탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
Trusted Extensions에서 장치 취급(작업 맵)
Trusted Extensions에서 장치 사용(작업 맵)
Trusted Extensions에서 장치 관리(작업 맵)
Trusted Extensions에서 장치를 구성하는 방법
Trusted Extensions에서 장치를 해지하거나 재생 이용하는 방법
Trusted Extensions에서 할당 불가능한 장치를 보호하는 방법
Trusted Extensions에서 Device_Clean 스크립트를 추가하는 방법
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 사이트에서 장치 권한 부여를 변경하는 절차를 설명합니다.
|
장치에 권한 부여가 필요하지 않은 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 권한 부여가 필요한 경우에는 기본적으로 권한이 부여된 사용자만 장치를 사용할 수 있습니다.
할당 가능한 장치에 대한 모든 액세스를 거부하려면 예 21-1을 참조하십시오. 새 권한 부여를 만들고 사용하려면 예 21-3을 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
도움말 파일은 HTML 형식입니다. 이름 지정 규약은 AuthName.html(예: DeviceAllocateCD.html)입니다.
$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
$ profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Device Manager(장치 할당 관리자)에서 필수 권한 부여 목록에 새 권한 부여를 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법을 참조하십시오.
예 21-2 세분화된 장치 권한 부여 만들기
이 예에서는 NewCo의 보안 관리자가 회사를 위한 세분화된 장치 권한 부여를 만들어야 합니다.
먼저 관리자는 다음 도움말 파일을 만듭니다.
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
그런 다음 관리자는 템플리트 도움말 파일을 만듭니다. 이 파일을 복사하고 수정하여 다른 도움말 파일을 만들 수 있습니다.
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
도움말 파일을 만든 후 관리자는 auths 명령을 사용하여 각 장치 권한 부여를 만듭니다. 권한 부여는 회사 전체에서 사용되므로 관리자는 권한 부여를 LDAP 저장소에 둡니다. 이 명령에는 도움말 파일의 경로 이름이 포함됩니다.
관리자는 두 개의 장치 권한 부여와 Newco 권한 부여 헤더를 만듭니다.
한 권한 부여는 사용자에게 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 권한을 부여합니다.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
다른 권한 부여는 사용자에게 USB 장치를 할당할 수 있는 권한을 부여합니다.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 권한 부여 헤더는 모든 Newco 권한 부여를 식별합니다.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
예 21-3 신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 장치 권한 부여 만들기 및 지정
기본적으로 Allocate Devices(장치 할당) 권한 부여를 통해 신뢰할 수 있는 경로와 그 외부에서 할당을 사용으로 설정합니다.
다음 예의 사이트 보안 정책에서는 원격 CD-ROM 및 DVD 할당 제한을 요구합니다. 보안 관리자는 com.newco.dev.allocate.cdvd.local 권한 부여를 만듭니다. 이 권한 부여는 신뢰할 수 있는 경로를 사용하여 할당되는 CD-ROM 및 DVD 드라이브용입니다. com.newco.dev.allocate.cdvd.remote 권한 부여는 신뢰할 수 있는 경로 외부에서 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 일부 사용자용입니다.
보안 관리자는 도움말 파일을 만든 후 장치 권한 부여를 auth_attr 데이터베이스에 추가하고 권한 부여를 장치에 추가한 다음 권한 부여를 권한 프로파일에 넣습니다. root 역할은 장치를 할당할 수 있는 사용자에게 프로파일을 지정합니다.
다음 명령은 장치 권한 부여를 auth_attr 데이터베이스에 추가합니다.
$ auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local $ auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
다음은 Device Manager(장치 관리자) 지정을 보여줍니다.
CD-ROM 드라이브의 로컬 할당은 신뢰할 수 있는 경로로 보호됩니다.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
원격 할당은 신뢰할 수 있는 경로로 보호되지 않으므로 원격 사용자는 신뢰할 수 있어야 합니다. 마지막 단계로 관리자는 원격 할당 권한을 두 역할에만 부여합니다.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
다음 명령은 이러한 권한 부여에 대한 Newco 권한 프로파일을 만들고 권한 부여를 프로파일에 추가합니다.
$ profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
$ profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
다음 명령은 권한이 부여된 사용자에게 권한 프로파일을 지정합니다. root 역할은 프로파일을 지정합니다. 이 사이트에서 역할에만 주변 장치를 원격으로 할당할 수 있는 권한이 부여됩니다.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin
시작하기 전에
보안 관리자 역할이나 장치 속성 구성 권한 부여를 포함하는 역할을 가진 사용자여야 합니다. 새 장치 권한 부여를 만드는 방법에 설명된 대로 사이트별 권한 부여를 만들어 놓아야 합니다.
새 권한 부여가 Not Required(필수 아님) 목록에 표시됩니다.
Allocate Device(장치 할당) 권한 부여를 통해 사용자는 장치를 할당할 수 있습니다. Allocate Device(장치 할당) 권한 부여와 Revoke or Reclaim Device(장치 해지 또는 재생 이용) 권한 부여는 관리 역할에 적합합니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
기존 프로파일이 적당하지 않은 경우 보안 관리자는 새 프로파일을 만들 수 있습니다. 예는 편리한 권한 부여를 위해 권한 프로파일을 만드는 방법을 참조하십시오.
단계별 절차는 Oracle Solaris 11.1 관리: 보안 서비스의 사용자의 보안 속성을 변경하는 방법을 참조하십시오.
다음 권한 프로파일을 통해 역할이 장치를 할당할 수 있습니다.
All Authorizations
장치 관리
Media Backup
Object Label Management
Software Installation
다음 권한 프로파일을 통해 역할이 장치를 해지하거나 재생 이용할 수 있습니다.
All Authorizations
장치 관리
다음 권한 프로파일을 통해 역할이 장치를 만들거나 구성할 수 있습니다.
All Authorizations
Device Security
예 21-2에서는 권한 부여를 지정하는 방법을 보여줍니다.