4장 액세스 및 보안 관리
이 절에서는 액세스 및 보안 관리 방법에 대해 설명합니다. 이 절은 다음 내용으로 구성되어 있습니다.
Sun Cluster Geographic Edition 소프트웨어와 RBAC
이 절에서는 Sun Cluster Geographic Edition 소프트웨어에서의 역할 기반 액세스 제어(RBAC)에 대해 설명합니다. 다루어지는 주제는 다음을 포함합니다.
-
RBAC 설정 및 사용하기
-
RBAC 권한 프로파일
-
사용자의 RBAC 등록 정보 수정
RBAC 설정 및 사용하기
Sun Cluster Geographic Edition 소프트웨어는 RBAC 프로파일을 Sun Cluster 소프트웨어에서 사용되는 RBAC 권한 프로파일에 기초를 둡니다. Sun Cluster를 사용한 RBAC 설정 및 사용에 대한 일반 정보는 Sun Cluster System Administration Guide for Solaris OS의 Sun Cluster System Administration Guide for Solaris OS의 2 장, Sun Cluster and RBAC를 참조하십시오.
Sun Cluster Geographic Edition 소프트웨어는 다음의 새로운 RBAC 엔티티를 /etc/security 디렉토리의 적당한 파일에 추가합니다.
-
auth_attr의 RBAC 권한 이름
-
prof_attr의 RBAC 실행 프로파일
-
exec_attr의 RBAC 실행 속성
주 –
auth_attr 및 prof_attr 데이터베이스에 대한 기본 검색 순서는 files nis이며, 이는 /etc/nsswitch.conf 파일에 정의됩니다. 사용자 환경에서 검색 순서를 사용자 정의한 경우 files가 검색 목록에 존재하는지 확인하십시오. files는 시스템이 Sun Cluster Geographic Edition이 정의한 RBAC 항목을 찾을 수 있게 합니다.
RBAC 권한 프로파일
Sun Cluster Geographic Edition CLI 및 GUI는 RBAC 권한을 사용하여 조작에 대한 일반 사용자 액세스를 제어합니다. 이들 권한에 대한 일반 규칙은 다음 표에 설명되어 있습니다.
표 4–1 Sun Cluster Geographic Edition RBAC 권한 프로파일|
권한 프로필 |
포함된 권한 부여 |
역할 식별 권한 |
|---|---|---|
|
Geo Management |
solaris.cluster.geo.read |
Sun Cluster Geographic Edition 엔티티에 대한 정보 읽기 |
|
solaris.cluster.geo.admin |
Sun Cluster Geographic Edition 소프트웨어를 사용한 관리 작업 수행 |
|
|
solaris.cluster.geo.modify |
Sun Cluster Geographic Edition 소프트웨어의 구성 수정 |
|
|
기본 Solaris 사용자 |
Solaris 권한 |
기본 Solaris 사용자 역할 ID가 수행할 수 있는 동일한 조작 수행 |
|
solaris.cluster.geo.read |
Sun Cluster Geographic Edition 엔티티에 대한 정보 읽기 |
사용자의 RBAC 등록 정보 수정
사용자에 대한 RBAC 권한을 수정하려면 root 사용자로서 로그인하거나 기본 관리자 권한 프로파일에 지정된 역할을 가정해야 합니다.
예를 들어 다음과 같이 Geo Management RBAC 프로파일을 사용자 admin에게 지정할 수 있습니다.
# usermod -P "Geo Management" admin # profiles admin Geo Management Basic Solaris User # |
사용자에 대한 RBAC 등록 정보 수정 방법에 대한 자세한 정보는 Sun Cluster System Administration Guide for Solaris OS의 Sun Cluster System Administration Guide for Solaris OS의 2 장, Sun Cluster and RBAC를 참조하십시오.
보안 인증서를 사용한 보안 클러스터 통신 구성
파트너 클러스터 사이의 보안 통신을 위해 Sun Cluster Geographic Edition 소프트웨어를 구성해야 합니다. 구성은 호혜적이어야 합니다. 이는 파트너 클러스터 cluster-paris가 cluster-newyork을 신뢰하도록 구성되어야 하며, 파트너 클러스터 cluster-newyork이 cluster-paris를 신뢰하도록 구성되어야 함을 의미합니다.
GUI를 사용하여 Sun Cluster Geographic Edition 소프트웨어를 사용 중인 경우 루트 암호가 두 파트너 클러스터의 모든 노드에서 동일해야 합니다.
파트너 클러스터에 대한 보안 인증서 설정에 대한 정보는 Sun Cluster Geographic Edition 설치 안내서의 Sun Cluster Geographic Edition 설치 안내서의 보안 구성을 참조하십시오.
클러스터 구성 예에 대한 정보는 그림 2–1을 참조하십시오.
IPsec를 사용한 보안 클러스터 통신 구성
IPsec(IP Security Architecture)를 사용하여 파트너 클러스터 사이의 보안 통신을 구성할 수 있습니다. IPsec를 사용하면 IP를 사용하여 통신하는 시스템 사이에 보안 데이터그램 인증, 실제 데이터 암호화 또는 둘 다를 허용하거나 요구하는 정책을 설정할 수 있습니다. 다음 클러스터 통신에 대한 IPsec 사용을 고려하십시오.
-
데이터 통신에 Sun StorEdge Availability Suite 3.2.1을 사용하는 경우, 보안 Sun StorEdge Availability Suite 3.2.1 통신
-
보안 TCP/UDP 심박동 통신
Sun Cluster 소프트웨어와 Sun Cluster Geographic Edition 소프트웨어는 수동 키만을 사용하여 IPsec를 지원합니다. 키는 서버 및 클라이언트 IP 주소의 각 조합에 대해 클러스터 노드에 수동으로 저장되어야 합니다. 키는 또한 각 클라이언트에 수동으로 저장되어야 합니다.
IPse 구성 매개변수에 대한 전체 설명은 System Administration Guide: IP Services를 참조하십시오.
보안 클러스터 통신에 대해 IPsec 구성 방법
Sun Cluster Geographic Edition 기반 구조에서 논리 호스트의 호스트 이름이 클러스터의 이름과 동일해야 합니다. 논리 호스트이름은 특수한 고가용성(HA) 자원입니다. 클러스터 구성에 따라 여러 가지 Sun Cluster Geographic Edition 구성 요소에 많은 IP 주소를 설정해야 합니다.
각 파트너 클러스터에서 실제 노드에서 논리 호스트 이름 주소로의 인바운드 및 아웃바운드 패킷 교환을 위해 암호화 및 권한 부여를 구성해야 합니다. 이들 주소의 IPsec 구성 매개변수에 대한 값은 파트너 클러스터 사이에 일관성이 있어야 합니다.
IPsec는 다음 두 구성 파일을 사용합니다.
-
IPsec 정책 파일, /etc/inet/ipsecinit.conf. 인증되고 암호화된 심박동을 지원하기 위한 지시적 규칙을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터에서 서로 다릅니다.
-
IPsec 키 파일, /etc/init/secret/ipseckeys. 특정 인증 및 암호화 알고리즘을 위한 키 파일을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터 모두에서 동일합니다.
다음 절차는 다른 예제 클러스터 cluster-newyork과의 IPsec 보안 통신을 위해 예제 클러스터 cluster-paris를 구성합니다. 두 클러스터는 Solaris OS 9 릴리스를 실행 중입니다. 이 절차는 cluster-paris의 로컬 논리 호스트 이름이 lh-paris-1이고 원격 논리 호스트 이름이 lh-newyork-1이라고 가정합니다. 인바운드 메시지는 lh-paris-1로 보내지고 아웃바운드 메시지는 lh-newyork-1로 보내집니다.
cluster-paris의 각 노드에서 다음 절차를 사용하십시오.
단계
-
1차 클러스터 phys-paris-1의 첫 번째 노드에 수퍼유저로서 로그인합니다.
phys-paris-1이 어떤 클러스터인지 다시 보려면 Sun Cluster Geographic Edition 클러스터 구성 예를 참조하십시오.
-
IPsec 정책 파일에서 로컬 주소 및 원격 주소에 대한 항목을 설정합니다.
정책 파일은 /etc/inet/ipsecinit.conf 에 있습니다. 이 파일에 대한 권한은 644여야 합니다. 이 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.
Sun Cluster Geographic Edition 소프트웨어가 지원하는 이름 및 값에 대한 정보는 부록 B, Sun Cluster Geographic Edition 엔티티의 합법적 이름 및 값를 참조하십시오.
-
통신 정책을 구성합니다.
tcp_udp 플러그인의 기본 포트는 2084입니다. 이는 /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml 파일에 지정되어 있습니다.
다음 명령은 권한 부여 또는 암호화 알고리즘에 대한 환경 설정 없는 정책을 구성합니다.
# {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}보조 클러스터 cluster-newyork에서 통신 정책을 구성할 때 정책이 반전되어야 합니다.
# {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared} -
노드를 재부트하거나 다음 명령을 실행하여 정책을 추가합니다.
# ipsecconf -a /etc/inet/ipsecinit.conf
-
-
인바운드 및 아웃바운드 통신을 위한 암호화 및 인증 키를 설정합니다.
통신 파일은 /etc/init/secret/ipseckeys에 위치합니다. 파일에 대한 권한은 600이어야 합니다.
다음 명령을 실행하여 키를 추가합니다.
# ipseckey -f /etc/init/secret/ipseckeys
키 항목은 다음 일반 형식을 갖습니다.
# inbound to cluster-paris add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \ encrkey <paris-encrkey-value> add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \ authkey <paris-authkey-value> # outbound to cluster-newyork add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \ <newyork-encr-algorithm> encrkey <newyork-encrkey-value> add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \ <newyork-auth-algorithm> authkey <newyork-authkey-value>
통신 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.
- © 2010, Oracle Corporation and/or its affiliates