Le logiciel Trusted Extensions est ajouté à Oracle Solaris dans la zone globale. Vous pouvez ensuite configurer des zones non globales étiquetées. Vous pouvez créer une ou plusieurs zones étiquetées pour chaque étiquette unique, même si vous n'avez pas besoin de créer une zone pour chaque étiquette dans votre fichier label_encodings. Un script fourni vous permet de créer facilement deux zones étiquetées pour l'étiquette utilisateur par défaut et l'autorisation utilisateur par défaut de votre fichier label_encodings.
Une fois les zones étiquetées créées, les utilisateurs standard peuvent utiliser le système configuré, mais ils ne peuvent pas atteindre d'autres systèmes. Pour isoler davantage les services qui s'exécutent sous la même étiquette, vous pouvez créer des zones secondaires. Pour plus d'informations, reportez-vous à la section Zones étiquetées principales et secondaires.
Dans Trusted Extensions, le transport local permettant la connexion au serveur X s'effectue via des sockets de domaine UNIX. Par défaut, le serveur X n'écoute pas pour les connexions TCP.
Par défaut, les zones non globales ne peuvent pas communiquer avec des hôtes non approuvés. Vous devez spécifier les adresses IP d'hôte distant explicites ou les masques réseau qui peuvent être atteints par chaque zone.
Les zones Trusted Extensions, c'est-à-dire les zones étiquetées, constituent une marque de zones Oracle Solaris. Les zones étiquetées sont principalement utilisées pour séparer les données. Dans Trusted Extensions, les utilisateurs standard ne peuvent pas se connecter à distance à une zone étiquetée, à moins que ce ne soit à partir d'une zone étiquetée à l'identique sur un autre système de confiance. Les administrateurs autorisés peuvent accéder à une zone étiquetée à partir de la zone globale. Pour plus d'informations sur les marques de zone, reportez-vous à la page de manuel brands(5).
La création d'une zone dans Trusted Extensions est similaire à la création de zones dans Oracle Solaris. Trusted Extensions fournit le script txzonemgr pour vous guider tout au long du processus. En effet, le script comporte plusieurs options de ligne de commande permettant d'automatiser la création de zones étiquetées. Pour plus d'informations, reportez-vous à la page de manuel txzonemgr(1M).
Sur un système correctement configuré, chaque zone doit être en mesure d'utiliser une adresse de réseau pour communiquer avec d'autres zones qui partagent la même étiquette. Les configurations suivantes fournissent une zone étiquetée permettant d'accéder à d'autres zones étiquetées :
Interface toutes zones : une adresse all-zones est assignée. Dans cette configuration par défaut, une seule adresse IP est requise. Chaque zone, globale et étiquetée, peut communiquer avec des zones étiquetées identiques sur des systèmes distants via cette adresse partagée.
Une amélioration de cette configuration consiste à créer une deuxième instance IP pour la zone globale à utiliser exclusivement. Cette deuxième instance ne doit pas être une adresse all-zones. L'instance IP pourrait être utilisée pour héberger un service multiniveau ou pour fournir une route vers un sous-réseau privé.
Instances IP : comme dans le SE Oracle Solaris, une adresse IP est assignée à chaque zone, y compris à la zone globale. Les zones partagent la pile IP. Dans le cas le plus simple, toutes les zones partagent la même interface physique.
Une amélioration de cette configuration consiste à affecter une carte réseau (NIC) séparée à chaque zone. Ce type de configuration permet de séparer physiquement les réseaux à étiquette unique associés à chaque NIC.
Une amélioration supplémentaire consiste à utiliser une ou plusieurs interfaces all-zones en plus de l'instance IP par zone. Cette configuration offre la possibilité d'utiliser les interfaces internes, telles que vni0, pour atteindre la zone globale, protégeant ainsi cette dernière contre les attaques à distance. Par exemple, un service privilégié qui lie un port multiniveau sur une instance de vni0 dans la zone globale ne peut être atteint qu'en interne par les zones qui utilisent la pile partagée.
Pile IP exclusive : comme dans Oracle Solaris, une adresse IP est assignée à chaque zone, y compris à la zone globale. Une carte d'interface réseau virtuelle (VNIC) est créée pour chaque zone étiquetée.
Une amélioration de cette configuration consiste à créer chaque VNIC sur une interface réseau distincte. Ce type de configuration permet de séparer physiquement les réseaux à étiquette unique associés à chaque NIC. Les zones qui sont configurées à l'aide d'une pile IP exclusive ne peuvent pas utiliser l'interface all-zones.
Par défaut, les zones étiquetées partagent le service de noms de la zone globale, et ont des copies en lecture seule des fichiers de configuration de la zone globale, y compris les fichiers /etc/passwd et /etc/shadow. Si vous envisagez d'installer des applications dans une zone étiquetée à partir de la zone étiquetée, et si le package ajoute des utilisateurs à la zone, vous aurez besoin de copies accessibles en écriture de ces fichiers dans la zone.
Des packages tels que pkg:/service/network/ftp créent des comptes utilisateur. L'installation de ce package en exécutant la commande pkg à l'intérieur d'une zone étiquetée requiert qu'un démon nscd distinct s'exécute dans la zone, et que la zone soit assignée à une adresse IP exclusive. Pour plus d'informations, reportez-vous à la section Configuration d'un service de noms distinct pour chaque zone étiquetée.