ファイルの読み取りと書き込みに関する MAC ポリシーには、特権のオーバーライドがありません。シングルレベルのデータセットを読み取り/書き込み権付きでマウントできるのは、ゾーンのラベルがデータセットのラベルと等しい場合だけです。読み取り専用マウントの場合、ゾーンのラベルがデータセットのラベルより優位であることが必要です。マルチレベルのデータセットの場合、すべてのファイルとディレクトリよりも mlslabel プロパティーのほうが優位でなければなりません。このプロパティーのデフォルト値は ADMIN_HIGH です。マルチレベルのデータセットの場合、MAC ポリシーはファイルおよびディレクトリのレベルで適用されます。MAC ポリシーの適用はどのユーザーにも表示されません。ユーザーは、オブジェクトに対する MAC アクセスを持っていないかぎり、そのオブジェクトを表示できません。
シングルレベルのデータセットに対する Trusted Extensions の共有ポリシーとマウントポリシーは、次のようにまとめられます。
Trusted Extensions システムが別の Trusted Extensions システムのファイルシステムをマウントできるためには、サーバーとクライアントが互換性のある cipso タイプのリモートホストテンプレートを持っている必要があります。
Trusted Extensions システムが信頼できないシステムのファイルシステムをマウントできるようにするためには、Trusted Extensions システムによって信頼できないシステムに割り当てられたシングルラベルが、大域ゾーンのラベルに一致する必要があります。
同様に、ラベル付きゾーンが信頼できないシステムのファイルシステムをマウントできるためには、Trusted Extensions システムによって信頼できないシステムに割り当てられたシングルラベルが、マウント先ゾーンのラベルに一致する必要があります。
マウント先のゾーンとは異なるラベルを持つファイルが LOFS でマウントされた場合、そのファイルは表示はできますが、変更はできません。NFS マウントの詳細については、Trusted Extensions での NFS サーバーとクライアントの構成を参照してください。
マルチレベルのデータセットに対する Trusted Extensions の共有ポリシーとマウントポリシーは、次のようにまとめられます。
Trusted Extensions システムがマルチレベルのデータセットを別のシステムと共有できるためには、NFS サーバーがマルチレベルサービスとして構成されている必要があります。
Trusted Extensions システムがマルチレベルのデータセットをラベル付きゾーンと共有できるためには、大域ゾーンがゾーン内でデータセットを LOFS でマウントする必要があります。
ラベル付きゾーンは、LOFS でマウントされたこれらのファイルとディレクトリのうち、ラベルがゾーンのラベルと一致するものに対しては書き込みアクセス、ゾーンのラベルのほうが優位であるファイルとディレクトリに対しては読み取りアクセスを行うことができます。MAC ポリシーはファイルおよびディレクトリのレベルで適用されます。