test

Oracle Solaris Trusted Extensions 구성 설명서

ProcedureTrusted Extensions에서 역할을 통한 원격 로그인 활성화

rlogin 또는 ssh 명령을 사용하여 헤드리스 시스템을 관리해야 하는 경우에만 이 절차를 수행하십시오.

구성 오류는 원격으로 디버그할 수 있습니다.

시작하기 전에

원격 시스템을 관리하기 위해 로컬 파일을 사용하는 경우 Trusted Extensions에서 root 사용자의 원격 로그인 활성화의 절차를 완료했습니다. 그런 다음 root 사용자로 두 시스템에서 모두 다음 작업을 수행합니다.

  1. 두 시스템에서 모두 다른 시스템을 레이블이 있는 시스템으로 식별합니다.

    데스크탑 시스템 및 헤드리스 시스템은 동일한 보안 템플리트를 사용하는 것으로 서로를 식별해야 합니다. 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

    임시 레이블을 할당하려면 예 6–1을 참조하십시오.

  2. 두 시스템에서 모두 동일한 사용자와 역할을 만듭니다.

    이름과 ID가 동일해야 하며 두 시스템에서 모두 사용자에게 역할이 할당되어야 합니다. 사용자와 역할을 만들려면 Trusted Extensions의 역할 및 사용자 만들기를 참조하십시오.

  3. 원격 Solaris Management Console에 연결하려면 두 시스템에서 모두 다음을 수행합니다.

    1. 다른 시스템의 호스트 이름 및 IP 주소를 /etc/hosts 파일에 추가합니다.


      # /usr/dt/bin/trusted_edit /etc/hosts


      127.0.0.1	localhost	
192.168.66.66	local-system-name	loghost
192.168.66.12	remote-system-name

    2. 원격 역할 수락을 허용하려면 pam.conf 파일을 수정하여 PAM 정책을 완화합니다.

      1. /etc/pam.conf 파일을 /etc/pam.conf.orig로 복사합니다.


        # cp /etc/pam.conf /etc/pam.conf.orig

      2. 신뢰할 수 있는 편집기에서 pam.conf 파일을 엽니다.


        # /usr/dt/bin/trusted_edit /etc/pam.conf

      3. Account(계정) 관리에 기본 항목을 복사합니다.

      4. 복사된 각 항목에서 othersmcconsole로 변경합니다.

      5. 복사된 pam_roles.so.1 항목에 allow_remote를 추가합니다.

        필드 사이를 이동할 때는 Tab 키를 사용합니다. 이 섹션이 이제 다음과 유사하게 나타납니다.


        # Solaris Management Console definition for Account management
#
smcconsole   account requisite   pam_roles.so.1   allow_remote
smcconsole   account required    pam_unix_account.so.1
smcconsole   account required    pam_tsol_account.so.1

# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
other   account requisite    pam_roles.so.1
other   account required     pam_unix_account.so.1
other   account required     pam_tsol_account.so.1

      6. 파일을 저장하고 편집기를 종료합니다.

      7. (옵션) 파일을 /etc/pam.conf.site로 복사합니다.


        # cp /etc/pam.conf /etc/pam.conf.site

        이후 릴리스로 시스템을 업그레이드하는 경우 /etc/pam.conf.site에서 변경 사항을 pam.conf 파일로 복사해야할지를 평가해야 합니다.

예 6–1 Trusted Extensions 호스트 유형의 임시 정의 만들기

이 예에서 관리자는 호스트 유형 정의를 설정하기 전에 원격 Trusted Extensions 시스템 구성을 시작하려고 합니다. 이를 수행하려면 관리자는 다음과 같이 원격 시스템에서 tnctl 명령을 사용하여 데스크탑 시스템의 호스트 유형을 임시로 정의해야 합니다.


remote-TX# tnctl -h desktop-TX:cipso

다음으로 관리자는 Trusted Extensions로 구성되지 않은 데스크탑 시스템에서 원격 Trusted Extensions 시스템에 도달하려고 합니다. 이 경우 관리자는 다음과 같이 원격 시스템에서tnctl 명령을 사용하여 데스크탑 시스템의 호스트 유형을 ADMIN_LOW 레이블에서 실행하는 레이블이 없는 시스템으로 임시 정의합니다.


remote-TX# tnctl -h desktop-TX:admin_low