Un conjunto de datos ZFS de varios niveles contiene archivos y directorios en diferentes etiquetas. Cada archivo y directorio se etiqueta individualmente, y las etiquetas pueden cambiarse sin necesidad de mover o copiar los archivos. Los archivos pueden volver a etiquetarse dentro del rango de etiquetas del conjunto de datos. Para crear y compartir conjuntos de datos de varios niveles, consulte Cómo crear y compartir un conjunto de datos de varios niveles.
Generalmente, todos los archivos y directorios en un conjunto de datos tienen la misma etiqueta que la zona en la que se monta el conjunto de datos. Esta etiqueta se registra automáticamente en una propiedad ZFS denominada mlslabel cuando el conjunto de datos se monta por primera vez en la zona. Estos conjuntos de datos son conjuntos de datos etiquetados de un solo nivel. La propiedad mlslabel no se puede cambiar mientras el conjunto de datos está montado, es decir, la zona de montaje no puede cambiar la propiedad mlslabel.
Una vez que se define la propiedad mlslabel, el conjunto de datos no se puede montar en modo de lectura y escritura en una zona a menos que la etiqueta de la zona coincida con la propiedad mlslabel del conjunto de datos. Además, un conjunto de datos no se puede montar en ZFS en una zona si actualmente está montado en ZFS en otra zona, incluida la zona global. Dado que las etiquetas de los archivos en un conjunto de datos con etiquetas de un solo nivel son fijas, al volver a etiquetar un archivo con el comando setlabel, el archivo se mueve al nombre de ruta equivalente en la zona principal que corresponde a la etiqueta de destino. Este movimiento en las zonas puede ser ineficaz y confuso. Los conjuntos de datos de varios niveles ofrecen un contenedor eficaz para volver a etiquetar los datos.
Para conjuntos de datos de varios niveles montados en la zona global, el valor predeterminado de la propiedad mlslabel es ADMIN_HIGH. Este valor especifica el límite superior del rango de etiquetas del conjunto de datos. Si especifica una etiqueta inferior, solamente podrá escribir en el conjunto de datos de zonas cuyas etiquetas están dominadas por la propiedad mlslabel.
Los usuarios o roles con el perfil de derechos de gestión de etiquetas de objetos tienen los privilegios adecuados para actualizar o degradar archivos o directorios a los que tienen acceso DAC. Para conocer el procedimiento, consulte Cómo activar a un usuario para que cambie el nivel de seguridad de los datos.
Para el proceso de usuario, se aplican restricciones de políticas adicionales.
De manera predeterminada, ningún proceso en una zona con etiquetas puede volver a etiquetar archivos o directorios. Para permitir el reetiquetado, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas. Para especificar controles más detallados, por ejemplo, que permitan degradar pero no actualizar archivos, consulte el Example 13–5.
Los directorios no se pueden volver a etiquetar a menos que estén vacíos.
Los archivos y directorios no se pueden degradar por debajo de la etiqueta de su directorio que los contiene.
Para cambiar la etiqueta, primero debe mover el archivo al directorio de nivel inferior y, a continuación, volver a etiquetarlo.
Las zonas que montan el conjunto de datos no pueden actualizar un archivo o un directorio por encima de la etiqueta de zona.
Los archivos no se pueden volver a etiquetar si están abiertos mediante un proceso en cualquier zona.
Los archivos y directorios no se pueden actualizar por encima del valor mlslabel del conjunto de datos.