RBAC를 사용하여 도메인 콘솔에 대한 액세스 제어

기본적으로 모든 사용자가 모든 도메인 콘솔에 액세스할 수 있습니다. 도메인 콘솔에 대한 액세스를 제어하려면 권한 부여 확인이 수행되도록 vntsd 데몬을 구성하십시오. vntsd 데몬은 vntsd/authorization이라는 SMF(서비스 관리 기능) 등록 정보를 제공합니다. 도메인 콘솔 또는 콘솔 그룹에 대해 사용자 및 역할의 권한 부여 확인이 사용으로 설정되도록 이 등록 정보를 구성할 수 있습니다. 권한 부여 확인을 사용으로 설정하려면 svccfg 명령을 사용하여 이 등록 정보의 값을 true로 설정하십시오. 이 옵션이 사용으로 설정된 상태에서 vntsd는 localhost에서만 연결을 수신하고 수락합니다. vntsd/authorization이 사용으로 설정된 상태에서는 listen_addr 등록 정보가 대체 IP 주소를 지정하는 경우에도 vntsd는 대체 IP 주소를 무시하고 계속 localhost에서만 수신합니다.

---

주의 - localhost 이외의 다른 호스트를 사용하려면 vntsd 서비스를 구성하지 마십시오. localhost 이외의 다른 호스트를 지정할 경우 더 이상 컨트롤 도메인에서 게스트 도메인 콘솔로의 연결이 제한되지 않습니다. telnet 명령을 사용하여 게스트 도메인에 원격으로 연결할 경우 네트워크를 통해 일반 텍스트로 로그인 자격 증명이 전달됩니다.

---

기본적으로 모든 게스트 콘솔에 액세스할 수 있는 권한 부여는 로컬 auth_attr 데이터베이스에서 제공됩니다.

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

로컬 파일에서 사용자 또는 역할에 필요한 권한 부여를 지정하려면 usermod 명령을 사용하십시오. 이 명령은 필요한 권한 부여를 가진 사용자 또는 역할만 지정된 도메인 콘솔 또는 콘솔 그룹에 액세스할 수 있도록 허용합니다. 이름 지정 서비스에서 사용자 또는 역할에 권한 부여를 지정하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.

모든 도메인 콘솔에 대한 액세스를 제어할 수도 있고, 단일 도메인 콘솔에 대한 액세스를 제어할 수도 있습니다.

• 모든 도메인 콘솔에 대한 액세스를 제어하려면 역할을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법 및 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법을 참조하십시오.

• 단일 도메인 콘솔에 대한 액세스를 제어하려면 역할을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법 및 권한 프로파일을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법을 참조하십시오.

역할을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법

1. 콘솔 권한 부여 확인을 사용으로 설정하여 도메인 콘솔에 대한 액세스를 제한합니다.

   primary# svccfg -s vntsd setprop vntsd/authorization = true
   primary# svcadm refresh vntsd
   primary# svcadm restart vntsd

2. 모든 도메인 콘솔에 대한 액세스를 허용하는 solaris.vntsd.consoles 권한 부여를 가진 역할을 만듭니다.

   primary# roleadd -A solaris.vntsd.consoles role-name
   primary# passwd all_cons

3. 사용자에게 새 역할을 지정합니다.

   primary# usermod -R role-name username

예 3-2 역할을 사용하여 모든 도메인 콘솔에 대한 액세스 제어

먼저 도메인 콘솔에 대한 액세스가 제한되도록 콘솔 권한 부여 확인을 사용으로 설정합니다.

primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
primary# ldm ls
NAME             STATE      FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active     -n-cv-  UART    8     16G      0.2%  47m
ldg1             active     -n--v-  5000    2     1G       0.1%  17h 50m
ldg2             active     -t----  5001    4     2G        25%  11s

다음 예에서는 모든 도메인 콘솔에 대한 액세스를 허용하는 solaris.vntsd.consoles 권한 부여를 가진 all_cons 역할을 만드는 방법을 보여줍니다.

primary# roleadd -A solaris.vntsd.consoles all_cons
primary# passwd all_cons
New Password:
Re-enter new Password:
passwd: password successfully changed for all_cons

이 명령은 사용자 sam에게 all_cons 역할을 지정합니다.

primary# usermod -R all_cons sam

그러면 사용자 sam이 all_cons 역할을 맡고 모든 콘솔에 액세스할 수 있습니다. 예를 들어, 다음과 같습니다.

$ id
uid=700299(sam) gid=1(other)
-bash-3.2$ su all_cons
Password:
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg2" in group "ldg2" ....
Press ~? for control options ..

이 예에서는 권한이 부여되지 않은 사용자 dana가 도메인 콘솔에 액세스하려고 시도할 때 발생하는 오류를 보여줍니다.

$ id
uid=702048(dana) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법

1. solaris.vntsd.consoles 권한 부여를 가진 권한 프로파일을 만듭니다.
   • Oracle Solaris 10 OS의 경우 /etc/security/prof_attr 파일을 편집합니다.

     다음 항목을 포함합니다.

     LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles

   • Oracle Solaris 11 OS의 경우 profiles 명령을 사용하여 새 프로파일을 만듭니다.

     primary# profiles -p "LDoms Consoles" \
     'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'

2. 사용자에게 권한 프로파일을 지정합니다.
   • Oracle Solaris 10 OS의 경우 사용자에게 권한 프로파일을 지정합니다.

     primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

     LDoms Consoles 프로파일을 추가할 때 기존 프로파일을 지정하려는 경우 신중해야 합니다. 이전 명령은 사용자에게 이미 All 및 Basic Solaris User 프로파일이 있음을 보여줍니다.

   • Oracle Solaris 11 OS의 경우 사용자에게 권한 프로파일을 지정합니다.

     primary# usermod -P +"LDoms Consoles" username

3. 해당 사용자로 도메인 콘솔에 연결합니다.

   $ telnet 0 5000

예 3-3 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스 제어

다음 예에서는 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법을 보여줍니다.

• Oracle Solaris 10: /etc/security/prof_attr 파일에 다음 항목을 추가하여 solaris.vntsd.consoles 권한 부여를 가진 권한 프로파일을 만듭니다.

  LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles

  username에 권한 프로파일을 지정합니다.

  primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

  다음 명령은 사용자가 sam이며 All, Basic Solaris User 및 LDoms Consoles 권한 프로파일이 적용되는지 확인하는 방법을 보여줍니다. telnet 명령은 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.

  $ id
  uid=702048(sam) gid=1(other)
  $ profiles
  All
  Basic Solaris User
  LDoms Consoles
  $ telnet 0 5000
  Trying 0.0.0.0...
  Connected to 0.
  Escape character is '^]'.
  
  Connecting to console "ldg1" in group "ldg1" ....
  Press ~? for control options ..

• Oracle Solaris 11: profiles 명령을 사용하여 /etc/security/prof_attr 파일의 solaris.vntsd.consoles 권한 부여를 가진 권한 프로파일을 만듭니다.

  primary# profiles -p "LDoms Consoles" \
  'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'

  사용자에게 권한 프로파일을 지정합니다.

  primary# usermod -P +"LDoms Consoles" sam

  다음 명령은 사용자가 sam이며 All, Basic Solaris User 및 LDoms Consoles 권한 프로파일이 적용되는지 확인하는 방법을 보여줍니다. telnet 명령은 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.

  $ id
  uid=702048(sam) gid=1(other)
  $ profiles
  All
  Basic Solaris User
  LDoms Consoles
  $ telnet 0 5000
  Trying 0.0.0.0...
  Connected to 0.
  Escape character is '^]'.
  
  Connecting to console "ldg1" in group "ldg1" ....
  Press ~? for control options ..

역할을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법

1. /etc/security/auth_attr 파일에 단일 도메인에 대한 권한 부여를 추가합니다.

   권한 부여 이름은 도메인 이름에서 파생되며 solaris.vntsd.console-domain-name 형식입니다.

   solaris.vntsd.console-domain-name:::Access domain-name Console::

2. 해당 도메인 콘솔에 대해서만 액세스를 허용하는 새 권한 부여를 가진 역할을 만듭니다.

   primary# roleadd -A solaris.vntsd.console-domain-name role-name
   primary# passwd role-name
   New Password:
   Re-enter new Password:
   passwd: password successfully changed for role-name

3. 사용자에게 role-name 역할을 지정합니다.

   primary# usermod -R role-name username

예 3-4 단일 도메인 콘솔에 액세스

이 예에서는 사용자 terry가 ldg1cons 역할을 맡고 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.

먼저 /etc/security/auth_attr 파일에 단일 도메인 ldg1에 대한 권한 부여를 추가합니다.

solaris.vntsd.console-ldg1:::Access ldg1 Console::

그런 다음 해당 도메인 콘솔에 대해서만 액세스를 허용하는 새 권한 부여를 가진 역할을 만듭니다.

primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons
primary# passwd ldg1cons
New Password:
Re-enter new Password:
passwd: password successfully changed for ldg1cons

사용자 terry에게 ldg1cons 역할을 지정하고 ldg1cons 역할을 맡은 다음 도메인 콘솔에 액세스합니다.

primary# usermod -R ldg1cons terry
primary# su ldg1cons
Password:
$ id
uid=700303(ldg1cons) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

다음에서는 사용자 terry가 ldg2 도메인 콘솔에 액세스할 수 없음을 보여줍니다.

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

권한 프로파일을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법

1. /etc/security/auth_attr 파일에 단일 도메인에 대한 권한 부여를 추가합니다.

   다음 항목 예에서는 단일 도메인 콘솔에 대한 권한 부여를 추가합니다.

   solaris.vntsd.console-domain-name:::Access domain-name Console::

2. 특정 도메인 콘솔에 액세스하는 권한 부여를 가진 권한 프로파일을 만듭니다.
   • Oracle Solaris 10 OS의 경우 /etc/security/prof_attr 파일을 편집합니다.

     domain-name Console:::Access domain-name
     Console:auths=solaris.vntsd.console-domain-name

     이 항목은 한 행이어야 합니다.

   • Oracle Solaris 11 OS의 경우 profiles 명령을 사용하여 새 프로파일을 만듭니다.

     primary# profiles -p "domain-name Console" \
     'set desc="Access domain-name Console";
     set auths=solaris.vntsd.console-domain-name'

3. 사용자에게 권한 프로파일을 지정합니다.

   다음 명령은 사용자에게 프로파일을 지정합니다.

   • Oracle Solaris 10 OS의 경우 권한 프로파일을 지정합니다.

     primary# usermod -P "All,Basic Solaris User,domain-name Console" username

     All 및 Basic Solaris User 프로파일이 필요합니다.

   • Oracle Solaris 11 OS의 경우 권한 프로파일을 지정합니다.

     primary# usermod -P +"domain-name Console" username