탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
Trusted Extensions에서 IPv6 CIPSO 네트워크를 구성하는 방법
DOI(Domain of Interpretation)를 구성하는 방법
기본 Trusted Extensions 시스템을 만드는 방법
Trusted Extensions의 역할 및 사용자 만들기
Trusted Extensions에서 보안 관리자 역할을 만드는 방법
Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법
Trusted Extensions 역할이 작동하는지 확인하는 방법
사용자가 레이블이 있는 영역에 로그인할 수 있도록 설정하는 방법
Trusted Extensions에서 중앙 홈 디렉토리 만들기
Trusted Extensions에서 홈 디렉토리 서버를 만드는 방법
사용자가 각 NFS 서버에 로그인하여 모든 레이블에서 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
각 서버에서 자동 마운트를 구성하여 사용자가 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법
Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법
시스템에서 Trusted Extensions를 제거하는 방법
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions 시스템에는 비트맵 디스플레이가 직접 연결된 데스크탑(랩탑 또는 워크스테이션 등)을 실행하는 데 네트워크가 필요하지 않습니다. 하지만 다른 시스템과 통신하려면 네트워크 구성이 필요합니다. txzonemgr GUI를 사용하여 레이블이 있는 영역 및 전역 영역에서 다른 시스템에 연결하도록 쉽게 구성할 수 있습니다. 레이블이 있는 영역에 대한 구성 옵션 설명은 레이블이 있는 영역에 액세스를 참조하십시오. 다음 작업 맵에서는 네트워크 구성 작업에 대한 설명과 해당 링크를 제공합니다.
|
이 절차에서는 시스템의 모든 영역에서 하나의 IP 주소(전역 영역의 IP 주소)를 사용하여 동일하게 레이블이 지정된 다른 영역이나 호스트에 접근할 수 있도록 합니다. 이 구성은 기본값입니다. 네트워크 인터페이스를 다르게 구성하고 시스템을 기본 네트워크 구성으로 되돌리려는 경우 이 절차를 완료해야 합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
# txzonemgr &
영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI에 대한 자세한 내용은 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오.
인터페이스 목록이 표시됩니다. 다음 특성을 가지는 인터페이스를 찾습니다.
phys 유형
호스트 이름의 IP 주소
up 상태
모든 영역은 이 공유 IP 주소를 사용하여 자신의 레이블에서 원격 시스템과 통신할 수 있습니다.
다음 순서
시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.
공유 IP 스택 및 영역별 주소를 사용하고 레이블이 있는 영역을 네트워크에서 다른 시스템의 레이블이 있는 영역에 연결하려는 경우 이 절차가 필요합니다.
이 절차에서는 하나 이상의 레이블이 있는 영역에 대해 하나의 IP 인스턴스, 즉 영역별 주소를 만듭니다. 레이블이 있는 영역은 자신의 영역별 주소를 사용하여 네트워크에서 동일하게 레이블이 지정된 영역과 통신합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 구성하려는 레이블이 있는 영역은 정지되어야 합니다.
구성 옵션 목록이 표시됩니다.
예를 들어, 192.168.1.2/24를 입력합니다. 접두어 수를 추가하지 않을 경우 넷마스크를 물어봅니다. 이 예에 해당하는 넷마스크는 255.255.255.0입니다.
프롬프트에서 라우터의 IP 주소를 입력하고 OK(확인)를 누릅니다.
주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거한 다음 IP 인스턴스를 다시 만듭니다.
다음 순서
시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.
배타적 IP 스택 및 영역별 주소를 사용하고 레이블이 있는 영역을 네트워크에서 다른 시스템의 레이블이 있는 영역에 연결하려는 경우 이 절차가 필요합니다.
이 절차에서는 VNIC를 만들고 레이블이 있는 영역에 지정합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 구성하려는 레이블이 있는 영역은 정지되어야 합니다.
구성 옵션 목록이 표시됩니다.
시스템에 하나 이상의 VNIC 카드가 있을 경우 하나 이상의 선택 항목이 표시됩니다. 원하는 인터페이스가 있는 항목을 선택합니다.
예를 들어, 192.168.1.2/24를 입력합니다. 접두어 수를 추가하지 않을 경우 넷마스크를 물어봅니다. 이 예에 해당하는 넷마스크는 255.255.255.0입니다.
프롬프트에서 라우터의 IP 주소를 입력하고 OK(확인)를 누릅니다.
주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거한 다음 VNIC를 다시 만듭니다.
VNIC 항목이 표시됩니다. 시스템이 internal_0과 같이 zonename _n 이름을 지정합니다.
다음 순서
시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.
이 절차에서는 Trusted Extensions 시스템이 연결할 수 있는 원격 호스트를 추가하여 Trusted Extensions 네트워크를 정의합니다.
시작하기 전에
Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 전역 영역에서 root 역할을 가진 사용자입니다.
참조
이 절차에서는 각 레이블이 있는 영역에 별도의 이름 서비스 데몬(nscd )을 구성합니다. 이 구성에서는 각 영역이 해당 영역 레이블에서 실행되는 하위 네트워크에 연결되고 하위 네트워크에는 해당 레이블에 대한 고유 이름 지정 서버가 있는 환경을 지원합니다. 레이블이 있는 영역에서 해당 레이블의 사용자 계정이 필요한 패키지를 설치하려는 경우 영역별로 별개의 이름 서비스를 구성할 수 있습니다. 배경 정보는 레이블이 있는 영역으로 제한된 응용 프로그램 및 Trusted Extensions에서 사용자를 만들기 전에 결정할 사항을 참조하십시오.
시작하기 전에
Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 전역 영역에서 root 역할을 가진 사용자입니다.
주 - 이 옵션은 초기 시스템 구성 중 한 번 사용됩니다.
자세한 내용은 nscd(1M) 매뉴얼 페이지를 참조하십시오.
# /usr/sbin/reboot
재부트 후 단계 1에서 레이블이 있는 영역 관리자를 실행할 root 역할을 맡은 사용자 계정이 각 영역에 구성됩니다. 레이블이 있는 영역과 관련된 다른 계정은 영역에 수동으로 추가해야 합니다.
주 - LDAP 저장소에 저장된 계정은 전역 영역에서 계속 관리됩니다.
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
예 4-3 각 레이블이 있는 영역에서 이름 서비스 캐시 제거
영역당 하나의 이름 서비스 데몬을 테스트한 후 시스템 관리자는 레이블이 있는 영역에서 이름 서비스 데몬을 제거하고 전역 영역에서만 데몬을 실행하기로 결정합니다. 시스템을 기본 이름 서비스 구성으로 되돌리기 위해 관리자는 txzonemgr GUI를 열고 전역 영역을 선택한 후 Unconfigure per-zone name service(영역별 이름 서비스 구성 해제)를 선택하고 OK(확인)를 누릅니다. 이렇게 하면 레이블이 있는 모든 영역에서 nscd 데몬이 제거됩니다. 그런 다음 관리자는 시스템을 재부트합니다.
다음 순서
각 영역에 대해 사용자 및 역할 계정을 구성할 때 세 가지 옵션이 있습니다.
다중 레벨 LDAP 디렉토리 서버에서 LDAP 계정을 만들 수 있습니다.
별도의 LDAP 디렉토리 서버(레이블당 하나의 서버)에서 LDAP 계정을 만들 수 있습니다.
로컬 계정을 만들 수 있습니다.
각 레이블이 있는 영역에서 이름 서비스 데몬을 별도로 구성하면 모든 사용자가 암호를 가지게 됩니다. 사용자는 자신을 인증함으로써 자신의 기본 레이블에 해당하는 영역을 포함하여 레이블이 있는 영역에 대한 액세스 권한을 얻어야 합니다. 또한 관리자가 각 영역에서 로컬로 계정을 만들거나 영역이 LDAP 클라이언트인 LDAP 디렉토리에 계정이 있어야 합니다.
전역 영역의 계정이 Labeled Zone Manager(레이블이 있는 영역 관리자) txzonemgr를 실행하는 특수한 경우 계정 정보가 레이블이 있는 영역에 복사되므로 적어도 해당 계정은 각 영역에 로그인할 수 있습니다. 기본적으로 이 계정은 초기 사용자 계정입니다.