Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Dans une organisation où des informations sensibles doivent être protégées, la ou les personnes qui définissent et appliquent la stratégie de sécurité du site. Ces personnes sont autorisées à accéder à toutes les informations en cours de traitement sur le site. Dans le logiciel, le rôle d'administration d'administrateur de sécurité est affecté à une ou plusieurs personnes qui disposent de l'autorisation appropriée. Ces administrateurs configurent les attributs de sécurité de tous les utilisateurs et hôtes, afin que le logiciel applique la stratégie de sécurité du site. Voir également administrateur système.
Personne chargée de la création de nouveaux profils de droits pour l'organisation, ainsi que de la résolution des problèmes matériels qui n'incombent pas à l'administrateur de sécurité ni à l'administrateur système. Ce rôle est très rarement assumé. Après la configuration initiale de la sécurité, des sites plus sécurisés peuvent choisir de ne pas créer ce rôle et de n'affecter aucun rôle au profil d'administrateur principal.
Dans Trusted Extensions, rôle de confiance affecté à l'utilisateur ou aux utilisateurs chargé(s) de réaliser des tâches standard d'administration du système, telles que la configuration des éléments non liés à la sécurité des comptes utilisateur. Voir également administrateur de sécurité.
Adresse de protocole Internet. Numéro unique qui permet d'identifier un système en réseau afin qu'il puisse communiquer par le biais de protocoles Internet. Dans IPv4, l'adresse se compose de quatre nombres séparés par des points. La plupart du temps, chaque partie de l'adresse IP est un nombre compris entre 0 et 225. Cependant, le premier nombre doit être inférieur à 224 et le dernier numéro ne peut pas être égal à 0.
Les adresses IP sont logiquement scindées en deux parties : le réseau et le système sur le réseau. Le numéro du réseau est similaire à un indicatif de zone téléphonique. En relation avec le réseau, le numéro de système est semblable à un indicatif régional.
Mécanisme par lequel l'accès à un périphérique est contrôlé. Voir allocation de périphériques.
Mécanisme de protection des informations sur un périphérique allouable afin d'en empêcher l'accès par toute personne autre que l'utilisateur qui alloue le périphérique. Jusqu'à ce qu'un périphérique soit libéré, personne d'autre que l'utilisateur qui l'a alloué ne peut accéder à toutes les informations qui lui sont associées. Pour pouvoir allouer un périphérique, l'utilisateur doit disposer de l'autorisation d'allocation de périphériques (Device Allocation) attribuée par l'administrateur de sécurité.
Attribut utilisé pour l'application de la stratégie de sécurité Trusted Extensions. Divers ensembles d'attributs de sécurité sont affectés aux processus, utilisateurs, zones, hôtes, périphériques allouables et autres objets.
Droit accordé à un utilisateur ou à un rôle d'effectuer une action qui n'est normalement pas autorisée par la stratégie de sécurité. Les autorisations sont accordées dans des profils de droits. Certaines commandes nécessitent que l'utilisateur dispose de certaines autorisations. Par exemple, pour imprimer un fichier PostScript, l'utilisateur doit posséder l'autorisation d'impression Postscript.
autorisation affectée par l'administrateur de sécurité qui définit la limite supérieure de l'ensemble d'étiquettes avec lesquelles un utilisateur peut travailler à tout moment. L'utilisateur peut décider d'accepter la valeur par défaut ou limiter davantage l'autorisation au cours d'une session de connexion particulière.
Limite supérieure de l'ensemble d'étiquettes avec lequel un utilisateur peut travailler. La limite inférieure est l'étiquette minimale affectée par l'administrateur de sécurité. Une autorisation peut être de deux types : autorisation de session ou autorisation utilisateur.
Zone qui ne peut pas être falsifiée. Dans Trusted CDE, la bande de confiance se trouve au bas de l'écran, et dans Trusted JDS, en haut de l'écran. La bande fournit une indication visuelle sur l'état du système de multifenêtrage : un indicateur de chemin de confiance et l'étiquette de sensibilité de la fenêtre. Quand les étiquettes de sensibilité sont configurées de manière à ne pas être visibles pour un utilisateur, la bande de confiance est réduite à une icône qui affiche uniquement l'indicateur de chemin de confiance.
Base de données d'hôte distant du réseau de confiance. Cette base de données affecte un ensemble de caractéristiques d'étiquettes à un hôte distant. La base de données est accessible sous la forme d'un fichier dans /etc/security/tsol/tnrhdb ou à partir du serveur LDAP.
Modèle d'hôte distant du réseau de confiance. Cette base de données définit l'ensemble d'étiquettes caractéristiques pouvant être affectées à un hôte distant. La base de données est accessible sous la forme d'un fichier dans /etc/security/tsol/tnrhtp ou à partir du serveur LDAP.
tnrhtp, le modèle d'hôte distant du réseau de confiance et tnrhdb, la base de données d'hôte distant du réseau de confiance, définissent ensemble les hôtes distants avec lesquels un système Trusted Extensions peut communiquer.
Type de contrôle d'accès discrétionnaire dans lequel le propriétaire spécifie un ensemble de bits pour indiquer qui peut lire, écrire ou exécuter un fichier ou un répertoire. Trois ensembles d'autorisations différents sont affectés à chaque fichier ou répertoire : un pour le propriétaire, un pour le groupe du propriétaire et un pour le reste.
Ensemble de programmes dans la Console de gestion Solaris. Sur un hôte Trusted Extensions, les administrateurs utilisent les boîtes à outils Policy=TSOL. Chaque boîte à outils possède des programmes pouvant être utilisés dans le cadre de la boîte à outils. Par exemple, l'outil Trusted Network Zones, qui gère la base de données tnzonecfg du système, n'existe que dans la boîte à outils Files, car sa portée est toujours locale. Le programme User Accounts existe dans toutes les boîtes à outils. Pour créer un utilisateur local, l'administrateur utilise la boîte à outils Files, et pour créer un utilisateur réseau, il utilise la boîte à outils LDAP.
Sur un système Solaris configuré avec Trusted Extensions, les utilisateurs peuvent exécuter un bureau à un niveau d'étiquette particulier. Si l'utilisateur est autorisé à travailler à plus d'un niveau d'étiquette, l'utilisateur peut créer un espace de travail distinct pour travailler à chaque niveau d'étiquette. Sur ce bureau multiniveau, les utilisateurs autorisés peuvent effectuer des couper-coller entre plusieurs fenêtres sur différentes étiquettes, recevoir des e-mails correspondant à différentes étiquettes et visualiser et utiliser des fenêtres étiquetées dans les espaces de travail d'une autre étiquette.
Sur un système Solaris configuré avec Trusted Extensions, le chemin de confiance est un moyen fiable de communiquer avec le système. Le chemin de confiance est utilisé pour s'assurer que les fonctions d'administration ne peuvent pas être compromises. Les fonctions utilisateur devant être protégées, telles que la modification de mot de passe, utilisent également le chemin de confiance. Lorsque le chemin de confiance est actif, le bureau affiche un indicateur d'inviolabilité.
Dans CDE, le chemin de recherche est utilisé par le système pour rechercher des applications et des informations de configuration. Le chemin de recherche d'application est contrôlé par un rôle de confiance.
Composant hiérarchique d'une autorisation ou d'une étiquette. Une classification indique un niveau de sécurité hiérarchique, par exemple TOP SECRET ou UNCLASSIFIED.
Système connecté à un réseau.
Environnement multifenêtre historique pour l'administration du logiciel Trusted Extensions. Trusted Extensions modifie l'environnement pour créer Trusted CDE. Le Sun Java Desktop System est également modifié afin de créer un Trusted JDS.
Composant non hiérarchique d'une étiquette utilisé avec le composant classification pour former une autorisation ou une étiquette. Un compartiment représente un ensemble d'informations qui pourraient être utilisées par un service d'ingénierie ou une équipe de projet multidisciplinaire.
Choix effectué lors de l'installation de Trusted Extensions entre une étiquette unique ou plusieurs étiquettes de sensibilité. Dans la plupart des cas, la configuration de l'étiquette est identique sur tous les systèmes de votre site.
Un ou plusieurs hôtes Trusted Extensions en cours d'exécution dans une configuration certifiée comme répondant aux critères spécifiques définis par un organisme de certification. Aux États-Unis, il s'agit du TCSEC. L'organisme d'évaluation et de certification est la NSA.
Le logiciel Trusted Extensions configuré sur la version Solaris 10 11/06 est certifié conforme aux Critères Communs v2.3 [août 2005] (une norme ISO) au niveau d'assurance (EAL) 4, ainsi que par rapport à plusieurs profils de protection.
Par le biais d'une assurance continuité, la NSA a certifié le logiciel Trusted Extensions configuré sur la version Solaris 10 5/09.
Le niveau B+1 des Critères Communs v2 (CCv2) et les profils de protection ont rendu la norme TCSEC américaine caduque. Un accord de reconnaissance mutuelle pour CCv2 a été signé par les États-Unis, le Royaume-Uni, le Canada, le Danemark, les Pays-Bas, l'Allemagne et la France.
La cible de configuration Trusted Extensions fournit des fonctionnalités similaires aux niveaux TCSEC C2 et B1, avec des fonctionnalités supplémentaires.
Interface graphique d'administration basée sur Java qui contient les boîte à outils de programmes d'administration. La plupart des tâches de gestion du système, du réseau, et des utilisateurs s'effectuent par l'intermédiaire des boîtes à outils de la console.
Type d'accès accordé ou refusé par le propriétaire d'un fichier ou d'un répertoire, à sa discrétion. Trusted Extensions fournit deux types de contrôle d'accès discrétionnaire (DAC) : les bits d'autorisation UNIX et les listes de contrôle d'accès (ACL).
Contrôle d'accès basé sur la comparaison de l'étiquette de sensibilité d'un fichier, d'un répertoire ou d'un périphérique avec l'étiquette de sensibilité du processus qui tente d'y accéder. La règle MAC, read equal–read down, s'applique lorsqu'un processus à étiquette unique tente de lire un fichier sur une étiquette inférieure. La règle MAC, write equal-read down, s'applique lorsqu'un processus à étiquette unique tente d'écrire dans un répertoire sur une autre étiquette.
Partie de la hiérarchie de nommage relative à Internet. Il représente un groupe de systèmes sur un réseau local qui partagent les fichiers d'administration.
Sur un système Solaris configuré avec Trusted Extensions, le domaine d'interprétation est utilisé pour différencier les fichiers label_encodings qui peuvent avoir des étiquettes similaires définies. Le DOI est un ensemble de règles qui traduit les attributs de sécurité de paquets réseau en leur représentation par le fichier label_encodings local. Lorsque des systèmes ont le même DOI, ils partagent ce jeu de règles et peuvent traduire les paquets réseau étiquetés.
Sur un système Solaris configuré avec Trusted Extensions, l'éditeur de confiance est utilisé pour créer et modifier les fichiers d'administration. L'éditeur ne peut pas modifier le nom de fichier. En outre, l'utilisation de l'éditeur est contrôlée et les commandes d'accès au shell sont désactivées. Dans Trusted CDE, l'action Admin Editor lance un éditeur de confiance. Dans Trusted JDS, la commande /usr/dt/bin/trusted_edit démarre l'éditeur de confiance.
Spécifie un ensemble distinct d'étiquettes de sécurité pour une entrée base de données tnrhtp. Les hôtes affectés à un modèle avec un ensemble d'étiquettes de sécurité peuvent envoyer et recevoir des paquets correspondant à toutes les étiquettes de l'ensemble.
Équipe d'au moins deux personnes qui supervisent l'activation et la configuration du logiciel Trusted Extensions. Un membre de l'équipe est responsable des décisions de sécurité, l'autre des décisions d'administration système.
Identificateur de sécurité affecté à un objet. L'étiquette est basée sur le niveau auquel les informations contenues dans cet objet doivent être protégées. Selon la manière dont l'administrateur de sécurité a configuré l'utilisateur, celui-ci peut voir l'étiquette de sensibilité ou aucune étiquette. Les étiquettes sont définies dans le fichier label_encodings.
Option de sécurité IP commune. CIPSO correspond à l'étiquette standard implémentée par Trusted Extensions.
étiquette de sécurité affectée à un objet ou un processus. L'étiquette est utilisée pour limiter l'accès en fonction du niveau de sécurité des données qui sont contenues dans l'objet ou le processus.
étiquette minimale affectée à un utilisateur ou à un rôle, et étiquette de l'espace de travail initial de l'utilisateur. L'étiquette initiale est l'étiquette la plus basse avec laquelle l'utilisateur ou le rôle peut travailler.
Limite inférieure des étiquettes de sensibilité d'un utilisateur et limite inférieure des étiquettes de sensibilité du système. L'étiquette minimale définie par l'administrateur de sécurité lors de la spécification des attributs de sécurité d'un utilisateur est l'étiquette de sensibilité du premier espace de travail de l'utilisateur lors de sa première connexion. L'étiquette de confidentialité spécifiée dans le champ d'étiquette minimale par l'administrateur de sécurité dans le fichier label_encodings définit la limite inférieure pour le système.
Fichier de configuration facultatif sur un système multiétiquettes. Ce fichier contient une liste de fichiers de démarrage, tels que .cshrc ou .mozilla, que l'environnement utilisateur ou les applications utilisateur requièrent pour le bon fonctionnement du système ou de l'application. Les fichiers répertoriés dans .copy_files sont ensuite copiés dans le répertoire personnel de l'utilisateur à des étiquettes supérieures, lorsque ces répertoires sont créés. Voir également fichier .link_files.
Fichier de configuration facultatif sur un système multiétiquettes. Ce fichier contient une liste de fichiers de démarrage, tels que .cshrc ou .mozilla, que l'environnement utilisateur ou les applications utilisateur requièrent pour le bon fonctionnement du système ou de l'application. Les fichiers répertoriés dans .link_files sont ensuite liés au répertoire personnel de l'utilisateur à des étiquettes supérieures, lorsque ces répertoires sont créés. Voir également fichier .copy_files.
Fichier dans lequel l'étiquette de sensibilité complète est définie, tout comme les plages d'accréditation, l'affichage des étiquettes, la visibilité par défaut des étiquettes, l'autorisation utilisateur par défaut, ainsi que d'autres aspects des étiquettes.
Government Furnished Information (informations fournies par le gouvernement). Dans ce manuel, cela se réfère à un fichier label_encodings fourni par le gouvernement américain. Afin d'utiliser un fichier GFI avec le logiciel Trusted Extensions, vous devez ajouter la section LOCAL DEFINITIONS propre à Sun à la fin du fichier. Pour plus d'informations, reportez-vous au Chapitre 5, Customizing LOCAL DEFINITIONS du Oracle Solaris Trusted Extensions Label Administration.
Lorsqu'un logiciel identifié comme pouvant satisfaire aux critères d'une configuration évaluée est configuré avec des paramètres qui ne répondent pas aux critères de sécurité, il est décrit comme se trouvant hors de la configuration évaluée.
Système différent du système local. Un hôte distant peut être un hôte sans étiquette ou un hôte étiqueté.
système étiqueté faisant partie d'un réseau de confiance de systèmes étiquetés.
Système en réseau qui envoie des paquets réseau sans étiquette, tel qu'un système exécutant le SE Solaris.
Nom qui identifie un système auprès d'autres systèmes d'un réseau. Ce nom doit être unique parmi tous les systèmes au sein d'un domaine donné. Généralement, un domaine identifie une organisation unique. Un nom d'hôte peut se composer de n'importe quelle combinaison de lettres, chiffres, signes moins (-), mais il ne peut pas commencer ni se terminer par un signe moins.
Identification d'un groupe de systèmes sur un réseau local. Un nom de domaine se compose d'une séquence de noms de composants, séparés par un point (par exemple : example1.town.state.country.org). Un nom de domaine se lit de gauche à droite en commençant par des noms de composants qui identifient des zones d'autorité administrative générales, et généralement distantes.
Les périphériques englobent les imprimantes, ordinateurs, lecteurs de bandes, lecteurs de disquettes, lecteurs de CD-ROM, lecteurs de DVD, les périphériques audio et les périphériques pseudo-terminal internes. Les périphériques sont soumis à la stratégie read equal-write equal MAC. L'accès aux périphériques amovibles, tels que lecteurs de DVD, est contrôlé par l'allocation de périphériques.
Ensemble d'étiquettes de sensibilité approuvées pour une classe d'utilisateurs ou de ressources. Ensemble d'étiquettes valides. Voir également plage d'accréditations du système et plage d'accréditations de l'utilisateur.
Ensemble de toutes les étiquettes sur lesquelles un utilisateur standard peut travailler sur le système. L'administrateur de sécurité du site spécifie la plage dans le fichier label_encodings. Les règles pour les étiquettes bien formées qui définissent la plage d'accréditations du système sont également limitées par les valeurs de la section ACCREDITATION RANGE du fichier : limite supérieure, limite inférieure, contraintes de combinaisons et autres restrictions.
Ensemble de toutes les étiquettes valides créées en fonction des règles définies par l'administrateur de sécurité dans le fichier label_encodings, plus les deux étiquettes d'administration utilisées sur tous les systèmes configurés avec Trusted Extensions. Les étiquettes d'administration sont ADMIN_LOW et ADMIN_HIGH .
Ensemble d'étiquettes de sensibilité affectées à des commandes, des zones et des périphériques allouables. La plage est définie en spécifiant une étiquette maximale et une étiquette minimale. Pour les commandes, les étiquettes minimale et maximale limitent les étiquettes sur lesquelles la commande peut être exécutée. Une seule étiquette de sensibilité est affectée aux hôtes distants qui ne reconnaissent pas les étiquettes, tout comme tous les autres hôtes que l'administrateur de sécurité souhaite limiter à une étiquette unique. Une plage d'étiquettes limite les étiquettes sur lesquelles les périphériques peuvent être alloués, ainsi que les étiquettes sur lesquelles les informations peuvent être stockées ou traitées lors de l'utilisation du périphérique.
Sur un système Solaris configuré avec Trusted Extensions, un port multiniveau est utilisé pour fournir un service dans une zone. Par défaut, le serveur X est un service multiniveau défini dans la zone globale. Un MLP est spécifié par le numéro de port et le protocole. Par exemple, le MLP du serveur X pour le bureau multiniveau est spécifié par 6000-6003 et le protocole TCP.
Pouvoirs accordés à un processus en train d'exécuter une commande. L'ensemble complet de privilèges décrit l'intégralité des capacités de votre système, des fonctions de base aux capacités d'administration. Les privilèges qui contournent la stratégie de sécurité, tels que le réglage de l'horloge sur un système, peuvent être accordés par l'administrateur de sécurité du site.
Action qui exécute une commande pour le compte de l'utilisateur qui invoque la commande. Un processus reçoit un certain nombre d'attributs de sécurité à partir de l'utilisateur, y compris l'ID utilisateur (UID), l'ID de groupe (GID), la liste de groupe supplémentaire et l'ID de contrôle (AUID) de l'utilisateur. Les attributs de sécurité reçus par un processus incluent tous les privilèges disponibles pour la commande en cours d'exécution et l'étiquette de sensibilité de l'espace de travail actif.
Mécanisme permettant de grouper les commandes et actions CDE, ainsi que les attributs de sécurité affectés à ces fichiers exécutables. Les profils de droits permettant aux administrateurs Solaris de contrôler qui peut exécuter les commandes et de contrôler les attributs de ces commandes lors de leur exécution. Lorsqu'un utilisateur se connecte, tous les droits qui lui sont attribués sont en vigueur et l'utilisateur peut accéder à toutes les commandes, actions CDE et authorisations qui lui sont affectées dans l'ensemble des profils de droits.
Sur un système Solaris configuré avec Trusted Extensions, une étiquette peut dominer une autre étiquette, être égale à une autre étiquette ou être disjointe d'une autre étiquette. Par exemple, l'étiquette Top Secret domine l'étiquette Secret. Pour deux systèmes avec le même domaine d'interprétation (DOI, Domain of Interpretation), l'étiquette Top Secret sur un système est égale à l'étiquette Top Secret sur l'autre système.
Réseau de systèmes configurés avec Trusted Extensions. Le réseau est séparé de tout hôte autre que Trusted Extensions. La séparation peut être physique, si aucun câble ne s'étend au-delà du réseau Trusted Extensions. La séparation peut aussi être marquée dans le logiciel, où les hôtes Trusted Extensions ne reconnaissent que les hôtes Trusted Extensions. La saisie de données à partir de l'extérieur du réseau est limitée aux périphériques connectés aux hôtes Trusted Extensions. Contraire de réseau ouvert.
Réseau d'hôtes Trusted Extensions connectés physiquement à d'autres réseaux et qui utilisent le logiciel Trusted Extensions pour communiquer avec des hôtes autres que Trusted Extensions. Contraire de réseau fermé.
Un rôle est semblable à un utilisateur, à la différence qu'un rôle ne peut pas se connecter. En règle générale, un rôle est utilisé pour affecter des capacités d'administration. Les rôles sont limités à un ensemble de commandes, d'autorisations d'accès et d'actions CDE particulier. Voir rôle d'administration.
rôle qui donne les autorisations, commandes privilégiées, actions privilégiées et attributs de sécurité du chemin de confiance requis pour que le rôle puisse effectuer des tâches d'administration. Les rôles exécutent un sous-ensemble des capacités du superutilisateur de Solaris telles que la sauvegarde ou le contrôle.
Voir rôle d'administration.
Le script /usr/sbin/txzonemgr fournit une interface graphique simple pour la gestion des zones étiquetées. Le script fournit également des options de menu pour les options de réseau, les options des services de noms et pour la liaison de la zone globale à un serveur LDAP existant. txzonemgr est exécuté par l'utilisateur root dans la zone globale.
Stratégie de sécurité nécessitant deux administrateurs ou rôles pour créer et authentifier un utilisateur. Un administrateur ou un rôle est responsable de la création de l'utilisateur, du répertoire personnel de l'utilisateur et d'autres tâches d'administration de base. L'autre administrateur ou rôle est responsable des attributs de sécurité de l'utilisateur, tels que le mot de passe et la plage d'étiquettes.
Base de données distribuée d'un réseau dans laquelle figurent les informations clés relatives à tous les systèmes du réseau et qui permettent aux systèmes de communiquer entre eux. Un service de nommage vous permet de maintenir, de gérer et d'accéder aux informations système à l'échelle de votre réseau. Sun prend en charge le service de nommage LDAP. En l'absence de service de nommage, chaque système doit maintenir sa propre copie des informations système dans les fichiers /etc locaux.
Shell spécial qui reconnaît les attributs de sécurité, tels que les privilèges, autorisations et UID et GID spéciaux. Un shell de profil limite généralement le nombre de commandes disponibles à l'utilisateur, mais peut permettre à ces commandes de s'exécuter avec davantage de droits. Le shell de profil est le shell par défaut d'un rôle de confiance.
Sur un hôte Trusted Extensions, ensemble de DAC, MAC et règles d'étiquetage qui définissent l'accès aux informations. Sur le site d'un client, ensemble des règles qui définissent la sensibilité des informations en cours de traitement sur ce site et mesures utilisées pour protéger les informations de tout accès non autorisé.
Nom générique pour un ordinateur. Après l'installation, un système sur un réseau est souvent appelé hôte.
Ensemble de fichiers et de répertoires qui, lorsqu'il est défini dans une hiérarchie logique, constitue un ensemble structuré et organisé d'informations. Les systèmes de fichiers peuvent être montés à partir de votre système local ou d'un système distant.
Système exécutant un système d'exploitation multiniveau, tel que Trusted Extensions ou SELinux avec MLS activé. Le système peut envoyer et recevoir des paquets réseau étiquetés d'une option CIPSO dans l'en-tête des paquets.
Pour un système Solaris configuré avec Trusted Extensions, un système sans étiquette est un système qui n'exécute pas de système d'exploitation multiniveau, comme Trusted Extensions ou SELinux avec MLS activé. Un système sans étiquette n'envoie pas de paquets étiquetés. Si le système Trusted Extensions communiquant a attribué une étiquette unique au système sans étiquette, la communication réseau entre le système Trusted Extensions et le système sans étiquette aura lieu sur cette étiquette. Un système sans étiquette est également appelé système à niveau unique.
Groupe de systèmes connectés via le matériel et les logiciels, parfois appelé réseau local (LAN). Une configuration de systèmes en réseau utilise un ou plusieurs serveurs.
Ordinateurs qui ne sont pas reliés à un réseau ou qui ne dépendent d'aucun autre hôte.
Sur un système Solaris configuré avec Trusted Extensions, une étiquette unique est affectée à chaque zone. Bien que la zone globale soit étiquetée, une zone étiquetée se rapporte généralement à une zone non globale à laquelle une étiquette est affectée. Les zones étiquetées ont deux caractéristiques qui les distinguent des zones non globales d'un système Solaris non configuré avec des étiquettes. Tout d'abord, les zones étiquetées doivent utiliser le même pool d'ID utilisateur et d'ID de groupe. Deuxièmement, les zones étiquetées peuvent partager les adresses IP.