跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
访问 Trusted Extensions 中 NFS 挂载的目录
在 Trusted Extensions 中更改自动挂载程序
Trusted Extensions 软件和 NFS 协议版本
如何解决 Trusted Extensions 中的挂载故障
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 中的 NFS 挂载与 Oracle Solaris 挂载类似。差别在于 Trusted Extensions 中挂载有标签区域时使用区域根路径名以及执行 MAC 策略。
Trusted Extensions 中的 NFS 共享与全局区域中的 Oracle Solaris 共享类似。但是,从多级别系统的有标签区域共享文件是 Trusted Extensions 的唯一特性:
在全局区域中共享和挂载—在 Trusted Extensions 系统的全局区域中共享和挂载几乎与 Oracle Solaris OS 中的过程完全相同。对于挂载文件,可使用自动挂载程序、vfstab 文件以及 mount 命令。对于共享文件,可使用 dfstab 文件。
有标签区域中的挂载—在 Trusted Extensions 的有标签区域中挂载文件几乎与在 Oracle Solaris OS 的非全局区域中挂载文件完全相同。对于挂载文件,可使用自动挂载程序、vfstab 文件以及 mount 命令。在 Trusted Extensions 中,每个有标签区域存在一个唯一的 automount_home_label 配置文件。
有标签区域中的共享—可使用区域标签的 dfstab 文件在区域的标签共享有标签区域中的文件,但这些文件仅对全局区域可见。因此,由全局区域中的全局区域管理员来配置有标签区域以共享文件。此配置文件从其有标签区域看不到。有关更多讨论,请参见全局区域进程和有标签区域。
标签会影响可以挂载的文件。文件在特定标签共享和挂载。对于需要写入 NFS 挂载的文件的 Trusted Extensions 客户机,必须使用读写权限与客户机相同的标签挂载文件。如果在两个 Trusted Extensions 主机之间挂载文件,服务器与客户机必须具有 cipso 类型的兼容的远程主机模板。如果在 Trusted Extensions 主机与无标签主机之间挂载文件,可以挂载为 tnrhdb 文件中的无标签主机指定的单一标签的文件。可以查看使用 LOFS 挂载的文件,但不能修改。有关 NFS 挂载的详细信息,请参见访问 Trusted Extensions 中 NFS 挂载的目录。
标签还会影响可以查看哪些目录和文件。缺省情况下,较低级别对象可在用户的环境中使用。因此,在缺省配置中,一般用户可以查看低于用户当前级别的区域中的文件。例如,用户可以从较高级别标签查看其较低级别的起始目录。有关详细信息,请参见在 Trusted Extensions 中创建起始目录。
如果站点安全性禁止查看较低级别对象,可使较低级别目录对于用户不可见。有关详细信息,请参见如何禁用较低级别文件的挂载。
Trusted Extensions 中的挂载策略没有 MAC 覆盖。较高级别标签进程永远无法修改可在较低级别标签看到的已挂载文件。此 MAC 策略在全局区域中也有效。全局区域 ADMIN_HIGH 进程无法修改较低级别标签的 NFS 挂载的文件,例如 PUBLIC 文件或 ADMIN_LOW 文件。MAC 策略强制执行缺省配置,并且对一般用户不可见。一般用户无法查看对象,除非他们具有这些对象的 MAC 访问权限。