在全局区域中挂载文件与在 Oracle Solaris 中挂载文件相同,均遵守 MAC 策略。从全局区域共享的文件会以文件的标签进行共享。因此,全局区域中的文件系统不能有效与其他 Trusted Extensions 系统的全局区域共享,因为所有文件都会以 ADMIN_LOW 标签进行共享。全局区域中能够有效与其他系统共享的文件是多级别数据集。
单级别数据集中通过 LOFS 从全局区域共享的文件和目录以 ADMIN_LOW 进行共享。例如,全局区域中的 /etc/passwd 和 /etc/shadow 文件可通过 LOFS 方式挂载到系统上的有标签区域。因为文件的标签是 ADMIN_LOW,所以它们在有标签区域中可见且为只读。多级别数据集中的文件和目录可以对象的标签进行共享。
全局区域还可以通过 NFS 共享多级别数据集。在将 NFS 服务配置为使用多级别端口时,客户机可以请求挂载数据集。如果客户机标签位于在 cipso 模板中为网络接口(用于处理客户机的 NFS 挂载请求)指定的标签范围内,则请求成功。
需要特别指出的是,全局区域和已挂载文件的行为如下:
在 Trusted Extensions 客户机上的全局区域中,共享中的每一项均可读,客户机能够在 ADMIN_HIGH 下写入,就像本地全局区域进程一样。
如果客户机是一个有标签区域,则在区域标签与共享文件的标签匹配时,已挂载的文件为可读写文件。
如果客户机是一个无标签系统,则在客户机的指定标签与共享文件的标签匹配时,已挂载的文件为可读写文件。
要与同一系统上的有标签区域共享多级别数据集,全局区域可使用 LOFS。
有关查看 NFS 挂载中的文件并为其重新设置标签的更多信息,请参见挂载来自其他系统的多级别数据集。