Création de zones étiquetées

Le script txzonemgr vous guide à travers les tâches suivantes, qui permettent de configurer les zones étiquetées.

Attention - Vous devez exécuter la version Solaris 10 8/07 de Trusted Extensions ou une version ultérieure pour utiliser les procédures txzonemgr, ou vous devez installer tous les patchs pour la version Solaris 10 11/06.

Si vous exécutez la version Solaris 10 11/06 sans les patchs actuels, suivez les procédures décrites à l'Annexe BUtilisation d'actions CDE pour installer des zones dans Trusted Extensions pour configurer les zones étiquetées.

Les instructions de cette section permettent de configurer les zones étiquetées sur un système auquel au moins deux adresses IP ont été affectées. Pour d'autres configurations, reportez-vous aux options de configuration décrites à la section Liste des tâches : préparation et activation de Trusted Extensions.

Tâche	Description	Voir
1. Exécution du script `txzonemgr`.	Le script `txzonemgr` crée une interface graphique qui présente les tâches appropriées pendant que vous configurez vos zones.	Exécution du script `txzonemgr`
2. Gestion des interfaces réseau dans la zone globale.	Configurez les interfaces dans la zone globale ou créez des interfaces logiques et configurez-les dans la zone globale.	Configuration des interfaces réseau dans Trusted Extensions
3. Attribution de nom et étiquetage de la zone.	Nommez la zone avec une version de son étiquette et affectez l'étiquette.	Attribution de nom et étiquetage de la zone
4. Installation et initialisation de la zone.	Installez les packages dans la zone. Configurez les services dans la zone. Une console de terminal de zone vous permet de visualiser l'activité dans la zone.	Installation de la zone étiquetée Démarrage de la zone étiquetée
5. Vérification de l'état de la zone.	Vérifiez que la zone étiquetée est en cours d'exécution et que la zone peut communiquer avec la zone globale.	Vérification de l'état de la zone
6. Personnalisation de la zone.	Supprimez les services non désirés de la zone. Si la zone est destinée à être utilisée pour créer d'autres zones, supprimez les informations spécifiques à cette zone uniquement.	Personnalisation de la zone étiquetée
7. Création des autres zones.	Utilisez la méthode de votre choix pour créer votre seconde zone. Pour une description des méthodes de création de zones, reportez-vous à la section Planification de zones dans Trusted Extensions.	Copie ou clonage d'une zone dans Trusted Extensions
8. (Facultatif) Ajout d'interfaces réseau spécifiques à la zone.	Pour obtenir l'isolement du réseau, ajoutez une ou plusieurs interfaces réseau à une zone étiquetée. En règle générale, de telles configurations sont utilisées pour isoler les sous-réseaux étiquetés.	Ajout d'interfaces réseau et acheminement vers les zones étiquetées

Exécution du script `txzonemgr`

Ce script vous guide à travers les tâches afin de correctement configurer, installer, initialiser et démarrer les zones étiquetées. Dans le script, vous pouvez attribuer un nom à chaque zone, associer ce nom avec une étiquette, installer les packages pour créer un système d'exploitation virtuel, puis initialiser la zone pour démarrer des services dans cette zone. Ce script comprend les tâches de copie et de clonage de zones. Vous pouvez également arrêter une zone, modifier son état et ajouter des interfaces réseau spécifiques aux zones.

Ce script présente un menu dynamique qui affiche uniquement les options valides dans le contexte actuel. Par exemple, lors de la configuration de l'état d'une zone, l'option de menu Install zone (Installer la zone) n'est pas affichée. Les tâches qui sont terminées ne s'affichent pas dans la liste.

Avant de commencer

Vous êtes superutilisateur.

Si vous avez l'intention de cloner des zones, vous avez terminé la préparation du clonage des zones. Si vous avez l'intention d'utiliser vos propres modèles de sécurité, vous avez créé les modèles.

Ouvrez une fenêtre de terminal dans la zone globale.
Exécutez le script txzonemgr.
```
# /usr/sbin/txzonemgr
```
Le script ouvre la boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées). La boîte de dialogue zenity vous invite à effectuer les tâches appropriées, selon l'état actuel de votre installation.
Pour exécuter une tâche, sélectionnez l'option de menu, puis appuyez sur la touche Entrée ou cliquez sur OK. Lorsque vous êtes invité à saisir du texte, saisissez-le, puis appuyez sur la touche Entrée ou cliquez sur OK.

Astuce - Pour afficher l'état actuel d'achèvement de la zone, cliquez sur Return to Main Menu (Retourner au menu principal) dans le gestionnaire de zones étiquetées (Labeled Zone Manager).

Configuration des interfaces réseau dans Trusted Extensions

Remarque - Si vous configurez votre système pour utiliser le protocole DHCP, reportez-vous aux instructions relatives aux ordinateurs portables à la section Trusted Extensions de la page Web relative à la sécurité de la communauté OpenSolaris.

À partir de la version Solaris 10 10/08, si vous configurez un système sur lequel chaque zone étiquetée se trouve sur son propre sous-réseau, vous pouvez ignorer cette étape et passer à l'étape Attribution de nom et étiquetage de la zone. L'étape Ajout d'une interface réseau pour acheminer une zone étiquetée existante décrit l'ajout d'interfaces réseau pour chaque zone étiquetée après avoir terminé l'installation et la personnalisation des zones.

Cette tâche permet de configurer le réseau dans la zone globale. Vous devez créer une seule interface all-zones. Une interface all-zones est partagée par les zones étiquetées et la zone globale. L'interface partagée est utilisée pour acheminer le trafic entre les zones étiquetées et la zone globale. Pour configurer cette interface, procédez de l'une des manières suivantes :

Créez une interface logique à partir d'une interface physique, puis partagez l'interface physique.

Cette configuration est la plus simple à administrer. Choisissez cette configuration lorsque deux adresses IP ont été affectées à votre système. Dans cette procédure, l'interface logique devient l'adresse spécifique de la zone globale et l'interface physique est partagée entre la zone globale et les zones étiquetées.
Partagez une interface physique

Choisissez cette configuration lorsqu'une seule adresse IP a été affectée à votre système. Dans cette configuration, l'interface physique est partagée entre la zone globale et les zones étiquetées.
Partagez une interface réseau virtuelle, vni0

Choisissez cette configuration lorsque vous configurez le protocole DHCP ou lorsque chaque sous-réseau se trouve sur une étiquette différente. Pour un exemple de procédure, reportez-vous aux instructions relatives aux ordinateurs portables dans la section Trusted Extensions de la page Web relative à la sécurité de la communauté OpenSolaris.

À partir de la version Solaris 10 10/08, l'interface de loopback dans Trusted Extensions est créée en tant qu'interface all-zones. Par conséquent, vous n'avez pas besoin de créer d'interface vni0 partagée.

Pour ajouter des interfaces réseau spécifiques aux zones, terminez et contrôlez la création de la zone avant d'ajouter les interfaces. Pour plus d'informations sur cette procédure, reportez-vous à la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.

Avant de commencer

Vous êtes superutilisateur dans la zone globale.

Le gestionnaire de zones étiquetées est affiché. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.

Dans le gestionnaire de zones étiquetées, sélectionnez Manage Network Interfaces (Gérer les interfaces réseau) et cliquez sur OK.
Une liste d'interfaces s'affiche.

Remarque - Dans cet exemple, un nom d'hôte et une adresse IP ont été affectés à l'interface physique au cours de l'installation.
Sélectionnez l'interface physique.
Un système avec une seule interface affiche un menu similaire à celui-ci. L'annotation est ajoutée à des fins d'aide :
```
vni0                        DownVirtual Network Interface
eri0 global 10.10.9.9 cipso Up Physical Interface
```
1. Sélectionnez l'interface eri0.
2. Cliquez sur OK.
Sélectionnez la tâche appropriée pour cette interface réseau.
Trois options vous sont proposées :
```
View Template Assign a label to the interface
Share Enable the global zone and labeled zones to use this interface
Create Logical Interface Create an interface to use for sharing
```
- Si votre système dispose d'une seule adresse IP, passez à l'Étape 4.
- Si votre système dispose de deux adresses IP, passez à l'Étape 5.
Sur un système disposant d'une seule adresse IP, partagez l'interface physique.
Dans cette configuration, l'adresse IP de l'hôte s'applique à toutes les zones. Par conséquent, l'adresse de l'hôte est l'adresse all-zones. Cet hôte ne peut pas être utilisé comme un serveur multiniveau. Par exemple, les utilisateurs ne peuvent pas partager de fichiers à partir de ce système. Le système ne peut pas être un serveur proxy LDAP, un serveur d'annuaires personnel NFS ou un serveur d'impression.
1. Sélectionnez Share (Partager) et cliquez sur OK.
2. Cliquez sur OK dans la boîte de dialogue qui affiche l'interface partagée.
```
eri0  all-zones  10.10.9.8  cipso  Up
```
  Cette opération fonctionne lorsque l'interface physique est une interface all-zones. Passez à la section Attribution de nom et étiquetage de la zone.
Sur un système disposant de deux adresses IP, créez une interface logique.
Ensuite, partagez l'interface physique.
Il s'agit de la configuration réseau Trusted Extensions la plus simple. Dans cette configuration, l'adresse IP principale peut être utilisée par d'autres systèmes pour atteindre n'importe quelle zone sur ce système, et l'interface logique est spécifique à la zone globale. La zone globale peut être utilisée en tant que serveur multiniveau.
1. Sélectionnez Create Logical Interface (Créer l'interface logique) et cliquez sur OK.
  Fermez la boîte de dialogue confirmant la création d'une nouvelle interface logique.
2. Sélectionnez Set IP Address (Configurer l'adresse IP) et cliquez sur OK.
3. À l'invite, spécifiez le nom d'hôte pour l'interface logique et cliquez sur OK.
  Par exemple, spécifiez machine1-services comme nom d'hôte pour l'interface logique. Le nom indique que cet hôte offre des services multiniveau.
4. À l'invite, spécifiez l'adresse IP pour l'interface logique et cliquez sur OK.
  Par exemple, spécifiez 10.10.9.2 comme adresse IP de l'interface logique.
5. Sélectionnez de nouveau l'interface logique et cliquez sur OK.
6. Sélectionnez Bring Up (Afficher) et cliquez sur OK.
  L'interface s'affiche comme Up.
```
eri0    global       10.10.9.1   cipso   Up
eri0:1  global       10.10.9.2   cipso   Up
```
7. Partagez l'interface physique.
  1. Sélectionnez l'interface physique et cliquez sur OK.
  2. Sélectionnez Share (Partager) et cliquez sur OK.
```
eri0    all-zones    10.10.9.1   cipso   Up
eri0:1  global       10.10.9.2   cipso   Up
```
Cette opération fonctionne lorsqu'au moins une interface est une interface all-zones.

Exemple 4-3 Affichage du fichier /etc/hosts sur un système avec une interface logique partagée

Sur un système où la zone globale a une interface unique et où les zones étiquetées partagent une deuxième interface avec la zone globale, le fichier /etc/hosts est similaire à la sortie suivante :

# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services

Dans la configuration par défaut, le fichier tnrhdb s'affiche comme suit :

# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

Si l'interface all-zones ne se trouve pas dans le fichier tnrhdb, l'interface passe par défaut à cipso.

Exemple 4-4 Affichage de l'interface partagée sur un système Trusted Extensions avec une seule adresse IP

Dans cet exemple, l'administrateur n'envisage pas d'utiliser le système en tant que serveur multiniveau. Pour conserver les adresses IP, la zone globale est configurée de façon à partager son adresse IP avec toutes les zones étiquetées.

L'administrateur sélectionne l'option Share (Partage) pour l'interface hme0 sur le système. Le logiciel configure toutes les zones afin qu'elles aient une NIC logique. Ces NIC logiques partagent une seule NIC physique dans la zone globale.

L'administrateur exécute la commande ifconfig -a pour vérifier que l'interface physique hme0 sur l'interface réseau 192.168.0.11 est partagée. La valeur all-zones s'affiche :

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

À partir de la version Solaris 10 10/08, l'interface de loopback dans Trusted Extensions est créée en tant qu'interface all-zones.

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         all-zones
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

L'administrateur examine également le contenu du fichier /etc/hostname.hme0 :

192.168.0.11 all-zones

Attribution de nom et étiquetage de la zone

Vous n'êtes pas obligé de créer une zone pour chaque étiquette de votre fichier label_encodings, mais vous pouvez le faire. Les interfaces graphiques d'administration énumèrent les étiquettes pour lesquelles des zones peuvent être créées sur ce système.

Avant de commencer

Vous êtes superutilisateur dans la zone globale. La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr. Vous avez configuré les interfaces réseau dans la zone globale.

Vous avez créé les modèles de sécurité dont vous avez besoin. Un modèle de sécurité définit, entre autres attributs, la plage d'étiquettes qui peut être affectée à une interface réseau. Les modèles de sécurité par défaut peuvent répondre à vos besoins.

Pour obtenir un aperçu des modèles de sécurité, reportez-vous à la section Attributs de sécurité réseau dans Trusted Extensions du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Pour utiliser la Console de gestion Solaris pour créer des modèles de sécurité, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

Dans le gestionnaire de zones étiquetées, sélectionnez Create a new zone (Créer une zone) et cliquez sur OK.
Vous êtes invité à saisir un nom.
1. Saisissez un nom pour la zone.
  Astuce - Attribuez à la zone un nom similaire à l'étiquette de la zone. Par exemple, le nom d'une zone dont l'étiquette est CONFIDENTIAL: RESTRICTED serait restricted.
  
  Par exemple, le fichier label_encodings par défaut contient les étiquettes suivantes :
```
PUBLIC
CONFIDENTIAL: INTERNAL USE ONLY
CONFIDENTIAL: NEED TO KNOW
CONFIDENTIAL: RESTRICTED
SANDBOX: PLAYGROUND
MAX LABEL
```
  Bien que vous puissiez créer une zone par étiquette, vous pouvez envisager de créer les zones suivantes :
  - Sur un système destiné à tous les utilisateurs, créez une zone pour l'étiquette PUBLIC et trois zones pour les étiquettes CONFIDENTIAL.
  - Sur un système destiné aux développeurs, créez une zone pour l'étiquette SANDBOX: PLAYGROUND. L'étiquette SANDBOX: PLAYGROUND est définie en tant qu'étiquette disjointe pour les développeurs, de sorte que seuls les systèmes utilisés par les développeurs ont besoin d'une zone pour cette étiquette.
  - Ne créez pas de zone pour l'étiquette MAX LABEL, qui est définie pour être une autorisation.
2. Cliquez sur OK.
  La boîte de dialogue affiche zone-name :configured au-dessus d'une liste de tâches.
Pour attribuer une étiquette à la zone, choisissez l'une des options suivantes :
- Si vous utilisez un fichier label_encodings personnalisé, étiquetez la zone à l'aide de l'outil Trusted Network Zones.
  1. Ouvrez l'outil Trusted Network Zones dans la Console de gestion Solaris.
    1. Démarrez la Console de gestion Solaris.
```
# /usr/sbin/smc &
```
    2. Ouvrez la boîte à outils Trusted Extensions pour le système local.
      1. Choisissez Console -> Open Toolbox (Console -> Ouvrir la boîte à outils).
      2. Sélectionnez la boîte à outils nommée Cet ordinateur (this-host : Scope=Files, Policy=TSOL).
      3. Cliquez sur Open (Ouvrir).
    3. Sous System Configuration (Configuration système), accédez à Computers and Networks (Ordinateurs et réseaux).
      À l'invite, saisissez un mot de passe.
    4. Double-cliquez sur l'outil Trusted Network Zones.
  2. Pour chaque zone, associez l'étiquette appropriée au nom de la zone.
    1. Choisissez Action -> Add Zone Configuration (Action -> Ajouter la configuration de zone).
      La boîte de dialogue affiche le nom d'une zone à laquelle aucune étiquette n'a été assignée.
    2. Vérifiez le nom de zone, puis cliquez sur Edit (Modifier).
    3. Dans le générateur d'étiquettes (Label Builder), cliquez sur l'étiquette appropriée pour le nom de zone.
      Si vous sélectionnez la mauvaise étiquette, cliquez de nouveau sur l'étiquette pour la désélectionner, puis cliquez sur l'étiquette appropriée.
    4. Enregistrez l'allocation.
      Cliquez sur OK dans le générateur d'étiquettes, puis cliquez sur OK dans la boîte de dialogue Trusted Network Zones Properties (Propriétés des zones Trusted Network).
    Vous avez terminé lorsque toutes les zones de votre choix sont répertoriées dans le panneau ou lorsque l'option de menu Add Zone Configuration (Ajouter la configuration de zone) ouvre une boîte de dialogue ne contenant aucune valeur pour le nom de zone (Zone Name).
- Si vous utilisez le fichier label_encodings par défaut, utilisez le gestionnaire de zones étiquetées.
  Cliquez sur l'option de menu Select Label (Sélectionner une étiquette) et sur OK pour afficher la liste des étiquettes disponibles.
  1. Sélectionnez l'étiquette pour la zone.
    Pour une zone nommée public, vous devez sélectionner l'étiquette PUBLIC dans la liste.
  2. Cliquez sur OK.
    Une liste de tâches s'affiche.

Installation de la zone étiquetée

Avant de commencer

Vous êtes superutilisateur dans la zone globale. La zone est configurée et une interface réseau lui a été affectée.

La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) est affichée avec le sous-titre zone-name:configured. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.

À partir du gestionnaire de zones étiquetées, sélectionnez Install (Installer) et cliquez sur OK.

Attention - Ce processus prend un certain temps. N'exécutez aucune autre tâche tant que celle-ci n'est pas terminée.

Le système copie les packages de la zone globale vers la zone non globale. Cette tâche permet d'installer un système d'exploitation virtuel étiqueté dans la zone. Pour poursuivre l'exemple, cette tâche installe la zone public. L'interface graphique affiche une sortie similaire à la suivante.
```
# Labeled Zone Manager: Installing zone-name zone
Preparing to install zone <zonename>
Creating list of files to copy from the global zone
Copying <total> files to the zone
Initializing zone product registry
Determining zone package initialization order.
Preparing to initialize <subtotal> packages on the zone.
Initializing package <number> of <subtotal>: percent complete: percent

Initialized <subtotal> packages on zone.
Zone <zonename> is initialized.
The file /zone/internal/root/var/sadm/system/logs/install_log 
contains a log of the zone installation.
```
Remarque - Les messages tels que cannot create ZFS dataset zone/ zonename: dataset already exists sont fournis à titre d'information. La zone utilise les jeux de données existant.

Lorsque l'installation est terminée, vous êtes invité à indiquer le nom de l'hôte. Un nom est proposé.
Acceptez le nom de l'hôte.
La boîte de dialogue affiche zone-name:installed au-dessus d'une liste de tâches.

Erreurs fréquentes

Si des avertissements semblables à celui-ci s'affichent : Installation of these packages generated errors: SUNW pkgname, lisez le journal d'installation et terminez l'installation des packages.

Démarrage de la zone étiquetée

Avant de commencer

Vous êtes superutilisateur dans la zone globale. La zone est installée et une interface réseau lui a été affectée.

La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche avec le sous-titre zone-name:installed. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.

Dans le gestionnaire de zones étiquetées, sélectionnez Zone Console (Console de zone) et cliquez sur OK.
Une fenêtre de console séparée s'affiche pour la zone étiquetée actuelle.
Sélectionnez Boot (Initialiser).
La console de terminal de zone suit le progrès de l'initialisation de la zone. Si la zone est créée à partir de zéro, des messages semblables à celui-ci s'affichent sur la console :
```
[Connected to zone 'public' console]

[NOTICE: Zone booting up]
...
Hostname: zone-name
Loading smf(5) service descriptions: number/total
Creating new rsa public/private host key pair
Creating new dsa public/private host key pair

rebooting system due to change(s) in /etc/default/init

[NOTICE: Zone rebooting]
```
Attention - N'exécutez aucune autre tâche tant que celle-ci n'est pas terminée.

Lorsque les quatre zones par défaut sont configurées et initialisées, le gestionnaire de zones étiquetées affiche les zones de la manière suivante :

Erreurs fréquentes

Parfois, des messages d'erreur s'affichent et la zone n'est pas réinitialisée. Dans la console de terminal de zone, appuyez sur la touche Entrée. Si vous êtes invité à saisir y pour procéder à la réinitialisation, saisissez y et appuyez sur la touche Entrée. La zone redémarre.

Étapes suivantes

Si cette zone a été copiée ou clonée à partir d'une autre zone, passez à la section Vérification de l'état de la zone.

S'il s'agit de la première zone, passez à la section Personnalisation de la zone étiquetée.

Vérification de l'état de la zone

Remarque - Le serveur X est exécuté dans la zone globale. Chaque zone étiquetée doit être en mesure de se connecter à la zone globale pour utiliser le serveur X. Par conséquent, la mise en réseau des zones doit fonctionner avant qu'une zone puisse être utilisée. Pour plus d'informations générales, reportez-vous à la section Planification pour l'accès multiniveau.

Vérifiez que la zone a été complètement démarrée.
1. Dans la console de terminal de zone zone-name, connectez-vous en tant que root.
```
hostname console login: root
Password: Type root password
```
2. Dans la console de terminal de zone, vérifiez que les services critiques sont en cours d'exécution.
```
# svcs -xv
svc:/application/print/server:default (LP print server)
 State: disabled since Tue Oct 10 10:10:10 2006
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: lpsched(1M)
...
```
  Les services sendmail et print ne sont pas des services critiques.
3. Vérifiez que la zone dispose d'une adresse IP valide.
```
# ifconfig -a
```
  Par exemple, la sortie suivante indique une adresse IP pour l'interface hme0.
```
# ...
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
```
4. (Facultatif) Vérifiez que la zone peut communiquer avec la zone globale.
  1. Définissez la variable DISPLAY afin qu'elle pointe vers le serveur–X.
```
# DISPLAY=global-zone-hostname:n.n
# export DISPLAY
```
  2. Dans la fenêtre de terminal, affichez une interface graphique.
    Par exemple, affichez une horloge.
```
# /usr/openwin/bin/xclock
```
    Si l'horloge sur l'étiquette de la zone ne s'affiche pas, le réseau de la zone n'a pas été correctement configuré. Des conseils de débogage sont fournis à la section La zone étiquetée ne peut accéder au serveur X.
  3. Fermez l'interface graphique avant de poursuivre.

À partir de la zone globale, vérifiez l'état des zones étiquetées.

# zoneadm list -v
ID NAME         STATUS         PATH                BRAND   IP
 0 global       running        /                   native  shared
 3 internal     running        /zone/internal      native  shared
 4 needtoknow   running        /zone/needtoknow    native  shared
 5 restricted   running        /zone/restricted    native  shared

Étapes suivantes

Vous avez terminé de configurer la zone étiquetée. Pour ajouter des interfaces réseau spécifiques aux zones ou établir un routage par défaut par zone étiquetée, passez à la section Ajout d'interfaces réseau et acheminement vers les zones étiquetées. Sinon, passez à la section Création de rôles et d'utilisateurs dans Trusted Extensions.

Personnalisation de la zone étiquetée

Si vous avez l'intention de cloner ou de copier des zones, cette procédure permet de configurer une zone en tant que modèle pour d'autres zones. En outre, cette procédure permet de configurer une zone qui n'a pas été créée à partir d'un modèle afin de l'utiliser.

Avant de commencer

Vous êtes superutilisateur dans la zone globale. Vous avez terminé les tâches de la section Vérification de l'état de la zone.

Dans la console de terminal de zone, désactivez les services inutiles dans une zone étiquetée.
Si vous copiez ou clonez cette zone, les services que vous désactivez sont désactivés dans les nouvelles zones. Les services en ligne sur votre système dépendent du fichier manifest du service pour la zone. Utilisez la commande netservices limited pour désactiver les services dont les zones étiquetées n'ont pas besoin.
1. Supprimez les nombreux services inutiles.
```
# netservices limited
```
2. Répertoriez les services restants.
```
# svcs
...
STATE        STIME      FMRI
online       13:05:00   svc:/application/graphical-login/cde-login:default
...
```
3. Désactivez la connexion graphique.
```
# svcadm disable svc:/application/graphical-login/cde-login
# svcs cde-login
STATE        STIME      FMRI
disabled     13:06:22   svc:/application/graphical-login/cde-login:default
```
Pour en savoir plus sur l'utilitaire de gestion des services, reportez-vous à la page de manuel smf(5).
Dans le gestionnaire de zones étiquetées, sélectionnez Halt (Arrêter) pour arrêter la zone.
Avant de poursuivre, vérifiez que la zone est arrêtée.
Dans la console de terminal de zone zone-name, le message suivant indique que la zone est arrêtée.
```
[ NOTICE: Zone halted]
```
Si vous ne copiez ou ne clonez pas cette zone, créez les zones restantes de la même manière que vous avez créé cette première zone. Sinon, passez à l'étape suivante.
Si vous utilisez cette zone comme modèle pour d'autres zones, effectuez les opérations suivantes :
1. Supprimez le fichier auto_home_zone-name.
  Dans une fenêtre de terminal dans la zone globale, supprimez ce fichier à partir de la zone zone-name.
```
# cd /zone/zone-name/root/etc
# ls auto_home*
auto_home  auto_home_zone-name
# rm auto_home_zone-name
```
  Par exemple, si la zone public est le modèle pour le clonage d'autres zones, supprimez le fichier auto_home_public :
```
# cd /zone/public/root/etc
# rm auto_home_public
```
2. Si vous envisagez de cloner cette zone, créez l'instantané ZFS à l'étape suivante, puis passez à la section Copie ou clonage d'une zone dans Trusted Extensions.
3. Si vous envisagez de copier cette zone, effectuez l'Étape 6, puis passez à la section Copie ou clonage d'une zone dans Trusted Extensions.

Pour créer un modèle de zone pour le clonage des zones restantes, sélectionnez Create Snapshot (Créer l'instantané) et cliquez sur OK.

Attention - La zone pour l'instantané doit se trouver dans un système de fichiers ZFS. Vous avez créé un système de fichiers ZFS pour la zone à l'étape Création d'un pool ZFS pour le clonage des zones.

Pour vérifier que la zone personnalisée peut toujours être utilisée, sélectionnez Boot from the Labeled Zone Manager (Démarrer à partir du Gestionnaire de zones étiquetées).
La console de terminal de zone suit la progression de l'initialisation de la zone. Des messages semblables à celui-ci s'affichent sur la console :
```
[Connected to zone 'public' console]

[NOTICE: Zone booting up]
...
Hostname: zonename
```
Appuyez sur la touche Entrée pour une invite de connexion. Vous pouvez vous connecter en tant qu'utilisateur root.

Copie ou clonage d'une zone dans Trusted Extensions

Avant de commencer

Vous avez terminé les tâches de la section Personnalisation de la zone étiquetée.

La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.

Créez la zone.
Pour plus de détails, reportez-vous à la section Attribution de nom et étiquetage de la zone.
Poursuivez votre stratégie de création de zones en procédant de l'une des manières suivantes :
Répétez ces étapes pour chaque nouvelle zone.
- Copiez la zone que vous venez d'étiqueter.
  1. Dans le gestionnaire de zones étiquetées, sélectionnez Copy (Copier), puis cliquez sur OK.
  2. Sélectionnez le modèle de zone et cliquez sur OK.
    Une fenêtre indique l'avancement du processus de copie. Une fois ce processus terminé, la zone est installée.
    Si le gestionnaire de zones étiquetées affiche zone-name :configured, passez à l'étape suivante. Sinon, poursuivez avec l'Étape e.
  3. Sélectionnez l'option de menu Select another zone (Sélectionner une autre zone) et cliquez sur OK.
  4. Sélectionnez la zone récemment installée et cliquez sur OK.
  5. Exécutez les tâches de la section Démarrage de la zone étiquetée.
  6. Exécutez le processus Vérification de l'état de la zone.
- Clonez la zone que vous venez d'étiqueter.
  1. Dans le gestionnaire de zones étiquetées, sélectionnez Clone (Cloner) et cliquez sur OK.
  2. Sélectionnez un instantané ZFS dans la liste et cliquez sur OK.
    Par exemple, si vous avez créé un instantané de public, sélectionnez zone/public@snapshot.
    Une fois le processus de clonage terminé, la zone est installée. Continuer avec l'Étape c.
  3. Ouvrez une console de zone et initialisez la zone.
    Pour obtenir davantage d'instructions, reportez-vous à la section Démarrage de la zone étiquetée.
  4. Exécutez le processus Vérification de l'état de la zone.

Étapes suivantes

Une fois que vous avez terminé les tâches de la section Vérification de l'état de la zone pour chaque zone, si vous souhaitez que chaque zone se trouve sur un réseau physique distinct, passez à la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.
Si vous n'avez pas encore créé de rôles, passez à la section Création de rôles et d'utilisateurs dans Trusted Extensions.
Si vous avez déjà créé les rôles, passez à la section Création de répertoires personnels dans Trusted Extensions.

Ignorer les liens de navigation
Quitter l'aperu
	Guide de configuration d’Oracle Solaris Trusted Extensions