此操作过程可在每个有标签区域中配置单独的名称服务守护进程 (nscd )。此配置支持满足以下条件的环境:其中每个区域都连接到一个以区域的标签运行的子网,并且该子网拥有自己的用于该标签的命名服务器。在有标签区域中,如果您打算安装需要使用该标签的用户帐户的软件包,可能需要针对每个区域配置单独的名称服务。有关背景信息,请参见Applications That Are Restricted to a Labeled Zone和Decisions to Make Before Creating Users in Trusted Extensions。
开始之前
将显示 "Labeled Zone Manager"(有标签区域管理器)。要打开此 GUI,请参见How to Create Labeled Zones Interactively。您是全局区域中的 root 角色。
有关帮助,请参见 nscd(1M) 手册页。
# /usr/sbin/reboot
重新引导后,将在每个区域中为承担 root 角色在Step 1 中运行 "Labeled Zone Manager"(有标签区域管理器)的用户配置帐户。其他特定于有标签区域的帐户必须手动添加到区域中。
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
针对每个区域测试一个名称服务守护进程之后,系统管理员决定从有标签区域中删除名称服务守护进程,仅在全局区域中运行守护进程。要将系统恢复为缺省名称服务配置,管理员将打开 txzonemgr GUI,选择全局区域,再选择 Unconfigure per-zone name service(取消配置每区域名称服务),然后选择 OK(确定)。此选择将删除每个有标签区域中的 nscd 守护进程。之后,管理员重新引导系统。
接下来的步骤
为每个区域配置用户和角色帐户时,您有三个选项。
可以在多级别 LDAP 目录服务器中创建 LDAP 帐户。
可以在单独的 LDAP 目录服务器(每个标签一个服务器)中创建 LDAP 帐户。
可以创建本地帐户。
在每个有标签区域中单独配置名称服务守护进程意味着所有用户都需要输入口令。用户必须对自身进行验证以获取对其任一有标签区域(包括与其缺省标签对应的区域)的访问权限。此外,管理员必须在每个区域中本地创建帐户,或者帐户必须存在于区域为 LDAP 客户机的 LDAP 目录中。
在全局区域中的帐户运行 "Labeled Zone Manager"(有标签区域管理器)txzonemgr 的特殊情况下,帐户的信息将复制到有标签区域,以便至少此帐户能够登录到每个区域。缺省情况下,此帐户为初始用户帐户。