test

Oracle Solaris Trusted Extensions 구성 설명서

Trusted Extensions의 전역 영역 설정

전역 영역을 설정하려면 먼저 구성에 대해 결정해야 합니다. 결정에 대한 자세한 내용은 Trusted Extensions 활성화 전 정보 수집 및 의사 결정을 참조하십시오.

작업 

설명 

수행 방법 

하드웨어를 보호합니다. 

하드웨어 설정을 변경하려면 암호를 요구하여 하드웨어를 보호할 수 있습니다. 

System Administration Guide: Security ServicesControlling Access to System Hardware

레이블을 구성합니다. 

사용자 사이트에 대한 레이블을 반드시 구성해야 합니다. 기본 label_encodings 파일을 사용하려면 이 단계를 건너뛸 수 있습니다.

레이블 인코딩 파일 확인 및 설치

IPv6의 경우 /etc/system 파일을 수정합니다.

IPv6 네트워크를 실행하는 경우 /etc/system 파일을 수정하여 IP가 레이블이 있는 패킷을 인식하도록 합니다.

Trusted Extensions에서 IPv6 네트워크 사용

값이 1이 아닌 DOI의 경우 /etc/system 파일을 수정합니다.

네트워크 노드의 CIPSO DOI(Domain of Interpretation)가 1이 아닌 경우 /etc/system 파일에서 DOI를 지정합니다.

DOI(Domain of Interpretation) 구성

Solaris ZFS 스냅샷을 위한 공간을 만듭니다. 

Solaris ZFS 스냅샷을 사용하여 영역을 복제하려면 ZFS 풀을 만듭니다. 

첫 번째 영역을 복제하여 레이블이 있는 나머지 영역을 만들려면 이 작업을 수행합니다. 

영역 복제를 위한 ZFS 풀 만들기

다시 부트하고 로그인합니다. 

전역 영역으로 로그인됩니다. 전역 영역은 MAC(Mandatory Access Control)를 인식하고 실행하는 환경입니다. 

Trusted Extensions 다시 부트 및 로그인

Solaris Management Console을 초기화합니다. 

Trusted Extensions는 사용자, 역할, 영역 및 네트워크 관리를 위한 도구를 Solaris Management Console에 추가합니다. 

Trusted Extensions에서 Solaris Management Console 서버 초기화

LDAP를 구성합니다. 

LDAP 이름 지정 서비스를 사용하려면 LDAP 서비스를 설정합니다. 

5 장Trusted Extensions에 대해 LDAP 구성(작업)

LDAP 서비스를 설정한 경우 이 시스템을 LDAP 클라이언트로 지정합니다. 

Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

Procedure레이블 인코딩 파일 확인 및 설치

인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.

주 –

Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.

주의 – 주의 –

계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다.

시작하기 전에

사용자는 보안 관리자입니다. 보안 관리자label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.

  1. label_encodings 파일이 들어 있는 매체를 해당 장치에 넣습니다.

  2. label_encodings 파일을 디스크로 복사합니다.

  3. 파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.

    • Trusted JDS에서는 명령줄에서 파일을 확인하고 설치합니다.

      1. 터미널 창을 엽니다.

      2. chk_encodings 명령을 실행합니다.


        # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

      3. 출력을 읽어본 후 다음 중 하나를 수행합니다.

        • 오류를 해결합니다.

          명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

        • 파일을 활성 label_encodings 파일로 만듭니다.


          # cp /full-pathname-of-label-encodings-file \
 /etc/security/tsol/label.encodings.site
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.site label_encodings
      주의 – 주의 –

      계속하려면 label_encodings 파일이 chk_encodings 테스트를 통과해야 합니다.

    • Trusted CDE에서는 인코딩 확인 작업을 사용합니다.

      1. Trusted_Extensions 폴더를 엽니다.

        배경에서 마우스 버튼 3을 누릅니다.

      2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

      3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

        이 그림은 Trusted_Extensions 폴더 아이콘을 보여 줍니다.

      4. Check Encodings(인코딩 확인) 작업을 두 번 누릅니다.

        대화 상자에 파일의 전체 경로 이름을 입력합니다.


        /full-pathname-of-label-encodings-file

        chk_encodings 명령을 호출하여 파일의 구문을 확인합니다. 결과가 Check Encodings(인코딩 확인) 대화 상자에 표시됩니다.

      5. Check Encodings(인코딩 확인) 대화 상자의 내용을 읽어본 후 다음 중 하나를 수행합니다.

        • 오류를 해결합니다.

          인코딩 확인 작업에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

        • Yes를 눌러 파일을 활성 label_encodings 파일로 만듭니다.

          인코딩 확인 작업에서는 원본 파일의 백업 복사본을 만든 다음 확인된 버전을 /etc/security/tsol/label_encodings에 설치합니다. 그런 다음 레이블 데몬을 다시 시작합니다.

    주의 – 주의 –

    계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.

  4. 파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.

    명령줄을 사용합니다.

    1. 터미널 창을 엽니다.

    2. chk_encodings 명령을 실행합니다.


      # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

    3. 출력을 읽어본 후 다음 중 하나를 수행합니다.

      • 오류를 해결합니다.

        명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

      • 파일을 활성 label_encodings 파일로 만듭니다.


        # cp /full-pathname-of-label-encodings-file \
 /etc/security/tsol/label.encodings.site
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.site label_encodings
    주의 – 주의 –

    계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.

예 4–1 명령줄에서 label_encodings 구문 검사

이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.


# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.


# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.


# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.


# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

ProcedureTrusted Extensions에서 IPv6 네트워크 사용

CIPSO 옵션에는 패킷의 IPv6 Option Type(IPv6 옵션 유형) 필드에서 사용하는 IANA(Internet Assigned Numbers Authority) 번호가 없습니다. 이 절차에서 설정한 항목은 IANA에서 이 옵션에 대한 번호를 할당할 때까지 로컬 네트워크에서 사용할 번호를 제공합니다. 이 번호가 정의되지 않으면 Trusted Extensions는 IPv6 네트워킹을 사용하지 않습니다.

Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.

  1. /etc/system 파일에 다음 항목을 추가합니다.


    set ip:ip6opt_ls = 0x0a
일반 오류

ProcedureDOI(Domain of Interpretation) 구성

Trusted Extensions로 구성된 시스템 간의 모든 통신은 단일 CIPSO DOI(Domain of Interpretation)의 레이블 지정 규칙에 따라야 합니다. 각 메시지에서 사용되는 DOI는 CIPSO IP Option 헤더에서 정수로 식별됩니다. 기본적으로 Trusted Extensions에서 DOI는 1입니다.

DOI가 1이 아닌 경우 /etc/system 파일에 항목을 추가하고 기본 보안 템플릿에서 doi 값을 수정해야 합니다.

  1. 다음과 같이 /etc/system 파일에 DOI 항목을 입력합니다.


    set default_doi = n

    이 0이 아닌 양의 정수는 노드 및 노드에서 통신하는 시스템의 tnrhtp 데이터베이스에 있는 DOI 수와 일치해야 합니다.

  2. LDAP 서버에 tnrhtp 데이터베이스를 추가하기 전에 먼저 기본 항목과 모든 로컬 주소 항목에 있는 doi 값을 수정합니다.

    Trusted Extensions에서는 tnrhtp 데이터베이스에 cipsoadmin_low라는 두 가지 템플리트를 제공합니다. 로컬 주소 항목을 추가한 경우 이 항목도 수정합니다.

    1. 신뢰할 수 있는 편집기에서 tnrhtp 데이터베이스를 엽니다.


      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp

      Solaris Trusted Extensions(CDE)에서는 응용 프로그램 관리자의 Trusted_Extensions 폴더에 있는 관리 편집기 작업을 대신 사용할 수 있습니다.

    2. 다른 줄에 cipso 템플리트 항목을 복사합니다.


      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    3. cipso 항목 중 하나를 주석 처리합니다.


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    4. 주석 처리되지 않은 cipso 항목에서 doi 값을 수정합니다.

      이 값을 /etc/system 파일의 default_doi 값과 동일한 값으로 수정합니다.


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    5. admin_low 항목의 doi 값을 변경합니다.


      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW
admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

    tnrhtp 데이터베이스에 있는 모든 항목의 doi 값이 모두 동일하면 작업이 완료됩니다.

일반 오류

/etc/system 파일에서 1이 아닌 default_doi 값을 설정하고 이 시스템의 보안 템플리트에 이 default_doi 값과 일치하지 않는 값이 설정되면 인터페이스 구성 중 다음과 유사한 메시지가 시스템 콘솔에 표시됩니다.

인터페이스 구성 실패로 인해 다음과 같이 로그인 실패가 발생할 수 있습니다.

문제를 해결하려면 단일 사용자 모드로 시스템을 부트하고 이 절차에서 설명한 대로 보안 템플리트를 수정합니다.

참조

DOI에 대한 자세한 내용은 Oracle Solaris Trusted Extensions Administrator’s ProceduresNetwork Security Attributes in Trusted Extensions를 참조하십시오.

만든 보안 템플리트에서 doi 값을 변경하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Construct a Remote Host Template를 참조하십시오.

선택한 편집기를 신뢰할 수 있는 편집기로 사용하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Assign the Editor of Your Choice as the Trusted Editor를 참조하십시오.

Procedure영역 복제를 위한 ZFS 풀 만들기

Solaris ZFS 스냅샷을 영역 템플리트로 사용하려면 ZFS 파일 또는 ZFS 장치에서 ZFS 풀을 만들어야 합니다. 이 풀에는 각 영역의 복제를 위한 스냅샷이 보관됩니다. ZFS 풀에 대해 /zone 장치를 사용합니다.

시작하기 전에

Solaris 설치 중에 ZFS 파일 시스템을 위한 별도의 디스크 공간을 확보해 두었습니다. 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.

  1. /zone 분할 영역을 마운트 해제합니다.

    설치하는 동안 충분한 디스크 공간(약 2000MB)이 있는 /zone 분할 영역을 만들었습니다.


    # umount /zone

  2. /zone 마운트 지점을 제거합니다.


    # rmdir /zone

  3. vfstab 파일에서 /zone 항목을 주석 처리합니다.

    1. /zone 항목을 읽지 못하도록 합니다.

      편집기에서 vfstab 파일을 엽니다. /zone 항목 앞에 주석 기호를 추가합니다.


      #/dev/dsk/cntndnsn  /dev/dsk/cntndnsn  /zone  ufs  2  yes  -

    2. 디스크 슬라이스, cn tndn sn을 클립보드에 복사합니다.

    3. 파일을 저장하고 편집기를 닫습니다.

  4. 디스크 슬라이스를 사용하여 /zone을 ZFS 풀로 다시 만듭니다.


    # zpool create -f zone cntndnsn

    예를 들어, /zone 항목에서 c0t0d0s5 디스크 슬라이스를 사용한 경우 명령은 다음과 같습니다.


    # zpool create -f zone c0t0d0s5

  5. ZFS 풀이 정상인지 확인합니다.

    다음 명령 중 하나를 사용합니다.


    # zpool status -x zone
pool 'zone' is healthy
    		 

    # zpool list
NAME     SIZE     USED   AVAIL   CAP   HEALTH   ALTROOT
/zone    5.84G   80K    5.84G    7%   ONLINE   -

    이 예에서는 초기 설정 팀이 영역에 대해 6000MB의 분할 영역을 예약했습니다. 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.

ProcedureTrusted Extensions 다시 부트 및 로그인

대부분의 사이트에는 시스템을 구성할 때 초기 설정 팀 역할을 하는 두 명 이상의 관리자가 있습니다.

시작하기 전에

로그인하기 전에 먼저 Trusted Extensions의 데스크탑 및 레이블 옵션을 숙지하십시오. 자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서의 2 장, Trusted Extensions에 로그인(작업) 을 참조하십시오.

  1. 시스템을 다시 부트합니다.


    # /usr/sbin/reboot

    시스템에 그래픽 디스플레이가 없는 경우 6 장Trusted Extensions로 헤드리스 시스템 구성(작업)을 참조하십시오.

  2. Solaris Trusted Extensions(CDE) 또는 Solaris Trusted Extensions(JDS) 데스크탑 중 하나에 수퍼유저로 로그인합니다.

    1. 로그인 창에서 신뢰할 수 있는 데스크탑 중 하나를 선택합니다.

      Trusted CDE 데스크탑에는 시스템을 구성하는 데 유용한 작업이 포함되어 있습니다. Solaris 10 10/08 릴리스부터 txzonemgr 스크립트가 시스템 구성을 위한 기본 프로그램입니다.

    2. 로그인 대화 상자에서 root와 루트 암호를 입력합니다.

      다른 사용자가 별도의 확인이나 설명 없이 사용자의 데이터에 액세스할 수 있으므로 다른 사용자에게 암호를 공개해서는 안 됩니다. 사용자가 고의적으로 자신의 암호를 다른 사용자에게 누설하여 직접적으로 암호가 공개될 수도 있고, 암호를 메모해 두거나 보안되지 않은 암호를 선택함으로써 간접적으로 암호가 공개될 수도 있습니다. Trusted Extensions 소프트웨어는 보안되지 않은 암호에 대해 보호 기능을 제공하지만, 사용자가 자신의 암호를 공개하거나 메모하지 못하도록 막을 수는 없습니다.

  3. Last Login(마지막 로그인) 대화 상자의 정보를 읽어 보십시오.

    이 그림은 Last Login(마지막 로그인) 대화 상자를 보여 줍니다.

    그런 다음 OK(확인)를 눌러 상자를 없앱니다.

  4. Label Builder(레이블 구축기)를 읽습니다.

    OK(확인)를 눌러 기본 레이블을 적용합니다.

    로그인 프로세스가 완료되면 Trusted Extensions 화면이 잠시 나타난 다음 네 개의 작업 공간이 있는 데스크탑 세션이 시작됩니다. Trusted Path 기호가 신뢰할 수 있는 스트라이프에 표시됩니다.

    주 –

    자리를 비우기 전에 반드시 로그오프하거나 화면을 잠가야 합니다. 그렇지 않으면 다른 사용자가 별도의 확인이나 설명 없이 식별 및 인증 과정을 거치지 않고 시스템에 액세스할 수 있습니다.

ProcedureTrusted Extensions에서 Solaris Management Console 서버 초기화

다음 절차에 따라 이 시스템에서 사용자, 역할, 호스트, 영역 및 네트워크를 관리할 수 있습니다. 구성하는 첫 번째 시스템에서는 files 범위만 사용할 수 있습니다.

시작하기 전에

사용자는 수퍼유저여야 합니다.

클라이언트에서 실행 중인 Solaris Management Console에서 LDAP 서버의 LDAP 도구 상자를 사용하려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)의 모든 작업을 완료해야 합니다.

  1. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &
    주 –

    처음에 Solaris Management Console을 시작하면 몇 가지 등록 작업을 수행합니다. 이 작업에는 몇 분 정도의 시간이 소요될 수 있습니다.

    그림 4–1 Solaris Management Console 초기 창

    그래픽은 Solaris Management Console 시작 창을 보여 줍니다.

  2. Solaris Management Console에 도구 상자 아이콘이 표시되지 않으면 다음 중 하나를 수행합니다.

    • Navigation(탐색) 창이 표시되지 않는 경우

      1. 표시되는 Open Toolbox(도구 상자 열기) 대화 상자의 Server(서버) 아래에서 이 시스템 이름 옆에 있는 Load(로드)를 누릅니다.

        이 시스템에 권장된 양의 메모리 및 스왑이 없는 경우 도구 상자를 표시하는 데 몇 분 정도 걸릴 수 있습니다. 권장 사항은 Trusted Extensions용 Solaris OS 설치 또는 업그레이드를 참조하십시오.

      2. 도구 상자 목록에서 Policy=TSOL인 도구 상자를 선택합니다.

        그림 4–2는 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여 줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

        주의 – 주의 –

        정책이 없는 도구 상자를 선택하면 안 됩니다. 나열된 정책이 없는 도구 상자는 Trusted Extensions를 지원하지 않습니다.

        제어하려는 범위에 따라 선택하는 도구 상자가 달라집니다.

      3. Open(열기)을 누릅니다.

    • Navigation(탐색) 창이 표시되지만 도구 상자 아이콘이 중지 기호인 경우

      1. Solaris Management Console을 종료합니다.

      2. Solaris Management Console을 다시 시작합니다.


        # /usr/sbin/smc &

  3. 아직 선택하지 않은 경우 Policy=TSOL인 도구 상자를 선택합니다.

    다음 그림은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

    그림 4–2 Solaris Management Console의 Trusted Extensions 도구

    Users(사용자) 도구와 Computers and Networks(컴퓨터 및 네트워크) 도구가 있는 System Configuration(시스템 구성) 노드가 창에 표시됩니다.

  4. (옵션) 현재 도구 상자를 저장합니다.

    Policy=TSOL 도구 상자를 저장하면 기본적으로 Trusted Extensions 도구 상자를 로드할 수 있습니다. Preferences(기본 설정)는 역할별, 호스트별로 저장됩니다. 호스트는 Solaris Management Console 서버입니다.

    1. Console(콘솔) 메뉴에서 Preferences(기본 설정)를 선택합니다.

      Home(홈) 도구 상자가 선택됩니다.

    2. Policy=TSOL 도구 상자를 Home(홈) 도구 상자로 정의합니다.

      Use Current Toolbox(현재 도구 상자 사용) 버튼을 눌러 현재 도구 상자를 Location(위치) 필드에 넣습니다.

    3. OK(확인)를 눌러 기본 설정을 저장합니다.

  5. Solaris Management Console을 종료합니다.

참조

Solaris Management Console에 Trusted Extensions 추가에 대한 개요는 Oracle Solaris Trusted Extensions Administrator’s ProceduresSolaris Management Console Tools를 참조하십시오. Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

ProcedureTrusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

LDAP의 경우 이 절차에서는 전역 영역에 대한 이름 지정 서비스 구성을 설정합니다. LDAP를 사용하지 않는 경우 이 절차를 건너뛸 수 있습니다.

Solaris 10 5/08 릴리스부터 Solaris Trusted Extensions(CDE) 작업 공간에 있는 경우 txzonemgr 스크립트 또는 Trusted CDE 작업을 사용하여 LDAP 클라이언트를 만들 수 있습니다. Solaris Trusted Extensions(JDS) 또는 Solaris Trusted Extensions (GNOME) 작업 공간에 있는 경우에는 txzonemgr 스크립트를 사용해야 합니다.

주 –

레이블이 있는 각 영역에서 이름 서버를 설정하려는 경우 사용자가 해당 영역에 대한 LDAP 클라이언트 연결을 설정해야 합니다.

시작하기 전에

Sun Java System Directory Server 즉, LDAP 서버가 있어야 합니다. 서버를 Trusted Extensions 데이터베이스로 채우고 이 시스템에서 서버에 연결할 수 있어야 합니다. 따라서 구성 중인 시스템에는 LDAP 서버의 tnrhdb 데이터베이스에 항목이 있어야 합니다. 또는 이 절차를 수행하기 전에 이 시스템을 와일드카드 항목에 포함시켜야 합니다.

Trusted Extensions를 사용하여 구성된 LDAP 서버가 없는 경우 이 절차를 수행하기 전에 5 장Trusted Extensions에 대해 LDAP 구성(작업) 의 절차를 완료해야 합니다.

  1. DNS를 사용하는 경우 nsswitch.ldap 파일을 수정합니다.

    1. 원본 nsswitch.ldap 파일의 복사본을 저장합니다.

      LDAP의 표준 이름 지정 서비스 전환 파일이 Trusted Extensions에 너무 제한적입니다.


      # cd /etc
# cp nsswitch.ldap nsswitch.ldap.orig

    2. 다음 서비스에 대한 nsswitch.ldap 파일 항목을 변경합니다.

      올바른 항목은 다음과 비슷합니다.


      hosts:    files dns ldap

ipnodes:    files dns ldap

networks:   ldap files
protocols:  ldap files
rpc:        ldap files
ethers:     ldap files
netmasks:   ldap files
bootparams: ldap files
publickey:  ldap files

services:   files

      Trusted Extensions는 다음 두 개의 항목을 추가합니다.


      tnrhtp:    files ldap
tnrhdb:    files ldap

    3. 수정된 nsswitch.ldap 파일을 nsswitch.conf에 복사합니다.


      # cp nsswitch.ldap nsswitch.conf

  2. 다음 단계 중 하나를 수행하여 DLAP 클라이언트를 만듭니다.

    • txzonemgr 스크립트를 실행하고 LDAP 관련 프롬프트에 응답합니다.

      Create LDAP Client(LDAP 클라이언트 만들기) 메뉴 항목에서는 전역 영역만 구성합니다.

      1. txzonemgr 스크립트 실행의 지침에 따라 수행합니다.

        대화 상자 제목은 Labeled Zone Manager(레이블이 있는 영역 관리자)입니다.

      2. Create LDAP Client(LDAP 클라이언트 만들기)를 선택합니다.

      3. 다음 프롬프트에 응답한 다음 각 응답 후 OK(확인)를 누릅니다.


        Enter Domain Name:                   Type the domain name
Enter Hostname of LDAP Server:       Type the name of the server
Enter IP Address of LDAP Server servername: Type the IP address
Enter LDAP Proxy Password:       Type the password to the server
Confirm LDAP Proxy Password:     Retype the password to the server
Enter LDAP Profile Name:         Type the profile name

      4. 표시된 값을 확인하거나 취소합니다.


        Proceed to create LDAP Client?

        확인이 완료되면 txzonemgr 스크립트에 LDAP 클라이언트가 추가됩니다. 그러면 창에 명령 출력이 표시됩니다.

    • Trusted CDE 작업 공간에서 Create LDAP Client(LDAP 클라이언트 만들기) 작업을 찾아 사용합니다.

      1. 배경에서 마우스 버튼 3을 눌러 Trusted_Extensions 폴더로 이동합니다.

      2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

      3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

        이 폴더에는 인터페이스, LDAP 클라이언트 및 레이블이 있는 영역을 설정하는 작업이 포함되어 있습니다.

      4. Create LDAP Client(LDAP 클라이언트 만들기) 작업을 두 번 누릅니다.

        다음 프롬프트에 응답합니다.


        Domain Name:               Type the domain name
Hostname of LDAP Server:   Type the name of the server
IP Address of LDAP Server: Type the IP address
LDAP Proxy Password:       Type the password to the server
Profile Name:              Type the profile name

      5. OK(확인)를 누릅니다.

        다음 완료 메시지가 나타납니다.


        global zone will be LDAP client of LDAP-server
System successfully configured.

*** Select Close or Exit from the window menu to close this window ***

      6. 작업 창을 닫습니다.

  3. 터미널 창에서 enableShadowUpdate 매개 변수를 TRUE로 설정합니다. 


    # ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix
System successfully configured

    Create LDAP Client(LDAP 클라이언트 만들기) 작업 및 txzonemgr 스크립트는 ldapclient init 명령만 실행합니다. Trusted Extensions에서 섀도우 업데이트를 사용하려면 초기화된 LDAP 클라이언트도 수정해야 합니다.

  4. 서버에서 정보가 올바른지 확인합니다.

    1. 터미널 창을 열고 LDAP 서버를 쿼리합니다.


      # ldapclient list

      출력은 다음과 유사합니다.


      NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name
...
NS_LDAP_BIND_TIME= number

    2. 오류를 수정합니다.

      오류가 발생하는 경우 LDAP 클라이언트를 다시 만들고 올바른 값을 제공하십시오. 예를 들어, 다음 오류는 시스템에 LDAP 서버의 항목이 없음을 나타냅니다.


      LDAP ERROR (91): Can't connect to the LDAP server.
Failed to find defaultSearchBase for domain domain-name

      이 오류를 해결하려면 LDAP 서버를 확인해야 합니다.

예 4–2 resolv.conf 파일 로드 후 호스트 이름 사용

이 예에서 관리자는 시스템에서 DNS 서버의 특정 집합을 사용 가능하게 하려고 합니다. 관리자는 신뢰할 수 있는 네트워크의 서버에서 resolv.conf 파일을 복사합니다. DNS가 아직 활성 상태가 아니므로 관리자는 서버의 IP 주소를 사용하여 서버를 찾습니다.


# cd /etc
# cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf

resolv.conf 파일을 복사하고, nsswitch.conf 파일에 hosts 항목의 dns가 포함되고 나면 관리자는 호스트 이름을 사용하여 시스템을 찾을 수 있습니다.