红帽虚拟化系统的访问控制由两个主要组件组成。Access Control Policy (ACP) 定义访问规则和安全性标签。当域请求访问资源时,Access Control Module (ACM) 应用这个策略并做出访问控制的决定。ACM 依照域安全性标签决定访问权限。然后,ACP 启用安全性标签和访问规则并把它们分配给域和资源。ACP 使用两个不同的标签管理方式:
| 标签 | 描述 |
|---|---|
|
Simple Type Enforcement |
ACP 翻译这个标签并把访问权限分配给请求虚拟或物理访问的域。安全策略控制着域之间的访问并把正确的标签分配给不同的域。在缺省情况下,Simple Type Enforcement 方式是禁止的。 |
|
Chinese Wall |
Chinese Wall 安全策略控制和响应域的访问请求。 |
表 17.6. ACP 标签管理
策略(policy)是一个本地路径和策略 XML 文件(相对于全局策略根目录)的列表。例如,域文件 chinese_wall.client_V1 从属于策略文件 /example/chinese_wall.client_v1.xml。
红帽虚拟化包括以下这些参数,这允许你管理安全策略和给域分配标签: