Trusted Extensions 소프트웨어가 전역 영역의 Oracle Solaris에 추가됩니다. 그런 다음 레이블이 있는 비전역 영역을 구성합니다. label_encodings 파일에서 레이블마다 하나씩 영역을 만들 필요는 없지만 고유한 각 레이블에 대해 레이블이 있는 영역을 하나 이상 만들 수 있습니다. 제공된 스크립트를 사용하여 label_encodings 파일에서 기본 사용자 레이블 및 기본 사용자 클리어런스에 대한 두 개의 레이블이 있는 영역을 쉽게 만들 수 있습니다.
레이블이 있는 영역이 만들어진 후 일반 사용자는 구성된 시스템을 사용할 수 있지만 다른 시스템에는 연결할 수 없습니다. 동일한 레이블에서 실행되는 서비스를 추가로 격리하려면 보조 영역을 만들 수 있습니다. 자세한 내용은 기본 및 보조 레이블이 있는 영역을 참조하십시오.
Trusted Extensions에서 X 서버에 연결하기 위한 로컬 전송은 UNIX 도메인 소켓입니다. 기본적으로 X 서버는 TCP 연결을 수신하지 않습니다.
기본적으로 비전역 영역은 신뢰할 수 없는 호스트와 통신할 수 없습니다. 각 영역에서 접근할 수 있는 명시적인 원격 호스트 IP 주소 또는 네트워크 마스크를 지정해야 합니다.
Trusted Extensions 영역, 즉, 레이블이 있는 영역은 Oracle Solaris 영역의 브랜드입니다. 레이블이 있는 영역은 주로 데이터를 분리하는 데 사용됩니다. Trusted Extensions에서 일반 사용자는 다른 신뢰할 수 있는 시스템에서 동일하게 레이블이 있는 영역을 제외하고 레이블이 있는 영역에 원격으로 로그인할 수 없습니다. 권한이 부여된 관리자는 전역 영역에서 레이블이 있는 영역에 액세스할 수 있습니다. 영역 브랜드에 대한 자세한 내용은 brands(5) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions에서 영역 만들기는 Oracle Solaris에서 영역 만들기와 비슷합니다. Trusted Extensions는 프로세스를 단계별로 안내하는 txzonemgr 스크립트를 제공합니다. 스크립트에는 레이블이 있는 영역 만들기를 자동화할 수 있는 여러 명령줄 옵션이 있습니다. 자세한 내용은 txzonemgr(1M) 매뉴얼 페이지를 참조하십시오.
제대로 구성된 시스템에서 모든 영역은 네트워크 주소를 사용하여 동일 레이블을 공유하는 다른 시스템과 통신할 수 있어야 합니다. 다음 구성은 다른 레이블이 있는 영역에 대한 레이블이 있는 영역 액세스를 제공합니다.
all-zones 인터페이스 - 하나의 all-zones 주소가 지정됩니다. 이 기본 구성에서는 하나의 IP 주소만 필요합니다. 모든 영역(전역 영역 및 레이블이 있는 영역)이 이 공유 주소를 통해 원격 시스템의 레이블이 있는 영역과 동일하게 통신할 수 있습니다.
독점적으로 사용할 전역 영역에 대한 두번째 IP 인스턴스를 만들면 이 구성이 구체화됩니다. 이 두번째 인스턴스는 all-zones 주소가 아닙니다. IP 인스턴스를 사용하여 다중 레벨 서비스를 호스트하거나 개인 서브넷에 대한 경로를 제공할 수 있습니다.
IP 인스턴스 – Oracle Solaris OS에서와 마찬가지로 전역 영역을 포함하여 모든 영역에 하나의 IP 주소가 지정됩니다. 영역은 IP 스택을 공유합니다. 가장 단순한 사례의 경우 모든 영역이 동일한 물리적 인터페이스를 공유합니다.
각 영역에 별도의 네트워크 정보 카드(NIC)를 지정하면 이 구성이 구체화됩니다. 이러한 구성은 각 NIC에 연결되는 단일 레이블 네트워크를 물리적으로 구분하는 데 사용됩니다.
영역당 하나의 IP 인스턴스와 함께 하나 이상의 all-zones 인터페이스를 사용하면 더욱 구체화됩니다. 이 구성은 vni0과 같은 내부 인터페이스를 사용하여 전역 영역에 접근하는 옵션을 제공하므로 원격 공격으로부터 전역 영역을 보호할 수 있습니다. 예를 들어, 전역 영역의 vni0 인스턴스에서 다중 레벨 포트를 바인드하는 권한이 있는 서비스는 공유 스택을 사용하는 영역에서만 내부적으로 접근할 수 있습니다.
배타적 IP 스택 – Oracle Solaris에서와 마찬가지로 전역 영역을 포함하여 모든 영역에 하나의 IP 주소가 지정됩니다. 각 레이블이 있는 영역에 대해 가상 네트워크 인터페이스 카드(VNIC)가 만들어집니다.
별도의 네트워크 인터페이스를 통해 각 VNIC를 만들면 이 구성이 구체화됩니다. 이러한 구성은 각 NIC에 연결되는 단일 레이블 네트워크를 물리적으로 구분하는 데 사용됩니다. 배타적 IP 스택으로 구성된 영역은 all-zones 인터페이스를 사용할 수 없습니다.
기본적으로 레이블이 있는 영역은 전역 영역의 이름 서비스를 공유하며 /etc/passwd 및 /etc/shadow 파일을 비롯한 전역 영역 구성 파일의 읽기 전용 복사본을 포함합니다. 레이블이 있는 영역에서 레이블이 있는 영역에 응용 프로그램을 추가할 계획이고 패키지에서 사용자를 영역에 추가하는 경우 영역에 이러한 파일의 쓰기 가능한 복사본이 필요합니다.
pkg:/service/network/ftp와 같은 패키지는 사용자 계정을 만듭니다. 레이블이 있는 영역 내에서 pkg 명령을 실행하여 이 패키지를 설치하려면 영역에 별도의 nscd 데몬이 실행 중이고 영역에 배타적 IP 주소가 지정되어 있어야 합니다. 자세한 내용은 각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법을 참조하십시오.