跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
用于已挂载文件系统的 Trusted Extensions 策略
用于单级别数据集的 Trusted Extensions 策略
用于多级别数据集的 Trusted Extensions 策略
在 Trusted Extensions 中共享和挂载文件系统的结果
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
可使较低级别目录对较高级别区域中的用户可见。较低级别目录的 NFS 服务器可以是 Trusted Extensions 系统,也可以是不可信系统。
可信系统需要服务器配置。不可信系统需要客户机配置。
关于可信系统的 NFS 服务器配置-要使可信系统中的较低级别目录在有标签区域中可见,需要配置此服务器。
在 NFS 服务器的全局区域中,必须将 NFS 服务配置为多级别服务。
在全局区域中,管理员必须将 net_bindmlp 特权添加到有标签区域的 limitpriv 中。
在有标签区域中,通过设置 ZFS 文件系统的共享属性导出该文件系统。当有标签区域的状态为 running 时,文件系统将在区域的标签级别共享。有关过程,请参见如何从有标签区域共享文件系统。
关于不可信 NFS 服务器的 NFS 客户机配置-因为此服务器不可信,所以 NFS 客户机必须可信。必须在初始区域配置期间使用的区域配置文件中指定 net_mac_aware 特权。因此,在除最低级别区域以外的每个区域中,允许查看所有较低级别起始目录的用户都必须具有 net_mac_aware 特权。有关示例,请参见如何在有标签区域中对文件进行 NFS 挂载。
起始目录是 Trusted Extensions 中的一个特例。
需要确保在用户能够使用的每个区域中创建起始目录。
另外,必须在用户系统上的区域中创建起始目录挂载点。
为使 NFS 挂载的起始目录能够正常使用,必须使用目录的常规位置 /export/home。
注 - txzonemgr 脚本假设起始目录挂载为 /export/home。
在 Trusted Extensions 中,对自动挂载程序进行了修改以处理每个区域中(即每个标签)的起始目录。有关详细信息,请参见在 Trusted Extensions 中更改自动挂载程序。
创建用户时创建起始目录。但是,起始目录是在起始目录服务器的全局区域中创建的。在该服务器上,由 LOFS 挂载目录。如果将起始目录指定为 LOFS 挂载,自动挂载程序会自动创建起始目录。
注 - 如果删除用户,将仅删除全局区域中该用户的起始目录。不会删除有标签区域中该用户的起始目录。您负责对有标签区域中的起始目录进行归档和删除。有关过程,请参见如何从 Trusted Extensions 系统删除用户帐户。
但是,自动挂载程序不能在远程 NFS 服务器上自动创建起始目录。用户必须首先登录 NFS 服务器或者需要管理介入。要为用户创建起始目录,请参见如何让用户登录每个 NFS 服务器来访问每个标签下的远程起始目录。
在 Trusted Extensions 中,每个标签需要一个单独的起始目录挂载。对 automount 命令进行了修改以处理这些有标签的自动挂载。对于每个区域,自动挂载程序 autofs 都会挂载一个 auto_home_ zone-name 文件。例如,下面是 auto_home_global 文件中全局区域的条目:
+auto_home_global * -fstype=lofs :/export/home/&
引导允许挂载较低级别区域的区域时,会发生下列情况。较低级别区域的起始目录挂载在 /zone/zone-name/export/home 下,且为只读。auto_home_zone-name 映射指定 /zone 路径作为 lofs 重新挂载到 /zone/zone-name/home/username 上的源目录。
例如,下面是从较高级别区域生成的 auto_home_zone-at-higher-level 映射中的 auto_home_public 项:
+auto_home_public * public-zone-IP-address:/export/home/&
txzonemgr 脚本在全局区域中的 auto_master 文件中设置该 PUBLIC 项:
+auto_master /net -hosts -nosuid,nobrowse /home auto_home -nobrowse /zone/public/home auto_home_public -nobrowse
如果引用了一个起始目录且该名称与 auto_home_zone-name 映射中的任意项均不匹配,映射会尝试匹配此回送挂载规范。如果能够满足下列两个条件,该软件会创建起始目录:
此映射查找回送挂载规范的匹配项
起始目录名称与区域名称中尚不存在其起始目录的有效用户相匹配
有关自动挂载程序变更的详细信息,请参见 automount(1M) 手册页。