配置不可变非全局区域
要将 Oracle Solaris 非全局区域配置为不可变区域,请执行本任务。
注 - 除本任务中指明的配置(固定配置)以外,Oracle Solaris 11 OS 还支持其他不可变区域配置。有关这些选项的更多信息,请参阅 zonecfg(1M) 手册页。但是,只有固定配置选项作为 SuperCluster 体系结构的一部分进行了测试。
 | 注意 - 启用 Oracle Solaris 非全局区域不变性之后,不能添加、修改或删除区域用户帐户和密码,如本任务中所述。但是,可以部署一个 LDAP 目录,使其包含特定于区域的信息,例如用户、角色、组、权限配置文件等,由此解决这个问题。 |
| 注意 - Oracle Solaris 不可变区域功能限于默认情况下在 Oracle Solaris 非全局区域中实施的 ZFS 数据集。其他文件系统、池或数据集不遵循不可变区域策略,然而可以使用其他方式(例如,使用只读回送挂载)控制对这些文件元素的访问。 |
-
登录到某一台计算服务器并以超级用户身份访问主机控制台。
请参见登录到计算服务器并更改默认密码。
-
确保 Oracle Solaris 非全局区域已关闭。
如果以下命令返回一个值,表明 Oracle Solaris 非全局区域正在运行,您必须将其关闭。
注 - 尽管可以使用 zoneadm(1M) 命令停止区域,但是要遵循您的组织已建立的适当关闭过程,以避免潜在的服务中断和数据丢失。# zoneadm list | grep -w "zone_name"
-
通过设置 file-mac-profile 区域配置属性来调整 Oracle Solaris 非全局区域配置。
# zonecfg -z zone_name set file-mac-profile=fixed-configuration
-
如果需要,禁用非全局区域不可变配置。
# zonecfg -z zone_name set file-mac-profile=none
-
重新启动 Oracle Solaris 非全局区域以使更改生效。
# zoneadm -z zone_name boot