Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)

La liste des tâches ci-dessous décrit des tâches courantes permettant d'effectuer la sauvegarde et la restauration de données de systèmes de fichiers étiquetés, ainsi que le partage et le montage de répertoires et de fichiers étiquetés.

Tâche	Description	Voir
Sauvegarde de fichiers.	Permet de protéger vos données en les sauvegardant.	Procédure de sauvegarde de fichiers dans Trusted Extensions
Restauration de données.	Permet de restaurer des données à partir d'une sauvegarde.	Procédure de restauration de fichiers dans Trusted Extensions
Partage du contenu d'un répertoire à partir d'une zone étiquetée.	Permet au contenu d'un répertoire étiqueté d'être partagé entre les utilisateurs.	Procédure de partage de répertoires à partir d'une zone étiquetée
Montage du contenu d'un répertoire qui a été partagé par une zone étiquetée.	Permet au contenu d'un répertoire d'être monté dans une zone à la même étiquette pour la lecture/l'écriture. Lorsqu'une zone de niveau supérieur monte le répertoire partagé, le répertoire est monté en lecture seule.	Procédure de montage NFS de fichiers dans une zone étiquetée
Création de points de montage de répertoire personnel.	Permet de créer les points de montage pour chaque utilisateur à chaque étiquette. Cette tâche permet aux utilisateurs d'accéder à leur répertoire personnel sur un système qui n'est pas le serveur d'annuaire personnel NFS.	Activation de l’accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions
Masquage des informations de niveau inférieur pour un utilisateur travaillant à une étiquette de niveau supérieur.	Permet d'empêcher l'affichage des informations de niveau inférieur à partir d'une fenêtre de niveau supérieur.	Procédure de désactivation du montage pour les fichiers de niveau inférieur
Dépannage des problèmes de montage de systèmes de fichiers.	Permet de résoudre les problèmes de montage d'un système de fichiers.	Dépannage des échecs de montage dans Trusted Extensions

Procédure de sauvegarde de fichiers dans Trusted Extensions

Prenez le rôle d'opérateur.
Ce rôle inclut le profil de droits Media Backup (Sauvegarde de supports).
Choisissez l'une des méthodes de sauvegarde suivantes :
- /usr/lib/fs/ufs/ufsdump pour les sauvegardes importantes
- /usr/sbin/tar cT pour les petites sauvegardes
- Un script appelant l'une ou l'autre de ces commandes
  
  Par exemple, l'application de sauvegarde Budtool appelle la commande ufsdump. Reportez-vous à la page de manuel ufsdump(1M). Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).

Procédure de restauration de fichiers dans Trusted Extensions

Connectez-vous en tant qu'utilisateur root.
Utilisez l'une des méthodes suivantes :
- /usr/lib/fs/ufs/ufsrestore pour les restaurations importantes
- /usr/sbin/tar xT pour les petites restaurations
- Un script appelant l'une ou l'autre de ces commandes
Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).

Attention - Seules ces commandes préservent les étiquettes.

Procédure de partage de répertoires à partir d'une zone étiquetée

Comme dans le SE Oracle Solaris, l'outil Mounts and Shares (Montages et partages) dans la Console de gestion Solaris est utilisé pour le partage et le montage de fichiers à partir de la zone globale. L'outil ne peut pas être utilisé pour monter ou partager des répertoires qui proviennent de zones étiquetées. Créez un fichier dfstab sous l'étiquette de la zone, puis redémarrez la zone pour partager les répertoires étiquetés.

Attention - N'utilisez pas de noms propriétaires pour les systèmes de fichiers partagés. Les noms des systèmes de fichiers partagés sont visibles pour tous les utilisateurs.

Avant de commencer

Vous devez être le superutilisateur ou être dans le rôle d'administrateur système dans la zone globale sur le serveur de fichiers.

Créez un espace de travail sous l'étiquette du répertoire qui va être partagé.
Pour plus d'informations, reportez-vous à la section Procédure d’ajout d’un espace de travail possédant une étiquette particulière du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Créez un fichier dfstab sous l'étiquette de cette zone.
Pour chaque zone qui partage un répertoire, répétez les étapes suivantes :
1. Créez le répertoire /etc/dfs dans la zone.
```
# mkdir -p /zone/zone-name/etc/dfs
```
2. Ouvrez l'éditeur de confiance.
  Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
3. Saisissez le nom du chemin d'accès complet du fichier dfstab dans l'éditeur.
```
# /zone/zone-name/etc/dfs/dfstab
```
4. Ajoutez une entrée pour partager un répertoire à partir de cette zone.
  L'entrée décrit le répertoire du point de vue du chemin racine de la zone. Par exemple, l'entrée suivante partage les fichiers d'une application sous l'étiquette de la zone qui les contient :
```
share -F nfs -o ro /viewdir/viewfiles
```
Pour chaque zone, partagez les répertoires en démarrant la zone.
Dans la zone globale, exécutez l'une des commandes suivantes pour chaque zone. Chaque zone peut partager ses répertoires de n'importe laquelle des manières décrites. Le partage devient effectif lorsque chaque zone passe à l'état ready (prêt) ou running (en cours d'exécution).
- Si la zone n'est pas dans l'état running et que vous ne souhaitez pas que les utilisateurs se connectent au serveur sous l'étiquette de la zone, définissez l'état de la zone sur ready.
```
# zoneadm -z zone-name ready
```
- Si la zone n'est pas dans l'état running et si les utilisateurs sont autorisés à se connecter au serveur sous l'étiquette de la zone, démarrez la zone.
```
# zoneadm -z zone-name boot
```
- Si la zone est déjà en cours d'exécution, redémarrez la zone.
```
# zoneadm -z zone-name reboot
```
Affichez les répertoires qui sont partagés à partir de votre système.
```
# showmount -e
```
Pour permettre au client de monter les fichiers exportés, reportez-vous à la section Procédure de montage NFS de fichiers dans une zone étiquetée.

Exemple 11-2 Partage du répertoire /export/share sous l'étiquette PUBLIC

Pour les applications qui s'exécutent sous l'étiquette PUBLIC, l'administrateur système autorise les utilisateurs à lire la documentation se trouvant dans le répertoire /export/share de la zone public. La zone nommée public s'exécute sous l'étiquette PUBLIC.

Tout d'abord, l'administrateur crée un espace de travail public et modifie le fichier dfstab.

# mkdir -p /zone/public/etc/dfs
# /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab

Dans le fichier, l'administrateur ajoute l'entrée suivante :

## Sharing PUBLIC user manuals
share -F nfs -o ro /export/appdocs

L'administrateur quitte l'espace de travail public et retourne dans l'espace de travail Trusted Path (Chemin de confiance). Les utilisateurs n'étant pas autorisés à se connecter à ce système, l'administrateur partage les fichiers en plaçant la zone dans l'état ready :

# zoneadm -z public ready

Les utilisateurs peuvent accéder aux répertoires partagés une fois que ces derniers sont montés sur les systèmes des utilisateurs.

Procédure de montage NFS de fichiers dans une zone étiquetée

Dans Trusted Extensions, une zone étiquetée gère le montage de fichiers dans sa zone.

Les fichiers d'hôtes étiquetés et d'hôtes sans étiquette peuvent être montés sur un hôte étiqueté Trusted Extensions.

Pour monter les fichiers en lecture/écriture à partir d'un hôte à étiquette unique, l'étiquette assignée à l'hôte distant doit être identique à celle de la zone dans laquelle le fichier est monté.
Les fichiers qui sont montés par une zone de niveau supérieur sont en lecture seule.
Dans Trusted Extensions, le fichier de configuration auto_home est personnalisé pour chaque zone. Le nom de la zone est repris dans le nom du fichier. Par exemple, un système comportant une zone globale et une zone publique dispose de deux fichiers auto_home, auto_home_global et auto_home_public.

Trusted Extensions utilise les mêmes interfaces de montage que le SE Oracle Solaris :

Pour monter des fichiers lors du démarrage, utilisez le fichier /etc/vfstab dans la zone étiquetée.
Pour monter des fichiers dynamiquement, utilisez la commande mount dans la zone étiquetée.
Pour monter automatiquement des répertoires personnels, utilisez les fichiers auto_home_zone-name.
Pour monter automatiquement d'autres répertoires, utilisez les cartes de montage automatique standard. Si les cartes de montage automatique sont dans le protocole LDAP, utilisez les commandes LDAP pour les gérer.

Avant de commencer

Vous devez être sur le système client, dans la zone possédant l'étiquette des fichiers que vous souhaitez monter. Si vous n'utilisez pas l'automonteur, vous devez être connecté en tant que superutilisateur ou être dans le rôle d'administrateur système. Pour effectuer des montages à partir de serveurs de niveau inférieur, la zone doit être configurée avec le privilège net_mac_aware.

Pour effectuer un montage NFS de fichiers dans une zone étiquetée, utilisez les procédures suivantes.
La plupart des procédures impliquent la création d'un espace de travail à une étiquette particulière. Pour créer un espace de travail, reportez-vous à la section Procédure d’ajout d’un espace de travail possédant une étiquette particulière du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
- Montage dynamique de fichiers.
  Dans la zone étiquetée, utilisez la commande mount. Pour voir un exemple de montage dynamique de fichiers, reportez-vous à l'Exemple 11-3.
- Montage de fichiers lors du démarrage de la zone
  Dans la zone étiquetée, ajoutez les montages au fichier vfstab.
  Pour voir des exemples de montages de fichiers lors du démarrage d'une zone étiquetée, reportez-vous à l'Exemple 11-4 et à l'Exemple 11-5.
- Montage de répertoires personnels pour des systèmes administrés à l'aide du protocole LDAP.
  1. À chaque étiquette, ajoutez les spécifications de l'utilisateur pour les fichiers auto_home_zone-name.
  2. Utilisez ensuite ces fichiers pour remplir la base de données auto_home_zone-name sur le serveur LDAP.
  Pour voir un exemple, reportez-vous à l'Exemple 11-6.
- Montage de répertoires personnels pour des systèmes administrés à l'aide de fichiers.
  1. Créez et remplissez un fichier /export/home/auto_home_lowest-labeled-zone-name.
  2. Modifiez le fichier /etc/auto_home_lowest-labeled-zone-name afin qu'il désigne le fichier qui vient d'être rempli.
  3. Modifiez le fichier /etc/auto_home_lowest-labeled-zone-name dans chaque zone de niveau supérieur afin qu'il désigne le fichier que vous avez créé à l'Étape a.
  Pour voir un exemple, reportez-vous à l'Exemple 11-7.

Exemple 11-3 Montage de fichiers dans une zone étiquetée en utilisant la commande mount

Dans cet exemple, l'administrateur système monte un système de fichiers distant à partir d'une zone publique. La zone publique se trouve sur un serveur multiniveau.

Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur exécute la commande mount.

# zonename
public
# mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs

Un serveur de fichiers à étiquette unique possédant l'étiquette PUBLIC contient également des documents à monter :

# mount -F nfs public-sys:/publicdocs /opt/publicdocs

Lorsque la zone publique du serveur de fichiers remote-sys est dans l'état ready (prêt) ou running (en cours d'exécution), les fichiers remote-sys sont montés avec succès sur ce système. Lorsque le serveur de fichiers public-sys est en cours d'exécution, les fichiers sont montés avec succès.

Exemple 11-4 Montage de fichiers en lecture/écriture dans une zone étiquetée en modifiant le fichier vfstab

Dans cet exemple, l'administrateur système monte deux systèmes de fichiers distants sous l'étiquette PUBLIC dans la zone publique du système local lorsque la zone publique démarre. Un montage de système de fichiers provient d'un système multiniveau, et l'autre provient d'un système à étiquette unique.

Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur modifie le fichier vfstab de cette zone.

## Writable books directories at PUBLIC
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  rw
public-sys:/publicdocs    - /opt/publicdocs  nfs no yes rw

Pour accéder aux fichiers de la zone étiquetée distante du système multiniveau, l'entrée vfstab utilise le chemin racine de la zone publique du système distant, /zone/public/root, comme chemin d'accès des répertoires à monter. Le chemin d'accès au système à étiquette unique est identique au chemin d'accès qui serait utilisé sur un système Oracle Solaris.

Dans une fenêtre de terminal sous l'étiquette PUBLIC, l'administrateur monte les fichiers.

# mountall

Exemple 11-5 Montage de fichiers de niveau inférieur dans une zone étiquetée en modifiant le fichier vfstab

Dans cet exemple, l'administrateur système monte un système de fichiers distant à partir d'une zone publique dans la zone internal du système local. Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette INTERNAL, puis modifie le fichier vfstab dans cette zone.

## Readable books directory at PUBLIC
## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone
remote-sys:/zone/public/root/opt/docs  - /opt/docs  nfs  no  yes  ro

Pour accéder aux fichiers de la zone étiquetée distante, l'entrée vfstab utilise le chemin racine de la zone publique du système distant, /zone/public/root, comme chemin d'accès des répertoires à monter.

Du point de vue d'un utilisateur dans la zone internal, les fichiers sont accessibles dans /opt/docs.

Dans une fenêtre de terminal sous l'étiquette INTERNAL, l'administrateur monte les fichiers.

# mountall

Exemple 11-6 Montage de répertoires personnels étiquetés dans un réseau administré à l'aide du protocole LDAP

Dans cet exemple, l'administrateur système permet à un nouvel utilisateur, ikuk, d'accéder à son répertoire personnel à chaque étiquette. Ce site utilise deux serveurs d'annuaire personnel et est géré à l'aide du protocole LDAP. Le second serveur contient les répertoires personnels des utilisateurs jdoe et pkai. Le nouvel utilisateur est ajouté à cette liste.

Après avoir assumé le rôle d'administrateur système, l'administrateur modifie tout d'abord les fichiers auto_home_zone-name dans le répertoire /etc de la zone globale pour inclure le nouvel utilisateur sur le second serveur d'annuaire personnel.

## auto_home_global file
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

## auto_home_internal file
## Mount the home directory from the internal zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

## auto_home_public
## Mount the home directory from the public zone of the NFS server
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

Ensuite, pour permettre aux utilisateurs de se connecter à toutes les étiquettes, l'administrateur répète ces modifications pour les fichiers auto_home_zone-name à chaque étiquette.

Enfin, après avoir modifié chaque fichier auto_home_zone-name sur ce système, l'administrateur utilise ces fichiers pour ajouter des entrées à la base de données LDAP.

Comme dans le SE Oracle Solaris, l'entrée +auto_home_public des fichiers /etc/auto_home_zone-name dirige l'automonteur vers les entrées LDAP. Les fichiers auto_home_zone-name sur d'autres systèmes du réseau sont mis à jour à partir de la base de données LDAP.

Exemple 11-7 Montage d'un répertoire personnel de niveau inférieur sur un système administré à l'aide de fichiers

Dans cet exemple, l'administrateur système permet aux utilisateurs d'accéder à leurs répertoires personnels à chaque étiquette. Les étiquettes utilisées sur le site sont PUBLIC, INTERNAL et NEEDTOKNOW. Ce site a recours à deux serveurs d'annuaire personnel et est administré à l'aide de fichiers. Le second serveur contient les répertoires personnels des utilisateurs jdoe et pkai.

Pour accomplir cette tâche, l'administrateur système définit les répertoires personnels NFS de la zone publique dans cette dernière, et partage cette configuration avec les zones internal et needtoknow.

Après avoir assumé le rôle d'administrateur système, l'administrateur crée tout d'abord un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur crée un nouveau fichier, /export/home/auto_home_public. Ce fichier contient toutes les entrées de spécifications NFS par utilisateur personnalisées.

## /export/home/auto_home_public file at PUBLIC label
jdoe homedir2-server:/export/home/jdoe
pkai homedir2-server:/export/home/pkai
* homedir-server:/export/home/&

Ensuite, l'administrateur modifie le fichier /etc/auto_home_public afin qu'il désigne ce nouveau fichier.

## /etc/auto_home_public file in the public zone
## Use /export/home/auto_home_public for the user entries
## +auto_home_public
+ /export/home/auto_home_public

Cette entrée indique à l'automonteur d'utiliser le contenu du fichier local.

Enfin, l'administrateur modifie de la même façon le fichier /etc/auto_home_public dans les zones internal et needtoknow. L'administrateur utilise le nom du chemin d'accès à la zone publique qui est visible pour les zones internal et needtoknow.

## /etc/auto_home_public file in the internal zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

## /etc/auto_home_public file in the needtoknow zone
## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs
## +auto_home_public
+ /zone/public/export/home/auto_home_public

Lorsque l'administrateur ajoute le nouvel utilisateur ikuk, l'ajout est effectué dans le fichier /export/home/auto_home_public sous l'étiquette PUBLIC.

## /export/home/auto_home_public file at PUBLIC label
jdoe   homedir2-server:/export/home/jdoe
pkai   homedir2-server:/export/home/pkai
ikuk homedir2-server:/export/home/ikuk
*      homedir-server:/export/home/&

Les zones de niveau supérieur lisent vers le bas afin d'obtenir les répertoires personnels par utilisateur de la zone publique de niveau inférieur.

Dépannage des échecs de montage dans Trusted Extensions

Avant de commencer

Vous devez être dans la zone possédant l'étiquette des fichiers que vous souhaitez monter. Vous devez être connecté en tant que superutilisateur ou être dans le rôle d'administrateur système.

Vérifiez les attributs de sécurité du serveur NFS.
Utilisez l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris à l'étendue appropriée. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
1. Vérifiez que l'adresse IP du serveur NFS est un hôte assigné dans l'un des modèles de sécurité.
  L'adresse peut être assignée directement, ou indirectement par le biais d'un mécanisme de caractère générique. L'adresse peut être dans un modèle étiqueté ou sans étiquette.
2. Vérifiez l'étiquette que le modèle assigne au serveur NFS.
  L'étiquette doit être compatible avec l'étiquette à laquelle vous essayez de monter les fichiers.
Vérifiez l'étiquette de la zone actuelle.
Si l'étiquette est plus élevée que l'étiquette du système de fichiers montés, vous ne pouvez pas effectuer d'opération d'écriture dans le montage même si le système de fichiers distant est exporté avec des autorisations en lecture/écriture. Vous pouvez uniquement effectuer des opérations d'écriture sur le système de fichiers monté sous l'étiquette du montage.
Pour monter des systèmes de fichiers à partir d'un serveur NFS qui exécute des versions antérieures du logiciel Trusted Solaris, procédez comme suit :
- Pour un serveur NFS Trusted Solaris 1, utilisez les options vers=2 et proto=udp pour la commande mount.
- Pour un serveur NFS Trusted Solaris 2.5.1, utilisez les options vers=2 et proto=udp pour la commande mount.
- Pour un serveur NFS Trusted Solaris 8, utilisez les options vers=3 et proto=udp pour la commande mount.
Pour monter des systèmes de fichiers à partir d'un de ces serveurs, le serveur doit être assigné à un modèle sans étiquette.

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions