탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
Trusted Extensions 네트워크에서 LDAP 구성(작업 맵)
Trusted Extensions 시스템에서 LDAP 프록시 서버 구성(작업 맵)
Trusted Extensions 시스템에서 Oracle Directory Server Enterprise Edition 구성
LDAP용 Directory Server에 대한 정보 수집
Oracle Directory Server Enterprise Edition 설치
Directory Server용 LDAP 클라이언트 만들기
Oracle Directory Server Enterprise Edition용 로그 구성
기존 Oracle Directory Server Enterprise Edition에 대한 Trusted Extensions 프록시 만들기
Trusted Extensions LDAP 클라이언트 만들기
Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
LDAP 이름 지정 서비스는 Trusted Extensions에서 지원되는 이름 지정 서비스입니다. 사이트에서 아직 LDAP 이름 지정 서비스가 실행되고 있지 않은 경우 Trusted Extensions로 구성된 시스템에서 Oracle Directory Server Enterprise Edition(디렉토리 서버)을 구성합니다.
사이트에서 이미 Directory Server가 실행되고 있는 경우 서버에 Trusted Extensions 데이터베이스를 추가해야 합니다. Directory Server에 액세스하려면 시스템에 LDAP 프록시를 설정합니다.
항목은 System Install Wizard(시스템 설치 마법사)에 표시되는 순서대로 나열됩니다.
|
디렉토리 서버 패키지는 Oracle web site for Sun Software Products에서 구할 수 있습니다.
시작하기 전에
Trusted Extensions 시스템에 전역 영역이 있으며, 레이블이 있는 영역이 없습니다. 전역 영역에서 root 역할을 가진 사용자여야 합니다.
Trusted Extensions LDAP 서버는 LDAP 저장소에 인증하는 데 pam_unix를 사용하는 클라이언트에 적합하게 구성되어 있습니다. 따라서 클라이언트에서 pam_unix를 사용하여 암호 작업 및 암호 정책을 결정합니다. 특히, LDAP 서버에서 설정된 정책은 사용되지 않습니다. 클라이언트에 설정할 수 있는 암호 매개변수는 Oracle Solaris 11.1 관리: 보안 서비스의 암호 정보 관리를 참조하십시오. pam_unix에 대한 자세한 내용은 pam.conf(4) 매뉴얼 페이지를 참조하십시오.
주 - LDAP 클라이언트에서 Trusted Extensions에 대해 pam_ldap를 사용하는 것은 평가된 구성이 아닙니다.
FQDN은 Fully Qualified Domain Name(정규화된 도메인 이름)의 약어로 다음과 같이 호스트 이름과 관리 도메인의 조합입니다.
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
해당 플랫폼에 적합한 최신 소프트웨어를 선택합니다.
LDAP용 Directory Server에 대한 정보 수집의 정보를 사용하여 질문에 답합니다. 질문, 기본값 및 권장 응답 사항의 전체 목록은 Oracle Solaris Administration: Naming and Directory Services의 11 장, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) 및 Oracle Solaris Administration: Naming and Directory Services의 12 장, Setting Up LDAP Clients (Tasks)을 참조하십시오.
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
디렉토리 서버용 SMF 서비스 템플리트는 Oracle Directory Server Enterprise Edition 패키지에 있습니다.
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
dsadm 명령에 대한 자세한 내용은 dsadm(1M) 매뉴얼 페이지를 참조하십시오.
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
dpadm 명령에 대한 자세한 내용은 dpadm(1M) 매뉴얼 페이지를 참조하십시오.
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
일반 오류
LDAP 구성 문제를 해결하기 위한 전략은 Oracle Solaris 11.1에서 이름 지정 및 디렉토리 서비스 작업의 13 장, LDAP 문제 해결(참조)을 참조하십시오.
이 클라이언트를 사용하여 LDAP용 Directory Server를 채울 수 있습니다. Directory Server를 채우기 전에 먼저 이 작업을 수행해야 합니다.
Trusted Extensions Directory Server에 클라이언트를 임시로 만든 다음 해당 서버에서 클라이언트를 제거하거나 독립 클라이언트를 만들 수 있습니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
Trusted Extensions 디렉토리 서버를 사용하거나 Trusted Extensions를 별도의 시스템에 추가할 수 있습니다.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"
이 예에서 LDAP 클라이언트는 example-domain.com 도메인에 있습니다. 서버의 IP 주소는 192.168.5.5입니다.
# ldapclient init -a domainName=example-domain.com -a profileName=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
enableShadowUpdate 매개변수에 대한 자세한 내용은 Oracle Solaris Administration: Naming and Directory Services의 enableShadowUpdate Switch 및 ldapclient(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에서는 3가지 로그 유형인 액세스 로그, 감사 로그 및 오류 로그를 구성합니다. 다음 기본 설정은 변경되지 않습니다.
모든 로그는 사용으로 설정되고 버퍼됩니다.
로그는 해당 /export/home/ds/instances/ your-instance/logs/LOG_TYPE 디렉토리에 배치됩니다.
이벤트는 로그 레벨 256에서 기록됩니다.
로그는 600개의 파일 사용 권한으로 보호됩니다.
액세스 로그는 일별로 회전됩니다.
오류 로그는 주별로 회전됩니다.
이 절차에 있는 설정은 다음 요구 사항을 충족합니다.
감사 로그는 일별로 회전됩니다.
3개월이 지난 오래된 로그 파일은 만료됩니다.
모든 로그 파일은 최대 20,000MB의 디스크 공간을 사용합니다.
로그 파일 수는 최대 100개로 유지되며, 각 파일의 크기는 최대 500MB를 넘지 않도록 합니다.
빈 디스크 공간이 500MB 미만이 되면 가장 오래된 로그가 삭제됩니다.
추가 정보는 오류 로그에서 수집됩니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
액세스용 LOG_TYPE은 ACCESS입니다. 로그 구성 구문은 다음과 같습니다.
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
기본적으로 감사 로그의 회전 간격은 1주입니다.
이 구성에서 오류 로그에서 수집할 추가 데이터를 지정할 수 있습니다.
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
각 로그에 대해 다음 설정을 구성할 수도 있습니다.
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
dsconf 명령에 대한 자세한 내용은 dsconf(1M) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions에서 작업하려면 Directory Server의 서버 포트가 전역 영역에서 다중 레벨 포트(MLP)로 구성되어야 합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
# /usr/sbin/txzonemgr &
포트 번호는 389입니다.
포트 번호는 389입니다.
몇 개의 LDAP 데이터베이스가 레이블 구성, 사용자 및 원격 시스템에 대한 Trusted Extensions 데이터를 보관할 수 있도록 작성되거나 수정되었습니다. 이 절차에서는 Directory Server 데이터베이스에 Trusted Extensions 정보를 채웁니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다. 섀도우 업데이트가 사용으로 설정된 LDAP 클라이언트에 있습니다. 필수 조건에 대해서는 Directory Server용 LDAP 클라이언트 만들기를 참조하십시오.
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
주의 - *attr 파일은 복사하지 않습니다. 대신 사용자, 역할 및 권한 프로파일을 LDAP 저장소에 추가하는 명령에 -S ldap 옵션을 사용합니다. 이러한 명령은 user_attr, auth_attr, exec_attr 및 prof_attr 데이터베이스에 대한 항목을 추가합니다. 자세한 내용은 user_attr(4) 및 useradd(1M) 매뉴얼 페이지를 참조하십시오. |
# cp /zone/public/root/etc/auto_home_public /setup/files # cp /zone/internal/root/etc/auto_home_internal /setup/files # cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files # cp /zone/restricted/root/etc/auto_home_restricted /setup/files
다음 자동맵 목록에서 각 쌍의 첫번째 행에는 파일 이름이 표시됩니다. 각 쌍의 두번째 행에는 파일 내용이 표시됩니다. 영역 이름은 Trusted Extensions 소프트웨어와 함께 제공된 기본 label_encodings 파일에서 레이블을 식별합니다.
사용자의 영역 이름이 이 행의 영역 이름을 대체합니다.
myNFSserver는 홈 디렉토리에 대한 NFS 서버를 식별합니다.
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
예를 들어, 다음 명령은 스테이징 영역의 hosts 파일로 서버를 채웁니다.
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
전역 영역에서 ldapclient uninit 명령을 실행합니다. 상세 정보 출력을 사용하여 시스템이 더 이상 LDAP 클라이언트가 아닌지 확인합니다.
# ldapclient -v uninit
자세한 내용은 ldapclient(1M) 매뉴얼 페이지를 참조하십시오.
자세한 내용은 호스트 및 네트워크 레이블 지정(작업)을 참조하십시오.