2장 Trusted Extensions용 로드맵 구성
이 장에서는 Trusted Extensions 소프트웨어 활성화 및 구성 작업을 개략적으로 소개합니다.
작업 맵: Trusted Extensions에 대한 Solaris 시스템 준비
Trusted Extensions를 실행할 Solaris OS가 사용하려는 Trusted Extensions의 기능을 지원하는지 확인합니다. 다음 작업 맵에 설명된 두 작업 중 하나를 완료합니다.
|
작업 |
수행 방법 |
|---|---|
|
Trusted Extensions를 위한 기존 또는 업그레이드된 Solaris 설치를 준비합니다. | |
|
Trusted Extensions 기능을 사용하여 Solaris OS를 설치합니다. |
작업 맵: Trusted Extensions 준비 및 활성화
Trusted Extensions 시스템을 구성하기 전에 먼저 준비하려면 다음 작업 맵에 설명된 작업을 완료합니다.
|
작업 |
수행 방법 |
|---|---|
|
Solaris 시스템 준비를 완료합니다. | |
|
시스템을 백업합니다. |
Trusted Solaris 8 시스템의 경우 릴리스 설명서에 명시된 대로 시스템을 백업합니다. 레이블이 있는 백업을 레이블이 동일하게 지정된 각 영역에 복원할 수 있습니다. |
|
Solaris 시스템의 경우 System Administration Guide: Basic Administration을 참조하십시오. |
|
|
시스템 및 Trusted Extensions 네트워크에 대한 정보를 수집하고 결정을 내립니다. | |
|
Trusted Extensions를 활성화합니다. | |
|
시스템을 구성합니다. |
모니터가 있는 시스템의 경우 작업 맵: Trusted Extensions 구성을 참조하십시오. |
|
헤드리스 시스템의 경우 Trusted Extensions에서 헤드리스 시스템 구성(작업 맵)을 참조하십시오. |
|
|
Sun Ray에 대해서는 Sun Ray Server Software 4.1 Installation and Configuration Guide for the Solaris Operating System을 참조하십시오. Sun Ray 5 릴리스에 대해서는 Sun Ray Server 4.2 및 Sun Ray Connector 2.2 설명서 웹 사이트를 참조하십시오. 이 서버와 클라이언트는 모두 Sun Ray 5 패키지의 구성 요소입니다. 초기 클라이언트-서버 통신을 구성하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오. |
|
|
노트북의 경우 OpenSolaris Community: Security 웹 페이지를 참조하십시오. Trusted Extensions를 누릅니다. Trusted Extensions 페이지의 Laptop Configurations(노트북 구성)에서 Laptop instructions를 누릅니다. |
|
|
네트워크를 전역 영역과 통신하지 못하게 하려면 vni0 인터페이스를 구성합니다. 예를 들어 Laptop instructions를 참조하십시오. Solaris 10 10/08 릴리스부터 vni0 인터페이스를 구성할 필요가 없습니다. 기본적으로 lo0 인터페이스는 all-zones 인터페이스입니다. Trusted Extensions에서 dhcp를 사용하는 경우 다른 노트북 지침이 여전히 적용됩니다. |
작업 맵: Trusted Extensions 구성
보안 구성 프로세스를 위해 역할을 미리 만듭니다. 역할이 시스템을 구성할 때의 작업 순서는 다음 작업 맵을 참조하십시오.
|
1. 전역 영역을 구성합니다. |
||
|---|---|---|
|
작업 |
수행 방법 |
|
|
하드웨어 설정을 변경하려면 암호를 입력하도록 요구하여 시스템 하드웨어를 보호합니다. |
System Administration Guide: Security Services의 Controlling Access to System Hardware |
|
|
레이블을 구성합니다. 사용자 사이트에 대한 레이블을 반드시 구성해야 합니다. 기본 label_encodings 파일을 사용하려면 이 작업을 건너뛸 수 있습니다. | ||
|
IPv6 네트워크를 실행하는 경우 /etc/system 파일을 수정하여 IP가 레이블이 있는 패킷을 인식하도록 합니다. | ||
|
네트워크 노드의 CIPSO DOI(Domain of Interpretation)가 1이 아닌 경우 /etc/system 파일에서 DOI를 지정합니다. | ||
|
Solaris ZFS 스냅샷을 사용하여 영역을 복제하려면 ZFS 풀을 만듭니다. | ||
|
부트하여 레이블이 있는 환경을 활성화합니다. 로그인하면 사용자가 전역 영역에 있습니다. 시스템의 label_encodings 파일이 필수 액세스 제어(MAC)를 강제 시행합니다. | ||
|
Solaris Management Console을 초기화합니다. 이 GUI는 다른 작업 간에 영역 레이블을 지정하는 데 사용됩니다. | ||
|
보안 관리자 역할과 로컬로 사용할 기타 역할을 만듭니다. 이러한 역할은 Solaris OS에서와 같은 방식으로 만듭니다. 이 작업을 마지막까지 지연시킬 수 있습니다. 이 결과에 대한 자세한 내용은 Trusted Extensions에 대한 구성 전략 고안을 참조하십시오. | ||
로컬 파일을 사용하여 시스템을 관리하려면 다음 일련의 작업을 건너뜁니다.
|
2. 이름 지정 서비스를 구성합니다. |
||
|---|---|---|
|
작업 |
수행 방법 |
|
|
파일을 사용하여 Trusted Extensions를 관리하려면 다음 작업을 건너뛸 수 있습니다. |
파일 이름 지정 서비스에 대해서는 구성할 필요가 없습니다. |
|
|
기존 Sun Java System Directory Server(LDAP 서버)가 있는 경우 서버에 Trusted Extensions 데이터베이스를 추가합니다. 그런 다음 첫 번째 Trusted Extensions 시스템을 LDAP 서버의 프록시로 만듭니다. LDAP 서버가 없는 경우에는 첫 번째 시스템을 서버로 구성합니다. | ||
|
Solaris Management Console에 대한 LDAP 도구 상자를 수동으로 설정합니다. 도구 상자를 사용하여 네트워크 객체에 대한 Trusted Extensions 속성을 수정할 수 있습니다. | ||
|
LDAP 서버 또는 프록시 서버가 아닌 시스템의 경우 해당 시스템을 LDAP 클라이언트로 만듭니다. | ||
|
LDAP 범위 내에서 보안 관리자 역할과 사용할 기타 역할을 만듭니다. 이 작업을 마지막까지 지연시킬 수 있습니다. 이 결과에 대한 자세한 내용은 Trusted Extensions에 대한 구성 전략 고안을 참조하십시오. | ||
|
3. 레이블이 있는 영역을 만듭니다. |
||
|---|---|---|
|
작업 |
수행 방법 |
|
|
txzonemgr 명령을 실행합니다. 메뉴에 따라 네트워크 인터페이스를 구성한 다음 첫 번째 레이블이 있는 영역을 만들고 사용자 정의합니다. 그런 다음 영역의 나머지 부분을 복사 또는 복제합니다. | ||
|
또는 Trusted CDE 작업을 사용합니다. | ||
|
(선택 사항) 모든 영역이 성공적으로 사용자 정의된 후 영역별 네트워크 주소 및 레이블이 있는 영역에 대한 기본 경로 설정을 추가합니다. | ||
다음 작업이 사용 중인 환경에서 필요할 수도 있습니다.
|
4. 시스템 설정을 완료합니다. |
||
|---|---|---|
|
작업 |
수행 방법 |
|
|
레이블, 하나 이상의 다중 레벨 포트 또는 서로 다른 제어 메시지 정책이 필요한 추가 원격 호스트를 식별합니다. | ||
|
다중 레벨 홈 디렉토리 서버를 만든 다음 설치된 영역을 자동 마운트합니다. | ||
|
사용자가 시스템에 로그인하도록 하려면 감사를 구성하고, 파일 시스템을 마운트한 후 기타 작업을 수행합니다. |
Oracle Solaris Trusted Extensions Administrator’s Procedures |
|
|
NIS 환경의 사용자를 LDAP 서버에 추가합니다. | ||
|
호스트와 호스트의 레이블이 있는 영역을 LDAP 서버에 추가합니다. | ||
- © 2010, Oracle Corporation and/or its affiliates