18장 Sun Management Center 보안

이 장에서는 보안 기능, 사용자 및 그룹, 사용자 및 그룹의 권한에 대해 설명합니다. 이 장은 다음 항목으로 구성되어 있습니다.

• Sun Management Center 보안의 개념

• 액세스 제어 범주

• 기본 권한

• 액세스 제어 정의 및 제한 사항

• Sun Management Center 사용자 추가

• 모듈에 대한 액세스 제어

• ACL에 사용자 정의 그룹 추가

• 사용자에게 esadm, esops 또는 esdomadm 권한 부여

• Sun Management Center 사용자 삭제

• 기본 에이전트 권한 무시

• SNMP 암호화(프라이버시)

• SNMP 통신

• SNMPv3

Sun Management Center 보안의 개념

Sun Management Center 소프트웨어에서 보안은 Java^TM 보안 클래스와 SNMPv2usec (SNMP 버전 2, 사용자 기반 보안 모델) 보안 표준을 기초로 합니다.

이 소프트웨어는 다음과 같은 보안 계층을 제공합니다.

• 유효한 Sun Management Center 사용자만이 소프트웨어를 작동할 수 있습니다.

• 소프트웨어를 사용하여 보안 권한 또는 액세스 제어 목록(ACL) 범주를 설정할 수 있습니다. 보안 기능을 사용하면 관리 도메인, 그룹, 호스트 및 모듈 수준으로 제어할 수 있습니다.

• 소프트웨어에서는 개별 관리되는 등록정보에 대한 사용자 및 액세스 제어를 인증합니다.

액세스 제어 범주

소프트웨어에서는 다음과 같은 ACL 범주를 제공합니다.

• 관리자 - 예: UNIX의 수퍼유저(root)

• 운영자 - 시스템을 실행 및 모니터하는 운영자

• 일반 - 예: 읽기 전용 보기 권한으로 Guest 액세스

ACL 범주를 이해하려면 먼저 Sun Management Center 소프트웨어 사용자 및 그룹을 이해해야 합니다. 다음 절에서는 사용자 및 그룹에 대해 설명합니다.

Sun Management Center 사용자

Sun Management Center사용자는 서버 호스트의 유효한 UNIX 사용자입니다. 따라서 시스템 관리자는 /var/opt/SUNWsymon/cfg/esusers 파일에 유효한 사용자를 추가해야 합니다. 이 파일에 이름이 없는 사용자는 Sun Management Center 소프트웨어에 로그인할 수 없습니다.

일반 사용자

관리자는 Sun Management Center 소프트웨어에 로그인해야 하는 모든 사용자의 사용자 ID 목록을 추가해야 합니다. 사용자에게 esadm, esops 또는 esdomadm 권한 부여에 설명된 절차를 사용하여 사용자에게 추가 권한이 부여되지 않는 한, 이 파일의 모든 사용자에게는 일반적인 액세스 권한이 있습니다.

esusers 파일에 있는 모든 사용자를 일반 사용자라 합니다. Sun Management Center 일반 사용자는 기본적으로 다음 기능을 수행할 수 있습니다.

• 소프트웨어에 로그인

• 작성된 관리 도메인, 호스트 및 모듈 보기

• 이벤트 보기

• 수동 새로 고침 트리거

• 특별 명령 실행

• 데이터 그래핑

Sun Management Center 수퍼유저

Sun Management Center 수퍼유저는 다음 절에서 설명하는 모든 그룹에 자동으로 속합니다. Sun Management Center 수퍼유저에게는 Sun Management Center 관리자 또는 esadm에 설명된 대로 관리자 특권이 있습니다.

Sun Management Center 그룹

Sun Management Center 서버를 설정하는 동안 서버 호스트에 기본적으로 다음과 같은 그룹이 만들어집니다.

• esops

• esadm

• esdomadm

또한 모든 Sun Management Center 사용자는 ANYGROUP이라는 가상 그룹에 속합니다.

나열된 그룹을 Sun Management Center 서버 계층이 실행되고 있는 시스템에서 정의해야 합니다. 다른 시스템에서 해당 그룹을 정의할 필요는 없습니다. 이 그룹에 대해서는 다음 여러 절에서 자세히 설명합니다.

---

주 –

나열된 그룹을 /etc/group 파일에 정의합니다.

---

Sun Management Center 운영자 또는 esops

esops 그룹에 속하는 Sun Management Center 소프트웨어 사용자는 일반적으로 운영자 사용자입니다. 이 운영자는 관리 대상 시스템에서 매개변수를 실행 및 모니터하고 일부 구성합니다. esops는 일반 사용자에게 허용되는 일부 작업을 포함하여 다음과 같은 작업을 수행할 수 있습니다.

• 모듈 활성화/비활성화

• 경보 한계 설정

• 규칙 매개 변수 설정

• 경보 작업 실행

• 특별 명령 실행

• 새로 고침 간격 설정

• 이벤트 인식, 삭제 또는 수정

• 기록 로깅 활성화/비활성화

• 기록 로깅 매개 변수 설정

Sun Management Center 관리자 또는 esadm

esadm 그룹에 속하는 소프트웨어 사용자는 관리자 작업을 수행할 수 있습니다. 관리자 작업은 Sun Management Center 운영자 또는 esops에 설명된 대로 운영자 사용자가 수행할 수 있는 작업의 수퍼세트입니다. 관리자 사용자(esadm)는 운영자 사용자(esops)가 수행할 수 있는 작업 이외에도 다음과 같은 작업을 수행할 수 있습니다.

• 모듈 로드 또는 언로드

• ACL 사용자 및 그룹 설정

• 관리 도메인, 호스트 또는 모듈 보기

Sun Management Center 도메인 관리자 또는 esdomadm

esdomadm 그룹에 속하는 사용자는 다음과 같은 도메인 관리자 작업을 수행할 수 있습니다.

• 관리 도메인 만들기

• 관리 도메인 내에 그룹 만들기

• 그룹 또는 관리 도메인에 개체 추가

• 관리 도메인, 호스트 또는 모듈 보기

---

주 –

위에 나열된 권한을 제외하면 esdomadm에 속하는 사용자는 구성을 변경하지 않는 한 일반 사용자에 불과합니다.

---

관리자, 운영자 및 일반 기능

다음 표는 기본적으로 사용자가 수행할 수 있는 다른 유형의 기능을 나열합니다. 지정된 셀에 있는 표시는 지정된 사용자가 나열된 기능을 수행할 수 있음을 나타냅니다.

이 표는 모든 모듈에 적용됩니다. 개별 모듈에는 모듈에 의해 제어되는 특정 제한이 있을 수 있습니다.

표 18–1 도메인 관리자, 관리자, 운영자 및 일반 기능

기능	도메인 관리자	관리	연산자	일반
모듈 로드		x
모듈 언로드		x
관리 도메인 만들기	x
관리 도메인 내에 그룹 만들기	x
그룹 또는 관리 도메인에 개체 추가	x
관리 도메인, 호스트 또는 모듈 보기	x	x	x	x
ACL 사용자 또는 그룹 설정		x
모듈 활성화/비활성화		x	x
모듈 활성 시간 창 설정		x	x
경보 한계 설정		x	x
규칙 매개 변수 설정		x	x
경보 작업 실행		x	x
특별 명령 실행		x	x
새로 고침 간격 설정		x	x
수동 새로 고침 트리거	x	x	x	x
기록 로깅 활성화/비활성화		x	x
기록 로깅 매개 변수 설정		x	x
이벤트 인식, 삭제 또는 수정		x	x
이벤트 보기	x	x	x	x

Sun Management Center 소프트웨어에서 위의 범주는 포괄적인 관계를 유지합니다. 즉, esadm 권한이 있는 사용자는 esops 권한이 있는 사용자가 수행할 수 있는 모든 작업을 수행할 수 있습니다. 관리자는 esops 권한이 있는 사용자가 esadm 사용자보다 많은 작업을 수행할 수 있도록 기본 권한을 변경할 수 있습니다. 포괄적인 관계란 소프트웨어에서 esops, esadm, esdomadm 중 하나를 다른 것보다 더 강력하게 만들 수 없음을 의미합니다.

기본 권한을 덮어쓰는 방법에 대한 자세한 정보는 기본 에이전트 권한 무시를 참조하십시오.

기본 권한

관리 도메인은 토폴로지 관리자가 조작합니다. 이 절에서는 토폴로지 관리자, 기타 에이전트 및 기타 모듈의 기본 권한에 대해 설명합니다.

토폴로지 관리자의 기본 권한

관리 도메인을 유지 관리하는 토폴로지 관리자의 기본 권한은 다음 표에 나열되어 있습니다.

표 18–2 토폴로지 관리자의 기본 권한

토폴로지 관리자	기본 권한
관리자 사용자 목록
운영자 사용자 목록
일반 사용자 목록
관리자 SNMP 커뮤니티 목록
운영자 SNMP 커뮤니티 목록
일반 SNMP 커뮤니티 목록	공개
관리자 그룹 목록	esdomadm
운영자 그룹 목록	esops
일반 그룹 목록	ANYGROUP

기타 Sun Management Center 구성 요소 및 모듈에 대한 기본 권한

토폴로지 관리자에 없는 구성 요소 및 모듈에 대한 기본 권한은 다음 표에 나열되어 있습니다.

표 18–3 Sun Management Center 구성 요소 및 모듈에 대한 기본 권한

구성 요소 및 모듈	기본 권한
관리자 사용자 목록
운영자 사용자 목록
일반 사용자 목록
관리자 그룹 목록	esadm
운영자 그룹 목록	esops
일반 그룹 목록	ANYGROUP
관리자 SNMP 커뮤니티 목록
운영자 SNMP 커뮤니티 목록
일반 SNMP 커뮤니티 목록	공개

키워드 ANYGROUP은 실제 UNIX 그룹은 아니라 Sun Management Center 소프트웨어에 로그인할 수 있는 모든 사용자가 개체에 일반 사용자로 액세스할 수 있음을 의미하는 특수 키워드입니다.

액세스 제어 정의 및 제한 사항

esadm 그룹은 다음 구성 요소에 대한 사용자 및 그룹의 ACL 기능을 지정할 수 있습니다.

• 관리 도메인

• 관리 도메인 내의 그룹

• 호스트

• 모듈(M)

관리자, 운영자 및 일반 액세스

ACL 사양은 다음 중 하나 이상의 매개변수의 설정 또는 정의로 구성됩니다.

• 관리자 사용자 및 관리자 그룹 – 관리자 작업을 수행할 수 있는 사용자 및 그룹 목록입니다. 기본적으로 관리자 사용자는 적용되는 장소에 관계 없이 esadm 또는 esdomadm입니다.

• 운영자 사용자 및 운영자 그룹 – 운영자 작업을 수행할 수 있는 사용자 및 그룹 목록입니다. 기본적으로 운영자 사용자는 esops입니다.

• 일반 사용자 및 일반 그룹 – 일반 작업을 수행할 수 있는 사용자 및 그룹 목록입니다. 기본적으로 이 범주는 ANYGROUP이라는 가상 그룹입니다.

• 관리자 커뮤니티(SNMP) – SNMP를 사용하는 관리자 작업을 수행할 수 있는 SNMP 커뮤니티 목록입니다.

• 운영자 커뮤니티(SNMP) – SNMP를 사용하는 운영자 작업을 수행할 수 있는 SNMP 커뮤니티 목록입니다.

• 일반 커뮤니티(SNMP) – SNMP를 사용하는 일반 작업을 수행할 수 있는 SNMP 커뮤니티 목록입니다.

Sun Management Center 원격 서버 액세스

사용자는 원격 Sun Management Center 서버에서 실행 중인 세션에서 데이터를 액세스하여 볼 수 있습니다. 해당 정보에 액세스하려고 시도하는 사용자는 읽기 전용 권한을 갖는 일반 사용자로 액세스하게 됩니다. 다른 서버에서 실행 중인 Sun Management Center 세션의 동작은 각 세션의 서버 컨텍스트에 따라 정의됩니다. 자세한 정보는 Sun Management Center 서버 컨텍스트 및 보안을 참조하십시오.

사용자는 다음과 같은 다양한 이유로 서로 다른 서버 컨텍스트를 액세스 및 설정할 수 있습니다.

• 각 서버 컨텍스트에서 서로 다른 사용자 및 관리자가 있고 상호 간에 액세스 가능한 상태를 유지해야 하는 경우

• 광역 통신망(WAN) 컨텍스트에서처럼 요소 간 물리적인 분리를 허용해야 하는 경우

• 하나의 중심 구성 요소 집합에서 많은 호스트를 처리할 수 있게 하여 성능을 향상해야 하는 경우

서로 다른 서버 컨텍스트에 연결하여 다른 서버 컨텍스트에 있는 개체의 최상위 상태를 볼 수 있습니다.

Sun Management Center 서버 컨텍스트 및 보안

서버 컨텍스트는 에이전트가 연결되는 특정 서버 계층과 Sun Management Center 에이전트의 모음입니다. 서버 컨텍스트에 있는 에이전트와 호스트는 다음과 같은 중심 구성 요소의 단일 집합을 공유합니다.

• Sun Management Center 서버

• 토폴로지 관리자

• 이벤트 관리자

• 트랩 핸들러

• 구성 관리자

모든 Sun Management Center 구성 요소 또는 에이전트는 설치 시 트랩 처리기와 이벤트 관리자의 위치를 알 수 있도록 구성됩니다. Sun Management Center 소프트웨어는 IP 주소와 포트 주소를 기준으로 트랩 처리기와 이벤트 관리자를 식별합니다. 사용자가 서버 컨텍스트 내에 있는지 여부를 확인하려면 액세스한 서버의 각 IP 주소와 포트 주소를 알고 있어야 합니다. 서버 컨텍스트마다 서로 다른 포트 번호를 갖습니다.

원격 서버 컨텍스트는 원격 에이전트가 연결되는 특정 서버 계층과 원격 에이전트의 모음입니다.

에이전트는 서버 계층으로부터 보안 구성을 수신합니다. 이 정보를 사용하여 에이전트에서는 전송 받은 관리 요청을 인증할 수 있습니다. 그런 다음 관리 요청의 일환으로 요청된 작업에 대한 액세스 제어를 수행할 수 있습니다.

서버 교차 제한 사항

서버 컨텍스트를 교차하여 통신할 경우 몇 가지 보안 제한 사항이 적용됩니다.

현재 Sun Management Center 환경에서는 다른 서버의 정보를 액세스할 때 다음과 같은 몇 가지 제한 사항이 적용됩니다.

• 원격 서버 컨텍스트를 액세스하는 사용자는 해당 서버에 일반 사용자로 액세스합니다. 따라서 데이터를 액세스할 수는 있지만, 다른 서버에 있는 개체를 수정하거나 사용할 수는 없습니다. 원격 서버 개체만 볼 수 있도록 제한됩니다.

• 일반 사용자로 다른 컨텍스트에 있는 데이터를 볼 수는 있지만 경보 임계값 및 기타 유사한 기능 설정과 같은 제어 동작을 수행할 수는 없습니다.

• 원격 서버에서는 편집 기능의 작동 방식이 다릅니다. 예를 들어, 컨텍스트 간 복사하여 붙여넣기는 수행할 수 있지만컨텍스트 간 잘라내어 붙여넣기는 수행할 수 없습니다.

---

주 –

콘솔에서는 다른 서버 컨텍스트에 액세스하고 있는지 여부가 분명하지 않을 수 있습니다. 다른 서버에 액세스하고 있는지 확인하려면 세부 정보 창의 정보 탭에서 서버의 IP 포트 번호 또는 주소를 확인합니다.

---

액세스 제어 사용

다음 절에서는 다음과 같은 주요 액세스 제어 기능을 사용하는 방법에 대해 설명합니다.

• Sun Management Center 사용자 추가

• 모듈에 대한 액세스 제어

• ACL에 사용자 정의 그룹 추가

• 사용자에게 esadm, esops 또는 esdomadm 권한 부여

• Sun Management Center 사용자 삭제

• 기본 에이전트 권한 무시

Sun Management Center 사용자 추가

단계

1. Sun Management Center 서버 호스트에서 수퍼유저가 됩니다.

   % su -

2. /var/opt/SUNWsymon/cfg/esusers 파일을 편집합니다.

3. 새 행에 사용자 이름을 추가합니다.

   사용자 이름이 유효한 UNIX 사용자의 사용자 이름인지 확인합니다.

4. 파일을 저장하고 편집기를 종료합니다.

   사용자 목록에 추가된 사용자는 기본 권한을 갖습니다. 자세한 정보는 기본 권한 및 기본 에이전트 권한 무시를 참조하십시오.

모듈에 대한 액세스 제어

단계

1. 다음 중 하나의 방법으로 속성 편집기에 액세스합니다.

   • 선택한 개체를 마우스 오른쪽 버튼으로 누르고 팝업 메뉴에서 속성 편집기를 선택합니다.

   • 주 콘솔 창의 도구 메뉴에서 속성 편집기를 선택합니다.

   속성 편집기가 표시됩니다. 취소 버튼과 도움말 버튼을 제외하고 창 아래쪽에 있는 모든 버튼이 비활성 상태로 표시됩니다. 창에서 필드를 수정하면 나머지 버튼이 활성화됩니다.

2. 속성 편집기 창에서 보안 탭을 선택합니다.

3. 필요한 경우 값을 변경합니다.

   다음 목록에서는 각 필드에 있는 데이터를 설명하고 샘플 값을 제공합니다.

   관리자 사용자

   사용자 목록입니다. jim은 관리자 작업을 수행할 수 있는 사용자입니다.

   운영자 사용자

   운영자 목록입니다. john과 다른 사용자는 운영자 작업을 수행할 수 있는 사용자입니다. 각 항목은 하나 이상의 공백으로 분리됩니다.

   일반 사용자

   일반 사용자 목록입니다. nick 및 richie 는 일반 작업을 수행할 수 있는 사용자입니다.

   관리자 그룹

   관리자 그룹에 속하는 모든 사용자는 관리자 작업을 수행할 수 있습니다. 기본적으로 사용자는 esadm 또는esdomadm 입니다(해당하는 경우).

   운영자 그룹

   esops에 속하는 모든 사용자는 운영자 작업을 수행할 수 있습니다.

   일반 사용자 그룹

   ANYGROUP은 일반 작업을 수행할 수 있는 가상 그룹입니다. 모든 Sun Management Center 사용자는 이 가상 그룹에 속합니다.

   관리자 커뮤니티

   이 필드는 비어 있으며, 이는 SNMP를 사용하는 관리자 작업을 수행할 수 있는 SNMP 커뮤니티가 없음을 나타냅니다.

   운영자 커뮤니티

   이 필드는 비어 있으며, 이는 SNMP를 사용하는 운영자 작업을 수행할 수 있는 SNMP 커뮤니티가 없음을 나타냅니다.

   일반 사용자 커뮤니티

   기본적으로 public은 SNMP를 사용하는 일반 작업을 수행할 수 있는 SNMP 커뮤니티입니다.

   “사용자” 아래의 “운영자” 항목에서 설명한 것처럼 여러 항목이 있을 경우 공백이나 쉼표를 사용하여 각 항목을 구분합니다.

   보안 권한에 대한 자세한 정보는 액세스 제어 범주를 참조하십시오.

ACL에 사용자 정의 그룹 추가

단계

1. Sun Management Center 서버 호스트에서 수퍼유저가 됩니다.

2. groupadd 명령을 사용하여 그룹을 만듭니다.

   # /usr/sbin/groupadd groupname

3. 새로 만든 그룹에 사용자를 추가합니다.

   1. /etc/group 파일에서 그룹에 사용자를 추가합니다.

   2. 파일을 저장하고 편집기를 종료합니다.

4. ACL에 새 그룹을 추가합니다.

   자세한 정보는 모듈에 대한 액세스 제어를 참조하십시오.

사용자에게 esadm, esops 또는 esdomadm 권한 부여

단계

1. Sun Management Center 서버 호스트에서 수퍼유저가 됩니다.

2. 필요한 경우 /var/opt/SUNWsymon/cfg/esusers 파일에 사용자 이름을 추가합니다.

3. /etc/group 파일에서esadm, esops 또는 esdomadm 중 해당되는 행에 사용자를 추가합니다.

4. 파일을 저장하고 편집기를 종료합니다.

Sun Management Center 사용자 삭제

단계

1. Sun Management Center 서버 호스트에서 수퍼유저가 됩니다.

2. /var/opt/SUNWsymon/cfg/esusers 파일에서 삭제할 사용자 이름에 해당하는 줄을 삭제합니다.

3. 파일을 저장하고 편집기를 종료합니다.

4. Sun Management Center 그룹에서 사용자 이름을 삭제합니다.

   ---

   주 –

   Sun Management Center 사용자 목록에서 삭제된 사용자는 더 이상 Sun Management Center 서버에 로그인할 수 없습니다. 모든 ACL에서 해당 사용자를 삭제해야 합니다.

   ---

기본 에이전트 권한 무시

Sun Management Center 소프트웨어에서는 관리자만이 속성 편집기에서 해당하는 특정 개체에 대한 ACL 목록을 수정하여 기본 권한을 무시할 수 있습니다.

단계

1. 권한을 변경해야 하는 특정 관리되는 개체에 대한 속성 편집기를 액세스합니다.

2. 보안 정보를 보거나 변경하려면 속성 편집기 창에서 보안 탭을 누릅니다.

3. 필요한 경우 정보를 변경합니다.

4. 보안 변경 사항을 적용하고 속성 편집기 창을 닫으려면 확인을 누릅니다.

   속성 편집기 창을 열어 둔 상태로 보안 변경 사항을 적용하려면 적용을 누릅니다.

SNMP 암호화(프라이버시)

Sun Management Center는 Sun Management Center의 서버 및 에이전트 구성 요소 사이의 SNMP 통신의 암호화를 지원합니다. SNMP 암호화 지원에는 CBC-DES 대칭 암호화 알고리즘이 사용됩니다.

es-config 스크립트를 사용하여 Sun Management Center 서버에서 SNMP 암호화를 활성화할 수 있습니다. 이 스크립트를 사용하면 자동 협상 기능을 설정하거나 해제할 수 있습니다. 세부 정보는 SNMP 암호화 사용를 참조하십시오.

Solaris 9 또는 이전 버전에서의 암호화

Solaris 9 또는 이전 버전을 실행하는 시스템의 경우, 암호화는 SUNWcry 패키지를 기초로 합니다.

Solaris 9를 실행하는 시스템에 대해 다음 조건을 참고하십시오.

• Sun Management Center 서버 및 에이전트 호스트 모두에서의 SNMP 암호화는 /usr/lib/libcrypt_d.so 암호화 라이브러리를 포함하는 SUNWcry 패키지에 따라 다릅니다. 이 패키지를 별도로 설치해야 합니다.

• SUNWcry가 설치되어 있어도 Sun Management Center 3.5 및 이전 버전의 서버에서는 SNMP 암호화가 지원되지 않습니다.

• SUNWcry 패키지가 검색되는 경우 에이전트나 서버 설치 중 SNMP 암호화 지원이 자동으로 구성됩니다.

Solaris 10에서의 암호화

Solaris 10을 실행하는 시스템의 경우, 암호화는 Public Key Cryptographic Standard (PKCS#11)를 기초로 합니다.

PKCS#11은 Cryptoki이라는 API를 암호 정보를 유지하고 암호 기능을 수행하는 장치에 지정합니다. PKCS#11로 정의된 RSA에 대한 자세한 정보는 http://www.rsasecurity.com/rsalabs를 참조하십시오.

Solaris 10을 실행하는 시스템에 대해 다음 조건을 참고하십시오.

• Sun Management Center 서버 및 에이전트 호스트 모두에서의 SNMP 암호화는 /usr/lib/libpkcs11.so 암호화 라이브러리를 포함하는 SUNWcsl 패키지에 따라 다릅니다. 이 패키지는 기본적으로 설치되어 있습니다.

• SUNWcsl이 설치되어 있어도 Sun Management Center 3.5 및 이전 버전의 서버에서는 SNMP 암호화가 지원되지 않습니다.

• SUNWcsl 패키지가 검색되는 경우 에이전트나 서버 설치 중 SNMP 암호화 지원이 자동으로 구성됩니다.

Linux에서의 암호화

Linux를 실행하는 시스템의 경우, 암호화는 Public Key Cryptographic Standard (PKCS#11)를 기초로 합니다.

SNMP 암호화는 PKCS11_API.so 암호화 라이브러리에 따라 다릅니다. 라이브러리가 기본적으로 설치되어 있지 않습니다. /usr/lib/pkcs11에서 이 라이브러리를 제공하고 pkcs_slot 데몬을 활성화하여 암호화를 활성화해야 합니다.

자동 협상 기능

암호화를 지원하는 Sun Management Center 3.6.1 서버를 해당 에이전트의 암호화 지원 여부에 관계 없이 에이전트를 동적으로 지원하도록 설정할 수 있습니다. 이 기능은 자동 협상이라고 하며 on 또는 off로 설정할 수 있습니다.

자동 협상 기능을 off로 설정하면 서버가 에이전트와 통신을 시작할 때 항상 암호화를 사용하게 됩니다. 엄격한 보안 정책을 시행하는 환경에서는 이 설정을 선호할 수도 있습니다. 자동 협상을 off로 설정하는 경우

• 에이전트가 암호화를 지원하면 에이전트에서 암호화된 SNMP 메시지를 이해할 수 있습니다.

• 에이전트가 암호화를 지원하지 않으면 에이전트에서 암호화된 메시지를 이해할 수 없습니다. 따라서 시간 초과가 발생하고 “Agent is not responding.”라는 콘솔 메시지가 나타납니다. 시간 초과는 에이전트 로그에 기록됩니다.

자동 협상 기능을 on으로 설정하면 에이전트가 암호화를 지원하는 경우에만 서버에서 에이전트와의 자체 SNMP 통신을 암호화합니다. 결과적으로 다음 중 한 가지 이벤트가 발생합니다.

• 에이전트가 암호화를 지원하면 에이전트에서 암호화된 SNMP 메시지를 이해할 수 있습니다.

• 에이전트가 암호화를 지원하지 않으면 SNMP 메시지는 인증만 되고 암호화는 되지 않습니다.

SNMP 암호화 사용

SNMP 암호화의 현재 상태를 알려면 인수 없이 es-config 명령을 실행합니다.

서버 설치에 SNMP 암호화 사용

단계

1. 패키지가 설치되어 있는지 확인합니다.

   • (Solaris 9 또는 이전 버전을 실행하는 시스템의 경우) 다음을 입력하여 /usr/lib/libcrypt_d.so 암호화 라이브러리를 포함하는 SUNWcry 패키지가 시스템에 설치되어 있는지 확인합니다.

     % pkginfo | grep SUNWcry

     패키지가 설치되어 있으면 다음과 같이 표시됩니다.

     application SUNWcry

     ---

     주 –

     SUNWcry 패키지는 Solaris Encryption Kit에 포함되어 있습니다. Solaris Encryption Kit를 구하려면 Sun 영업 센터에 문의하십시오. 보안 시스템 관리에 대한 중요한 정보를 보려면 Solaris 시스템 관리 설명서를 참조하십시오.

     ---

   • (Solaris 10을 실행하는 시스템의 경우) 다음을 입력하여 /usr/lib/libpkcs11.so 암호화 라이브러리를 포함하는 SUNWcsl 패키지가 시스템에 설치되어 있는지 확인합니다.

     % pkginfo | grep SUNWcsl

     패키지가 설치되어 있으면 다음과 같이 표시됩니다.

     application SUNWcsl

   • (Linux를 실행하는 시스템의 경우) /usr/lib/pkcs11 의 PKCS11_API.so 암호화 라이브러리를 제공하고 pkcs_slot 데몬을 활성화해야 합니다.

2. 서버 호스트에서 다음 명령을 수퍼유저로 입력합니다.

   # es-config -r

   시스템에서 적절한 패키지가 있음을 감지하고 모든 Sun Management Center 구성 요소를 자동으로 중지합니다. 그런 다음 스크립트에서 보안 시드를 확인하는 메시지를 표시합니다.

3. 보안 시드를 입력합니다.

   스크립트에서 SNMPv1 커뮤니티 문자열을 확인하는 메시지를 표시합니다.

4. 암호화된 통신을 시작할 것인지 여부를 확인하는 메시지가 나타나는 경우 암호화된 통신을 시작하려면 y를 입력하고 거절하려면 n을 입력합니다.

5. 자동 협상 기능을 사용할 것인지 여부를 확인하는 메시지가 나타나는 경우 사용하려면 y를 입력하고 거절하려면 n을 입력합니다.

   자동 협상 기능에 대한 세부 정보는 자동 협상 기능을 참조하십시오.

SNMP 통신

Sun Management Center 에이전트는 SNMPv1, SNMPv2c 및 SNMPv2usec를 사용하는 서버와 통신할 수 있습니다. 이러한 통신은 기본적으로 활성화되어 있습니다. domain-config.x 파일을 편집하여 SNMPv1 및 SNMPv2c 통신을 비활성화할 수 있습니다. 그러나 SNMPv2usec 통신은 비활성화할 수 없습니다.

SNMPv1 통신 비활성화

단계

1. Sun Management Center 에이전트에서 수퍼유저가 됩니다.

   % su -

2. /var/opt/SUNWsymon/cfg/domain-config.x 파일을 엽니다.

3. 파일에 다음 행을 추가합니다.

   agent = { agentServer = "agentHostName" snmpPort = "161" SNMPv1 = off }

   여기서 agentHostName은 에이전트가 설치된 호스트 이름입니다.

SNMPv2c 통신 비활성화

단계

1. Sun Management Center 에이전트에서 수퍼유저가 됩니다.

   % su -

2. /var/opt/SUNWsymon/cfg/domain-config.x 파일을 엽니다.

3. 파일에 다음 행을 추가합니다.

   agent = { agentServer = "agentHostName" snmpPort = "161" SNMPv2c = off }

   여기서 agentHostName은 에이전트가 설치된 호스트 이름입니다.

SNMPv3

SNMPv3은 SNMPv2usec의 제한 사항을 넘어서기 위해 소개된 산업 표준 프로토콜입니다. SNMP 버전 3으로 생성된 SNMP 메시지, 사용자 보안 모델(SNMPv3 usm)은 SNMPv2usec로 생성된 메시지보다 더 구조화되어 있습니다.

Sun Management Center 3.6.1 소프트웨어는 SNMPv3을 지원합니다. SNMPv3은 Sun Management Center 에이전트를 활성화하여 타사 관리 응용 프로그램과 안전하게 통신합니다.