Trusted Extensions 接口扩展了 Oracle Solaris OS。本附录提供了它们之间的差异的快速参考。有关接口的详细列表,包括库例程和系统调用,请参见Appendix D, Trusted Extensions 手册页列表。
Trusted Extensions 为其软件提供了接口。labeladm 命令启用和禁用 labeld 服务,并为 Trusted Extensions 系统设置 label_encodings 文件。以下接口只在 Trusted Extensions 软件正在运行时可用:
提供了一个用于创建、安装、初始化和引导有标签区域的基于菜单的向导。菜单的标题是 "Labeled Zone Manager"(有标签区域管理器)。此脚本还提供用于网络选项、命名服务选项的菜单项,以及用于使全局区域成为现有 LDAP 服务器的客户机的菜单项。在 Oracle Solaris 11 发行版中,txzonemgr -c 命令将跳过用于创建前两个有标签区域的菜单。
在 Trusted Extensions 中,此 GUI 用来管理设备。管理员使用 "Device Administration"(设备管理)对话框来配置设备。
角色和一般用户使用 "Device Allocation Manager"(设备分配管理器)来分配设备。可以从 "Trusted Path"(可信路径)菜单访问此 GUI。
用户可以选择标签或安全许可时将调用此应用程序。角色将标签或标签范围指定给设备、区域、用户或角色时也会显示此应用程序。
使用 tgnome-selectlabel 实用程序,可以定制标签生成器。请参见Trusted Extensions Developer’s Guide 中的tgnome-selectlabel Utility。
经授权的用户或经授权的角色试图升级或降级信息时将调用此应用程序。
此菜单处理与可信计算基 (Trusted Computing Base, TCB) 的交互。例如,此菜单中有 "Change (Login/Workspace) Password"(更改(登录/工作区)口令)菜单项。在 Trusted GNOME 中,您可通过单击可信窗口条左侧的可信符号来访问 "Trusted Path"(可信路径)菜单。
Trusted Extensions 提供了用于获取标签和执行其他任务的命令。有关命令列表,请参见Trusted Extensions 中的命令行工具。
Trusted Extensions 对现有的 Oracle Solaris 配置文件、命令和 GUI 进行了补充。
Trusted Extensions 为选定的 Oracle Solaris 命令添加了选项。有关所有 Trusted Extensions 接口的列表,请参见Appendix D, Trusted Extensions 手册页列表。
Trusted Extensions 添加了两个特权:net_mac_aware 和 net_mlp。有关使用 net_mac_aware 的信息,请参见Trusted Extensions 中的 NFS 服务器和客户机配置。
Trusted Extensions 向 auth_attr 数据库添加了授权。
Trusted Extensions 向 exec_attr 数据库添加了可执行文件。
Trusted Extensions 修改了 prof_attr 数据库中的现有权限配置文件。它还向数据库添加了配置文件。
Trusted Extensions 向 policy.conf 数据库添加了字段。有关字段,请参见Trusted Extensions 中的 policy.conf 文件缺省值。
Trusted Extensions 添加了审计令牌、审计事件、审计类和审计策略选项。有关列表,请参见Trusted Extensions 审计参考。
Trusted Extensions 允许您共享有标签区域中的目录。通过从全局区域创建 /etc/dfs/dfstab 文件,可以在区域的标签共享目录。
Trusted Extensions 设立了比 Oracle Solaris OS 更为严厉的安全缺省值:
缺省情况下,设备分配处于启用状态。
缺省情况下,设备分配需要授权。因此,缺省情况下,一般用户不能使用可移除介质。
管理员可以取消授权要求。但是,安装了 Trusted Extensions 的站点通常要求使用设备分配授权。
一般用户只能使用打印机标签范围中包括用户的标签的打印机进行打印。
缺省情况下,打印输出具有标题页和篇尾页。这些页和正文页中都包括打印作业的标签。
在 Oracle Solaris OS 中可使用角色,但其使用是可选的。在 Trusted Extensions 中,角色是进行正确管理所必需的。
Trusted Extensions 缩小了 Oracle Solaris 配置选项的范围:
支持 LDAP 命名服务。所有区域必须由一个命名服务进行管理。
全局区域是一个管理区域。只有 root 用户或角色才能进入全局区域。因此,对 Oracle Solaris 一般用户可用的管理接口对 Trusted Extensions 一般用户不可用。
非全局区域是有标签区域。用户在有标签区域中工作。