特定のラベルで最初に作成するゾーンはプライマリラベル付きゾーンです。そのラベルは一意です。そのラベルでほかのプライマリゾーンを作成することはできません。
セカンダリゾーンは、プライマリゾーンと同じラベルのゾーンです。セカンダリゾーンを使用すると、同じラベルの別個のゾーンにサービスを分離することができます。そのようなサービスでは、ネームサーバー、プリンタ、データベースなどのネットワークリソースを、特権を使用せずに共有できます。同じラベルで複数のセカンダリゾーンを作成できます。
具体的には、セカンダリゾーンはプライマリゾーンとは次のように異なっています。
セカンダリゾーンのラベル割り当ては一意でなくてもかまいません。
セカンダリゾーンでは排他的 IP ネットワークを使用する必要があります。
この制限により、ラベル付きパケットが確実に正しいゾーンに到達します。
セカンダリゾーンに GNOME パッケージはインストールされません。
セカンダリゾーンは GNOME トラステッドデスクトップには表示されません。
セカンダリゾーンを setlabel コマンドの宛先ゾーンに指定することはできません。
同じラベルのゾーンが複数存在する場合、このコマンドは宛先ゾーンを解決できません。
どのラベルでも、プライマリラベル付きゾーンは最大で 1 つ、セカンダリラベル付きゾーンは任意の数だけ作成できます。ただし、大域ゾーンは例外です。ADMIN_LOW ラベルを割り当てることができるゾーンは 1 つだけなので、セカンダリゾーンは作成できません。セカンダリゾーンの作成については、セカンダリラベル付きゾーンを作成する方法および zenity(1) のマニュアルページを参照してください。