正确配置的 Trusted Extensions 系统包括一个作为操作系统实例的全局区域,以及有一个或多个标签的非全局区域。配置期间,Trusted Extensions 为每个区域附加一个标签,这样就创建了有标签区域。这些标签来自 label_encodings 文件。您可以为每个标签创建一个或多个区域,但不是必须如此。系统上具有的标签可能会比有标签区域要多。
在 Trusted Extensions 系统中,全局区域只是一个管理区域。有标签区域针对一般用户。区域的标签在用户的认可范围内时用户可以在该区域中工作。
在 Trusted Extensions 系统中,所有的区域都有 labeled 标记,并且有标签区域中的所有可写文件和目录都使用该区域的标签。缺省情况下,用户可以查看比用户当前标签级别低的某个标签的区域中的文件。通过该配置,用户可以在比当前工作区标签级别低的标签查看其起始目录。尽管用户可以查看较低级别标签的文件,但不能修改它们。用户只能从与文件具有相同标签的进程修改该文件。
每个区域是一个独立的 ZFS 文件系统。每个区域都可以具有关联的 IP 地址以及安全属性。区域可以配置为多级别端口 (MLP)。此外,区域还可以配置有 Internet 控制信息协议 (Internet Control Message Protocol, ICMP) 广播策略,例如 ping。
有关从有标签区域共享目录以及从有标签区域远程挂载目录的信息,请参见Chapter 14, 在 Trusted Extensions 中管理和挂载文件和mlslabel 属性和挂载单级别文件系统。
Trusted Extensions 中的区域是在 Oracle Solaris Zones 产品上构建的。有关参考,请参见Oracle Solaris Zones 介绍 。