En Trusted Extensions, la política de MAC se aplica a todos los procesos, incluso los procesos de la zona global. Los procesos de la zona global se ejecutan en la etiqueta ADMIN_HIGH. Cuando se comparten los archivos de una zona global, se comparten en la etiqueta ADMIN_LOW. Por lo tanto, dado que MAC impide que un proceso con una etiqueta superior modifique un objeto de nivel inferior, generalmente la zona global no puede escribir en un sistema montado en NFS.
Sin embargo, en un número limitado de los casos, las acciones en una zona con etiquetas puede requerir que un proceso de la zona global modifique un archivo en dicha zona.
Un proceso de zona global puede montar un sistema de archivos remoto con permisos de lectura y escritura en las siguientes condiciones:
El sistema de montaje debe tener una zona en la etiqueta idéntica como el sistema de archivos remoto.
El sistema debe montar el sistema de archivos remoto en la ruta de la zona que tiene etiquetas idénticas.
El sistema no debe montar el sistema de archivos remoto en la ruta root de la zona de la zona que tiene etiquetas idénticas.
Tenga en cuenta una zona que esté denominada como public en la etiqueta PUBLIC. La ruta de la zona es /zone/public/. Todos los directorios de la ruta de la zona se encuentran en la etiqueta PUBLIC; por ejemplo:
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
De los directorios de la ruta de la zona, solamente los archivos que se encuentran en /zone/public/root son visibles desde la zona public. A los demás directorios y archivos en la etiqueta PUBLIC se puede acceder solamente desde la zona global. La ruta /zone/public/root es la ruta raíz de la zona.
Desde la perspectiva del administrador de la zona public, la ruta root de la zona se ve como /. De manera similar, el administrador de la zona public no puede acceder a un directorio principal del usuario en la ruta de la zona (directorio /zone/public/home/username). Dicho directorio se ve solamente desde la zona global. La zona public monta ese directorio en la ruta root de la zona como /home/username. Desde la perspectiva de la zona global, este montaje se ve como /zone/public/root/home/username.
El administrador de la zona public puede modificar /home/username. Cuando los archivos del directorio principal del usuario deben modificarse, el proceso de la zona global no utiliza dicha ruta. La zona global utiliza el directorio principal del usuario en la ruta de la zona, /zone/public/home/username.
Los archivos y directorios que están en la ruta de la zona, /zone/zonename/, pero no en la ruta root de la zona, directorio /zone/zonename/root , pueden modificarse mediante un proceso de la zona global que se ejecute en la etiqueta ADMIN_HIGH.
El administrador de la zona con etiquetas puede modificar los archivos y directorios de la ruta root de la zona, /zone/public/root.
Por ejemplo, cuando un usuario asigna un dispositivo en la zona public, un proceso de la zona global que se ejecuta en la etiqueta ADMIN_HIGH modifica el directorio dev en la ruta de la zona, /zone/public/dev. De manera similar, cuando un usuario guarda una configuración del escritorio, un proceso de la zona global de /zone/public/home/username modifica el archivo de la configuración del escritorio. Para compartir un sistema de archivos con etiquetas, consulte Cómo compartir sistemas de archivos de una zona con etiquetas.