Trusted Extensions は、2 種類の ZFS データセットをマウントできます。
シングルレベルのラベル付きデータセットは、そのデータが配置またはマウントされているゾーンと同じラベルを持ちます。シングルレベルのデータセット内のファイルとディレクトリは、すべて同じラベルになります。このようなデータセットは、Trusted Extensions の典型的なデータセットです。
マルチレベルのデータセットは、異なるラベルのファイルとディレクトリを含むことができます。このようなデータセットは、多くの異なるラベルで NFS クライアントにサービスを効率よく提供し、ファイルのラベル変更処理の効率を高めることができます。
Trusted Extensions では、次のマウントが可能です。
ZFS マウント – 管理者が作成するマルチレベルのデータセットは、大域ゾーンに ZFS でマウントできます。ZFS でマウントされたマルチレベルのデータセットは、同じシステムのラベル付きゾーンに LOFS でマウントできます。
シングルレベルのデータセットも、管理者が作成してラベル付きゾーンに ZFS でマウントすることができます。
LOFS マウント – 前の段落で説明したとおり、大域ゾーンはシングルレベルのデータセットをラベル付きゾーンに LOFS でマウントすることができます。マウントのラベルは ADMIN_LOW なので、ラベル付きゾーンにマウントされたファイルはすべて読み取り専用になります。
大域ゾーンは、マルチレベルのデータセットをラベル付きゾーンに LOFS でマウントすることもできます。ゾーンと同じラベルでマウントされたファイルは変更可能です。適切なアクセス権があれば、ファイルはラベル変更可能です。ゾーンのラベルより低いレベルにマウントされたファイルは表示可能です。
NFS マウント – ラベル付きゾーンは、シングルレベルのデータセットをそのゾーンのラベルでマウントすることができます。このようなファイルは、別のラベル付きゾーンからのもの、あるいは、ラベル付きゾーンと同じラベルが割り当てられた信頼できないシステムからのものである可能性があります。
大域ゾーンは、別の Trusted Extensions システムからマルチレベルのデータセットを NFS でマウントすることができます。マウントされたファイルは、表示と変更が可能ですが、ラベル変更はできません。また、マウント先ゾーンと同じラベルのファイルおよびディレクトリだけが、正しいラベルを返します。
ラベル付きゾーンは、別の Trusted Extensions システムからマルチレベルのデータセットを NFS でマウントすることができます。NFS でマウントされたファイルはラベル変更できず、ファイルのラベルを getlabel コマンドで判定できません。ただし、MAC ポリシーは正しく動作します。ゾーンと同じラベルでマウントされたファイルは、表示と変更が可能です。下位レベルのファイルは表示可能です。