跳过导航链接 | |
退出打印视图 | |
![]() |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
缺省情况下,NFS 已挂载的文件系统可在导出的文件系统的标签级别看到。如果使用读写权限导出文件系统,该标签的用户可以向文件写入。低于用户当前会话级别标签的 NFS 挂载对于用户可见,但不能对其执行写入操作。即便使用读写权限共享文件系统,挂载系统也只能在挂载的标签向该文件系统执行写入操作。
要使 NFS 挂载的较低级别目录对较高级别区域中的用户可见,NFS 服务器上的全局区域管理员必须导出父目录。将父目录从其标签导出。在客户端,每个区域都必须具有 net_mac_aware 特权。缺省情况下,有标签区域在其 limitpriv 集中包含 net_mac_aware 特权。
服务器配置— 在 NFS 服务器上,导出 dfstab 文件中的父目录。如果父目录位于有标签区域中,则必须在父目录的有标签区域中修改 dfstab 文件。有标签区域的 dfstab 文件仅从全局区域可见。有关这一过程,请参见如何从有标签区域共享目录。
客户机配置— 必须在初始区域配置期间使用的区域配置文件中指定 net_mac_aware 特权。因此,在除最低级别区域以外的每个区域中,允许查看所有较低级别起始目录的用户都必须具有 net_mac_aware 特权。有关示例,请参见如何在有标签区域中对文件进行 NFS 挂载。
示例 11-1 提供对较低级别起始目录的访问
在起始目录服务器上,管理员在每个有标签区域中创建并修改 /zone/labeled-zone/etc/dfs/dfstab 文件。dfstab 文件使用读写权限导出 /export/home 目录。因此,如果在同一标签挂载目录,起始目录可写入。要导出 PUBLIC(公共)的 /export/home 目录,管理员在起始目录服务器上的 PUBLIC(公共)标签创建一个工作区,并从全局区域修改 /zone/public/etc/dfs/dfstab 文件。
在客户机上,全局区域的管理员检查除最低级别标签外的每个有标签区域是否都具有 net_mac_aware 特权。此特权允许挂载。此特权可在区域配置期间使用 zonecfg 命令指定。较低级别起始目录仅供查看。MAC 保护该目录中的文件以防止修改。
起始目录是 Trusted Extensions 中的一个特例。需要确保在用户能够使用的每个区域中创建起始目录。另外,必须在用户系统上的区域中创建起始目录挂载点。为使 NFS 挂载的起始目录能够正常使用,必须使用目录的常规位置 /export/home。在 Trusted Extensions 中,对自动挂载程序进行了修改以处理每个区域中(即每个标签)的起始目录。有关详细信息,请参见在 Trusted Extensions 中更改自动挂载程序。
创建用户时创建起始目录。在 Trusted Extensions 中,使用 Solaris Management Console (Console) 来创建用户,因此 Console 将创建起始目录。但是,Console 在起始目录服务器的全局区域中创建起始目录。在该服务器上,由 LOFS 挂载目录。如果将起始目录指定为 LOFS 挂载,自动挂载程序会自动创建起始目录。
注 - 如果使用 Console 来删除用户,将仅删除全局区域中该用户的起始目录。不会删除有标签区域中该用户的起始目录。您负责对有标签区域中的起始目录进行归档和删除。有关过程,请参见如何从 Trusted Extensions 系统删除用户帐户。
但是,自动挂载程序不能在远程 NFS 服务器上自动创建起始目录。用户必须首先登录 NFS 服务器或者需要管理介入。要创建用户的起始目录,请参见《Trusted Extensions Configuration Guide》中的"Enable Users to Access Their Home Directories in Trusted Extensions"。
在 Trusted Extensions 中,每个标签需要一个单独的起始目录挂载。对 automount 命令进行了修改以处理这些有标签的自动挂载。对于每个区域,自动挂载程序 autofs 都会挂载一个 auto_home_ zone-name 文件。例如,下面是 auto_home_global 文件中全局区域的条目:
+auto_home_global * -fstype=lofs :/export/home/&
引导允许挂载较低级别区域的区域时,会发生下列情况。较低级别区域的起始目录挂载在 /zone/<区域名称>/export/home 下且为只读。auto_home_<区域名称> 映射指定 /zone 路径作为 lofs 重新挂载到 /zone/<区域名称>/home/<用户名> 上的源目录。
例如,下面是从较高级别区域生成的 auto_home_zone-at-higher-label 映射中的 auto_home_public 项:
+auto_home_public * -fstype=lofs :/zone/public/export/home/&
下列是公共区域中的对应项:
auto_home_public * -fstype=lofs :/export/home/&
如果引用了一个起始目录且该名称与 auto_home_<区域名称> 映射中的任意项均不匹配,映射会尝试匹配此回送挂载规范。如果能够满足下列两个条件,该软件会创建起始目录:
此映射查找回送挂载规范的匹配项
起始目录名称与区域名称中尚不存在其起始目录的有效用户相匹配
有关自动挂载程序变更的详细信息,请参见 automount(1M) 手册页。