マルチレベル・セキュア環境のスタック認識

SERVAUTH プロファイル上で、SAF SECLABEL クラスをアクティブにし、セキュリティー・ラベルを定義できます。 これにより、 セキュリティー・サーバーは、マルチレベル・セキュア環境を完全に活動化することなく、 それらのリソースについての強制アクセス制御ポリシーを実施します。 z/OS® Communications Server スタックは、 ユーザーが RACF® コマンド SETROPTS MLACTIVE を発行するまで、追加の強制アクセス制御ポリシーの適用を実行しません。 SETROPTS NOMLACTIVE を指定して実行中の場合、制限なしスタックを使用したり、あるいは SYSMULTI セキュリティー・ラベルを指定してネットワーク・セキュリティー・ゾーンを定義したりすることはできません。

TCPIP プロファイルの処理中に NetAccess ステートメントが検出され、MLACTIVE が 設定されているとき、スタックは、次のように、制限付きと制限なしの両方のスタックで 追加の強制アクセス制御ポリシーの適用をアクティブにします。

• 新しいソケットは、STACKACCESS プロファイルがそのソケットをカバーしている場合にのみ許可されます。
• ネットワーク・アクセスは、NETACCESS プロファイルによってカバーされたネットワーク・セキュリティー・ゾーン内へマップされている IP アドレスに対してのみ許可されます。
• 制限付きスタックは、通常 SYSMULTI タスクが、 そのスタックのセキュリティー・ラベルと同等でないセキュリティー・ラベルのセキュリティー・ゾーンにネットワーク・アクセスすることを許可しません。 詳しくは、特定プログラムの特定ユーザーに完全なネットワーク・アクセス制御を免除する方法を参照してください。
• 制限なしスタックは、パケット・ラベルを内部と外部の両方へ伝送し、 両方の IP アドレスが SYSMULTI セキュリティー・ラベル付きのセキュリティー・ゾーン内に あるときに、送信側タスクのセキュリティー・ラベルと受信側タスクのセキュリティー・ラベル間で、 追加の強制アクセス制御検査ができるようにします。
• 配分側スタックは、ターゲット・アプリケーションを選択する際にセキュリティー・ラベルを考慮します。
• TN3270E Telnet サーバーは、 接続を LU 名にマップする際にセキュリティー・ラベルを考慮します。
• PROFILE.TCPIP または特定の SERVAUTH クラス・プロファイル変更が 行われるときは、常に内部構成整合性検査が行われます。