Trusted Extensions の NFS マウント

Trusted Extensions の NFS マウントは Solaris マウントと類似しています。その相違点は、Trusted Extensions にラベル付きゾーンをマウントする場合のゾーンルートパス名の使用と MAC ポリシーの実施によって生じます。

Trusted Extensions の NFS 共有は、大域ゾーンの Solaris 共有と類似しています。ただし、マルチレベルシステムでのラベル付きゾーンからのファイルの共有は Trusted Extensions に特有のものです。

• 大域ゾーンでの共有とマウント – Trusted Extensions システムの大域ゾーンでのファイルの共有とマウントは、Solaris OS での手順とほぼ同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。ファイルの共有については、dfstab ファイルが使用されます。

• ラベル付きゾーンでのマウント – Trusted Extensions のラベル付きゾーンでのファイルのマウントは、Solaris OS の非大域ゾーンでのファイルのマウントとほぼ同じです。ファイルのマウントについては、オートマウンタ、vfstab ファイル、mount コマンドを使用できます。Trusted Extensions では、各ラベル付きゾーンに対して、一意の automount_home_label 構成ファイルが存在します。

• ラベル付きゾーンでの共有 – ラベル付きゾーンのファイルは、ゾーンのラベルにあるが、大域ゾーンにのみ表示される dfstabファイルを使用することによって、ゾーンのラベルで共有することができます。したがって、ファイルを共有するためにラベル付きゾーンを構成することは、大域ゾーンの大域ゾーン管理者によって実行されます。この構成ファイルは、そのラベル付きゾーンからは表示できません。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。

どのファイルをマウントできるかには、ラベルが影響します。ファイルは特定のラベルで共有されてマウントされます。Trusted Extensions クライアントが NFS マウントされたファイルに書き込みできるためには、そのファイルが読み取り/書き込み権付きでマウントされ、かつクライアントと同じラベルにある必要があります。2 つの Trusted Extensions ホスト間でファイルをマウントする場合は、サーバーとクライアントに、互換性のある cipso というタイプの遠隔ホストテンプレートがなければなりません。Trusted Extensions ホストとラベルなしホストの間でファイルをマウントする場合は、tnrhdb ファイルでラベルなしホストに指定されたシングルラベルにあるファイルをマウントすることができます。LOFS でマウントされたファイルは、表示できますが修正することはできません。NFS マウントについては、「 Trusted Extensions で NFS マウントされたディレクトリへのアクセス」を参照してください。

どのディレクトリおよびファイルを表示できるかにも、ラベルが影響します。デフォルトでは、下位レベルのオブジェクトはユーザーの環境で利用できます。したがって、デフォルト構成の場合、一般ユーザーはそのユーザーの現在のレベルより下位レベルのゾーンにあるファイルを表示することができます。たとえば、ユーザーは上位レベルのラベルから下位レベルのホームディレクトリを表示することができます。詳細は、「Trusted Extensions でのホームディレクトリの作成」を参照してください。

サイトのセキュリティーによって下位レベルのオブジェクトの表示が禁止されている場合、管理者はユーザーに対して下位レベルのディレクトリを非表示にすることができます。詳細は、「下位ファイルのマウントを無効にする」を参照してください。

Trusted Extensions のマウントポリシーが MAC より優先されることはありません。下位ラベルで表示されるマウント済みファイルは、上位ラベルのプロセスで変更できません。この MAC ポリシーは大域ゾーンでも有効です。大域ゾーン ADMIN_HIGH プロセスは、PUBLIC ファイルまたは ADMIN_LOW ファイルなど、下位ラベルの NFS マウントされたファイルを変更することはできません。MAC ポリシーはデフォルト構成を強制し、一般ユーザーからは不可視です。一般ユーザーは、MAC アクセスできない限りオブジェクトを表示できません。