영역 관리(작업 맵)

다음 작업 맵에서는 Trusted Extensions에 특정한 영역 관리 작업을 설명합니다. 또한 이 맵은 Oracle Solaris 시스템과 Trusted Extensions에서 수행되는 공통 절차를 알려줍니다.

작업	설명	수행 방법
모든 영역을 봅니다.	모든 레이블에서 현재 영역의 지배를 받는 영역을 봅니다.	준비 또는 실행 중인 영역을 표시하는 방법
마운트된 디렉토리를 봅니다.	모든 레이블에서 현재 레이블의 지배를 받는 디렉토리를 봅니다.	마운트된 파일의 레이블을 표시하는 방법
일반 사용자가 `/etc` 파일을 볼 수 있게 합니다.	루프백에서는 레이블이 있는 영역에 기본적으로 표시되지 않는 디렉토리 또는 파일을 전역 영역에서 마운트합니다.	레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법
일반 사용자가 상위 레이블에서 하위 수준 홈 디렉토리를 보지 못하게 합니다.	기본적으로 하위 수준 디렉토리는 상위 수준 영역에서 표시됩니다. 한 하위 수준 영역의 마운트를 비활성화하면 하위 수준 영역의 모든 마운트가 비활성화됩니다.	하위 수준 파일의 마운트를 비활성화하는 방법
파일에서 레이블을 변경할 수 있도록 영역을 구성합니다.	레이블이 있는 영역은 제한된 권한을 가집니다. 기본적으로 레이블이 있는 영역에는 인증된 사용자가 파일 레이블을 변경하게 할 수 있는 권한이 없습니다. 영역 구성을 수정하여 권한을 추가합니다.	레이블이 있는 영역에서 파일의 레이블을 변경할 수 있게 설정하는 방법
레이블이 있는 영역의 내부 또는 외부로 파일이나 디렉토리를 이동합니다.	파일이나 디렉토리의 레이블을 변경하여 해당 보안 수준을 변경합니다.	Oracle Solaris Trusted Extensions 사용자 설명서의 Trusted CDE에서 레이블 간에 파일을 이동하는 방법
ZFS 데이터 집합을 레이블이 있는 영역에 연결하고 공유합니다.	레이블이 있는 영역에서 읽기/쓰기 권한으로 ZFS 데이터 집합을 마운트하고 상위 영역과 읽기 전용으로 공유합니다.	레이블이 있는 영역에서 ZFS 데이터 집합을 공유하는 방법
새 영역을 구성합니다.	이 시스템에서 영역의 레이블을 지정하는 데 현재 사용되고 있지 않은 레이블에서 영역을 만듭니다.	Oracle Solaris Trusted Extensions 구성 설명서의 영역의 이름 및 레이블 지정을 참조하십시오. 그런 다음 초기 설치 팀에서 다른 영역을 만드는 데 사용한 절차를 따릅니다. 작업 단계는 Oracle Solaris Trusted Extensions 구성 설명서의 레이블이 있는 영역 만들기를 참조하십시오.
응용 프로그램에 대한 다중 레벨 포트를 만듭니다.	다중 레벨 포트는 레이블이 있는 영역에 대한 다중 레벨 피드를 필요로 하는 프로그램에 유용합니다.	`udp`를 통해 NFSv3에 대한 다중 레벨 포트를 구성하는 방법 영역에 대한 다중 레벨 포트를 만드는 방법
NFS 마운트 및 액세스 문제를 해결합니다.	마운트 및 영역에 대한 일반 액세스 문제를 디버깅합니다.	Trusted Extensions에서 마운트 실패 문제를 해결하는 방법
레이블이 있는 영역을 제거합니다.	레이블이 있는 영역을 시스템에서 완전히 제거합니다.	System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 How to Remove a Non-Global Zone

준비 또는 실행 중인 영역을 표시하는 방법

이 절차에서는 현재 영역과 현재 영역에서 지배하는 모든 영역의 레이블을 표시하는 쉘 스크립트를 만듭니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

신뢰할 수 있는 편집기를 사용하여 getzonelabels 스크립트를 만듭니다.
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
스크립트에 경로 이름(예: /usr/local/scripts/getzonelabels)을 제공합니다.

다음 내용을 추가하고 파일을 저장합니다.

#!/bin/sh
#
echo "NAME\t\tSTATUS\t\tLABEL"
echo "====\t\t======\t\t====="
myzone=`zonename`
for i in `/usr/sbin/zoneadm list -p` ; do
        zone=`echo $i | cut -d ":" -f2`
        status=`echo $i | cut -d ":" -f3`
        path=`echo $i | cut -d ":" -f4`
        if [ $zone != global ]; then
                if [ $myzone = global ]; then
                        path=$path/root/tmp
                else
                        path=$path/export/home
                fi
        fi
        label=`/usr/bin/getlabel -s $path |cut -d ":" -f2-9`
        if [ `echo $zone|wc -m` -lt 8 ]; then
                echo "$zone\t\t$status\t$label"
        else
                echo "$zone\t$status\t$label"
        fi
done

전역 영역에서 스크립트를 테스트합니다.

# getzonelabels
NAME            STATUS          LABEL
====            ======          =====
global          running         ADMIN_HIGH
needtoknow      running         CONFIDENTIAL : NEED TO KNOW
restricted      ready           CONFIDENTIAL : RESTRICTED
internal        running         CONFIDENTIAL : INTERNAL
public          running         PUBLIC

스크립트를 전역 영역에서 실행하면 준비되거나 실행 중인 모든 영역의 레이블이 표시됩니다. 다음은 기본 label_encodings 파일에서 만든 영역에 대한 전역 영역 출력입니다.

예 10-1 준비 또는 실행 중인 모든 영역의 레이블 표시

다음 예에서는 internal 영역에서 getzonelabels 스크립트를 실행합니다.

# getzonelabels
NAME            STATUS          LABEL
====            ======          =====
internal        running         CONFIDENTIAL : INTERNAL
public          running         PUBLIC

마운트된 파일의 레이블을 표시하는 방법

이 절차에서는 현재 영역의 마운트된 파일 시스템을 표시하는 쉘 스크립트를 만듭니다. 이 스크립트를 전역 영역에서 실행하면 모든 영역의 마운트된 모든 파일 시스템의 레이블이 표시됩니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

신뢰할 수 있는 편집기를 사용하여 getmounts 스크립트를 만듭니다.
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
스크립트에 경로 이름(예: /usr/local/scripts/getmounts)을 제공합니다.

다음 내용을 추가하고 파일을 저장합니다.

#!/bin/sh
#
for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
        /usr/bin/getlabel $i
done

전역 영역에서 스크립트를 테스트합니다.

# /usr/local/scripts/getmounts
/:      ADMIN_LOW
/dev:   ADMIN_LOW
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/zone/restricted/export/home:   CONFIDENTIAL : RESTRICTED
/proc:  ADMIN_LOW
/system/contract:       ADMIN_LOW
/etc/svc/volatile:      ADMIN_LOW
/etc/mnttab:    ADMIN_LOW
/dev/fd:        ADMIN_LOW
/tmp:           ADMIN_LOW
/var/run:       ADMIN_LOW
/zone/public/export/home:  PUBLIC
/root:          ADMIN_LOW

예 10-2 restricted 영역의 파일 시스템 레이블 표시

일반 사용자가 레이블이 있는 영역에서 getmounts 스크립트를 실행하면 해당 영역에 마운트된 모든 파일 시스템의 레이블이 표시됩니다. 시스템에서 기본 label_encodings 파일의 모든 레이블에 대해 영역을 만든 경우 restricted 영역에서 다음 내용이 출력됩니다.

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/gfaden:   CONFIDENTIAL : RESTRICTED

레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법

이 절차에서는 지정된 레이블이 있는 영역의 사용자가 전역 영역에서 기본적으로 내보내지 않는 파일을 볼 수 있도록 설정합니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
파일이나 디렉토리를 루프백 마운트합니다.
예를 들어, 일반 사용자가 /etc 디렉토리에서 파일을 볼 수 있도록 허용합니다.
```
# zonecfg -z zone-name
 add filesystem
 set special=/etc/filename
 set directory=/etc/filename
 set type=lofs
 add options [ro,nodevices,nosetuid]
 end
 exit
```
주 - 시스템에서 사용되지 않는 파일은 루프백 마운트해도 효과가 없습니다. 예를 들어, 레이블이 있는 영역의 /etc/dfs/dfstab 파일은 Trusted Extensions 소프트웨어에서 확인되지 않습니다. 자세한 내용은 레이블이 있는 영역에서 파일 공유를 참조하십시오.
영역을 시작합니다.
```
# zoneadm -z zone-name boot
```

예 10-3 /etc/passwd 파일 루프백 마운트

이 예에서 보안 관리자는 테스터와 프로그래머가 로컬 암호가 설정되었는지 확인할 수 있도록 합니다. sandbox 영역이 중지된 후 passwd 파일을 루프백 마운트하도록 구성됩니다. 그런 다음 영역이 다시 시작됩니다.

# zoneadm -z sandbox halt
# zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z sandbox boot

하위 수준 파일의 마운트를 비활성화하는 방법

기본적으로 사용자는 하위 수준 파일을 볼 수 있습니다. 특정 영역에서 모든 하위 수준 파일을 보지 못하도록 net_mac_aware 권한을 제거합니다. net_mac_aware 권한에 대한 자세한 내용은 privileges(5) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
하위 수준 파일을 보지 못하도록 영역을 구성합니다.
영역에서 net_mac_aware 권한을 제거합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,!net_mac_aware
 exit
```
영역을 다시 시작합니다.
```
# zoneadm -z zone-name boot
```

예 10-4 사용자가 하위 수준 파일을 보지 못하도록 금지

이 예에서 보안 관리자는 특정 시스템의 사용자가 혼돈을 일으키지 않게 하려고 합니다. 그 결과, 사용자는 자신이 작업 중인 레이블의 파일만 볼 수 있습니다. 따라서 보안 관리자는 모든 하위 수준 파일 보기를 금지합니다. 이 시스템에서 사용자는 PUBLIC 레이블에서 작업 중인 경우가 아니면 공개적으로 사용 가능한 파일을 볼 수 없습니다. 또한 영역 레이블의 파일만 NFS 마운트할 수 있습니다.

# zoneadm -z restricted halt
# zonecfg -z restricted set limitpriv=default,!net_mac_aware exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal set limitpriv=default,!net_mac_aware exit
# zoneadm -z internal boot

PUBLIC은 최하위 레이블이므로 보안 관리자는 PUBLIC 영역에 대해 명령을 실행하지 않습니다.

레이블이 있는 영역에서 ZFS 데이터 집합을 공유하는 방법

이 절차에서는 레이블이 있는 영역에서 읽기/쓰기 권한으로 ZFS 데이터 집합을 마운트합니다. 모든 명령은 전역 영역에서 실행되므로 전역 영역 관리자는 레이블이 있는 영역에 대한 ZFS 데이터 집합 추가를 제어합니다.

데이터 집합을 공유하려면 최소한 레이블이 있는 영역이 ready 상태에 있어야 합니다. 영역이 running 상태일 수 있습니다.

시작하기 전에

데이터 집합으로 영역을 구성하려면 영역을 중지합니다.

ZFS 데이터 집합을 만듭니다.
```
# zfs create datasetdir/subdir
```
데이터 집합의 이름에 디렉토리(예: zone/data)가 포함될 수 있습니다.
전역 영역에서 레이블이 있는 영역을 중지합니다.
```
# zoneadm -z labeled-zone-name halt
```
데이터 집합의 마운트 지점을 설정합니다.
```
# zfs set mountpoint=legacy datasetdir/subdir
```
ZFS mountpoint 특성을 설정하면 마운트 지점이 레이블이 있는 영역과 일치하는 경우 마운트 지점의 레이블이 설정됩니다.
데이터 집합을 영역에 파일 시스템으로 추가합니다.
```
# zonecfg -z labeled-zone-name
# zonecfg:labeled-zone-name> add fs
# zonecfg:labeled-zone-name:dataset> set dir=/subdir
# zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
# zonecfg:labeled-zone-name:dataset> set type=zfs
# zonecfg:labeled-zone-name:dataset> end
# zonecfg:labeled-zone-name> exit
```
데이터 집합을 파일 시스템으로 추가하면 dfstab 파일이 해석되기 전에 데이터 집합이 영역의 /data에 마운트됩니다. 이 단계를 수행하면 영역이 부팅되기 전에 데이터 집합이 마운트되지 않습니다. 즉, 영역이 부팅되고, 데이터 집합이 마운트된 다음 dfstab 파일이 해석됩니다.
데이터 집합을 공유합니다.
/zone/labeled-zone-name/etc/dfs/dfstab 파일에 데이터 집합 파일 시스템에 대한 항목을 추가합니다. 또한 이 항목은 /subdir 경로 이름을 사용합니다.
```
share  -F nfs  -d "dataset-comment"  /subdir
```
레이블이 있는 영역을 부트합니다.
```
# zoneadm -z labeled-zone-name boot
```
영역이 부팅되면 데이터 집합이 labeled-zone-name 영역 레이블을 사용하여 labeled-zone-name 영역에서 읽기/쓰기 마운트 지점으로 자동으로 마운트됩니다.

예 10-5 레이블이 있는 영역에서 ZFS 데이터 집합 공유 및 마운트

이 예에서 관리자는 ZFS 데이터 집합을 needtoknow 영역에 추가하여 공유합니다. zone/data 데이터 집합은 /mnt 마운트 지점에 할당되어 있습니다. restricted 영역의 사용자는 이 데이터 집합을 볼 수 있습니다.

먼저 관리자가 영역을 중지합니다.

# zoneadm -z needtoknow halt

데이터 집합이 다른 마운트 지점에 할당되어 있으므로 관리자는 이전 할당을 제거한 다음 새 마운트 지점을 설정합니다.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

그런 다음 zonecfg 대화형 인터페이스에서 관리자는 데이터 집합을 needtoknow 영역에 명시적으로 추가합니다.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

관리자는 데이터 집합을 공유하도록 /zone/needtoknow/etc/dfs/dfstab 파일을 수정한 다음 needtoknow 영역을 부팅합니다.

## Global zone dfstab file for needtoknow zone
share -F nfs -d "App Data on ZFS" /data

# zoneadm -z needtoknow boot

이제 데이터 집합을 액세스할 수 있습니다.

needtoknow 영역을 지배하는 restricted 영역의 사용자는 /data 디렉토리로 변경하여 마운트된 데이터 집합을 볼 수 있습니다. 또한 전역 영역의 관점에서 마운트된 데이터 집합의 전체 경로를 사용합니다. 이 예에서 machine1은 레이블이 있는 영역을 포함하는 시스템의 호스트 이름입니다. 관리자가 호스트 이름을 공유되지 않는 IP 주소에 할당했습니다.

# cd /net/machine1/zone/needtoknow/root/data

일반 오류

상위 레이블에서 데이터 집합에 연결할 때 not found(찾을 수 없음) 또는 No such file or directory(해당 파일 또는 디렉토리 없음) 오류가 표시되는 경우 관리자는 svcadm restart autofs 명령을 실행하여 자동 마운트 서비스를 다시 시작해야 합니다.

레이블이 있는 영역에서 파일의 레이블을 변경할 수 있게 설정하는 방법

이 절차를 수행해야 사용자가 파일의 레이블을 바꿀 수 있습니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
레이블을 바꿀 수 있게 영역을 구성합니다.
영역에 적절한 권한을 추가합니다. 창 권한을 사용하면 끌어서 놓기 및 잘라내기/붙여넣기 작업을 수행할 수 있습니다.
- 다운그레이드를 활성화하려면 영역에 file_downgrade_sl 권한을 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,file_downgrade_sl
 exit
```
- 업그레이드를 활성화하려면 영역에 sys_trans_label 및 file_upgrade_sl 권한을 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,sys_trans_label,file_upgrade_sl
 exit
```
- 업그레이드와 다운그레이드를 모두 활성화하려면 세 권한을 영역에 모두 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,sys_trans_label,file_downgrade_sl,
 file_upgrade_sl
 exit
```
영역을 다시 시작합니다.
```
# zoneadm -z zone-name boot
```
레이블 바꾸기를 허용하는 사용자 및 프로세스 요구 사항은 setflabel(3TSOL) 매뉴얼 페이지를 참조하십시오. 파일 레이블을 바꿀 수 있게 사용자를 인증하려면 사용자가 데이터의 보안 수준을 변경할 수 있게 하는 방법을 참조하십시오.

예 10-6 internal 영역에서 업그레이드 활성화

이 예에서 보안 관리자는 시스템의 인증된 사용자가 파일을 업그레이드할 수 있게 하려고 합니다. 사용자가 정보를 업그레이드할 수 있게 함으로써 관리자는 높은 보안 레벨로 정보를 보호할 수 있습니다. 전역 영역에서 관리자는 다음 영역 관리 명령을 실행합니다.

# zoneadm -z internal halt
# zonecfg -z internal set limitpriv=default,sys_trans_label,file_upgrade_sl exit
# zoneadm -z internal boot

인증된 사용자는 이제 internal 정보를 internal 영역에서 restricted 영역으로 업그레이드할 수 있습니다.

예 10-7 restricted 영역에서 다운그레이드 활성화

이 예에서 보안 관리자는 시스템의 인증된 사용자가 파일을 다운그레이드할 수 있게 하려고 합니다. 관리자가 영역에 창 권한을 추가하지 않았기 때문에 인증된 사용자는 File Manager(파일 관리자)를 사용하여 파일의 레이블을 바꿀 수 없습니다. 사용자가 파일의 레이블을 바꾸려면 setlabel 명령을 사용합니다.

사용자가 정보를 다운그레이드할 수 있게 설정하여 관리자는 사용자에게 낮은 보안 레벨로 파일에 액세스할 수 있게 허용합니다. 전역 영역에서 관리자는 다음 영역 관리 명령을 실행합니다.

# zoneadm -z restricted halt
# zonecfg -z restricted set limitpriv=default,file_downgrade_sl exit
# zoneadm -z restricted boot

인증된 사용자는 이제 setlabel 명령을 사용하여 restricted 정보를 restricted 영역에서 internal 또는 public 영역으로 다운그레이드할 수 있습니다.

`udp`를 통해 NFSv3에 대한 다중 레벨 포트를 구성하는 방법

이 절차는 udp를 통해 NFSv3 하위 읽기(read-down) 마운트를 활성화하는 데 사용됩니다. Solaris Management Console은 MLP를 추가하는 데 사용됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Solaris Management Console을 시작합니다.
자세한 내용은 Solaris Management Console에서 로컬 시스템을 관리하는 방법을 참조하십시오.
Files(파일) 도구 상자를 선택합니다.
도구 상자 제목에 Scope=Files, Policy=TSOL이 포함됩니다.
영역과 MLP를 구성합니다.
1. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구로 이동합니다.
2. 전역 영역을 두 번 누릅니다.
3. UDP 프로토콜에 대해 다중 레벨 포트를 추가합니다.
  1. Add for the Multilevel Ports for Zone's IP Addresses(영역 IP 주소에 대해 다중 레벨 포트 추가)를 누릅니다.
  2. 포트 번호로 2049를 입력하고 OK(확인)를 누릅니다.
4. 확인을 눌러 설정을 저장합니다.
Solaris Management Console을 닫습니다.

커널을 업데이트합니다.

# tnctl -fz /etc/security/tsol/tnzonecfg

영역에 대한 다중 레벨 포트를 만드는 방법

레이블이 있는 영역에서 실행되는 응용 프로그램에 영역과의 통신을 위한 MLP(다중 레벨 포트)가 필요한 경우 이 절차를 사용합니다. 이 절차에서 웹 프록시는 영역과 통신합니다. Solaris Management Console은 MLP를 추가하는 데 사용됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 레이블이 있는 영역이 존재해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions 구성 설명서의 레이블이 있는 영역 만들기를 참조하십시오.

Solaris Management Console을 시작합니다.
자세한 내용은 Solaris Management Console에서 로컬 시스템을 관리하는 방법을 참조하십시오.
Files(파일) 도구 상자를 선택합니다.
도구 상자 제목에 Scope=Files, Policy=TSOL이 포함됩니다.
프록시 호스트와 웹 서비스 호스트를 컴퓨터 목록에 추가합니다.
1. System Configuration(시스템 구성)에서 Computers and Networks(컴퓨터 및 네트워크) 도구로 이동합니다.
2. Computers(컴퓨터) 도구에서 Action(작업) 메뉴를 누르고 Add Computer(컴퓨터 추가)를 선택합니다.
3. 프록시 호스트에 대한 호스트 이름과 IP 주소를 추가합니다.
4. 변경 사항을 저장합니다.
5. 웹 서비스 호스트에 대한 호스트 이름과 IP 주소를 추가합니다.
6. 변경 사항을 저장합니다.
영역과 MLP를 구성합니다.
1. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구로 이동합니다.
2. 레이블이 있는 영역을 선택합니다.
3. MLP Configuration for Local IP Addresses(로컬 IP 주소에 대한 MLP 구성) 구역에서 적절한 포트/프로토콜 필드를 지정합니다.
4. 변경 사항을 저장합니다.
영역에 대해 다음 단계를 수행하여 템플리트를 사용자 정의합니다.
1. Security Templates(보안 템플리트) 도구로 이동합니다.
  Action(작업) 메뉴를 누르고 Add Template(템플리트 추가)를 선택합니다.
2. 템플리트 이름에 대해 호스트 이름을 사용합니다.
3. Host Type(호스트 유형)으로 CIPSO를 지정합니다.
4. Minimum Label(최소 레이블) 및 Maximum Label(최대 레이블)로 영역의 레이블을 사용합니다.
5. 보안 레이블 집합에 영역 레이블을 할당합니다.
6. Hosts Explicitly Assigned(명시적으로 할당된 호스트) 탭을 선택합니다.
7. Add an Entry(항목 추가) 구역에서 영역에 연결된 IP 주소를 추가합니다.
8. 변경 사항을 저장합니다.
Solaris Management Console을 닫습니다.
영역을 시작합니다.
```
# zoneadm -z zone-name boot
```
전역 영역에서 새 주소에 대한 경로를 추가합니다.
예를 들어, 영역에 공유 IP 주소가 있는 경우 다음을 수행합니다.
```
# route add proxy labeled-zones-IP-address
# route add webservice labeled-zones-IP-address
```

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어)