跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
访问 Trusted Extensions 中 NFS 挂载的目录
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
下面的任务列表介绍了用于从有标签文件系统备份和恢复数据的常见任务,以及用于共享和挂载有标签的目录和文件的常见任务。
|
此角色包括介质备份权限配置文件。
对于主要备份,使用 /usr/lib/fs/ufs/ufsdump
对于小型备份,使用 /usr/sbin/tar cT
调用这些命令中任一个命令的脚本
例如,Budtool 备份应用程序调用 ufsdump 命令。请参见ufsdump(1M) 手册页。有关 T 选项到 tar 命令的详细信息,请参见 tar(1) 手册页。
对于主要恢复,使用 /usr/lib/fs/ufs/ufsrestore
对于小型恢复,使用 /usr/sbin/tar xT
调用这些命令中任一个命令的脚本
有关 T 选项到 tar 命令的详细信息,请参见 tar(1) 手册页。
注意 - 仅这些命令保留标签。 |
与在 Oracle Solaris OS 中相同,Solaris Management Console 中的挂载和共享工具用于从全局区域中共享和挂载文件。此工具不能用于挂载或共享源自有标签区域的目录。在区域的标签下创建一个 dfstab 文件,然后重启该区域以共享有标签目录。
开始之前
您必须是超级用户或承担文件服务器上全局区域中的 "System Administrator"(系统管理员)角色。
有关详细信息,请参见《Trusted Extensions User’s Guide》中的"How to Add a Workspace at a Particular Label"。
对于将共享目录的每个区域,重复下列步骤:
# mkdir -p /zone/zone-name/etc/dfs
有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
# /zone/zone-name/etc/dfs/dfstab
此项从区域根路径的角度描述了该目录。例如,以下项以包含区域的标签共享应用程序的文件:
share -F nfs -o ro /viewdir/viewfiles
在全局区域中,对每个区域运行下列命令之一。每个区域都可以使用这些方法中的任何一个来共享其目录。实际共享将在每个区域进入就绪或正在运行状态时发生。
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
# showmount -e
示例 11-2 以 PUBLIC 标签共享 /export/share 目录
对于以标签 PUBLIC 运行的应用程序,系统管理员允许用户读取公共区域的 /export/share 目录中的文档。名为公共的区域以标签 PUBLIC 运行。
首先,管理员创建 public(公共)工作区并编辑 dfstab 文件。
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab
在此文件中,管理员添加以下项:
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs
管理员离开 public(公共)工作区并返回 "Trusted Path"(可信路径)工作区。由于不允许用户登录此系统,管理员通过将该区域置于就绪状态来共享文件。
# zoneadm -z public ready
在用户系统上挂载共享目录后,用户可访问该目录。
在 Trusted Extensions 中,有标签区域管理该区域中的文件挂载。
来自无标签和有标签主机的文件可以挂载到 Trusted Extensions 有标签主机上。
要从单一标签主机挂载文件读写,远程主机的指定标签必须与正在挂载文件的区域相同。
由较高级别区域挂载的文件为只读状态。
在 Trusted Extensions 中,针对每个区域对 auto_home 配置文件进行定制。此文件由区域名称命名。例如,具有全局区域和公共区域的系统具有两个 auto_home 文件,即 auto_home_global 和 auto_home_public。
Trusted Extensions 使用与 Oracle Solaris OS 相同的挂载界面:
要在引导时挂载文件,请使用有标签区域中的 /etc/vfstab 文件。
要动态挂载文件,请使用有标签区域中的 mount 命令。
要自动挂载起始目录,请使用 auto_home_zone-name 文件。
要自动挂载其他目录,请使用标准自动挂载映射。如果自动挂载映射位于 LDAP 中,可使用 LDAP 命令来管理这些映射。
开始之前
您必须在客户机系统上要挂载的文件标签的区域中。如果您使用的不是自动挂载程序,则您必须是超级用户或承担 "System Administrator"(系统管理员)角色。要从较低级别服务器进行挂载,必须使用 net_mac_aware 特权对该区域进行配置。
大多数过程都包括以特定标签创建工作区。要创建工作区,请参见《Trusted Extensions User’s Guide》中的"How to Add a Workspace at a Particular Label"。
在有标签区域中,使用 mount 命令。对于动态挂载文件的示例,请参见示例 11-3。
在有标签区域中,将挂载添加到 vfstab 文件。
有关示例,请参见示例 11-6。
有关示例,请参见示例 11-7。
示例 11-3 使用 mount 命令在有标签区域中挂载文件
在此示例中,系统管理员从公共区域挂载远程文件系统。公共区域位于多级别服务器上。
承担 "System Administrator"(系统管理员)角色后,该管理员以标签 PUBLIC(公共)创建工作区。在该工作区中,管理员运行 mount 命令。
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs
标签为 PUBLIC 的单一标签文件服务器还包含要挂载的文档:
# mount -F nfs public-sys:/publicdocs /opt/publicdocs
remote-sys 文件服务器的公共区域处于 "ready"(就绪)或 "running"(正在运行)状态时,remote-sys 文件成功挂载在此系统上。public-sys 文件服务器处于正在运行状态时,文件成功挂载。
示例 11-4 通过修改 vfstab 文件在有标签区域中挂载文件读写
在此示例中,公共区域引导时,系统管理员以本地系统的公共区域中的 PUBLIC 标签挂载两个远程文件系统。一个文件系统从多级别系统挂载,另一个文件系统从单一标签系统挂载。
承担 "System Administrator"(系统管理员)角色后,该管理员以标签 PUBLIC(公共)创建工作区。在该工作区中,管理员修改该区域中的 vfstab 文件。
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw
要访问多级别系统的远程有标签区域中的文件,vfstab 项使用远程系统的公共区域的区域根路径 /zone/public/root 作为要挂载的目录的目录路径名。单一标签系统的路径与要在 Oracle Solaris 系统上使用的路径相同。
在终端窗口中,管理员以标签 PUBLIC 挂载该文件。
# mountall
示例 11-5 通过修改 vfstab 文件在有标签区域中挂载较低级别文件
在此示例中,系统管理员从本地系统的内部区域中的公共区域挂载远程文件系统。承担 "System Administrator"(系统管理员)角色后,管理员以标签 INTERNAL(内部)创建工作区,然后修改该区域中的 vfstab 文件。
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro
要访问远程有标签区域中的文件,vfstab 项使用远程系统的公共区域的区域根路径 /zone/public/root 作为要挂载的目录的目录路径名。
从内部区域中用户的角度看,可在 /opt/docs 处访问该文件。
在终端窗口中,管理员以标签 INTERNAL 挂载该文件。
# mountall
示例 11-6 在使用 LDAP 管理的网络中挂载有标签的起始目录
在此示例中,系统管理员允许新用户 ikuk 以每个标签访问其起始目录。此站点使用两个起始目录服务器,并使用 LDAP 进行管理。第二个服务器包含用户 jdoe 和 pkai 的起始目录。新用户将添加到此列表。
首先,承担 "System Administrator"(系统管理员)角色后,管理员修改全局区域的 /etc 目录中的 auto_home_zone-name 文件,以在第二个起始目录服务器中包含新用户。
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
其次,为使用户能够以所有标签登录,管理员对所有标签的 auto_home_zone-name 文件重复这些编辑操作。
最后,修改此系统上的每个 auto_home_zone-name 文件后,管理员使用这些文件将各项添加到 LDAP 数据库。
与 Oracle Solaris OS 类似,/etc/auto_home_zone-name 文件中的 +auto_home_public 项将自动挂载程序定向到 LDAP 项。网络中其他系统上的 auto_home_zone-name 文件从 LDAP 数据库进行更新。
示例 11-7 在使用文件管理的系统上挂载较低级别起始目录
在此示例中,系统管理员允许用户以每个标签访问其起始目录。站点的标签为 PUBLIC、INTERNAL 和 NEEDTOKNOW。此站点使用两个起始目录服务器,并使用文件进行管理。第二个服务器包含用户 jdoe 和 pkai 的起始目录。
要完成此任务,系统管理员定义公共区域中的公共区域 NFS 起始目录,并将此配置与内部和 needtoknow 区域共享。
首先,承担 "System Administrator"(系统管理员)角色后,该管理员以标签 PUBLIC(公共)创建工作区。在此工作区中,管理员创建新文件 /export/home/auto_home_public。此文件包含所有定制的基于每个用户的 NFS 规范项。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/&
第二,管理员修改 /etc/auto_home_public 文件以指向此新文件。
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public
此项指示自动挂载程序使用本地文件的内容。
第三,管理员同样修改内部和 needtoknow 区域中的 /etc/auto_home_public 文件。管理员使用对内部和可在 needtoknow 区域看到的公共区域的路径名。
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
管理员添加新用户 ikuk 时,将添加到 PUBLIC 标签的 /export/home/auto_home_public 文件。
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
较高级别区域向下读取,从较低级别公共区域获取每个用户的起始目录。
开始之前
您必须在要挂载的文件标签的区域中。您必须是超级用户或承担 "System Administrator"(系统管理员)角色。
在适当作用域内使用 Solaris Management Console 中的安全模板工具。有关详细信息,请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。
该地址可能是直接指定,或者通过通配符机制间接指定。该地址可以位于有标签模板或无标签模板中。
该标签必须与您尝试挂载文件的标签一致。
如果该标签的级别比已挂载文件系统的标签高,则将无法写入挂载(即便使用读写权限导出了远程文件系统)。您只能以要挂载的标签写入已挂载文件系统。
要从这些服务器中的任何一个挂载文件系统,必须将该服务器指定给一个无标签的模板。