Sun Java System Directory Server 채우기

몇 개의 LDAP 데이터베이스가 레이블 구성, 사용자 및 원격 시스템에 대한 Trusted Extensions 데이터를 보관할 수 있도록 작성되거나 수정되었습니다. 이 절차에서는 Directory Server 데이터베이스에 Trusted Extensions 정보를 채웁니다.

시작하기 전에

섀도우 업데이트가 활성화된 LDAP 클라이언트에서 데이터베이스를 채워야 합니다. 필수 조건에 대해서는 Directory Server용 LDAP 클라이언트 만들기를 참조하십시오.

사이트 보안 요구 사항에 따라 업무 분리가 필요한 경우 디렉토리 서버를 채우기 전에 다음을 완료합니다.

• 업무 분리를 적용하는 권한 프로필 만들기

• Trusted Extensions의 보안 관리자 역할 만들기

• 제한된 System Administrator(시스템 관리자) 역할 만들기

1. 이름 지정 서비스 데이터베이스를 채우는 데 사용할 파일의 스테이징 영역을 만듭니다.

   # mkdir -p /setup/files

2. 샘플 /etc 파일을 스테이징 영역에 복사합니다.

   # cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files

   패치 없이 Solaris 10 11/06 릴리스를 실행하는 경우 ipnodes 파일을 복사합니다.

   # cd /etc/inet # cp ipnodes /setup/files

3. /setup/files/auto_master 파일에서 +auto_master 항목을 제거합니다.

4. ?:::::? 항목을 /setup/files/auth_attr 파일에서 제거합니다.

5. :::: 항목을 /setup/files/prof_attr 파일에서 제거합니다.

6. 단계화 영역에서 영역 자동맵을 만듭니다.

   다음 자동맵 목록에서 각 쌍의 첫 번째 줄에는 파일 이름이 표시됩니다. 각 쌍의 두 번째 줄에는 파일 내용이 표시됩니다. 영역 이름은 Trusted Extensions 소프트웨어와 함께 제공된 기본 label_encodings 파일에서 레이블을 식별합니다.

   • 사용자의 영역 이름이 이 줄의 영역 이름을 대체합니다.

   • myNFSserver는 홈 디렉토리에 대한 NFS 서버를 식별합니다.

   /setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&

7. 네트워크의 모든 시스템을 /setup/files/tnrhdb 파일에 추가합니다.

   이 파일에는 와일드카드 메커니즘을 사용할 수 없습니다. 레이블이 있는 영역의 IP 주소를 포함하여 연결하는 모든 시스템의 IP 주소가 이 파일에 있어야 합니다.

   1. 신뢰할 수 있는 편집기를 열고 /setup/files/tnrhdb를 편집합니다.

   2. Trusted Extensions 도메인에서 레이블이 있는 시스템의 모든 IP 주소를 추가합니다.

      레이블이 있는 시스템은 cipso 유형입니다. 또한 레이블이 있는 시스템의 보안 템플리트 이름은 cipso입니다. 따라서 기본 구성에서 cipso 항목은 다음과 비슷합니다.

      192.168.25.2:cipso

      ---

      주 –

      이 목록에는 전역 영역과 레이블이 있는 영역의 IP 주소가 포함됩니다.

      ---

   3. 도메인이 통신할 수 있는 레이블이 없는 모든 시스템을 추가합니다.

      레이블이 없는 시스템 unlabeled 유형입니다. 레이블이 없는 시스템의 보안 템플리트 이름은 admin_low입니다. 따라서 기본 구성에서 레이블이 없는 시스템의 항목은 다음과 비슷합니다.

      192.168.35.2:admin_low

   4. 파일을 저장하고 편집기를 종료합니다.

   5. 파일 구문을 확인합니다.

      # tnchkdb -h /setup/files/tnrhdb

   6. 계속하기 전에 오류를 수정합니다.

8. /setup/files/tnrhdb 파일을 /etc/security/tsol/tnrhdb 파일로 복사합니다.

9. ldapaddent 명령을 사용하여 Directory Server를 스테이징 영역의 모든 파일로 채웁니다.

   예를 들어, 다음 명령은 스테이징 영역의 hosts 파일로 서버를 채웁니다.

   # /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts

10. Trusted Extensions Directory Server에 대해 ldapclient 명령을 실행한 경우 해당 시스템에서 클라이언트를 비활성화합니다.

    전역 영역에서 ldapclient uninit 명령을 실행합니다. 상세 출력을 사용하여 시스템이 더 이상 LDAP 클라이언트가 아닌지 확인합니다.

    # ldapclient -v uninit

    자세한 내용은 ldapclient(1M) 매뉴얼 페이지를 참조하십시오.