Dans Trusted Extensions, la stratégie MAC s'applique à tous les processus, y compris aux processus de la zone globale. Les processus de la zone globale s'exécutent sous l'étiquette ADMIN_HIGH. Lorsque des fichiers provenant d'une zone globale sont partagés, ils sont partagés avec l'étiquette ADMIN_LOW. Par conséquent, étant donné que MAC empêche le processus d'une étiquette de niveau supérieur de modifier un objet de niveau inférieur, la zone globale ne peut généralement pas écrire sur un système monté via NFS.
Toutefois, dans certains cas limités, des actions effectuées dans une zone étiquetée peuvent nécessiter qu'un processus de la zone globale modifie un fichier de la zone concernée.
Un processus de la zone globale peut monter un système de fichiers distant avec des autorisations en lecture/écriture dans les conditions suivantes :
Le système effectuant le montage doit comporter une zone possédant la même étiquette que le système de fichiers distant.
Le système doit monter le système de fichiers distant sous le chemin de zone de la zone étiquetée possédant la même étiquette.
Le système ne doit pas monter le système de fichiers distant sous le chemin root de zone de la zone étiquetée possédant la même étiquette.
Prenons l'exemple d'une zone nommée publique possédant l'étiquette PUBLIC. Le chemin de la zone est /zone/public/. Tous les répertoires placés sous le chemin de la zone ont l'étiquette PUBLIC, comme dans :
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
Parmi les fichiers placés dans les répertoires qui se trouvent sous le chemin de zone, seuls les fichiers subordonnés à /zone/public/root sont visibles depuis la zone publique. Les autres fichiers et répertoires d'étiquette PUBLIC sont uniquement accessibles à partir de la zone globale. Le chemin /zone/public/root est le chemin root de la zone.
Pour l'administrateur de la zone publique, le chemin root de la zone est identifié par /. De même, l'administrateur de la zone publique ne peut pas accéder au répertoire personnel d'un utilisateur dans le chemin de la zone, répertoire /zone/public/home/username. Ce répertoire est uniquement visible depuis la zone globale. La zone publique monte ce répertoire dans le chemin racine de la zone en tant que /home/username. Depuis la zone globale, ce montage est visible sous la forme /zone/public/root/home/username.
L'administrateur de la zone publique peut modifier /home/username. Lorsque les fichiers du répertoire personnel d'un utilisateur doivent être modifiés, un processus de zone globale n'utilise pas le chemin cité ci-dessus. La zone globale utilise le répertoire personnel de l'utilisateur, dans le chemin de la zone, /zone/public/Home/username.
Les fichiers et répertoires qui se trouvent sous le chemin de la zone (/zone/zonename/), mais pas sous le chemin racine de la zone (le répertoire /zone/zonename/root), peuvent être modifiés par un processus de la zone globale s'exécutant sous l'étiquette ADMIN_HIGH.
Les fichiers et répertoires qui se trouvent sous le chemin root de la zone, /zone/public/root, peuvent être modifiés par l'administrateur de la zone étiquetée.
Par exemple, lorsqu'un utilisateur alloue un périphérique dans la zone publique, un processus de la zone globale exécuté sous l'étiquette ADMIN_HIGH modifie le répertoire dev dans le chemin de la zone, /zone/public/dev. De même, lorsqu'un utilisateur enregistre une configuration du bureau, le fichier de configuration du bureau est modifié par un processus de la zone globale dans /zone/public/Home/username. Pour partager un système de fichiers étiqueté, reportez-vous à la section Partage de systèmes de fichiers à partir d'une zone étiquetée.