El software Trusted Extensions se agrega a Oracle Solaris en la zona global. A continuación, debe configurar las zonas no globales con etiquetas. Puede crear una o varias zonas etiquetadas para cada etiqueta única, aunque no es necesario crear una zona para cada etiqueta en el archivo label_encodings. Una secuencia de comandos proporcionada permite crear dos zonas con etiquetas fácilmente para la etiqueta de usuario predeterminada y la acreditación de usuario predeterminada en el archivo label_encodings.
Después de crear las zonas etiquetadas, los usuarios comunes pueden utilizar el sistema configurado, pero estos usuarios no pueden acceder a otros sistemas. Para aislar aún más los servicios que se ejecutan en la misma etiqueta, puede crear zonas secundarias. Para obtener más información, consulte Zonas etiquetadas primarias y secundarias.
En Trusted Extensions, el transporte local para conectar con el servidor X es los sockets de dominio UNIX. De manera predeterminada, el servidor X no recibe conexiones TCP.
De manera predeterminada, las zonas no globales no se pueden comunicar con hosts que no son de confianza. Debe especificar las máscaras de red o las direcciones IP explícitas del host remoto a las que puede acceder cada zona.
Las zonas de Trusted Extensions, es decir, las zonas con etiquetas, son una marca de Oracle Solaris Zones. Las zonas con etiquetas se usan principalmente para separar datos. En Trusted Extensions, los usuarios comunes no pueden iniciar sesión de manera remota en una zona con etiquetas, excepto una zona con etiquetas iguales en otro sistemas de confianza. Los administradores autorizados pueden acceder a una zona con etiquetas desde la zona global. Para obtener más información sobre las marcas de zonas, consulte la página del comando man brands(5).
La creación de zonas en Trusted Extensions es similar a la creación de zonas en Oracle Solaris. Trusted Extensions proporciona la secuencia de comandos txzonemgr para guiarlo por el proceso. La secuencia de comandos tiene varias opciones de línea de comandos para automatizar la creación de zonas con etiquetas. Para obtener más información, consulte la página del comando man txzonemgr(1M).
En un sistema configurado correctamente, cada zona debe poder utilizar una dirección de red para comunicarse con otras zonas que comparten la misma etiqueta. Las siguientes configuraciones proporcionan a las zonas con etiquetas acceso a otras zonas con etiquetas:
Interfaz all-zones: se asigna una dirección all-zones. En esta configuración predeterminada, sólo se necesita una dirección IP. Cada zona, global y con etiquetas, se puede comunicar con zonas con etiquetas idénticas de sistemas remotos mediante esta dirección compartida.
Un refinamiento de esta configuración consiste en crear una segunda instancia de IP para que la zona global utilice de manera exclusiva. Esta segunda instancia no será una dirección all-zones. La instancia de IP no se podrá utilizar para alojar un servicio de varios niveles ni para proporcionar una ruta a un subred privada.
Instancias de IP: como en el SO Oracle Solaris, se asigna una dirección IP a cada zona, incluida la zona global. Las zonas comparten la pila de IP. En el caso más simple, todas las zonas comparten la misma interfaz física.
Un refinamiento de esta configuración consiste en asignar una tarjeta de información de red (NIC) por separado a cada zona. Una configuración de ese tipo se utiliza para separar físicamente las redes de una sola etiqueta que están asociadas a cada NIC.
Un refinamiento adicional consiste en usar una o más interfaces all-zones además de un instancia de IP por zona. Esta configuración permite utilizar interfaces internas, como vni0, para acceder a la zona global, lo que protege a la zona global contra ataques remotos. Por ejemplo, un servicio con privilegios que enlaza un puerto de varios niveles en una instancia de vni0 en la zona global sólo se puede contactar internamente mediante las zonas que utilizan la pila compartida.
Pila de IP exclusiva: como en Oracle Solaris, se asigna una dirección IP a cada zona, incluida la zona global. Se crea una tarjeta de interfaz de red virtual (VNIC) para cada zona con etiquetas.
Un refinamiento de esta configuración consiste en crear cada VNIC mediante una interfaz red independiente. Una configuración de ese tipo se utiliza para separar físicamente las redes de una sola etiqueta que están asociadas a cada NIC. Las zonas que están configuradas con una pila de IP exclusiva no pueden utilizar la interfaz all-zones.
De manera predeterminada, las zonas etiquetadas comparten el servicio de nombres de la zona global y tienen copias de sólo lectura de los archivos de configuración de la zona global, incluidos los archivos /etc/passwd and /etc/shadow. Si planea instalar aplicaciones en una zona etiquetada desde la zona etiquetada y el paquete agrega usuarios a la zona, necesitará copias modificables de los archivos de la zona.
Los paquetes como pkg:/service/network/ftp crean cuentas de usuario. Para instalar este paquete ejecutando el comando pkg dentro de una zona etiquetada, debe haber un daemon nscd independiente ejecutándose en la zona y se debe asignar a la zona una dirección IP exclusiva. Para obtener más información, consulte Cómo configurar un servicio de nombres independiente para cada zona con etiquetas.