Oracle Solaris의 권한 기능을 사용하여 시스템을 관리하는 경우 이 절차에 따라 네트워크 관리 역할 또는 네트워크 보안 역할을 제공합니다.
시작하기 전에
역할을 만들고 지정하려면 root 역할이 있어야 합니다. 일반 사용자는 사용 가능한 권한 프로파일 내용을 표시하여 확인할 수 있습니다.
% getent prof_attr | grep Network | more ... Network Management:RO::Manage the host and network configuration... Network Security:RO::Manage network and host security...:profiles=Network Wifi Security,Network Link Security,Network IPsec Management... Network Wifi Management:RO::Manage wifi network configuration... Network Wifi Security:RO::Manage wifi network security... Network Link Security:RO::Manage network link security... Network IPsec Management:RO::Manage IPsec and IKE... System Administrator:RO::Can perform most non-security administrative tasks: profiles=...Network Management... Information Security:RO::Maintains MAC and DAC security policies: profiles=...Network Security...
Network Management 프로파일은 System Administrator 프로파일의 보조 프로파일입니다. 역할에 System Administrator 권한 프로파일을 포함시킨 경우 해당 역할은 Network Management 프로파일의 명령을 실행할 수 있습니다.
% profiles -p "Network Management" info ... cmd=/usr/sbin/dladm cmd=/usr/sbin/dlstat ... cmd=/usr/sbin/svcadm cmd=/usr/sbin/svccfg cmd=/usr/sbin/dumpcap
Step 1의 권한 프로파일 정의를 사용하여 결정합니다.
모든 네트워크 보안을 처리하는 역할을 만들려면 Network Security 권한 프로파일을 사용합니다.
IPsec 및 IKE만 처리하는 역할을 만들려면 Network IPsec Management 권한 프로파일을 사용합니다.
네트워크 관리 및 보안을 처리하는 역할을 만들려면 Network Management 프로파일과 함께 Network Security 또는 Network IPsec Management 권한 프로파일을 사용합니다.
단계는 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 역할 만들기 및 Example 7–7을 참조하십시오.
이 예에서는 관리자가 역할에 Network Management 및 Network Security 등 두 개의 권한 프로파일을 지정합니다. 그런 다음 관리자는 신뢰할 수 있는 사용자에게 역할을 지정합니다.
# roleadd -c "Network Mgt and Security" \ -S ldap -K profiles="Network Management Plus" netmgtsec # passwd netmgtsec New Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -R netmgtsec jdoe
사용자 jdoe가 netmgtsec 역할을 맡으면 jdoe에게 프로파일의 권한이 제공됩니다.
% su - netsecmgt Password: xxxxxxxx #예 7-6 역할 간 네트워크 보안 책임 구분
이 예에서는 관리자가 두 역할 간에 네트워크 보안 책임을 구분합니다. 한 역할은 Wifi 및 링크 보안을 관리하고, 다른 역할은 IPsec 및 IKE를 관리합니다. 각 역할은 교대당 한 사람씩 세 명의 사용자에게 지정됩니다.
역할은 관리자가 다음과 같이 만듭니다.
관리자는 첫번째 역할 이름을 LinkWifi로 지정합니다.
관리자는 Network Wifi, Network Link Security 및 Network Management 권한 프로파일을 역할에 지정합니다.
관리자는 LinkWifi 역할을 적절한 사용자에게 지정합니다.
관리자는 두번째 역할 이름을 IPsec Administrator로 지정합니다.
관리자는 Network IPsec Management 및 Network Management 권한 프로파일을 역할에 지정합니다.
관리자는 IPsec Administrator 역할을 적절한 사용자에게 지정합니다.
이 예에서는 관리자가 한 사용자에게 IPsec을 구성 및 관리하는 책임을 줍니다.
관리자는 Network Management 및 IPsec Network Management 권한 프로파일뿐 아니라 hosts 파일을 편집할 수 있는 기능과 로그를 읽을 수 있는 기능을 사용자에게 제공합니다.
관리자는 권한 프로파일을 두 개 만듭니다. 하나는 파일 편집용이고 다른 하나는 로그 읽기용입니다.
# profiles -p -S LDAP "Hosts Configuration"
profiles:Network Configuration> set desc="Edits root-owned network files"
...Configuration> add auth=solaris.admin.edit/etc/hosts
...Configuration> commit
...Configuration> end
...Configuration> exit
# profiles -p -S LDAP "Read Network Logs"
profiles:Read Network Logs> set desc="Reads root-owned network log files"
...Logs> add cmd=/usr/bin/more
...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:more>end
...Logs> add cmd=/usr/bin/tail
...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:tail>end
...Logs> add cmd=/usr/bin/page
...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:page>end
...Logs> exit
권한 프로파일을 통해 사용자는 more, tail 및 page 명령을 사용하여 로그를 읽을 수 있습니다. cat 및 head 명령을 사용할 수 없습니다.
관리자는 사용자가 IPsec 및 해당 키 입력 서비스에 대한 구성 및 관리 작업을 모두 수행하도록 허용하는 권한 프로파일을 만듭니다.
# profiles -p "Site Network Management" profiles:Site Network Management> set desc="Handles all network files and logs" ...Management> add profiles="Network Management" ...Management> add profiles="Network IPsec Management" ...Management> add profiles="Hosts Configuraton" ...Management> add profiles="Read Network Logs" ...Management> commit; end; exit
관리자는 프로파일에 대한 역할을 만들고, 역할에 암호를 지정하고, 네트워킹 및 보안에 대해 잘 아는 신뢰할 수 있는 사용자에게 역할을 지정합니다.
# roleadd -S LDAP -c "Network Management Guru" \ -m -K profiles="Site Network Management" netadm # passwd netadm Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -S LDAP -R +netadm jdoe
관리자는 아웃오브밴드로 jdoe에 역할 암호를 제공합니다.