Trusted Extensions ソフトウェアは、Oracle Solaris OS を実行しているシステムにラベルを追加します。ラベルは、「必須アクセス制御」 (MAC) を実装します。MAC は任意アクセス制御 (DAC) とともに、システムのサブジェクト (プロセス) とオブジェクト (データ) を保護します。Trusted Extensions ソフトウェアには、ラベルの構成、ラベルの割り当て、およびラベルポリシーを処理するためのインタフェースが用意されています。
Trusted Extensions ソフトウェアは、権利プロファイル、役割、監査、特権、および Oracle Solaris のその他のセキュリティー機能を使用します。Secure Shell、BART、暗号フレームワーク、IPsec、および IP フィルタを Trusted Extensions で使用できます。Trusted Extensions では、スナップショット、暗号化、およびストレージも含め、ZFS ファイルシステムのすべての機能が使用可能です。
Trusted Extensions ソフトウェアは、Oracle Solaris OS を拡張します。次のリストに概要を示します。Trusted Extensions 管理の手引きも参照してください。
Trusted Extensions は、「ラベル」という特別なセキュリティータグを使用して、データへのアクセスを制御します。ラベルでは「必須アクセス制御」(MAC) が使用されます。MAC 保護は、UNIX のファイルアクセス権、つまり随意アクセス制御 (DAC) に追加されます。ラベルは、ユーザー、ゾーン、デバイス、ウィンドウ、およびネットワークの終端に直接割り当てられます。ラベルは、プロセス、ファイル、およびその他のシステムオブジェクトにも暗黙的に割り当てられます。
一般ユーザーが MAC を上書きすることはできません。Trusted Extensions では、一般ユーザーはラベルが割り当てられたゾーンで作業する必要があります。デフォルトでは、ラベルが割り当てられたゾーンのユーザーまたはプロセスは MAC をオーバーライドできません。
Oracle Solaris OS と同様に、MAC のオーバーライドを許可する場合は、セキュリティーポリシーをオーバーライドできる機能を特定のプロセスまたはユーザーに割り当てます。たとえば、ファイルのラベルを変更できるようにユーザーを承認できます。これらの処理は、ファイル内の情報の機密度をアップグレードまたはダウングレードします。
Trusted Extensions は、既存の構成ファイルやコマンドを拡張します。たとえば、Trusted Extensions は監査イベント、承認、特権、権利プロファイルを追加します。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に必要なものがあります。たとえば、Trusted Extensions が構成されたシステムではゾーンと役割が必要です。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に有効化されるものがあります。たとえば、Trusted Extensions を構成する多くのサイトでは、ユーザーを作成したりセキュリティー属性を割り当てたりする際に、責務分離が必要となります。
Trusted Extensions では、Oracle Solaris のデフォルトの動作が変更される場合があります。たとえば、Trusted Extensions が構成されたシステムでは、デバイス割り当てが必要になります。
Trusted Extensions では、利用できる選択肢が Oracle Solaris よりも制限される場合があります。たとえば、Trusted Extensions では、すべてのゾーンがラベル付きゾーンです。Oracle Solaris と異なり、ラベル付きゾーンは同じプールのユーザー ID とグループ ID を使用する必要があります。Trusted Extensions では、複数のラベル付きゾーンで 1 つの IP アドレスを共有することもできます。
Trusted Extensions は、マルチレベルバージョンの Oracle Solaris デスクトップである Solaris Trusted Extensions (GNOME) を提供します。この名前は Trusted GNOME に短縮できます。
Trusted Extensions には、グラフィカルユーザーインタフェース (GUI) とコマンド行インタフェース (CLI) が追加されています。たとえば、Trusted Extensions にはデバイスを管理するデバイスマネージャー GUI が用意されています。また、updatehome CLI は、ユーザーの各ラベルのホームディレクトリに、起動ファイルを配置するために使用します。
ウィンドウ環境では、Trusted Extensions は管理用 GUI を提供します。たとえば、ラベル付きゾーンを管理する際に、zonecfg コマンドのほかに Labeled Zone Manager も使用されます。
Trusted Extensions は、ユーザーが表示できる内容を制限します。たとえば、ユーザーが割り当てできないデバイスは、そのユーザーに対して表示されません。
Trusted Extensions は、ユーザーのデスクトップオプションを制限します。たとえば、ユーザーがワークステーションを非活動のままにできる時間は制限されています。この時間を過ぎると、画面がロックされます。デフォルトでは、ユーザーはシステムをシャットダウンできません。
マルチヘッドの Trusted Extensions システムのモニターが水平に構成されている場合、トラステッドストライプが複数のモニターにまたがって表示されます。モニターを垂直に構成すると、トラステッドストライプはいちばん下のモニターに表示されます。
ただし、マルチヘッドシステムのモニターにそれぞれ異なるワークスペースが表示されている場合、Trusted GNOME はモニターごとにトラステッドストライプを 1 つずつ表示します。