test

Oracle Solaris Trusted Extensions 구성 설명서

Trusted Extensions에서 헤드리스 시스템 구성(작업 맵)

헤드리스 시스템에서 직렬 라인을 통해 콘솔을 터미널 에뮬레이터 창에 연결합니다. 이 라인은 일반적으로 tip 명령을 통해 고정됩니다. 사용 가능한 두 번째 시스템의 유형에 따라 다음 방법 중 하나를 사용하여 헤드리스 시스템을 구성할 수 있습니다. 다음 표에 더 안전한 방법부터 덜 안전한 방법순으로 나열되어 있습니다. 이러한 지침은 원격 시스템에도 적용됩니다.

작업 

설명 

수행 방법 

root 사용자의 원격 로그인을 사용 가능하게 합니다.

LDAP를 사용하지 않는 경우 처음에 헤드리스 시스템에 root로 로그인해야 합니다. LDAP를 사용하는 경우 이 절차를 건너뛸 수 있습니다.

Trusted Extensions에서 root 사용자의 원격 로그인 활성화

원격 로그인을 활성화합니다. 

root 역할 또는 다른 관리 역할을 수락할 수 있는 사용자의 원격 로그인을 활성화합니다.

Trusted Extensions에서 역할을 통한 원격 로그인 활성화

레이블이 없는 시스템에서의 Trusted Extensions 시스템 관리를 활성화합니다. 

레이블이 없는 시스템에서의 원격 로그인 활성화

사용자가 헤드리스 시스템의 전역 영역에 액세스할 수 있도록 합니다. 

Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Enable Specific Users to Log In Remotely to the Global Zone in Trusted Extensions

(선택 사항) 관리 GUI 표시를 활성화합니다. 

헤드리스 시스템에서 실행하는 관리 GUI를 사용 가능하게 하여 데스크탑 시스템에 표시합니다. 

관리 GUI 원격 표시 활성화

(선택 사항) 가상 네트워크 컴퓨팅(Virtual Network Computing, VNC)을 활성화합니다. 

클라이언트에서 원격 Trusted Extensions의 Xvnc 서버를 사용하여 클라이언트로 다시 연결되는 다중 레벨 세션을 표시합니다. 

Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Use Xvnc to Remotely Access a Trusted Extensions System

헤드리스 시스템을 설정할 구성 및 관리 방법을 선택합니다. 

원격 시스템을 관리하기 위한 역할을 수락하거나 수퍼유저가 됩니다. 

rlogin 또는 ssh 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템 로그인 및 관리

헤드리스 시스템에서 Solaris Management Console을 사용합니다. 

원격 Solaris Management Console을 사용하여 파일 범위 관리

윈도우화 시스템이 없으면 수퍼유저로 직렬 로그인을 사용할 수 있습니다. 이 절차는 안전하지 않습니다. 

구성이 필요하지 않습니다. 

주 –

보안 정책을 검토하여 사이트에서 허용되는 원격 관리 방법을 결정합니다.

ProcedureTrusted Extensions에서 root 사용자의 원격 로그인 활성화

Solaris OS에서와 마찬가지로 rootCONSOLE 항목이 비활성화되어 있으면 레이블이 있는 시스템에서 원격으로 로그인할 수 있습니다.

로컬 파일을 편집하여 원격 시스템을 관리하려는 경우 다음 절차를 따릅니다.

  1. 신뢰할 수 있는 편집기에서 /etc/default/login 파일의 CONSOLE= 라인을 주석 처리합니다.


    # /usr/dt/bin/trusted_edit /etc/default/login

    편집된 라인이 다음과 유사하게 나타납니다.


    #CONSOLE=/dev/console

  2. ssh 연결을 통해 root 사용자 로그인을 허용합니다.

    /etc/ssh/sshd_config 파일을 수정합니다. 기본적으로 ssh는 Solaris 시스템에서 활성화되어 있습니다.


    # /usr/dt/bin/trusted_edit /etc/ssh/sshd_config

    편집된 라인이 다음과 유사하게 나타납니다.


    PermitRootLogin yes
다음 순서

레이블이 없는 시스템에서 root 사용자로 로그인하려면 레이블이 없는 시스템에서의 원격 로그인 활성화의 절차를 완료해야 합니다.

역할을 통한 원격 로그인을 활성화하려면 Trusted Extensions에서 역할을 통한 원격 로그인 활성화의 절차를 계속 진행합니다.

ProcedureTrusted Extensions에서 역할을 통한 원격 로그인 활성화

rlogin 또는 ssh 명령을 사용하여 헤드리스 시스템을 관리해야 하는 경우에만 이 절차를 수행하십시오.

구성 오류는 원격으로 디버그할 수 있습니다.

시작하기 전에

원격 시스템을 관리하기 위해 로컬 파일을 사용하는 경우 Trusted Extensions에서 root 사용자의 원격 로그인 활성화의 절차를 완료했습니다. 그런 다음 root 사용자로 두 시스템에서 모두 다음 작업을 수행합니다.

  1. 두 시스템에서 모두 다른 시스템을 레이블이 있는 시스템으로 식별합니다.

    데스크탑 시스템 및 헤드리스 시스템은 동일한 보안 템플리트를 사용하는 것으로 서로를 식별해야 합니다. 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

    임시 레이블을 할당하려면 예 6–1을 참조하십시오.

  2. 두 시스템에서 모두 동일한 사용자와 역할을 만듭니다.

    이름과 ID가 동일해야 하며 두 시스템에서 모두 사용자에게 역할이 할당되어야 합니다. 사용자와 역할을 만들려면 Trusted Extensions의 역할 및 사용자 만들기를 참조하십시오.

  3. 원격 Solaris Management Console에 연결하려면 두 시스템에서 모두 다음을 수행합니다.

    1. 다른 시스템의 호스트 이름 및 IP 주소를 /etc/hosts 파일에 추가합니다.


      # /usr/dt/bin/trusted_edit /etc/hosts


      127.0.0.1	localhost	
192.168.66.66	local-system-name	loghost
192.168.66.12	remote-system-name

    2. 원격 역할 수락을 허용하려면 pam.conf 파일을 수정하여 PAM 정책을 완화합니다.

      1. /etc/pam.conf 파일을 /etc/pam.conf.orig로 복사합니다.


        # cp /etc/pam.conf /etc/pam.conf.orig

      2. 신뢰할 수 있는 편집기에서 pam.conf 파일을 엽니다.


        # /usr/dt/bin/trusted_edit /etc/pam.conf

      3. Account(계정) 관리에 기본 항목을 복사합니다.

      4. 복사된 각 항목에서 othersmcconsole로 변경합니다.

      5. 복사된 pam_roles.so.1 항목에 allow_remote를 추가합니다.

        필드 사이를 이동할 때는 Tab 키를 사용합니다. 이 섹션이 이제 다음과 유사하게 나타납니다.


        # Solaris Management Console definition for Account management
#
smcconsole   account requisite   pam_roles.so.1   allow_remote
smcconsole   account required    pam_unix_account.so.1
smcconsole   account required    pam_tsol_account.so.1

# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
other   account requisite    pam_roles.so.1
other   account required     pam_unix_account.so.1
other   account required     pam_tsol_account.so.1

      6. 파일을 저장하고 편집기를 종료합니다.

      7. (옵션) 파일을 /etc/pam.conf.site로 복사합니다.


        # cp /etc/pam.conf /etc/pam.conf.site

        이후 릴리스로 시스템을 업그레이드하는 경우 /etc/pam.conf.site에서 변경 사항을 pam.conf 파일로 복사해야할지를 평가해야 합니다.

예 6–1 Trusted Extensions 호스트 유형의 임시 정의 만들기

이 예에서 관리자는 호스트 유형 정의를 설정하기 전에 원격 Trusted Extensions 시스템 구성을 시작하려고 합니다. 이를 수행하려면 관리자는 다음과 같이 원격 시스템에서 tnctl 명령을 사용하여 데스크탑 시스템의 호스트 유형을 임시로 정의해야 합니다.


remote-TX# tnctl -h desktop-TX:cipso

다음으로 관리자는 Trusted Extensions로 구성되지 않은 데스크탑 시스템에서 원격 Trusted Extensions 시스템에 도달하려고 합니다. 이 경우 관리자는 다음과 같이 원격 시스템에서tnctl 명령을 사용하여 데스크탑 시스템의 호스트 유형을 ADMIN_LOW 레이블에서 실행하는 레이블이 없는 시스템으로 임시 정의합니다.


remote-TX# tnctl -h desktop-TX:admin_low

Procedure레이블이 없는 시스템에서의 원격 로그인 활성화

시작하기 전에

이 절차는 안전하지 않습니다.

Trusted Extensions에서 역할을 통한 원격 로그인 활성화에 설명된 대로 원격 역할 수락을 허용하기 위해 PAM 정책을 완화했습니다.

  1. 신뢰할 수 있는 시스템에서 레이블이 없는 시스템에 대해 적절한 보안 템플리트를 적용합니다.

    주의 – 주의 –

    기본 설정에서는 레이블이 없는 다른 시스템이 원격 시스템에 로그인하여 관리할 수 있습니다. 따라서 ADMIN_LOW에서 0.0.0.0 네트워크 기본값을 다른 레이블로 변경해야 합니다. 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Limit the Hosts That Can Be Contacted on the Trusted Network를 참조하십시오.

  2. 신뢰할 수 있는 편집기에서 /etc/pam.conf 파일을 엽니다.


    # /usr/dt/bin/trusted_edit /etc/pam.conf

  3. smcconsole 항목을 찾습니다.

  4. allow_unlabeledtsol_account 모듈에 추가합니다.

    필드 사이를 이동할 때는 Tab 키를 사용합니다.


    smcconsole   account required  pam_tsol_account.so.1 allow_unlabeled

    편집 후 이 섹션은 다음과 유사하게 나타납니다.


    # Solaris Management Console definition for Account management
#
smcconsole  account  requisite      pam_roles.so.1    allow_remote
smcconsole  account  required       pam_unix_account.so.1
smcconsole  account  required       pam_tsol_account.so.1 allow_unlabeled

Procedure원격 Solaris Management Console을 사용하여 파일 범위 관리

LDAP를 사용하지 않는 경우 원격 시스템에서 Solaris Management Console을 사용하려면 콘솔에 대한 원격 연결을 활성화합니다. 이 절차는 LDAP 범위에 대한 액세스를 활성화하는 데 충분하지 않습니다.

LDAP 범위에 대한 액세스를 활성화하려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)의 모든 절차를 완료해야 합니다.

시작하기 전에

두 시스템이 모두 레이블이 있는 시스템입니다.

다음 절차를 완료했습니다.

  1. 네트워크 통신을 승인하도록 Solaris Management Console 활성화의 절차를 완료합니다.

  2. 데스크탑 시스템에서 두 시스템에 모두 동일하게 정의된 사용자가 됩니다.

  3. 데스크탑 시스템에서 두 시스템에 모두 동일하게 정의된 역할을 수락합니다.

  4. 데스크탑 시스템에서 Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &

  5. Server(서버) 대화 상자에 헤드리스 시스템의 이름을 입력합니다.

    그런 다음 Scope=Files 도구 상자를 선택합니다.


    이 컴퓨터(remote-system: Scope=Files, Policy=TSOL)

Procedure관리 GUI 원격 표시 활성화

데스크탑에서 원격 표시의 절차는 Trusted Extensions로 구성되지 않은 Solaris 시스템에서의 절차와 동일합니다. 편의를 위해 해당 절차가 여기에 나와 있습니다.

  1. 데스크탑 시스템에서 헤드리스 시스템의 프로세스가 표시되도록 합니다.

    1. 헤드리스 시스템을 활성화하여 데스크탑 시스템의 X 서버에 액세스합니다.


      desktop $ xhost + headless-host

    2. 데스크탑의 DISPLAY 변수 값을 확인합니다.


      desktop $ echo $DISPLAY
:n.n

  2. 헤드리스 시스템에서 DISPLAY 변수를 데스크탑 시스템에 설정합니다.


    headless $ DISPLAY=desktop:n.n
headless $ export DISPLAY=n:n

Procedurerlogin 또는 ssh 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템 로그인 및 관리

이 절차를 통해 명령줄 및 txzonemgr GUI를 사용하여 수퍼유저 또는 역할로서 헤드리스 시스템을 관리할 수 있습니다.

주 –

rlogin 명령을 사용하는 원격 로그인은 ssh 명령을 사용하는 원격 로그인보다 덜 안전합니다.

원격 시스템을 관리하기 위해 Solaris Management Console을 사용할 경우 원격 로그인 명령을 사용할 필요가 없습니다. 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Remotely Administer Systems by Using the Solaris Management Console From a Trusted Extensions System을 참조하십시오.

시작하기 전에

Trusted Extensions에서 역할을 통한 원격 로그인 활성화의 절차를 완료했습니다.

이제 동일한 사용자 이름과 사용자 ID를 사용하여 헤드리스 시스템에 로그인할 수 있는 사용자로 데스크탑 시스템에서 맡을 수 있는 동일한 역할을 헤드리스 시스템에서 맡을 수 있습니다.

  1. 데스크탑 시스템에서 헤드리스 시스템의 프로세스가 표시되도록 합니다.


    desktop $ xhost + headless-host
desktop $ echo $DISPLAY
:n.n

  2. 두 시스템에 모두 동일하게 정의된 사용자인지 확인합니다.

  3. 터미널 창에서 헤드리스 시스템에 원격으로 로그인합니다.

    • ssh 명령을 사용하여 로그인합니다.


      desktop $ ssh -l identical-username headless
Password: Type the  user's password
headless $

    • 또는 rlogin 명령을 사용하여 로그인합니다.


      desktop # rlogin headless
Password: Type the user's password
headless $

  4. 두 시스템에 모두 동일하게 정의된 역할을 수락합니다.

    같은 터미널 창을 사용합니다. 예를 들어 root 역할을 수락합니다.


    headless $ su - root
Password: Type the root password

    이제 사용자가 전역 영역에 있습니다. 이 터미널을 사용하여 명령줄에서 헤드리스 시스템을 관리할 수 있습니다.

  5. 헤드리스 시스템의 프로세스가 데스크탑 시스템에 표시될 수 있도록 합니다.

    주 –

    ssh -X 명령을 사용해 로그인하여 원격 GUI를 표시할 수도 있습니다. 자세한 내용은 ssh(1) 매뉴얼 페이지를 참조하십시오. 관련 예는 예 6–2를 참조하십시오.


    headless $  DISPLAY desktop:n.n
headless $ export DISPLAY=n:n

    이제 Trusted Extensions GUI를 사용하여 헤드리스 시스템을 관리할 수 있습니다. 예를 들어, 다음과 같이 txzonemgr GUI를 시작합니다.


    headless $ /usr/sbin/txzonemgr

    Labeled Zone Manager(레이블이 있는 영역 관리자)는 원격 시스템에서 실행되고 데스크탑 시스템에 표시됩니다.

  6. (옵션) Trusted CDE 작업에 액세스합니다.

    Application Manager(응용 프로그램 관리자)를 열고 안전하게 닫으려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Remotely Administer Trusted Extensions With dtappsession을 참조하십시오.

예 6–2 헤드리스 시스템에서 레이블이 있는 영역 구성

이 예에서는 관리자가 txzonemgr GUI를 사용하여 레이블이 있는 데스크탑 시스템에서 레이블이 있는 헤드리스 시스템에 레이블이 있는 영역을 구성합니다. Solaris OS에서와 마찬가지로 관리자는 ssh 명령에 -X 옵션을 사용하여 X 서버에서 데스크탑 시스템에 액세스 할 수 있게 합니다. 사용자 install1은 두 시스템에 모두 동일하게 정의되어 있으며 remoterole 역할을 수락할 수 있습니다.


TXdesk1 $ xhost + TXnohead4
TXdesk1 $ whoami
install1
 

TXdesk1 $ ssh -X -l install1 TXnohead4
Password: Ins1PwD1
TXnohead4 $

전역 영역에 연결하기 위해 관리자는 remoterole 역할을 수락합니다. 이 역할은 두 시스템에 모두 동일하게 정의되어 있습니다.


TXnohead4 # su - remoterole
Password: abcd1EFG

그런 다음 관리자는 txzonemgr GUI를 시작합니다.


TXnohead4 $ /usr/sbin/txzonemgr &

Labeled Zone Manager(레이블이 있는 영역 관리자)는 헤드리스 시스템에서 실행되고 데스크탑 시스템에 표시됩니다.