以下决策影响用户可在 Trusted Extensions 中执行的操作,以及需要付出多大的努力。一些决策与在安装 Oracle Solaris OS 时所做的决策相同。不过,特定于 Trusted Extensions 的决策会影响站点安全性和易用性。
决定是否更改 policy.conf 文件中的缺省用户安全属性。label_encodings 文件中的用户缺省值最初是由初始设置团队配置的。有关缺省值的说明,请参见Trusted Extensions 中的缺省用户安全属性。
决定要将哪些启动文件(如果有)从每个用户的最小标签起始目录复制或链接至用户的较高级别起始目录。有关过程,请参见如何在 Trusted Extensions 中为用户配置启动文件。
决定用户是否可以访问外围设备,如麦克风、CD-ROM 驱动器和 USB 设备。
如果允许某些用户访问,则决定您的站点是否需要额外的授权来满足站点安全性。有关与设备相关的授权的缺省列表,请参见如何指定设备授权。要创建更为细化的设备授权集,请参见在 Trusted Extensions 中定制设备授权。
确定是否必须要在有标签区域中单独创建用户帐户。
缺省情况下,有标签区域共享全局区域名称服务配置。因此,在全局区域中为所有区域创建了用户帐户。有标签区域中的 /etc/passwd 和 /etc/shadow 文件为全局区域文件的只读视图。同样,LDAP 数据库在有标签区域中为只读。
从区域中安装到该区域的应用程序可能会要求创建用户帐户,如 pkg:/service/network/ftp。要允许特定于区域的应用程序创建用户帐户,必须配置每区域名称服务守护进程,如如何为每个有标签区域配置单独的名称服务中所述。此类应用程序添加到有标签区域的用户帐户必须由区域管理员手动进行管理。