Trusted Extensions を構成するシステムごとに、構成に関する決定をいくつか行う必要があります。たとえば、Trusted Extensions のデフォルトの構成をインストールするのか、それとも構成をカスタマイズするのかを決定する必要があります。
Trusted Extensions を構成するシステムごとに、ソフトウェアの有効化に先立って、構成に関する決定を行います。
セキュリティー保護されたサイトでは、すべての Oracle Solaris システムで次の手順を実行します。
SPARC システムの場合、PROM のセキュリティーレベルを選択し、パスワードを提供します。
x86 システムの場合は、BIOS と GRUB メニューを保護します。
すべてのシステムで、root をパスワードで保護します。
サイト独自の label_encodings ファイルがある場合、その他の構成タスクを開始する前にファイルを確認してインストールします。サイト独自の label_encodings ファイルがない場合、Oracle 提供のデフォルトファイルを使用できます。デフォルト以外の label_encodings ファイルも /etc/security/tsol ディレクトリにあります。Oracle のファイルはデモファイルです。本番システムには適さないことがあります。
サイトに合わせてファイルをカスタマイズするには、Trusted Extensions Label Administrationを参照してください。編集手順については、ラベルエンコーディングファイルを検査およびインストールするを参照してください。Trusted Extensions を有効にしたあとで、かつリブート前にエンコーディングファイルをインストールするには、Trusted Extensions の有効化を参照してください。
デフォルトの label_encodings ファイルの場合、ラベルは次のとおりであり、ゾーン名も同様にできます。
|
役割になって Trusted Extensions を管理するようにサイトのセキュリティーポリシーで求められることがあります。その場合、 構成プロセスの初期段階でこれらの役割を作成する必要があります。独自の役割を作成したり、7 つの役割を含む armor パッケージをインストールしたり、ARMOR 役割に加えて役割を作成したりできます。ARMOR の役割については、ARMOR 標準の説明を参照してください。
役割を使用してシステムを構成する必要がない場合、root 役割でシステムを構成できます。この構成方法はあまり安全ではありません。root 役割がシステム上のすべてのタスクを実行できるのに対し、ほかの役割は通常より限定された一連のタスクを実行します。したがって、ユーザーが作成した役割を使って構成を実行すれば、構成がより細かく制御されます。
たとえば、次のようなセキュリティーに関する問題を検討します。
システムに接続し、使用のために割り当てることができるデバイスがどれかを指定します。
どのラベルの、どのプリンタをシステムからアクセス可能にするかを決定します。
ゲートウェイシステム、パブリックキオスクなど、制限されたラベル範囲を持つシステムを特定します。
特定のラベルなしシステムと通信できるラベル付きシステムを決定します。