跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
用于已挂载文件系统的 Trusted Extensions 策略
用于单级别数据集的 Trusted Extensions 策略
用于多级别数据集的 Trusted Extensions 策略
在 Trusted Extensions 中共享和挂载文件系统的结果
Trusted Extensions 中的 NFS 服务器和客户机配置
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
下面的任务列表介绍了用于从有标签文件系统备份和恢复数据的常见任务,以及用于共享和挂载有标签文件系统的常见任务。
|
开始之前
您必须指定有 "Media Backup"(介质备份)权限配置文件。现在您处于全局区域中。
以下命令保留标签。
对于主要备份,使用 zfs send -r | -R filesystem@snap
有关可用方法(包括将备份发送到远程服务器),请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"发送和接收 ZFS 数据"。
对于小型备份,使用 /usr/sbin/tar cT
有关 T 选项到 tar 命令的详细信息,请参见 tar(1) 手册页。
调用 zfs 或 tar 备份命令的脚本
开始之前
您是全局区域中的 root 角色。
以下命令可恢复有标签备份。
对于主要恢复,使用 zfs receive -vF filesystem@snap
有关可用方法(包括从远程服务器恢复备份),请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"发送和接收 ZFS 数据"。
对于小型恢复,使用 /usr/sbin/tar xT
有关 T 选项到 tar 命令的详细信息,请参见 tar(1) 手册页。
调用 zfs 或 tar 恢复命令的脚本
要挂载或共享源自有标签区域的目录,请对文件系统设置相应的 ZFS 共享属性,然后重新启动区域以共享有标签目录。
开始之前
您必须指定有 "ZFS File System Management"(ZFS 文件系统管理)权限配置文件。
有关详细信息,请参见《Trusted Extensions 用户指南》中的"如何在最小标签下添加工作区"。
# zfs create rpool/wdocs1
例如,以下一组命令共享编写者的文档文件系统。文件系统共享读写权限,以便编写者可以在该服务器上修改其文档。禁止了 setuid 程序。
# zfs set share=name=wdocs1,path=/wdocs1,prot=nfs,setuid=off, exec=off,devices=off rpool/wdocs1 # zfs set sharenfs=on rpool/wdocs1
命令行由于显示的原因进行了换行。
在全局区域中,对每个区域运行下列命令之一。每个区域都可以使用这些方法中的任何一个方法来共享其文件系统。实际共享将在每个区域进入就绪或正在运行状态时发生。
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
在全局区域中以 root 角色运行以下命令:
# zfs get all rpool
有关更多信息,请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》中的"查询 ZFS 文件系统信息"
示例 14-1 以 PUBLIC 标签共享 /export/share 文件系统
对于以标签 PUBLIC 运行的应用程序,系统管理员允许用户读取 public 区域的 /export/reference 文件系统中的文档。
首先,管理员将工作区标签更改为 public 工作区,然后打开终端窗口。在该窗口中,管理员对 /reference 文件系统设置选定的 share 属性。以下命令由于显示的原因进行了换行。
# zfs set share=name=reference,path=/reference,prot=nfs, setuid=off,exec=off,devices=off,rdonly=on rpool/wdocs1
然后,管理员共享该文件系统。
# zfs set sharenfs=on rpool/reference
管理员离开 public 工作区并返回 "Trusted Path"(可信路径)工作区。由于不允许用户登录此文件服务器,管理员通过将该区域置于就绪状态来共享文件系统:
# zoneadm -z public ready
一旦共享文件系统挂载到用户的系统上,用户便可以访问该共享文件系统。
在 Trusted Extensions 中,有标签区域管理该区域中的文件挂载。来自无标签和有标签主机的文件系统可以挂载到 Trusted Extensions 有标签系统上。系统必须具有通往挂载区域标签的文件服务器的路由。
要从单标签主机挂载具有读写权限的文件,远程主机的指定标签必须匹配挂载区域的标签。可能有两种远程主机配置。
为不可信远程主机指定与挂载区域一样的标签。
可信远程主机是包含挂载区域标签的多级别服务器。
由较高级别区域挂载的文件系统为只读状态。
在 Trusted Extensions 中,针对每个区域对 auto_home 配置文件进行定制。此文件由区域名称命名。例如,具有全局区域和公共区域的系统具有两个 auto_home 文件,即 auto_home_global 和 auto_home_public。
Trusted Extensions 使用与 Oracle Solaris 相同的挂载界面:
缺省情况下,文件系统在引导时挂载。
要动态挂载文件系统,请使用有标签区域中的 mount 命令。
要自动挂载起始目录,请使用 auto_home_zone-name 文件。
要自动挂载其他目录,请使用标准自动挂载映射。
开始之前
您必须在客户机系统上要挂载的文件标签的区域中。检验您要挂载的文件系统是否已共享。除非使用自动挂载程序,否则您必须指定有 "File System Management"(文件系统管理)权限配置文件。要从较低级别服务器进行挂载,必须使用 net_mac_aware 特权对该客户机上的区域进行配置。
大多数过程都包括以特定标签创建工作区。要创建工作区,请参见《Trusted Extensions 用户指南》中的"如何在最小标签下添加工作区"。
在有标签区域中,使用 mount 命令。
开始之前
您必须在要挂载的文件系统标签的区域中。您必须是 root 角色。
该地址可能是直接指定,或者通过通配符机制间接指定。该地址可以位于有标签模板或无标签模板中。
该标签必须与您尝试挂载文件的标签一致。
如果该标签的级别比已挂载文件系统的标签高,则将无法写入挂载(即便使用读写权限导出了远程文件系统)。您只能以要挂载的标签写入已挂载文件系统。
要从这些服务器中的任何一个挂载文件系统,必须将该服务器指定给一个无标签的模板。