ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

ファイルのラベル変更に使用されるマルチレベルのデータセット

マルチレベルの ZFS データセットは、異なるラベルのファイルとディレクトリを含むように設計されています。ファイルとディレクトリにはそれぞれ個別にラベルが付けられ、ファイルの移動やコピーを行うことなくラベルを変更することができます。ファイルのラベルは、データセットのラベル範囲内で変更できます。マルチレベルのデータセットの作成と共有については、「マルチレベルのデータセットを作成および共有する方法」を参照してください。

通常は、データセット内のすべてのファイルとディレクトリに、データセットがマウントされているゾーンと同じラベルが付けられます。このラベルは、データセットがゾーンに最初にマウントされたときに、mlslabel という ZFS プロパティーに自動的に記録されます。このようなデータセットはシングルレベルのラベル付きデータセットです。データセットがマウントされている間は mlslabel プロパティーを変更することはできないため、マウント先ゾーンは mlslabel プロパティーを変更できません。

mlslabel プロパティーが設定されたあとは、ゾーンのラベルがデータセットの mlslabel プロパティーと一致しないかぎり、ゾーンにデータセットを読み取り/書き込み権付きでマウントすることはできません。さらに、大域ゾーンも含めいずれかのゾーンに現在マウントされているデータセットは、ほかのゾーンにマウントできません。シングルレベルのラベル付きデータセットに含まれるファイルのラベルは固定なので、setlabel コマンドでファイルのラベルを変更すると、ファイルはターゲットラベルに対応するプライマリゾーン内の同等のパス名に実際に移動されます。このようなゾーン間の移動は、効率の低下や混乱を招くことがあります。マルチレベルのデータセットは、データのラベルを変更するための効率のよいコンテナになります。

大域ゾーンにマウントされたマルチレベルのデータセットの場合、mlslabel プロパティーのデフォルト値は ADMIN_HIGH です。この値は、データセットのラベル範囲の上限を指定します。より低いラベルを指定した場合、ゾーンからデータセットに書き込むことができるのは、そのゾーンのラベルよりも mlslabel プロパティーのほうが優位である場合だけです。

Object Label Management 権利プロファイルが割り当てられたユーザーまたは役割には、自分が DAC アクセス権を持っているファイルやディレクトリを、アップグレードまたはダウングレードする適切な特権があります。手順については、「ユーザーによるデータのセキュリティーレベルの変更を有効にする」を参照してください。

ユーザープロセスに対しては、追加のポリシー制約が適用されます。

• デフォルトでは、ラベル付きゾーンのプロセスはファイルやディレクトリのラベルを変更できません。ラベル変更を有効にするには、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。ファイルのダウングレードは許可するがアップグレードは許可しないなど、より詳細な制御を指定するには、例 13-5 を参照してください。

• ディレクトリが空でない場合、そのラベルを変更することはできません。

• ファイルおよびディレクトリは、それを含んでいるディレクトリのラベルより下にダウングレードすることはできません。

  ラベルを変更するには、下位レベルのディレクトリにファイルを移動してから、ラベルを変更します。

• データセットをマウントしているゾーンは、ファイルやディレクトリをゾーンのラベルより上にアップグレードすることはできません。

• ファイルがいずれかのゾーンでプロセスによって現在開かれている場合、そのラベルを変更することはできません。

• ファイルおよびディレクトリは、データセットの mlslabel 値より上にアップグレードすることはできません。

別のシステムのマルチレベルデータセットのマウント

大域ゾーンは、マルチレベルのデータセットを NFS 経由で Trusted Extensions システムおよびラベルなしシステムと共有できます。データセットは、大域ゾーンとラベル付きゾーン、およびラベルなしシステムにその割り当てられているラベルでマウントできます。ADMIN_LOW ラベルなしシステムは例外です。これはマルチレベルのデータセットをマウントできません。

マルチレベルのデータセットが ADMIN_HIGH より低いラベルで作成されている場合、そのデータセットを別の Trusted Extensions システムの大域ゾーンにマウントすることはできますが、ファイルはその大域ゾーンで表示のみ可能で、変更はできません。ラベル付きゾーンが別のシステムの大域ゾーンからマルチレベルのデータセットを NFS でマウントする場合は、いくつかの制限が適用されます。

• NFS でマウントされたマルチレベルのデータセットには、いくつかの制限が適用されます。

• Trusted Extensions の NFS クライアントは、書き込み可能なファイルに関してのみ、正しいラベルを確認できます。getlabel コマンドでは、下位レベルのファイルのラベルが、クライアントと同じラベルとして誤って報告されます。MAC ポリシーが有効になっているため、これらのファイルは読み取り専用のままになり、上位レベルのファイルは表示されません。

• クライアントが持っている特権は、NFS サーバーではすべて無視されます。

これらの制限のため、自分の大域ゾーンからサービスを提供されているラベル付きゾーンのクライアントには、LOFS を使用することをお勧めします。このようなクライアントに対して NFS は機能しますが、クライアントは制限を受けます。LOFS マウントの手順については、「マルチレベルのデータセットを作成および共有する方法」を参照してください。