탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
13. Trusted Extensions에서 네트워크 관리(작업)
사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법
신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
Trusted Extensions에서 경로 구성 및 네트워크 정보 확인(작업 맵)
신뢰할 수 있는 네트워크 데이터베이스의 구문을 확인하는 방법
신뢰할 수 있는 네트워크 데이터베이스 정보를 커널 캐시와 비교하는 방법
커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
다음 작업 맵에서는 네트워크 디버깅 작업을 설명합니다.
|
시스템이 다른 호스트와 예상한 대로 통신하지 않을 경우 이 절차를 사용합니다.
시작하기 전에
전역 영역에서 네트워크 설정을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이 이러한 설정을 확인할 수 있습니다.
다음 출력은 시스템에 2개의 네트워크 인터페이스(hme0 및 hme0:3)가 있음을 나타냅니다. 두 인터페이스 모두 작동하고 있지 않습니다.
# ifconfig -a ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255 hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255
다음 출력은 두 인터페이스가 모두 작동 중임을 나타냅니다.
# ifconfig hme0 up # ifconfig -a ... hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,... hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..
통신 중이 아닌 두 호스트를 디버깅하려면 Trusted Extensions 및 Solaris 디버깅 도구를 사용합니다. 예를 들어, snoop 및 netstat와 같은 Oracle Solaris 네트워크 디버깅 명령을 사용할 수 있습니다. 자세한 내용은 snoop(1M) 및 netstat(1M) 매뉴얼 페이지를 참조하십시오. Trusted Extensions에 대한 특정 명령은 표 2-4를 참조하십시오.
레이블이 있는 영역에 대한 연결 문제는 영역 관리(작업 맵)를 참조하십시오.
NFS 마운트 디버깅은 Trusted Extensions에서 마운트 실패 문제를 해결하는 방법을 참조하십시오.
LDAP 통신 디버깅은 LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법을 참조하십시오.
시작하기 전에
전역 영역에서 네트워크 설정을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 또는 시스템 관리자 역할이 이러한 설정을 확인할 수 있습니다.
주 - tnd 서비스는 ldap 서비스가 실행 중인 경우에만 실행됩니다.
자세한 내용은 tnd(1M) 매뉴얼 페이지를 참조하십시오.
예를 들어, LDAP을 사용하여 네트워크를 관리하는 사이트에서 항목은 다음과 유사합니다.
# Trusted Extensions tnrhtp: files ldap tnrhdb: files ldap
이러한 항목을 수정하려면 시스템 관리자가 이름 서비스 스위치 작업을 사용합니다. 자세한 내용은 Trusted Extensions에서 CDE 관리 작업을 시작하는 방법을 참조하십시오. 이 작업은 필요한 DAC 및 MAC 파일 권한을 유지합니다.
$ ldaplist -l
$ ldaplist -l hosts | grep hostname
Security Templates(보안 템플리트) 도구에서 각 호스트가 다른 호스트의 보안 템플리트와 호환되는 보안 템플리트에 할당되었는지 확인합니다.
레이블이 없는 시스템의 경우 기본 레이블 할당이 올바른지 확인합니다.
Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구에서 다중 레벨 포트(MLP)가 올바르게 구성되었는지 확인합니다.
각 호스트 커널 캐시의 할당이 네트워크의 할당 및 다른 호스트의 할당과 일치하는지 확인합니다.
소스, 대상 및 게이트웨이 호스트에 대한 보안 정보를 얻으려면 tninfo 명령을 사용합니다.
$ tninfo -h hostname IP Address: IP-address Template: template-name
$ tninfo -t template-name template: template-name host_type: one of CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
네트워크 보안 정보를 변경하거나 확인하려면 Solaris Management Console 도구를 사용합니다. 자세한 내용은 신뢰할 수 있는 네트워킹 도구를 여는 방법을 참조하십시오.
커널 캐시를 업데이트하려면 정보가 오래된 호스트에서 tnctl 서비스를 재시작합니다. 이 프로세스가 완료될 때까지 기다립니다. 그런 다음 tnd 서비스를 새로 고칩니다. 새로 고침에 실패할 경우 tnd 서비스를 재시작해 봅니다. 자세한 내용은 커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법을 참조하십시오.
주 - tnd 서비스는 ldap 서비스가 실행 중인 경우에만 실행됩니다.
재부팅하면 커널 캐시가 지워집니다. 부팅 시 캐시는 데이터베이스 정보로 채워집니다. nsswitch.conf 파일은 커널을 채우는 데 로컬 데이터베이스나 LDAP 데이터베이스가 사용되는지 결정합니다.
route 명령에 대한 get 하위 명령을 사용합니다.
$ route get [ip] -secattr sl=label,doi=integer
자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.
snoop -v 명령을 사용합니다.
-v 옵션은 레이블 정보를 포함한 패킷 헤더의 세부 사항을 표시합니다. 이 명령은 많은 세부 사항을 제공하므로 명령이 검사하는 패킷을 제한하는 것이 좋습니다. 자세한 내용은 snoop(1M) 매뉴얼 페이지를 참조하십시오.
netstat -a|-r 명령과 함께 -R 옵션을 사용합니다.
-aR 옵션은 소켓에 대한 확장 보안 속성을 표시합니다. -rR 옵션은 라우팅 테이블 항목을 표시합니다. 자세한 내용은 netstat(1M) 매뉴얼 페이지를 참조하십시오.
LDAP 서버에서 클라이언트 항목을 잘못 구성하면 클라이언트가 서버와 통신하지 못할 수 있습니다. 마찬가지로 클라이언트에서 파일을 잘못 구성해도 통신에 방해가 될 수 있습니다. 클라이언트와 서버 간 통신 문제를 디버깅할 때 다음 항목과 파일을 확인하십시오.
시작하기 전에
LDAP 클라이언트의 전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
# tninfo -h LDAP-server # route get LDAP-server # tninfo -h gateway-to-LDAP-server
원격 호스트 템플리트 할당이 올바르지 않을 경우 Solaris Management Console에서 Security Templates(보안 템플리트) 도구를 사용하여 올바른 템플리트에 호스트를 할당합니다.
시스템, 시스템의 레이블이 있는 영역에 대한 인터페이스, LDAP 서버에 대한 게이트웨이 및 LDAP 서버가 파일에 나열되어야 합니다. 추가 항목이 있을 수도 있습니다.
중복된 항목을 찾습니다. 다른 시스템의 레이블이 있는 영역인 항목을 제거합니다. 예를 들어, Lserver가 LDAP 서버의 이름이고 LServer-zones가 레이블이 있는 영역에 대한 공유 인터페이스인 경우 /etc/hosts에서 LServer-zones를 제거합니다.
# more resolv.conf search list of domains domain domain-name nameserver IP-address ... nameserver IP-address
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
Oracle Solaris ZFS를 사용하는 경우 재부팅하기 전에 영역을 중지하고 파일 시스템을 잠급니다. ZFS를 사용하지 않는 경우 위의 과정을 생략하고 재부팅할 수 있습니다.
# zoneadm list # zoneadm -z zone-name halt # lockfs -fa # reboot