请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

创建有标签区域

本节中的说明用于配置有标签区域。可选择自动创建两个有标签区域或手动创建区域。

如何创建缺省 Trusted Extensions 系统

使用此过程可创建含有两个有标签区域的有效 Trusted Extensions 系统。尚未将远程主机指定给系统的安全模板，因此系统无法与任何远程主机进行通信。

开始之前

您已完成登录到 Trusted Extensions。您已承担 root 角色。

1. 在第四个工作区中打开一个终端窗口。
2. 可选查看 txzonemgr 手册页。

   # man txzonemgr

3. 创建缺省配置。

   # /usr/sbin/txzonemgr -c

   此命令将 Oracle Solaris OS 和 Trusted Extensions 软件复制到区域、创建区域的快照、为原始区域设置标签，然后使用快照创建第二个有标签区域。将引导区域。

   • 第一个有标签区域基于 label_encodings 文件中的 Default User Sensitivity Label（缺省用户敏感标签）值。

   • 第二个有标签区域基于 label_encodings 文件中的 Default User Clearance（缺省用户安全许可）值。

   此步骤可能需要大约 20 分钟。要安装区域，脚本将针对有标签区域使用全局区域的 root 口令。

接下来的步骤

要使用 Trusted Extensions 配置，请转至如何将标签指定给两个区域工作区。

如何以交互方式创建有标签区域

您不必为 label_encodings 文件中的每个标签创建一个区域，但您可以这样做。管理 GUI 会枚举可在此系统上为其创建区域的标签。在此过程中，您将创建两个有标签区域。如果您使用 Trusted Extensions label_encodings 文件，将创建缺省 Trusted Extensions 配置。

开始之前

您已完成登录到 Trusted Extensions。您已承担 root 角色。

您尚未创建区域。

1. 运行不带任何选项的 txzonemgr 命令。

   # txzonemgr &

   该脚本将打开 "Labeled Zone Manager"（有标签区域管理器）对话框。此 zenity 对话框会提示您执行相应的任务，具体取决于配置的当前状态。

   要执行某项任务，请选择相应菜单项，然后按回车键或单击 "OK"（确定）。在提示您输入文本时，键入文本，然后按回车键或单击 "OK"（确定）。

   ---

   提示 - 要查看当前的区域完成状态，请在 "Labeled Zone Manager"（有标签区域管理器）中单击 "Return to Main Menu"（返回到主菜单）。或者，可以单击 "Cancel"（取消）按钮。

   ---

2. 选择以下方法之一安装区域：
   • 要创建两个有标签区域，请从对话框中选择 public and internal zones（公共区域和内部区域）。

     • 第一个有标签区域基于 label_encodings 文件中的 Default User Sensitivity Label（缺省用户敏感标签）值。

     • 第二个有标签区域基于 label_encodings 文件中的 Default User Clearance（缺省用户安全许可）值。

     1. 应答提示以标识系统。

        如果 public（公共）区域使用专用 IP 栈，或者该区域具有在 DNS 中定义的 IP 地址，请使用在 DNS 中定义的主机名。否则，使用系统的名称。

     2. 请勿应答提供 root 口令的提示。

        root 口令在系统安装时进行了设置。此提示的输入将失败。

     3. 出现区域登录提示时，键入用户登录名和口令。

        然后，运行 svcs -x 命令以检验是否是否配置了所有的服务。如果未显示任何消息，则说明已配置所有的服务。

     4. 从区域注销并关闭窗口。

        出现提示时，键入 "exit"，然后从 "Zone Console"（区域控制台）选择 "Close"（关闭）窗口。

        在另一个窗口中，第二个区域安装已完成。该区域是基于快照构建的，因此构建速度很快。

     5. 登录到第二个区域控制台并检验所有的服务是否正在运行。

        # svcs -x
        #

        如果未显示任何消息，则说明已配置所有的服务。将显示 "Labeled Zone Manager"（有标签区域管理器）。

     6. 双击 "Labeled Zone Manager"（有标签区域管理器）中的内部区域。

        选择 "Reboot"（重新引导），然后单击 "Cancel"（取消）按钮返回到主屏幕。所有区域都正在运行。无标签快照未在运行。

   • 要手动创建区域，请选择 "Main Menu"（主菜单），然后选择 "Create a Zone"（创建区域）。

     按照提示进行操作。GUI 将引导您完成区域创建过程。

     创建和引导区域后，可返回到全局区域以创建更多区域。这些区域都是基于快照创建的。

示例 4-2 创建另一个有标签区域

在此示例中，管理员通过缺省 label_encodings 文件创建受限区域。

首先，管理员以交互式模式打开 txzonemgr 脚本。

# txzonemgr &

接着，管理员导航到全局区域，并创建名为 restricted（受限）的区域。

Create a new zone:restricted

然后，管理员应用正确的标签。

Select label:CNF : RESTRICTED

管理员从列表中选择 "Clone"（克隆）选项，随后选择 snapshot（快照）作为新区域的模板。

restricted（受限）区域可用后，管理员单击 "Boot"（引导）来引导第二个区域。

要能够访问 restricted（受限）区域，管理员将 label_encodings 文件中的 Default User Clearance（缺省用户安全许可）值更改为 CNF RESTRICTED（CNF 受限）。

如何将标签指定给两个区域工作区

此过程将创建两个有标签工作区，并在每个有标签工作区中打开一个有标签窗口。此任务完成后，您将具有一个有效的未联网 Trusted Extensions 系统。

开始之前

您已完成如何创建缺省 Trusted Extensions 系统或如何以交互方式创建有标签区域。

您是初始用户。

1. 创建一个 PUBLIC（公共）工作区。

   PUBLIC（公共）工作区的标签与 Default User Sensitivity Label（缺省用户敏感标签）对应。

   1. 切换到第二个工作区。
   2. 右键单击并选择 "Change Workspace Label"（更改工作区标签）。
   3. 选择 "PUBLIC"（公共）并单击 "OK"（确定）。
2. 在出现提示时提供您的口令。

   您位于 PUBLIC（公共）工作区中。

3. 打开终端窗口。

   窗口标签为 PUBLIC（公共）。

4. 创建一个 "INTERNAL USE ONLY"（仅供内部使用）工作区。

   如果您使用特定于站点的 label_encodings 文件，将基于 Default User Clearance（缺省用户安全许可）的值创建工作区。

   1. 切换到第三个工作区。
   2. 右键单击并选择 "Change Workspace Label"（更改工作区标签）。
   3. 选择 "INTERNAL USE ONLY"（仅供内部使用）并单击 "OK"（确定）。
5. 在出现提示时提供您的口令。

   您位于 INTERNAL（内部）工作区中。

6. 打开终端窗口。

   窗口标签为 Confidential: Internal Use Only（机密：仅供内部使用）。

   您的系统已可供使用。您有两个用户工作区和一个角色工作区。在该配置中，有标签区域将与全局区域使用同一个 IP 地址与其他系统进行通信。之所以可以这样做，是因为在缺省情况下，它们将该 IP 地址作为 all-zones 接口共享。

接下来的步骤

如果您打算使 Trusted Extensions 系统与其他系统进行通信，请转至在 Trusted Extensions 中配置网络接口。