適切に構成された Trusted Extensions システムは、オペレーティングシステムのインスタンスである大域ゾーンと、1 つ以上のラベル付きの非大域ゾーンで構成されます。構成中に Trusted Extensions は各ゾーンにラベルを添付し、それによってラベル付きゾーンが作成されます。ラベルは、label_encodings ファイルから取得されます。各ラベルに 1 つ以上のゾーンを作成できますが、必須ではありません。システム上で、ラベル付きゾーンの数より多くのラベルを持つことができます。
Trusted Extensions システムでは、大域ゾーンは完全に管理ゾーンになります。ラベル付きゾーンは一般ユーザー用です。ユーザーは、自身の認可範囲内にあるラベルのゾーンで作業できます。
Trusted Extensions システムでは、すべてのゾーンが labeled というブランドを持ち、ラベル付きゾーン内の書き込み可能なファイルおよびディレクトリはすべてゾーンと同じラベルになります。デフォルトでは、ユーザーは自身の現在のラベルより下位のラベルのゾーンにあるファイルを表示できます。この構成によって、ユーザーは現在のワークスペースのラベルより下位のラベルのホームディレクトリを表示できます。ユーザーは下位のラベルのファイルを表示できますが、それらを変更することはできません。ユーザーは、ファイルと同じラベルのプロセスからしかファイルを変更できません。
各ゾーンは、別個の ZFS ファイルシステムです。各ゾーンは、関連付けられた IP アドレスとセキュリティー属性を持つことができます。ゾーンは、マルチレベルポート (MLP) を使用して構成できます。また、ゾーンには ping などの ICMP (Internet Control Message Protocol) ブロードキャストのポリシーで構成できます。
ラベル付きゾーンのディレクトリの共有とラベル付きゾーンのディレクトリのリモートマウントについては、Trusted Extensions でのファイルの管理とマウントおよび mlslabel プロパティーとシングルレベルのファイルシステムのマウントを参照してください。
Trusted Extensions 内のゾーンは、Oracle Solaris ゾーン製品上に構築されています。参照情報については、Oracle Solaris ゾーンの紹介を参照してください。
初期設定チームは、大域ゾーンとラベル付きゾーンに IP アドレスを割り当てています。彼らは ラベル付きゾーンへのアクセスで説明した 3 種類の構成を考慮し、その概要は次のとおりです。
システムに、大域ゾーンとすべてのラベル付きゾーン用の 1 つの IP アドレスを設定します。
このデフォルト構成は、DHCP ソフトウェアを使用して IP アドレスを取得するシステムで役に立ちます。
システムに、大域ゾーン用の 1 つの IP アドレスと、大域ゾーンを含めたすべてのゾーンで共有される 1 つの IP アドレスを設定します。任意のゾーンが、一意のアドレスと共有アドレスの組み合わせを持つことができます。
この構成は、一般ユーザーがログインするネットワーク接続されたシステムで役に立ちます。プリンタや NFS サーバーにも使用できます。この構成では IP アドレスが節約されます。
システムに、大域ゾーン用の 1 つの IP アドレスを設定し、ラベル付きの各ゾーンが一意の IP アドレスを持ちます。
この構成は、シングルレベルシステムの個々の物理ネットワークにアクセスするときに役に立ちます。通常、各ゾーンはほかのラベル付きゾーンとは異なる物理ネットワーク上の IP アドレスを持ちます。この構成は単一の IP インスタンスによって実装されるため、大域ゾーンで物理インタフェースを制御し、経路テーブルなどの大域リソースを管理します。
Oracle Solaris では、排他 IP インスタンスと呼ばれる 4 つ目の構成タイプが、非大域ゾーンで使用可能になっています。この構成では、非大域ゾーンに独自の IP インスタンスが割り当てられ、各ゾーンは独自の物理インタフェースを管理します。各ゾーンは別個のシステムであるかのように動作します。説明については、Oracle Solaris ゾーン構成リソース の ゾーンネットワークインタフェースを参照してください。
Trusted Extensions で排他 IP インスタンスを構成した場合、各ラベル付きゾーンは、独立したシングルレベルシステムであるかのように動作します。Trusted Extensions のマルチレベルネットワーク機能は、共有 IP スタックの機能に依存しています。このガイドでは、ネットワークが完全に大域ゾーンによって制御されるものと仮定しています。したがって、初期設定チームが排他的 IP インスタンスでラベル付きゾーンをインストールした場合は、サイト固有のドキュメントを用意するか参照する必要があります。
デフォルトでは、ゾーンはほかのゾーンとの間でパケットを送受信できません。マルチレベルポート (MLP) を使用すると、ポート上の特定のサービスがラベルの範囲内の、またはラベルセットからの要求を受け取ることができます。これらの特権サービスは、要求のラベルで返信できます。たとえば、すべてのラベルで待機できるが、その返信はラベルによって制限されるような特権 Web ブラウザポートを作成できます。デフォルトでは、ラベル付きゾーンは MLP を持ちません。
MLP で受け取れるパケットを制約するラベル範囲またはラベルセットは、ゾーンの IP アドレスに基づきます。Trusted Extensions システムと通信を行うことで、IP アドレスにセキュリティーテンプレートが割り当てられます。セキュリティーテンプレートのラベル範囲またはラベルセットによって、MLP が受け取れるパケットが制約されます。
異なる IP アドレス構成での MLP の制約は次のとおりです。
大域ゾーンが IP アドレスを持ち、各ラベル付きゾーンが一意の IP アドレスを持つシステムでは、特定のサービス用の MLP を各ゾーンに追加できます。たとえば、TCP ポート 22 上の ssh サービスが大域ゾーンと各ラベル付きゾーンで MLP であるようにシステムを構成できます。
通常の構成では、大域ゾーンには 1 つの IP アドレスが割り当てられ、ラベル付きゾーンは 2 番目の IP アドレスを大域ゾーンと共有します。MLP を共有インタフェースに追加すると、サービスパケットは MLP が定義されているラベル付きゾーンに経路指定されます。パケットは、ラベル付きゾーンのリモートホストテンプレートのラベル範囲がパケットのラベルを含んでいる場合にだけ受け取られます。範囲が ADMIN_LOW から ADMIN_HIGH の場合、すべてのパケットが受け取られます。範囲がこれより狭い場合、範囲内にないパケットは破棄されます。
最大で 1 つのゾーンが、特定のポートを共有インタフェースでの MLP として定義できます。前述のシナリオでは、ssh ポートが非大域ゾーンの共有 MLP として構成され、それ以外のゾーンは共有アドレスで ssh 接続を受け取ることができません。ただし、大域ゾーンはゾーン固有のアドレスで接続を受け取るプライベート MLP として ssh ポートを定義できます。
大域ゾーンとラベル付きゾーンが IP アドレスを共有するデフォルト構成では、ssh サービス用の MLP を 1 つのゾーンに追加できます。ssh 用の MLP を大域ゾーンに追加した場合、ラベル付きゾーンは ssh サービス用の MLP を追加できません。同様に、ssh サービス用の MLP をラベル付きゾーンに追加した場合、ssh MLP を使用して大域ゾーンを構成することはできません。
例については、ゾーンにマルチレベルポートを作成するを参照してください。
ネットワークはブロードキャストメッセージを送信し、ネットワーク上のシステムに ICMP パケットを送信します。マルチレベルシステムでは、これらの送信が各ラベルでシステムの容量を超えることがあります。ラベル付きゾーンのデフォルトのネットワークポリシーでは、一致するラベルでだけ ICMP パケットが受け取られるようにする必要があります。