Trusted Extensions 内のゾーン

Trusted Extensions は、ラベル付けのためにゾーンを使用します。大域ゾーンは管理者用のゾーンであり、ユーザーは使用できません。大域ゾーンはマルチレベルです。大域ゾーンのネットワーキングラベルは ADMIN_LOW ですが、そのプロセスラベルは ADMIN_HIGH です。大域ゾーン専用のファイルには、ADMIN_HIGH というラベルも付きます。すべてのゾーンと共有されるファイルには、ADMIN_LOW というラベルが付きます。

各非大域ゾーンには、一意のラベルが付きます。非大域ゾーンはラベル付きゾーンとも呼ばれます。ラベル付きゾーンは、通常のユーザーも利用できます。大域ゾーンは、役割による使用だけが認められます。

ゾーンについての Trusted Extensions ポリシーは、Solaris ポリシーとは異なります。Trusted Extensions では、ゾーンごとの個別 IP アドレスは必要とされません。しかし、すべてのゾーンで単一のネームサービスを使用する必要があります。単一のネームサービスを使用すると、ユーザー、UID、および GID の単一のセットがすべてのゾーンに提供されます。

ネットワーク通信はラベルで制限されます。デフォルトでは、ゾーン同士の通信は行えません。これは、ゾーンのラベルがそれぞれ異なるためです。各ゾーンの /export ディレクトリは、その /export ディレクトリのラベルよりも上位のラベルを持つ任意のゾーンから読み取ることができます。

大域ゾーンで実行が許可されるのは、システムプロセスと役割だけです。場合によっては、大域ゾーンにおける特権プロセスが MAC ポリシーの適用外となることがあります。たとえば、file_dac_search 特権と file_dac_read 特権を持つシステムプロセスと役割は、ラベル付きゾーンに属するファイルにアクセスできます。