーザーのロックアウトによるシステムの保護、キーボードによるシャットダウンからの保護が用意されています。
Trusted Extensions が Oracle Solaris と異なる点は、通常ある制限された役割になることでシステムを管理するという点です。
Trusted Extensions では、通常、役割を使用してシステムを管理します。スーパーユーザーは root 役割であり、監査フラグの設定、アカウントのパスワードの変更、システムファイルの編集など、いくつかのタスクで必要となります。役割は Oracle Solaris の場合とまったく同様に作成されます。
Trusted Extensions サイトでは、次の役割が一般的に使用されます。
root 役割 – Oracle Solaris のインストール時に作成されます
セキュリティー管理者役割 – 初期構成中または初期構成後に、初期設定チームによって作成されます
システム管理者役割 – 初期構成中または初期構成後に、初期設定チームによって作成されます
Trusted Extensions を管理するには、システムとセキュリティーの機能を分離する役割を作成します。
Trusted Extensions で役割を作成する処理は、Oracle Solaris と同じです。デフォルトでは、ADMIN_HIGH から ADMIN_LOW の管理ラベル範囲が役割に割り当てられます。
役割作成の概要については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の ユーザーへの権利の割り当てを参照してください。
役割を作成するには、Trusted Extensions での役割とユーザーの作成を参照してください。
トラステッドデスクトップ上で、割り当てられた役割になるには、トラステッドストライプのユーザー名をクリックして役割の選択肢を表示します。役割のパスワードの確認が完了すると、現在のワークスペースが役割ワークスペースに変更されます。役割ワークスペースは大域ゾーンに存在し、トラステッドパスの属性を持ちます。役割ワークスペースは管理ワークスペースです。
Trusted Extensions では既存のセキュリティー機能を拡張できます。さらに、Trusted Extensions は固有のセキュリティー機能も提供します。
Oracle Solaris が提供する次のセキュリティーメカニズムは、Trusted Extensions でも Oracle Solaris と同様に拡張可能です。
監査クラス – 監査クラスの追加については、Oracle Solaris 11.3 での監査の管理 の 第 3 章, 監査サービスの管理で説明しています。
役割と権利プロファイル – 役割と権利プロファイルの追加については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 第 3 章, Oracle Solaris での権利の割り当てで説明しています。
承認 – 新しい承認の追加例については、Trusted Extensions でのデバイス承認のカスタマイズを参照してください。
Oracle Solaris と同様に、特権は拡張できません。
Trusted Extensions には、次に示す固有のセキュリティー機能が用意されています。
ラベル – サブジェクトとオブジェクトにはラベルが付けられます。プロセスにラベルが付けられます。ゾーンとネットワークにラベルが付けられます。ワークスペースとそのオブジェクトにラベルが付けられます。
デバイスマネージャー – デフォルトでは、デバイスは割り当て要件により保護されます。このデバイスマネージャーの GUI は、管理者と一般ユーザー用のインタフェースです。
「ワークスペースラベルを変更」メニュー – マルチレベルセッションのユーザーはワークスペースのラベルを変更できます。ユーザーが別のラベルのワークスペースに入る際にパスワードの入力を要求することが可能です。
「選択マネージャー」ダイアログボックス – マルチレベルセッションの承認されたユーザーは、情報を別のラベルにアップグレードまたはダウングレードできます。
TrustedExtensionsPolicy ファイル – 管理者は Trusted Extensions に固有の X サーバー拡張のポリシーを変更できます。詳細は、TrustedExtensionsPolicy(4) のマニュアルページを参照してください。