| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
다음 데이터베이스는 RBAC 요소에 대한 데이터를 저장합니다.
확장된 사용자 속성 데이터베이스(user_attr) – 사용자와 역할을 권한 부여, 권한, 키워드 및 권한 프로파일과 연관시킵니다.
권한 프로파일 속성 데이터베이스(prof_attr) – 권한 프로파일을 정의하고 프로파일의 지정된 권한 부여, 권한, 키워드를 나열하고 연관된 도움말 파일을 식별합니다.
권한 부여 속성 데이터베이스(auth_attr) – 권한 부여와 해당 속성을 정의하고 연관된 도움말 파일을 식별합니다.
실행 속성 데이터베이스(exec_attr) – 특정 권한 프로파일에 지정된 보안 속성 포함 명령을 식별합니다.
policy.conf 데이터베이스는 모든 사용자에 적용된 권한 부여, 권한 및 권한 프로파일을 포함합니다. 자세한 내용은 policy.conf 파일을 참조하십시오.
RBAC 데이터베이스의 이름 서비스 범위는 이름 지정 서비스 스위치 svc:/system/name-service/switch에 대한 SMF 서비스에 정의됩니다. RBAC 데이터베이스에 대한 이 서비스의 등록 정보는 auth_attr, password, prof_attr입니다. password 등록 정보는 passwd 및 user_attr 데이터베이스에 대한 이름 지정 서비스 우선 순위를 설정합니다. prof_attr 등록 정보는 prof_attr 및 exec_attr 데이터베이스에 대한 이름 지정 서비스 우선 순위를 설정합니다.
다음 출력에서 auth_attr, password, prof_attr 항목이 나열되지 않습니다. 따라서 RBAC 데이터베이스는 files 이름 지정 서비스를 사용하고 있습니다.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files ldap dns" config/printer astring "user files ldap"
user_attr 데이터베이스는 passwd 및 shadow 데이터베이스를 보충하는 사용자 및 역할 정보를 포함합니다.
다음 보안 속성은 roleadd, rolemod, useradd, usermod, profiles 명령으로 설정할 수 있습니다.
사용자의 경우 roles 키워드가 하나 이상의 정의된 역할을 지정합니다.
역할의 경우 roleauth 키워드의 user 값을 사용하여 역할 암호가 아닌 사용자 암호로 인증할 수 있습니다. 기본적으로 값은 role입니다.
사용자 또는 역할의 경우 다음 속성을 설정할 수 있습니다.
audit_flags 키워드 - 감사 마스크를 수정합니다. audit_flags(5) 매뉴얼 페이지를 참조하십시오.
auths 키워드 - 권한 부여를 지정합니다. auths(1) 매뉴얼 페이지를 참조하십시오.
defaultpriv 키워드 - 기본값의 기본 권한 세트에서 권한을 추가하거나 제거합니다. 권한이 구현되는 방법을 참조하십시오.
limitpriv 키워드 - 기본값의 제한 권한 세트에서 권한을 추가하거나 제거합니다. 권한이 구현되는 방법을 참조하십시오.
이러한 권한은 항상 유효하며, 명령의 속성이 아닙니다. privileges(5) 매뉴얼 페이지와 권한이 구현되는 방법을 참조하십시오.
project 키워드 - 기본 프로젝트를 추가합니다. project(4) 매뉴얼 페이지를 참조하십시오.
lock_after_retries 키워드 - 값이 yes인 경우 재시도 횟수가 /etc/default/login 파일에 허용된 수를 초과하면 시스템이 잠깁니다.
profiles 키워드 - 권한 프로파일을 지정합니다.
자세한 내용은 user_attr(4) 매뉴얼 페이지를 참조하십시오. 이 데이터베이스의 내용을 보려면 getent user_attr 명령을 사용하십시오. 자세한 내용은 getent(1M) 매뉴얼 페이지와 모든 정의된 보안 속성을 보는 방법을 참조하십시오.
모든 권한 부여는 auth_attr 데이터베이스에 저장됩니다. 권한 부여는 사용자, 역할 또는 권한 프로파일에 지정할 수 있습니다. 선호 방법은, 권한 프로파일에 권한 부여를 배치하고 역할의 프로파일 목록에 프로파일을 포함한 후 역할을 사용자에 지정하는 것입니다.
이 데이터베이스의 내용을 보려면 getent auth_attr 명령을 사용하십시오. 자세한 내용은 getent(1M) 매뉴얼 페이지와 모든 정의된 보안 속성을 보는 방법을 참조하십시오.
prof_attr 데이터베이스는 권한 프로파일에 지정된 이름, 설명, 도움말 파일 위치, 권한 및 권한 부여를 저장합니다. 권한 프로파일에 지정된 명령 및 보안 속성은 exec_attr 데이터베이스에 저장됩니다. 자세한 내용은 exec_attr 데이터베이스를 참조하십시오.
자세한 내용은 prof_attr(4) 매뉴얼 페이지를 참조하십시오. 이 데이터베이스의 내용을 보려면 getent exec_attr 명령을 사용하십시오. 자세한 내용은 getent(1M) 매뉴얼 페이지와 모든 정의된 보안 속성을 보는 방법을 참조하십시오.
exec_attr 데이터베이스는 성공을 위해 보안 속성이 필요한 명령을 정의합니다. 명령은 권한 프로파일의 일부입니다. 보안 속성 포함 명령은 프로파일을 지정받은 역할이나 사용자가 실행할 수 있습니다.
자세한 내용은 exec_attr(4) 매뉴얼 페이지를 참조하십시오. 이 데이터베이스의 내용을 보려면 getent 명령을 사용하십시오. 자세한 내용은 getent(1M) 매뉴얼 페이지와 모든 정의된 보안 속성을 보는 방법을 참조하십시오.
policy.conf 파일은 특정 권한 프로파일, 특정 권한 부여, 특정 권한을 모든 사용자에 부여하는 방법을 제공합니다. 파일의 관련 항목은 키=값 쌍으로 구성됩니다.
CONSOLE_USER=Console User – Console User 권한 프로파일을 가리킵니다. 이 프로파일은 콘솔 사용자를 위한 편리한 권한 부여 세트와 함께 제공됩니다. 이 프로파일을 사용자 정의할 수 있습니다. 프로파일 내용을 보려면 권한 프로파일을 참조하십시오.
다음 예는 policy.conf 데이터베이스의 일반적인 값을 보여줍니다.
# grep AUTHS /etc/security/policy AUTHS_GRANTED=solaris.device.cdrw # grep PROFS /etc/security/policy PROFS_GRANTED=Basic Solaris User # grep PRIV /etc/security/policy #PRIV_DEFAULT=basic #PRIV_LIMIT=all
권한에 대한 자세한 내용은 권한(개요)을 참조하십시오.
|