전역 영역 프로세스 및 레이블이 있는 영역

Trusted Extensions에서는 전역 영역의 프로세스를 포함한 모든 프로세스에 MAC 정책이 적용됩니다. 전역 영역의 프로세스는 ADMIN_HIGH 레이블에서 실행됩니다. 전역 영역에서 공유되는 파일은 ADMIN_LOW 레이블에서 공유됩니다. MAC에서는 상위 레이블이 있는 프로세스에서 하위 레이블 객체를 수정하지 못하므로 일반적으로 전역 영역에서 NFS 마운트된 시스템에 쓸 수 없습니다.

드물기는 하지만 레이블이 있는 영역에서 작업하기 위해 전역 영역 프로세스에서 해당 영역의 파일을 수정해야 하는 경우가 있습니다.

전역 영역 프로세스에서 읽기/쓰기 권한을 사용하여 원격 파일 시스템을 마운트하려면 레이블이 원격 파일 시스템의 레이블과 일치하는 영역의 영역 경로 아래에 마운트해야 합니다. 이때 영역의 루트 경로 아래에 마운트할 수는 없습니다.

• 마운팅 시스템에는 원격 파일 시스템과 동일한 레이블에 영역이 있어야 합니다.

• 시스템에서 동일한 레이블이 있는 영역의 영역 경로 아래에 원격 파일 시스템을 마운트해야 합니다.

  시스템에서 동일한 레이블이 있는 영역의 영역 루트 경로 아래에 원격 파일 시스템을 마운트할 수는 없습니다.

PUBLIC 레이블에 이름이 public인 영역이 있다고 가정합니다. 영역 경로는 /zone/public/입니다. 영역 경로 아래의 모든 디렉토리는 PUBLIC 레이블에 있습니다. 예를 들면 다음과 같습니다.

/zone/public/dev
/zone/public/etc
/zone/public/home/username
/zone/public/root
/zone/public/usr

영역 경로 아래의 디렉토리 중에서 /zone/public/root 아래에 있는 파일만 공용 영역에 표시됩니다. PUBLIC 레이블에 있는 모든 다른 디렉토리와 파일은 전역 영역에서만 액세스할 수 있습니다. /zone/public/root 경로는 영역 루트 경로입니다.

공용 영역 관리자의 관점에서 영역 루트 경로는 /로 표시됩니다. 마찬가지로 공용 영역 관리자는 영역 경로의 사용자 홈 디렉토리인 /zone/public/home/username 디렉토리에 액세스할 수 없습니다. 이 디렉토리는 전역 영역에서만 표시됩니다. 공용 영역에서는 영역 루트 경로의 이 디렉토리를 /home/ username으로 마운트합니다. 전역 영역의 관점에서 이 마운트는 /zone/public/root/home/username으로 표시됩니다.

공용 영역 관리자는 /home/username을 수정할 수 있습니다. 사용자의 홈 디렉토리에서 파일을 수정해야 하는 경우 전역 영역 프로세스에서는 해당 경로를 사용하지 않습니다. 전역 영역에서는 영역 경로의 사용자 홈 디렉토리인 /zone/public/home/username을 사용합니다.

• /zone/zonename/ 영역 경로 아래에 있지만 영역 루트 경로인 /zone/zonename/root 디렉토리 아래에는 없는 파일과 디렉토리는 ADMIN_HIGH 레이블에서 실행되는 전역 영역 프로세스를 통해 수정할 수 있습니다.

• /zone/public/root 영역 루트 경로 아래에 있는 파일과 디렉토리는 레이블이 있는 영역 관리자가 수정할 수 있습니다.

예를 들어, 공용 영역에서 장치를 할당하면 ADMIN_HIGH 레이블에서 실행되는 전역 영역 프로세스에서 영역 경로의 dev 디렉토리(/zone/public/dev)를 수정합니다. 마찬가지로 사용자가 데스크탑 구성을 저장하면 /zone/public/home/username의 전역 영역 프로세스에서 데스크탑 구성 파일을 수정합니다. 마지막으로, 레이블이 있는 영역에서 파일을 공유하기 위해 전역 영역 관리자가 /zone/public/etc/dfs/dfstab 영역 경로에 dfstab 구성 파일을 만듭니다. 레이블이 있는 영역 관리자는 이 파일에 액세스할 수 없으므로 레이블이 있는 영역에서 파일을 공유할 수 없습니다. 레이블이 있는 디렉토리를 공유하려면 레이블이 있는 영역에서 디렉토리를 공유하는 방법을 참조하십시오.