La política MAC para la lectura y escritura de archivos no tiene sustituciones de privilegios. Los conjuntos de datos de un solo nivel únicamente se pueden montar como lectura y escritura si la etiqueta de la zona es igual a la etiqueta del conjunto de datos. Para montajes de sólo lectura, la etiqueta de la zona debe dominar la etiqueta del conjunto de datos. Para conjuntos de datos de varios niveles, todos los archivos y directorios deben estar dominados por la propiedad mlslabel, que se establece de forma predeterminada en ADMIN_HIGH. Para conjuntos de datos de varios niveles, la política MAC se aplica en el nivel de archivo y directorio. La aplicación de la política MAC es invisible para todos los usuarios. Los usuarios no pueden ver un objeto a menos que tengan acceso MAC al objeto.
A continuación, se resumen las políticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de un solo nivel:
Para que un sistema Trusted Extensions monte un sistema de archivos en otro sistema Trusted Extensions, el servidor y el cliente deben tener plantillas de host remoto compatibles del tipo cipso.
Para que un sistema Trusted Extensions monte un sistema de archivos desde un sistema que no es de confianza, la etiqueta única asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona global.
De forma similar, para que una zona etiquetada monte un sistema de archivos desde un sistema que no es de confianza, la etiqueta única asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona de montaje.
Se pueden ver los archivos cuyas etiquetas difieren de la zona de montaje y están montados con LOFS, pero no se pueden modificar. Para obtener detalles sobre los montajes NFS, consulte Servidor NFS y configuración de cliente en Trusted Extensions.
A continuación, se resumen las políticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de varios niveles:
Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con otro sistema, el servidor NFS debe estar configurado como un servicio de varios niveles.
Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con zonas con etiquetas en su propio sistema, la zona global debe montar mediante LOFS el conjunto de datos en las zonas.
La zona etiquetada tiene acceso de escritura a los archivos y directorios montados mediante LOFS cuya etiqueta coincide con la etiqueta de la zona y tiene acceso de lectura a los archivos y los directorios que domina. La política MAC se aplica en el nivel de archivos y directorios individuales.