탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
Trusted Extensions에서 장치 취급(작업 맵)
Trusted Extensions에서 장치 사용(작업 맵)
Trusted Extensions에서 장치 관리(작업 맵)
Trusted Extensions에서 장치를 구성하는 방법
Trusted Extensions에서 장치를 해지하거나 재생 이용하는 방법
Trusted Extensions에서 할당 불가능한 장치를 보호하는 방법
Trusted CDE에서 사용할 오디오 플레이어 프로그램을 구성하는 방법
장치 할당 후 File Manager(파일 관리자)가 표시되지 않게 하는 방법
Trusted Extensions에서 Device_Clean 스크립트를 추가하는 방법
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
다음 작업 맵에서는 사이트에서 장치 인증을 변경하는 절차를 설명합니다.
|
장치가 만들어질 때 인증을 지정하지 않을 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 인증을 지정할 경우에는 기본적으로 인증된 사용자만 장치를 사용할 수 있습니다.
인증을 사용하지 않고 할당 가능한 장치에 액세스하지 못하게 하려면 예 17-1을 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
조직의 인터넷 도메인 이름을 역순으로 사용하고 선택적으로 추가 임의 구성 요소(회사 이름 등)를 붙입니다. 점으로 구성 요소를 구분합니다. 머리글 이름은 점으로 끝냅니다.
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
한 줄에 하나씩 인증을 추가합니다. 줄은 표시 목적으로 나뉩니다. 인증에는 관리자가 새 인증을 할당할 수 있게 하는 grant 인증이 포함됩니다.
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
자세한 내용은 ldapaddent(1M) 매뉴얼 페이지를 참조하십시오.
Solaris Management Console을 사용합니다. 보안 관리자 역할을 맡고 System Administration Guide: Security Services의 How to Create or Change a Rights Profile을 따릅니다.
Device Allocation Manager(장치 할당 관리자)에서 필수 인증 목록에 새 인증을 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 인증을 추가하는 방법을 참조하십시오.
예 17-4 세분화된 장치 인증 만들기
NewCo의 보안 관리자는 회사를 위한 세분화된 장치 인증을 만들어야 합니다.
먼저 관리자는 다음 도움말 파일을 작성하여 /usr/lib/help/auths/locale/C 디렉토리에 넣습니다.
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
그런 다음 auth_attr 파일에서 newco.com에 대한 모든 인증의 머리글을 추가하고,
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
인증 항목을 파일에 추가합니다.
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
줄은 표시 목적으로 나뉩니다.
auth_attr 항목이 다음 인증을 만듭니다.
모든 NewCo의 인증을 부여할 수 있는 인증
NewCo의 장치 인증을 부여할 수 있는 인증
테이프 드라이브를 할당할 수 있는 인증
디스켓 드라이브를 할당할 수 있는 인증
예 17-5 신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 인증 만들기
기본적으로 Allocate Device(장치 할당) 인증을 통해 신뢰할 수 있는 경로와 그 외부에서 할당이 가능합니다.
다음 예의 사이트 보안 정책에서는 원격 CD-ROM 할당 제한을 요구합니다. 보안 관리자는 com.someco.device.cdrom.local 인증을 만듭니다. 이 인증은 신뢰할 수 있는 경로를 사용하여 할당된 CD-ROM 드라이브용입니다. com.someco.device.cdrom.remote 인증은 신뢰할 수 있는 경로 외부에서 CD-ROM 드라이브를 할당할 수 있는 일부 사용자용입니다.
보안 관리자는 도움말 파일을 만든 후 인증을 auth_attr 데이터베이스에 추가하고 인증을 장치에 추가한 다음 인증을 권한 프로파일에 넣습니다. 프로파일은 장치 할당이 허용된 사용자에게 할당됩니다.
다음은 auth_attr 데이터베이스 항목입니다.
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
다음은 Device Allocation Manager(장치 할당 관리자) 할당입니다.
신뢰할 수 있는 경로를 통해 인증된 사용자는 로컬 CD-ROM 드라이브를 할당할 때 Device Allocation Manager(장치 할당 관리자)를 사용할 수 있습니다.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
신뢰할 수 없는 경로를 통해 사용자는 allocate 명령을 사용하여 원격으로 장치를 할당할 수 있습니다.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
다음은 권한 프로파일 항목입니다.
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
다음은 인증된 사용자에 대한 권한 프로파일입니다.
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
시작하기 전에
보안 관리자 역할이나 장치 속성 구성 인증을 포함하는 역할을 가진 사용자여야 합니다. 새 장치 인증을 만드는 방법에 설명된 대로 사이트별 인증을 만들어 놓아야 합니다.
새 인증이 Not Required(필수 아님) 목록에 표시됩니다.
Allocate Device(장치 할당) 인증을 통해 사용자는 장치를 할당할 수 있습니다. Allocate Device(장치 할당) 인증과 Revoke or Reclaim Device(장치 해지 또는 재생 이용) 인증은 관리 역할에 적합합니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
기존 프로파일이 적당하지 않은 경우 보안 관리자는 새 프로파일을 만들 수 있습니다. 예는 편리한 인증을 위해 권한 프로파일을 만드는 방법을 참조하십시오.
자세한 내용은 온라인 도움말을 참조하십시오. 단계별 절차는 System Administration Guide: Security Services의 How to Change the RBAC Properties of a User를 참조하십시오.
다음 권한 프로파일을 통해 역할이 장치를 할당할 수 있습니다.
All Authorizations
장치 관리
Media Backup
Media Restore
Object Label Management
Software Installation
다음 권한 프로파일을 통해 역할이 장치를 해지하거나 재생 이용할 수 있습니다.
All Authorizations
장치 관리
다음 권한 프로파일을 통해 역할이 장치를 만들거나 구성할 수 있습니다.
All Authorizations
Device Security
예 17-6 새 장치 인증 할당
이 예에서 보안 관리자는 시스템에 대한 새 장치 인증을 구성하고 새 인증이 포함된 권한 프로파일을 신뢰할 수 있는 사용자에게 할당합니다. 보안 관리자는 다음 작업을 수행합니다.
새 장치 인증을 만드는 방법에 설명된 대로 새 장치 인증을 만듭니다.
Device Allocation Manager(장치 할당 관리자)에서 새 장치 인증을 테이프 및 디스켓 드라이브에 추가합니다.
새 인증을 NewCo Allocation 권한 프로파일에 넣습니다.
테이프 및 디스켓 드라이브를 할당할 수 있게 인증된 사용자 및 역할 프로파일에 NewCo Allocation 권한 프로파일을 추가합니다.
이제 인증된 사용자와 역할이 이 시스템에서 테이프 드라이브와 디스켓 드라이브를 사용할 수 있습니다.