ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
Trusted Extensions のゾーンと IP アドレス
Trusted Extensions でのゾーン管理ユーティリティー
通常はラベル付きゾーンから表示されないファイルをループバックマウントする
How to Create a Multilevel Port for a Zone
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
Trusted Extensions では、大域ゾーンのプロセスを含むすべてのプロセスに MAC ポリシーが適用されます。大域ゾーンのプロセスは ADMIN_HIGH ラベルで実行されます。大域ゾーンのファイルが共有される場合、ADMIN_LOW ラベルで共有されます。MAC では上位のラベルの付いたプロセスが下位のオブジェクトを変更できないため、通常、大域ゾーンは NFS マウントシステムに書き込むことができません。
ただし、限定的ではあるものの、ラベル付きゾーンのアクションでは、大域ゾーンのプロセスにそのゾーンのファイルの変更を要求することがあります。
大域ゾーンのプロセスが読み取り/書き込み権を持つリモートファイルシステムをマウントできるようにするには、リモートファイルシステムのラベルと一致するラベルを持ったゾーンのゾーンパスの下にマウントする必要があります。ただし、そのゾーンのルートパスの下にマウントしてはいけません。
マウントする側のシステムには、リモートファイルシステムと同じラベルのゾーンが必要です。
システムは同じラベルの付いたゾーンのゾーンパスの下にリモートファイルシステムをマウントする必要があります。
システムはリモートファイルシステムを同じラベルの付いたゾーンの「ゾーンルートパス」の下にマウントしてはいけません。
PUBLIC というラベルで public という名前のゾーンを考えてみましょう。「ゾーンパス」 は /zone/public/ です。このゾーンパスの下にあるディレクトリはすべて、次のように、PUBLIC ラベルになります。
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
ゾーンパスの下のディレクトリの中では、/zone/public/root の下にあるファイルのみ public ゾーンから表示できます。ほかの PUBLIC ラベルのディレクトリとファイルはすべて、大域ゾーンからのみアクセスできます。/zone/public/root は「ゾーンルートパス」です。
ゾーンルートパスは、public ゾーン管理者には / として表示されます。同様に、public ゾーン管理者は、ゾーンパスのユーザーのホームディレクトリである、/zone/public/home/username ディレクトリにはアクセスできません。そのディレクトリは、大域ゾーンからのみ表示できます。Public ゾーンはそのディレクトリをゾーンルートパスに /home/ username としてマウントします。そのマウントは、大域ゾーンには /zone/public/root/home/ username として表示されます。
Public ゾーン管理者は /home/ username を変更できます。ユーザーのホームディレクトリのファイルを変更する必要がある場合、大域ゾーンプロセスはそのパスを使用しません。大域ゾーンは、ゾーンパスのユーザーのホームディレクトリ /zone/public/home/username を使用します。
ゾーンパス /zone/zonename/ の下にあり、ゾーンルートパス /zone/zonename /root ディレクトリの下にないファイルおよびディレクトリは、ADMIN_HIGH ラベルで実行される大域ゾーンプロセスで変更できます。
ラベル付きゾーン管理者は、ゾーンルートパス /zone/public/root の下にあるファイルおよびディレクトリを変更できます。
たとえば、ユーザーがデバイスを public ゾーンに割り当てる場合、ADMIN_HIGH ラベルで実行される大域ゾーンプロセスでは、ゾーンパス /zone/public/dev の dev ディレクトリが変更されます。同様に、ユーザーがデスクトップ構成を保存する場合、デスクトップ構成ファイルは /zone/public/home/username の大域ゾーンプロセスによって変更されます。最後に、ラベル付きゾーンのファイルを共有する場合、大域ゾーン管理者は構成ファイル dfstab をゾーンパス /zone/public/etc/dfs/dfstab に作成します。ラベル付きゾーン管理者はそのファイルにアクセスできません。また、ラベル付きゾーンのファイルも共有できません。ラベル付きディレクトリを共有する場合は、「ラベル付きゾーンのディレクトリを共有する」を参照してください。