Un jeu de données multiniveau ZFS est conçu pour contenir des fichiers et répertoires sous des étiquettes différentes. Chaque fichier et répertoire est étiqueté individuellement et les étiquettes peuvent être modifiées sans le déplacement ou la copie des fichiers. Les fichiers peuvent être renommés dans la plage d'étiquettes du jeu de données. Pour créer et partager des jeux de données multiniveau, reportez-vous à la section Création et partage d'un jeu de données multiniveau.
Normalement, tous les fichiers et répertoires d'un jeu de données disposent de la même étiquette que la zone dans laquelle le jeu de données est monté. Cette étiquette est enregistrée automatiquement dans une propriété ZFS nommée mlslabel lorsque le jeu de données est monté pour la première fois dans la zone. Ces jeux de données sont des jeux de données étiquetés à niveau unique. La propriété mlslabel ne peut pas être modifiée alors que le jeu de données est monté, c'est-à-dire que la zone de montage ne peut pas modifier la propriété mlslabel.
Une fois la propriété mlslabel définie, le jeu de données ne peut plus être monté en lecture-écriture dans une zone, sauf si l'étiquette de la zone correspond à la propriété mlslabel du jeu de données. En outre, un jeu de données ne peut être monté en ZFS dans aucune zone s'il est actuellement monté en ZFS dans une quelconque autre zone, y compris la zone globale. Les étiquettes des fichiers figurant dans un jeu de données à niveau unique étant fixes, lorsque vous modifiez l'étiquette d'un fichier avec la commande setlabel, le fichier est déplacé vers le chemin d'accès équivalent de la zone principale qui correspond à l'étiquette cible. Ce mouvement à travers les zones peut s'avérer inefficace et confus. Les jeux de données multiniveau fournissent un conteneur efficace pour la modification d'étiquette de données.
Pour les jeux de données multiniveau qui sont montés dans la zone globale, la valeur par défaut de la propriété mlslabel est ADMIN_HIGH. Cette valeur spécifie la limite supérieure de la plage d'étiquettes du jeu de données. Si vous spécifiez un niveau inférieur, vous pouvez uniquement effectuer des opérations d'écriture sur le jeu de données à partir de zones dont l'étiquette est dominée par la propriété mlslabel.
Les utilisateurs ou les rôles avec le profil de droits Object Label Management (Gestion de l'étiquette des objets) dispose des privilèges requis pour mettre à niveau ou rétrograder les fichiers et répertoires auxquels ils ont un accès DAC. Pour plus d'informations sur cette procédure, reportez-vous à la section Octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur.
Pour le processus utilisateur, des contraintes de stratégie supplémentaires s'appliquent.
Par défaut, aucun processus d'une zone étiquetée ne peut modifier les étiquettes de fichiers ou de répertoires. Pour activer la modification d'étiquettes, reportez-vous à la section Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur. Pour spécifier des contrôles plus granulaires, en autorisant par exemple la rétrogradation des fichiers mais pas leur mise à niveau, reportez-vous à l'Example 13–5.
Les étiquettes des répertoires ne peuvent pas être modifiées sauf si les répertoires sont vides.
Les fichiers et les répertoires ne peuvent pas être rétrogradés sous l'étiquette du répertoire les contenant.
Pour modifier l'étiquette, vous devez d'abord déplacer le fichier vers le répertoire de niveau inférieur, puis modifier l'étiquette de ce dernier.
Les zones capables de monter le jeu de données ne peuvent pas mettre à niveau un fichier ou répertoire au-dessus de l'étiquette de zone.
La modification des étiquettes des fichiers est impossible si ces derniers sont ouverts par un processus dans n'importe quelle zone.
Les fichiers et les répertoires ne peuvent pas être mis à niveau vers une valeur supérieure à celle de la valeur mlslabel du jeu de données.