Trusted Extensions ソフトウェアは、Oracle Solaris の大域ゾーンに追加されます。そのあとで、ラベル付きの非大域ゾーンを構成します。重複しないすべてのラベルに対してそれぞれ 1 つ以上のラベル付きゾーンを作成できますが、label_encodings ファイル内のすべてのラベルに対してゾーンを作成する必要はありません。提供されているスクリプトを使用すれば、label_encodings ファイル内のデフォルトユーザーラベルとデフォルトユーザー認可上限に対応する 2 つのラベル付きゾーンを容易に作成できます。
ラベル付きゾーンを作成したあと、一般ユーザーは、構成されたシステムを使用できますが、ほかのシステムに到達することはできません。同じラベルで実行されるサービスをさらに分離するには、セカンダリゾーンを作成します。詳細は、プライマリおよびセカンダリラベル付きゾーンを参照してください。
Trusted Extensions では、X サーバーに接続するためのローカルトランスポートは、UNIX ドメインソケットです。デフォルトでは、X サーバーは TCP 接続に対して待機しません。
デフォルトでは、非大域ゾーンは信頼できないホストと通信できません。各ゾーンから到達可能なリモートホストの具体的な IP アドレスまたはネットワークマスクを指定する必要があります。
Trusted Extensions ゾーンつまりラベル付きゾーンは、Oracle Solaris ゾーンのブランドの 1 つです。ラベル付きゾーンは、主にデータを分けるために使用されます。Trusted Extensions では、一般ユーザーは、別のトラステッドシステム上の同一のラベルを持つゾーンからログインを行う場合を除き、リモートでラベル付きゾーンにログインすることはできません。承認された管理者は、大域ゾーンからラベル付きゾーンにアクセスできます。ゾーンブランドの詳細については、brands(5) のマニュアルページを参照してください。
Trusted Extensions でのゾーン作成は、Oracle Solaris でのゾーン作成に似ています。Trusted Extensions には、このプロセスを案内する txzonemgr スクリプトが用意されています。このスクリプトには、ラベル付きゾーンの作成を自動化するためのコマンド行オプションがいくつかあります。詳細は、txzonemgr(1M) のマニュアルページを参照してください。
適切に構成されたシステム上では、すべてのゾーンがネットワークアドレスを使用して同じラベルを共有するほかのゾーンと通信できる必要があります。次の各構成は、ラベル付きゾーンからほかのラベル付きゾーンへのアクセス機能を提供します。
all-zones インタフェース – 1 つの all-zones アドレスが割り当てられます。このデフォルト構成で必要となる IP アドレスは、1 つだけです。大域ゾーンとラベル付きゾーンを含むすべてのゾーンは、この共有アドレス経由でリモートシステム上の同一のラベルを持つゾーンと通信できます。
この構成の改良版として、大域ゾーンが排他的に使用するための 2 つ目の IP インスタンスを作成することが挙げられます。この 2 つ目のインスタンスは all-zones アドレスではありません。この IP インスタンスは、マルチレベルサービスをホストしたりプライベートへの経路を提供したりするために使用できる。
IP インスタンス – Oracle Solaris OS と同様に、大域ゾーンを含むすべてのゾーンにそれぞれの IP アドレスが割り当てられています。これらのゾーンは IP スタックを共有します。もっとも単純な場合には、すべてのゾーンが同じ物理インタフェースを共有します。
ゾーンごとに別々のネットワーク情報カード (NIC) を割り当てれば、この構成がさらに改善されます。このような構成は、各 NIC に関連付けられている単一ラベルのネットワークを物理的に分離するために使用されます。
さらなる改良版として、ゾーンごとの IP インスタンスに加えて 1 つ以上の all-zones インタフェースを使用することが挙げられます。この構成では、vni0 などの内部インタフェースを使用して大域ゾーンに到達できるため、リモート攻撃から大域ゾーンを保護できます。たとえば、大域ゾーンで vni0 のインスタンスにマルチレベルポートをバインドした特権付きサービスに内部から到達できるのは、共有スタックを使用しているゾーンだけです。
排他的 IP スタック – Oracle Solaris OS と同様に、大域ゾーンを含むすべてのゾーンにそれぞれの IP アドレスが割り当てられています。仮想ネットワークインタフェースカード (VNIC) がラベル付きゾーンごとに 1 つずつ作成されます。
この構成の改良版として、各 VNIC をそれぞれ異なるネットワークインタフェース上に作成することが挙げられます。このような構成は、各 NIC に関連付けられている単一ラベルのネットワークを物理的に分離するために使用されます。排他的 IP スタックで構成されたゾーンは all-zones インタフェースを使用できません。
デフォルトでは、ラベル付きゾーンは大域ゾーンのネームサービスを共有し、/etc/passwd ファイルと /etc/shadow ファイルも含め大域ゾーンの構成ファイルの読み取り専用コピーを持っています。ラベル付きゾーンからそのラベル付きゾーンにアプリケーションをインストールする予定があり、パッケージによってゾーンにユーザーが追加される場合は、ゾーン内にこれらのファイルの書き込み可能コピーが必要です。
pkg:/service/network/ftp などのパッケージはユーザーアカウントを作成します。ラベル付きゾーン内で pkg コマンドを実行してこのパッケージをインストールするには、ゾーン内で別個の nscd デーモンが実行されていることと、ゾーンに排他的 IP アドレスが割り当てられていることが必要です。詳細は、ラベル付きゾーンごとに異なるネームサービスを構成するを参照してください。