4장 Trusted Extensions 구성(작업)

이 장에서는 모니터가 있는 시스템에서 Solaris^TM Trusted Extensions를 구성하는 방법에 대해 설명합니다. Trusted Extensions 소프트웨어가 제대로 작동하려면 레이블, 영역, 네트워크, 역할 및 도구를 구성해야 합니다.

• Trusted Extensions의 전역 영역 설정

• 레이블이 있는 영역 만들기

• Trusted Extensions의 역할 및 사용자 만들기

• Trusted Extensions에서 홈 디렉토리 만들기

• 사용자 및 호스트를 기존의 신뢰할 수 있는 네트워크에 추가

• Trusted Extensions 구성 문제 해결

• 추가 Trusted Extensions 구성 작업

기타 구성 작업은 Solaris Trusted Extensions Administrator’s Procedures를 참조하십시오.

Trusted Extensions의 전역 영역 설정

전역 영역을 설정하려면 먼저 구성에 대해 결정해야 합니다. 결정에 대한 자세한 내용은 Trusted Extensions 설치 전 정보 수집 및 의사 결정을 참조하십시오.

레이블 인코딩 파일 확인 및 설치

인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.

Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.

• 인코딩 파일에 대해 잘 알고 있는 경우 다음 절차를 사용할 수 있습니다.

• 인코딩 파일에 익숙하지 않은 경우 Solaris Trusted Extensions Label Administration에서 요구 사항, 절차 및 예를 참조하십시오.

계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다.

시작하기 전에

사용자가 보안 관리자로 Trusted Extensions 패키지를 추가했으므로 이미 로그인된 것입니다.

보안 관리자는 label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.

1. label_encodings 파일이 들어 있는 매체를 해당 장치에 넣습니다.

2. label_encodings 파일을 디스크로 복사합니다.

3. 새 레이블 인코딩 파일의 구문을 확인합니다.

   1. Trusted_Extensions 폴더를 엽니다.

      배경에서 마우스 버튼 3을 누릅니다.

   2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

   3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

      

4. Check Encodings(인코딩 확인) 작업을 두 번 누릅니다.

   대화 상자에 파일의 전체 경로 이름을 입력합니다.

   /full-pathname-of-label-encodings-file

   chk_encodings 명령을 호출하여 파일의 구문을 확인합니다. 결과가 Check Encodings(인코딩 확인) 대화 상자에 표시됩니다.

5. Check Encodings(인코딩 확인) 대화 상자의 내용을 읽습니다.

6. 다음 중 한 가지를 수행합니다.

   계속

   인코딩 확인 작업에서 오류를 보고하지 않는 경우 계속할 수 있습니다. 단계 7로 이동합니다.

   오류 해결

   인코딩 확인 작업에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

7. 파일이 구문 검사를 통과하면 Yes(예)를 누릅니다.

   인코딩 확인 작업에서는 원본 파일의 백업 복사본을 만든 다음 확인된 버전을 /etc/security/tsol/label_encodings에 설치합니다. 그런 다음 레이블 데몬을 다시 시작합니다.

   ---

   주의 –

   계속하려면 레이블 인코딩 파일이 인코딩 확인 테스트를 반드시 통과해야 합니다.

   ---

예 4–1 명령줄에서 label_encodings 구문 검사

이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06

# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

Trusted Extensions에서 IPv6 네트워크 사용

IPv6을 사용하지 않는 경우 Trusted Extensions에서 CIPSO 옵션을 사용하여 IPv6 패킷을 전달할 수 없습니다. Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.

1. /etc/system 파일에 다음 항목을 추가합니다.

   set ip:ip6opt_ls = 0x0a

일반 오류

• 부트 중에 오류 메시지가 표시되면 IPv6 구성이 잘못된 것입니다.

  • 항목의 철자가 올바른지 확인합니다.

  • /etc/system 파일에 올바른 항목을 추가한 후에 시스템을 다시 부트했는지 확인합니다.

• 현재 IPv6을 사용하는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다. t_optmgmt: System error: Cannot assign requested address time-stamp

• IPv6을 사용하지 않는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다.

  • WARNING: IPv6 not enabled via /etc/system

  • Failed to configure IPv6 interface(s): hme0

  • rpcbind: Unable to join IPv6 multicast group for rpc broadcast broadcast-number

영역 복제를 위한 ZFS 풀 만들기

Solaris ZFS 스냅샷을 영역 템플리트로 사용하려면 ZFS 파일 또는 ZFS 장치에서 ZFS 풀을 만들어야 합니다. 이 풀에는 각 영역의 복제를 위한 스냅샷이 보관됩니다. ZFS 풀에 대해 /zone 장치를 사용합니다.

시작하기 전에

Solaris 설치 중에 ZFS 파일 시스템을 위한 별도의 디스크 공간을 확보해 두었습니다. 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.

1. /zone 분할 영역을 마운트 해제합니다.

   설치하는 동안 충분한 디스크 공간(약 2000MB)이 있는 /zone 분할 영역을 만들었습니다.

   # umount /zone

2. /zone 마운트 지점을 제거합니다.

   # rmdir /zone

3. vfstab 파일에서 /zone 항목을 주석 처리합니다.

   1. /zone 항목을 읽지 못하도록 합니다.

      편집기에서 vfstab 파일을 엽니다. /zone 항목 앞에 주석 기호를 추가합니다.

      #/dev/dsk/cntndnsn /dev/dsk/cntndnsn /zone ufs 2 yes -

   2. 디스크 슬라이스, cn tndn sn을 클립보드에 복사합니다.

   3. 파일을 저장하고 편집기를 닫습니다.

4. 디스크 슬라이스를 사용하여 /zone을 ZFS 풀로 다시 만듭니다.

   # zpool create -f zone cntndnsn

   예를 들어, /zone 항목에서 c0t0d0s5 디스크 슬라이스를 사용한 경우 명령은 다음과 같습니다.

   # zpool create -f zone c0t0d0s5

5. ZFS 풀이 정상인지 확인합니다.

   다음 명령 중 하나를 사용합니다.

   # zpool status -x zone pool 'zone' is healthy

   # zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT /zone 5.84G 80K 5.84G 7% ONLINE -

   이 예에서는 설치 팀이 영역에 대해 6000MB의 분할 영역을 예약했습니다. 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.

Trusted Extensions 다시 부트 및 로그인

대부분의 사이트에는 시스템을 구성할 때 설치 팀 역할을 하는 두 명 이상의 관리자가 있습니다.

시작하기 전에

로그인하기 전에 먼저 Trusted Extensions의 데스크탑 및 레이블 옵션을 숙지하십시오. 자세한 내용은 Solaris Trusted Extensions 사용 설명서의 2 장, Trusted Extensions에 로그인(작업) 를 참조하십시오.

1. 시스템을 다시 부트합니다.

   # /usr/sbin/reboot

   시스템에 그래픽 디스플레이가 없는 경우 6 장Trusted Extensions로 헤드리스 시스템 구성(작업)으로 이동합니다.

2. Solaris Trusted Extensions(CDE) 데스크탑에 수퍼유저로 로그인합니다.

   1. 로그인 창에서 Solaris Trusted Extensions(CDE)을 데스크탑으로 선택합니다.

      이 Trusted CDE 데스크탑에는 시스템을 구성하는 데 유용한 작업이 포함되어 있습니다.

   2. 로그인 대화 상자에서 root와 루트 암호를 입력합니다.

      다른 사용자가 별도의 확인이나 설명 없이 사용자의 데이터에 액세스할 수 있으므로 다른 사용자에게 암호를 공개해서는 안 됩니다. 사용자가 고의적으로 자신의 암호를 다른 사용자에게 누설하여 직접적으로 암호가 공개될 수도 있고, 암호를 메모해 두거나 보안되지 않은 암호를 선택함으로써 간접적으로 암호가 공개될 수도 있습니다. Trusted Extensions 소프트웨어는 보안되지 않은 암호에 대해 보호 기능을 제공하지만, 사용자가 자신의 암호를 공개하거나 메모하지 못하도록 막을 수는 없습니다.

3. Last Login(마지막 로그인) 대화 상자의 정보를 읽어 보십시오.

   

   그런 다음 OK(확인)를 눌러 상자를 없앱니다.

4. Label Builder(레이블 구축기)를 읽습니다.

   OK(확인)를 눌러 기본 레이블을 적용합니다.

   로그인 프로세스가 완료되면 Trusted Extensions 화면이 잠시 나타난 다음 네 개의 작업 공간이 있는 데스크탑 세션이 시작됩니다. Trusted Path 기호가 신뢰할 수 있는 스트라이프에 표시됩니다.

   ---

   주 –

   자리를 비우기 전에 반드시 로그오프하거나 화면을 잠가야 합니다. 그렇지 않으면 다른 사용자가 별도의 확인이나 설명 없이 식별 및 인증 과정을 거치지 않고 시스템에 액세스할 수 있습니다.

   ---

Trusted Extensions에서 Solaris Management Console 서버 초기화

다음 절차에 따라 이 시스템에서 사용자, 역할, 호스트, 영역 및 네트워크를 관리할 수 있습니다. 구성하는 첫 번째 시스템에서는 files 범위만 사용할 수 있습니다.

시작하기 전에

사용자는 수퍼유저여야 합니다.

1. Solaris Management Console을 시작합니다.

   # /usr/sbin/smc &

   ---

   주 –

   처음에 Solaris Management Console을 시작하면 몇 가지 등록 작업을 수행합니다. 이 작업에는 몇 분 정도의 시간이 소요될 수 있습니다.

   ---

2. Solaris Management Console에 도구 상자 아이콘이 표시되지 않으면 다음 중 하나를 수행합니다.

   • Navigation(탐색) 창이 표시되지 않는 경우

     1. 표시되는 Open Toolbox(도구 상자 열기) 대화 상자의 Server(서버) 아래에서 이 시스템 이름 옆에 있는 Load(로드)를 누릅니다.

        이 시스템에 권장된 양의 메모리 및 스왑이 없는 경우 도구 상자를 표시하는 데 몇 분 정도 걸릴 수 있습니다. 권장 사항은 Trusted Extensions용 Solaris OS 설치 또는 업그레이드를 참조하십시오.

     2. 도구 상자 목록에서 Policy=TSOL인 도구 상자를 선택합니다.

        그림 4–1은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

        ---

        주의 –

        정책이 없는 도구 상자를 선택하면 안 됩니다. 나열된 정책이 없는 도구 상자는 Trusted Extensions를 지원하지 않습니다.

        ---

        제어하려는 범위에 따라 선택하는 도구 상자가 달라집니다.

        • 로컬 파일을 편집하려면 Files(파일) 범위를 선택합니다.

        • LDAP 데이터베이스를 편집하려면 LDAP 범위를 선택합니다.

          Solaris Management Console에서 LDAP 도구 상자 편집을 완료한 후에 LDAP 범위를 사용할 수 있습니다.

     3. Open(열기)을 누릅니다.

   • Navigation(탐색) 창이 표시되지만 도구 상자 아이콘이 중지 기호인 경우

     1. Solaris Management Console을 종료합니다.

     2. Solaris Management Console을 다시 시작합니다.

        # /usr/sbin/smc &

3. 아직 선택하지 않은 경우 Policy=TSOL인 도구 상자를 선택합니다.

   다음 그림은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

   그림 4–1 Solaris Management Console의 Trusted Extensions 도구

   
   

4. (옵션) 현재 도구 상자를 저장합니다.

   Policy=TSOL 도구 상자를 저장하면 기본적으로 Trusted Extensions 도구 상자를 로드할 수 있습니다. Preferences(기본 설정)는 역할별, 호스트별로 저장됩니다. 호스트는 Solaris Management Console 서버입니다.

   1. Console(콘솔) 메뉴에서 Preferences(기본 설정)를 선택합니다.

      Home(홈) 도구 상자가 선택됩니다.

   2. Policy=TSOL 도구 상자를 Home(홈) 도구 상자로 정의합니다.

      Use Current Toolbox(현재 도구 상자 사용) 버튼을 눌러 현재 도구 상자를 Location(위치) 필드에 넣습니다.

   3. OK(확인)를 눌러 기본 설정을 저장합니다.

5. Solaris Management Console을 종료합니다.

참조

Solaris Management Console에 Trusted Extensions 추가에 대한 개요는 Solaris Trusted Extensions Administrator’s Procedures의 Solaris Management Console Tools를 참조하십시오. Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.

Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

LDAP의 경우 이 절차에서는 전역 영역에 대한 이름 지정 서비스 구성을 설정합니다. LDAP를 사용하지 않는 경우 이 절차를 건너뛸 수 있습니다.

시작하기 전에

Sun Java^TM System Directory Server 즉, LDAP 서버가 있어야 합니다. 서버를 Trusted Extensions 데이터베이스로 채우고 이 시스템에서 서버에 연결할 수 있어야 합니다. 따라서 구성 중인 시스템에는 LDAP 서버의 tnrhdb 데이터베이스에 항목이 있어야 합니다. 또는 이 절차를 수행하기 전에 이 시스템을 와일드카드 항목에 포함시켜야 합니다.

Trusted Extensions로 구성되는 LDAP 서버가 없는 경우 이 절차를 수행하기 전에 5 장Trusted Extensions에 대해 LDAP 구성(작업) 의 절차를 완료해야 합니다.

1. 원본 nsswitch.ldap 파일의 복사본을 저장합니다.

   LDAP의 표준 이름 지정 서비스 전환 파일이 Trusted Extensions에 너무 제한적입니다.

   # cd /etc # cp nsswitch.ldap nsswitch.ldap.orig

2. DNS를 사용할 경우 다음 서비스에 대해 nsswitch.ldap 파일 항목을 변경합니다.

   올바른 항목은 다음과 비슷합니다.

   hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files

   Trusted Extensions는 다음 두 개의 항목을 추가합니다.

   tnrhtp: files ldap tnrhdb: files ldap

3. 수정된 nsswitch.ldap 파일을 nsswitch.conf에 복사합니다.

   # cp nsswitch.ldap nsswitch.conf

4. Trusted CDE 작업 공간에서 Trusted_Extensions 폴더로 이동합니다.

   1. 배경에서 마우스 버튼 3을 누릅니다.

   2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

   3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

      이 폴더에는 인터페이스, LDAP 클라이언트 및 레이블이 있는 영역을 설정하는 작업이 포함되어 있습니다.

5. Create LDAP Client(LDAP 클라이언트 만들기) 작업을 두 번 누릅니다.

   다음 프롬프트에 응답합니다.

   Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name

6. OK(확인)를 누릅니다.

   다음 완료 메시지가 나타납니다.

   global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window ***

7. 작업 창을 닫습니다.

8. 서버에서 정보가 올바른지 확인합니다.

   1. 단말기 창을 열고 LDAP 서버를 쿼리합니다.

      # ldapclient list

      출력은 다음과 유사합니다.

      NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number

   2. 오류를 수정합니다.

      오류가 발생하면 올바른 값을 사용하여 Create LDAP Client(LDAP 클라이언트 만들기) 작업을 실행합니다. 예를 들어, 다음 오류는 시스템에 LDAP 서버의 항목이 없음을 나타냅니다.

      LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name

      이 오류를 해결하려면 LDAP 서버를 확인해야 합니다.

레이블이 있는 영역 만들기

txzonemgr 스크립트는 레이블이 있는 영역을 구성하는 다음 작업 과정을 모두 안내합니다.

txzonemgr 절차를 사용하려면 Trusted Extensions의 Solaris 10 8/07 릴리스를 실행해야 합니다. 또는 이 릴리스에 대한 모든 패치를 설치해야 합니다.

현재 패치를 설치하지 않고 Solaris 10 11/06 릴리스를 실행할 경우 부록 BCDE 작업을 사용하여 Trusted Extensions에 영역 설치의 절차에 따라 레이블이 있는 영역을 구성합니다.

이 절의 지침에서는 두 개 이하의 IP 주소가 할당된 시스템에서 레이블이 있는 영역을 구성합니다. 기타 옵션은 작업 맵: Trusted Extensions 준비 및 설치의 구성 옵션을 참조하십시오.

txzonemgr 스크립트 실행

이 스크립트는 레이블이 있는 영역을 적절하게 구성, 설치, 초기화 및 부트하기 위한 작업 과정을 안내합니다. 스크립트에서 각 영역의 이름을 지정하고 이름을 레이블과 연결하며, 패키지를 설치하여 가상 OS를 만든 다음 영역을 부트하여 해당 영역에서 서비스를 시작합니다. 스크립트에는 영역 복사 및 영역 복제 작업이 포함되어 있습니다. 또한 영역을 정지하고 영역의 상태를 변경하며 영역별 네트워크 인터페이스를 추가할 수 있습니다.

이 스크립트는 현재 상황에 유효한 옵션만 표시하도록 동적으로 지정되는 메뉴를 제공합니다. 예를 들어, 영역의 상태를 구성할 경우 영역 설치 메뉴 항목은 표시되지 않습니다. 완료한 작업은 목록에 표시되지 않습니다.

시작하기 전에

사용자는 수퍼유저입니다.

영역을 복제하려는 경우 영역 복제 준비를 완료했습니다. 사용자 보안 템플리트를 사용하려는 경우 템플리트를 만들었습니다.

1. 전역 영역에서 단말기 창을 엽니다.

2. txzonemgr 스크립트를 실행합니다.

   # /usr/sbin/txzonemgr

   이 스크립트로 Labeled Zone Manager 대화 상자가 열립니다. 이 zenity 대화 상자에는 현재의 설치 상태에 따라 해당 작업을 묻는 메시지가 표시됩니다.

   작업을 수행하려면 메뉴 항목을 선택한 다음 Enter 키 또는 OK(확인)를 누릅니다. 텍스트를 입력하라는 메시지가 표시되면 텍스트를 입력한 다음 Enter 키 또는 OK(확인)를 누릅니다.

Trusted Extensions에서 네트워크 인터페이스 구성

DHCP를 사용하거나 네트워크가 전역 영역에 연결되지 않도록 시스템을 구성하려면 OpenSolaris Community: Security 웹 페이지의 Trusted Extensions 섹션에 있는 노트북 지침을 참조하십시오.

이 작업에서는 전역 영역에서 네트워크를 구성합니다. 정확히 한개 all-zones 인터페이스를 만들어야 합니다. all-zones 인터페이스가 레이블이 있는 영역과 전역 영역에 공유됩니다. 공유된 인터페이스는 레이블이 있는 영역과 전역 영역간의 트래픽 경로로 사용됩니다. 이 인터페이스를 구성하려면 다음 중 하나를 수행해야 합니다:

• 물리적 인터페이스에서 논리적 인터페이스를 만듭니다. 다음 물리적 인테페이스를 공유합니다.

  이 구성은 관리하기에 가장 간단합니다. 시스템에 두 개의 IP 주소가 할당된 경우 이 구성을 선택합니다. 이 절차에서 논리적 인터페이스가 전역 영역의 특정 주소로 되며 물리적 인터페이스가 전역 영역과 레이블이 있는 영역 사이에서 공유됩니다.

• 물리적 인터페이스 공유

  시스템에 하나의 IP 주소가 할당된 경우 이 구성을 선택합니다. 이 구성에서는 전역 영역과 레이블이 있는 영역이 물리적 인터페이스를 공유합니다.

• 가상 네트워크 인터페이스 공유, vni0

  DHCP를 구성하거나 또는 각 하위 네트워크가 다른 레이블상에 있을 때 이 구성을 선택합니다. 예제 절차는 OpenSolaris Community: Security 웹 페이지의 Trusted Extensions 섹션에 있는 노트북 지침을 참조하십시오.

영역별 네트워크 인터페이스를 추가하려면 영역 만들기를 마치고 이를 확인한 후에 인터페이스를 추가합니다. 절차는 레이블이 있는 기존 영역에 네트워크 인터페이스 추가를 참조하십시오.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Manage Network Interfaces(네트워크 인터페이스 관리)를 선택하고 OK(확인)를 누릅니다.

   인터페이스 목록이 표시됩니다.

   ---

   주 –

   이 예에서 물리적 인터페이스는 설치 중에 호스트 이름과 IP 주소로 할당됩니다.

   ---

2. physical interface(물리적 인터페이스)를 선택.

   인터페이스가 하나인 시스템에는 다음과 비슷한 메뉴가 표시됩니다. 지원을 위해 주석이 추가됩니다.

   vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface

   1. eri0 인터페이스 선택.

   2. OK(확인)를 누릅니다.

3. 이 네트워크 인터페이스에 해당하는 작업을 선택합니다.

   세 가지 옵션이 제공됩니다.

   View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing

   • 시스템이 한 개 IP 주소를 갖고 있다면 단계 4로 이동합니다.

   • 시스템이 두 개 IP 주소를 갖고 있다면 단계 6으로 이동합니다.

4. 한개 IP 주소를 갖고 있는 시스템에서 물리적 인터페이스를 공유합니다.

   이 구성에서는 호스트의 IP 주소가 모든 영역에 적용됩니다. 따라서 호스트의 주소가 all-zones 주소입니다. 이 호스트는 다중 레벨 서버로 사용되지 않습니다. 예를 들어, 사용자가 이 시스템에서 파일을 공유할 수 없습니다. 시스템이 LDAP 프록시 서버, NFS 홈 디렉토리 서버 또는 인쇄 서버가 될 수 없습니다.

   1. Share(공유)을 선택하고 OK(확인)를 누릅니다.

   2. 프롬프트에서 호스트 이름을 적용합니다.

   3. 네트마스크를 표시하는 대화 상자를 닫습니다.

      eri0 all-zones 10.10.9.8 cipso Up

5. 다음 단계를 건너뜁니다.

   물리적 인터페이스가 all-zones 인터페이스인 경우 성공.

6. 두개 IP 주소를 갖고 있는 시스템에서 논리적 인터페이스를 만듭니다.

   그런 다음 물리적 인터페이스를 공유합니다.

   이 구성이 가장 간단한 Trusted Extensions 네트워크 구성입니다. 이 구성에서 기본 IP 주소는 다른 시스템에 사용되여 이 시스템상의 모든 영역에 도달할 수 있으며 논리적 인터페이스는 전역 영역에 대해 영역별입니다. 전역 영역은 다중 레벨 서버로 사용할수 있습니다.

   1. Create Logical Interface(논리적 인터페이스 작성)를 선택하고 ok(확인)를 누릅니다.

      새로운 논리적 인터페이스 작성을 확인하는 대화 상자를 없앱니다.

   2. Set IP address(IP 주소 설정)를 선택하고 ok(확인)를 누릅니다.

   3. 프롬프트에서 논리적 인터페이스의 호스트 이름을 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 호스트 이름을 machine1-services 로 지정합니다. 이름은 이 호스트가 다중 레벨 서비스를 제공한다는것을 나타냅니다.

   4. 프롬프트에서 논리적 인터페이스의 IP 주소를 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 IP 주소를 10.10.9.2 로 지정합니다.

   5. logical interface(논리적 인터페이스)를 다시 선택하고 ok(확인)를 누릅니다.

   6. Bring Up(실행)를 선택하고 OK(확인)를 누릅니다.

      인터페이스가 Up으로 표시됩니다.

      eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   7. 물리적 인터페이스를 공유합니다.

      1. physical interface(물리적 인터페이스)를 선택하고 ok(확인)를 누릅니다.

      2. Share(공유)을 선택하고 OK(확인)를 누릅니다.

         eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   적어도 한개 인터페이스가 all-zones 인터페이스이면 성공.

예 4–2 공유된 논리적 인터페이스를 사용하여 시스템에서 /etc/hosts 파일 보기

전역 영역에 고유한 인터페이스가 있고 레이블이 있는 영역이 전역 영역과 두 번째 인터페이스를 공유하는 시스템에서 /etc/hosts 파일은 다음과 비슷합니다.

# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services 

기본 구성에서 tnrhdb 파일은 다음과 비슷합니다.

# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

all-zones 인터페이스가 tnrhdb 파일에 없는 경우 인터페이스는 기본적으로 cipso로 지정됩니다.

예 4–3 IP 주소가 하나인 Trusted Extensions 시스템에서 공유 인터페이스 표시

이 예에서 관리자는 시스템을 다중 레벨 서버로 사용하지 않습니다. IP 주소를 유지하기 위해 전역 영역은 레이블이 있는 모든 영역과 해당 IP 주소를 공유하도록 구성됩니다.

관리자는 시스템에서 hme0 인터페이스에 대해 Share(공유)를 선택합니다. 소프트웨어에서는 모든 영역이 논리적 NIC를 갖도록 구성합니다. 이러한 논리적 NIC는 전역 영역에서 한 개의 물리적 NIC를 공유합니다.

관리자는 ifconfig -a 명령을 실행하여 네트워크 인터페이스 192.168.0.11에서 물리적 인터페이스 hme0이 공유되는지 확인합니다. all-zones 값이 표시됩니다.

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

또한 관리자는 /etc/hostname.hme0 파일의 내용을 검사합니다.

192.168.0.11 all-zones

영역의 이름 및 레이블 지정

label_encodings 파일의 모든 레이블에 대해 영역을 만들 필요는 없지만 그렇게 할 수는 있습니다. 관리 GUI는 이 시스템에서 영역을 만들 수 있는 레이블을 열거합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오. 전역 영역에서 네트워크 인터페이스를 구성했습니다.

필요한 보안 템플리트를 만들었습니다. 보안 템플리트는 속성 중에서 네트워크 인터페이스에 할당할 수 있는 레이블 범위를 정의합니다. 기본 보안 템플리트는 사용자의 요구를 충족시킬 수 있습니다.

• 보안 템플리트에 대한 개요는 Solaris Trusted Extensions Administrator’s Procedures의 Network Security Attributes in Trusted Extensions를 참조하십시오.

• Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.

1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Create a new zone(새 영역 만들기)을 선택하고 OK(확인)를 누릅니다.

   이름을 묻는 메시지가 표시됩니다.

   1. 영역의 이름을 입력합니다.

      ---

      참고 –

      영역에 해당 레이블과 비슷한 이름을 지정합니다. 예를 들어, 레이블이 CONFIDENTIAL: RESTRICTED인 영역의 이름은 restricted입니다.

      ---

      예를 들어, 기본 label_encodings 파일에 다음과 같은 레이블이 포함되어 있습니다.

      PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL

      레이블당 영역을 한 개씩 만들 수 있지만 다음과 같이 영역을 만드는 것을 고려해 보십시오.

      • 모든 사용자용 시스템에서 PUBLIC 레이블에 대해 한 개의 영역을, CONFIDENTIAL 레이블에 대해 세 개의 영역을 만듭니다.

      • 개발자용 시스템에서 SANDBOX: PLAYGROUND 레이블에 대해 영역을 만듭니다. SANDBOX: PLAYGROUND는 개발자용 분리 레이블로 정의되므로 개발자가 사용하는 시스템에만 이 레이블에 대해 영역이 필요합니다.

      • 클리어런스로 정의되는 MAX LABEL 레이블에 대해서는 영역을 만들지 마십시오.

   2. OK(확인)를 누릅니다.

      대화 상자의 작업 목록 위에 zone-name :configured가 표시됩니다.

2. 영역의 레이블을 지정하려면 다음 중 하나를 선택합니다.

   • 사용자 정의된 label_encodings 파일을 사용할 경우 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 사용하여 영역의 레이블을 지정합니다.

     1. Solaris Management Console에서 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 엽니다.

        1. Solaris Management Console을 시작합니다.

           # /usr/sbin/smc &

        2. 로컬 시스템의 Trusted Extensions 도구 상자를 엽니다.

           1. Console(콘솔) -> Open Toolbox(도구 상자 열기)를 선택합니다.

           2. 이 컴퓨터(this-host: Scope=Files, Policy=TSOL)라는 도구 상자를 선택합니다.

           3. Open(열기)을 누릅니다.

        3. System Configuration(시스템 구성)에서 Computers and Networks(컴퓨터 및 네트워크)로 이동합니다.

           암호를 입력하라는 메시지가 나타나면 암호를 제공합니다.

        4. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 두 번 누릅니다.

     2. 각 영역에 대해 해당 레이블을 영역 이름과 연결합니다.

        1. Action(작업) -> Add Zone Configuration(영역 구성 추가)을 선택합니다.

           대화 상자에 할당된 레이블이 없는 영역의 이름이 표시됩니다.

        2. 영역 이름을 확인한 다음 Edit(편집)를 누릅니다.

        3. 레이블 구축기에서 영역 이름에 해당하는 레이블을 누릅니다.

           잘못된 레이블을 누른 경우 레이블을 다시 눌러 선택을 해제한 다음 올바른 레이블을 누릅니다.

        4. 할당을 저장합니다.

           레이블 구축기에서 OK(확인)를 누른 다음 Trusted Network Zones Properties(신뢰할 수 있는 네트워크 영역 등록 정보) 대화 상자에서 OK(확인)를 누릅니다.

        원하는 모든 영역이 패널에 표시되어 있으면 작업이 완료된 것이며, 그렇지 않은 경우 Add Zone Configuration(영역 구성 추가) 메뉴 항목이 Zone Name(영역 이름)에 값이 없는 대화 상자를 엽니다.

   • 기본 label_encodings 파일을 사용할 경우 Labeled Zone Manager(레이블이 있는 영역 관리자)를 사용합니다.

     Select Label(레이블 선택) 메뉴 항목을 누르고 OK(확인)를 눌러 사용 가능한 레이블 목록을 표시합니다.

     1. 영역에 대한 레이블을 선택합니다.

        영역의 이름이 public인 경우 목록에서 PUBLIC 레이블을 선택합니다.

     2. OK(확인)를 누릅니다.

        작업 목록이 표시됩니다.

레이블이 있는 영역 설치

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역이 설치되고 네트워크 인터페이스가 영역에 할당됩니다.

부제가 zone-name:configured인 Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Install(설치)을 선택하고 OK(확인)를 누릅니다.

   ---

   주의 –

   이 프로세스는 완료하는 데 시간이 약간 걸립니다. 이 작업을 완료하는 동안에는 다른 작업을 수행하지 마십시오.

   ---

   패키지를 전역 영역에서 비전역 영역으로 복사합니다. 이 작업에서는 레이블이 있는 가상 운영 체제를 영역에 설치합니다. 이 예를 계속하려면 이 작업에서 public 영역을 설치합니다. GUI 표시 출력은 다음과 비슷합니다.

   # Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation.

   설치가 완료되면 호스트의 이름을 묻는 메시지가 표시됩니다. 이름이 제공됩니다.

2. 호스트의 이름을 그대로 사용합니다.

   대화 상자의 작업 목록 위에 zone-name:installed가 표시됩니다.

일반 오류

Installation of these packages generated errors: SUNWpkgname과 비슷한 경고가 표시될 경우 설치 로그를 확인하고 패키지 설치를 마칩니다.

레이블이 있는 영역 부트

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역이 설치되고 네트워크 인터페이스가 영역에 할당됩니다.

부제가 zone-name:installed인 Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

1. Labeled Zone manager(레이블이 있는 영역 관리자)에서 Zone Console(영역 콘솔)을 선택하고 OK(확인)를 누릅니다.

   현재 레이블이 있는 영역에 대한 개별 콘솔 창이 나타납니다.

2. Boot(부트)를 선택합니다.

   Zone Terminal Console(영역 터미널 콘솔)에서 영역의 부트 진행률을 추적합니다. 영역을 처음부터 만들 경우 다음과 비슷한 메시지가 콘솔에 표시됩니다.

   [Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting]

   ---

   주의 –

   이 작업을 완료하는 동안에는 다른 작업을 수행하지 마십시오.

   ---

일반 오류

오류 메시지가 표시되고 영역이 다시 부트되지 않는 경우도 있습니다. Zone Terminal Console(영역 터미널 콘솔)에서 Enter 키를 누릅니다. 다시 부트하기 위해 y를 입력하라는 메시지가 표시되면 y를 입력하고 Enter 키를 누릅니다. 영역이 다시 부트됩니다.

다음 순서

이 영역이 다른 영역에서 복사 또는 복제된 경우 영역 상태 확인을 계속합니다.

이 영역이 첫 번째 영역이면 레이블이 있는 영역 사용자 정의를 계속합니다.

영역 상태 확인

X 서버가 전역 영역에서 실행됩니다. X 서버를 사용하려면 레이블이 있는 각 영역에서 전역 영역에 연결할 수 있어야 합니다. 따라서 영역을 사용하려면 영역 네트워크가 작동해야 합니다. 자세한 내용은 다중 레벨 액세스 계획을 참조하십시오.

1. 영역이 완전히 시작되었는지 확인합니다.

   1. zone-name: Zone Terminal Console(영역 터미널 콘솔)에서 루트로 로그인합니다.

      hostname console login: root Password: Type root password

   2. Zone Terminal Console(영역 터미널 콘솔)에서 중요한 서비스를 실행하고 있는지 확인합니다.

      # svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ...

      sendmail 및 print 서비스는 중요한 서비스가 아닙니다.

   3. 영역에 유효한 IP 주소가 있는지 확인합니다.

      # ifconfig -a

      예를 들어, 다음 출력에는 hme0 인터페이스에 대한 IP 주소가 표시됩니다.

      # ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

   4. (옵션) 영역이 전역 영역과 통신할 수 있는지 확인합니다.

      1. DISPLAY 변수가 X 서버를 가리키도록 설정합니다.

         # DISPLAY=global-zone-hostname:n.n # export DISPLAY

      2. 단말기 창에서 GUI를 표시합니다.

         예를 들어, 클럭을 표시합니다.

         # /usr/openwin/bin/xclock

         영역 레이블에 클럭이 나타나지 않는 경우 영역 네트워크가 잘못 구성된 것입니다. 디버깅 제안 사항은 레이블이 있는 영역에서 X 서버에 액세스할 수 없음을 참조하십시오.

      3. 계속하려면 먼저 GUI를 닫습니다.

2. 전역 영역에서 레이블이 있는 영역의 상태를 확인합니다.

   # zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared

레이블이 있는 영역 사용자 정의

영역을 복제하거나 복사하려면 이 절차에서 영역을 다른 영역에 대한 템플리트로 구성합니다. 또한 이 절차에서 사용할 템플리트에서 만들어지지 않은 영역을 구성합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역 상태 확인을 완료했습니다.

1. Zone Terminal Console(영역 터미널 콘솔)의 레이블이 있는 영역에서 불필요한 서비스를 비활성화합니다.

   이 영역을 복사 또는 복제하는 경우에는 비활성화한 서비스가 새 영역에서 비활성화됩니다. 시스템에 온라인 상태로 유지되는 서비스는 영역에 대한 서비스 매니페스트에 따라 달라집니다. netservices limited 명령을 사용하여 레이블이 있는 영역에서 불필요한 서비스를 해제합니다.

   1. 불필요한 서비스들을 제거합니다.

      # netservices limited

   2. 나머지 서비스를 나열합니다.

      # svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ...

   3. 그래픽 로그인을 비활성화합니다.

      # svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default

   서비스 관리 프레임워크에 대한 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.

2. Labeled Zone Manager(레이블이 있는 관리자)에서 Halt(정지)를 선택하여 영역을 정지시킵니다.

3. 계속하기 전에 먼저 영역이 종료되었는지 확인합니다.

   zone-name: Zone Terminal Console(영역 터미널 콘솔)에서 다음 메시지는 영역이 종료되었음을 나타냅니다.

   [ NOTICE: Zone halted]

   이 영역을 복사 또는 복제하지 않는 경우에는 첫 번째 영역을 만든 방법으로 나머지 영역을 만듭니다. 그렇지 않은 경우 다음 단계를 계속합니다.

4. 이 영역을 다른 영역에 대한 템플리트로 사용하는 경우에는 다음을 수행합니다.

   1. auto_home_zone-name 파일을 제거합니다.

      전역 영역의 터미널 창에서 이 파일을 zone-name 영역에서 제거합니다.

      # cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name

      예를 들어, public 영역이 다른 영역의 복제를 위한 템플리트인 경우 auto_home_public 파일을 제거합니다.

      # cd /zone/public/root/etc # rm auto_home_public

   2. 이 영역을 복제하려면 다음 단계에서 ZFS 스냅샷을 만든 다음 Trusted Extensions에서 다른 영역 만들기를 계속합니다.

   3. 이 영역을 복사하려면 단계 6을 완료한 다음 Trusted Extensions에서 다른 영역 만들기를 계속합니다.

5. 나머지 영역을 복제하기 위한 영역 템플리트를 만들려면 Create Snapshot(스냅샷 만들기)을 선택한 다음 OK(확인)를 누릅니다.

   ---

   주의 –

   스냅샷 영역이 ZFS 파일 시스템에 있어야 합니다. 영역 복제를 위한 ZFS 풀 만들기 에서 영역에 대한 ZFS 파일 시스템을 만들었습니다.

   ---

6. 사용자 정의된 영역을 계속 사용할 수 있는지 확인하려면 Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Boot(부트)를 선택합니다.

   Zone Terminal Console(영역 터미널 콘솔)에서 영역의 부트 진행률을 추적합니다. 콘솔에 다음과 유사한 메시지가 나타납니다.

   [Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename

   로그인 프롬프트에서 Enter 키를 누릅니다. root로 로그인할 수 있습니다.

Trusted Extensions에서 다른 영역 만들기

다음과 같은 세 가지 옵션이 있습니다.

• 첫 번째 영역을 복사할 수 있습니다.

• 첫 번째 영역을 만드는 데 사용했던 단계를 반복할 수 있습니다.

• 첫 번째 영역을 복제할 수 있습니다.

시작하기 전에

레이블이 있는 영역 사용자 정의를 완료했습니다.

Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

1. 영역의 이름과 레이블을 지정합니다.

   자세한 내용은 영역의 이름 및 레이블 지정을 참조하십시오.

2. 다음 방법 중 하나를 선택하여 영역 만들기 전략을 계속합니다.

   모든 새 영역에 대해 이 단계를 반복합니다.

   • 모든 영역을 처음부터 만듭니다.

     1. 레이블이 있는 영역 설치를 완료합니다.

     2. 레이블이 있는 영역 부트를 완료합니다.

     3. 영역 상태 확인을 완료합니다.

     4. 레이블이 있는 영역 사용자 정의를 완료합니다.

   • 레이블이 있는 영역을 복사합니다.

     1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Copy(복사)를 선택하고 OK(확인)를 누릅니다.

     2. 영역 템플리트를 선택하고 OK(확인)를 누릅니다.

        창에 복사 프로세스가 표시됩니다. 프로세스가 완료되면 영역이 설치됩니다.

        Labeled Zone Manager(레이블이 있는 영역 관리자)에 zone-name :configured가 표시되면 다음 단계를 계속합니다. 그렇지 않으면 단계 e를 계속합니다.

     3. Select another zone(다른 영역 선택) 메뉴 항목을 선택하고 OK(확인)를 누릅니다.

     4. 새로 설치된 영역을 선택하고 OK(확인)를 누릅니다.

     5. 레이블이 있는 영역 부트를 완료합니다.

     6. 영역 상태 확인을 완료합니다.

   • 레이블이 있는 영역을 복제합니다.

     1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Clone(복제)을 선택하고 OK(확인)를 누릅니다.

     2. 목록에서 ZFS 스냅샷을 선택하고 OK(확인)를 누릅니다.

        예를 들어, public에서 스냅샷을 만든 경우 zone/public@snapshot을 선택합니다.

        복제 프로세스가 완료되면 영역이 설치됩니다. Labeled Zone Manager(레이블이 있는 영역 관리자)에 zone-name :configured가 표시되면 다음 단계를 계속합니다. 그렇지 않으면 단계 e를 계속합니다.

     3. Select another zone(다른 영역 선택) 메뉴 항목을 선택하고 OK(확인)를 누릅니다.

     4. 새로 설치된 영역을 선택하고 OK(확인)를 누릅니다.

     5. 레이블이 있는 영역 부트를 완료합니다.

     6. 영역 상태 확인을 완료합니다.

다음 순서

• 모든 영역에 대해 영역 상태 확인을 완료한 상태에서 각 영역을 별도의 물리적 네트워크에 지정하려면 레이블이 있는 기존 영역에 네트워크 인터페이스 추가를 계속합니다.

• 역할을 아직 만들지 않은 경우 Trusted Extensions의 역할 및 사용자 만들기를 계속합니다.

• 역할을 이미 만든 경우 Trusted Extensions에서 홈 디렉토리 만들기를 계속합니다.

레이블이 있는 기존 영역에 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 네트워크 인터페이스를 추가합니다. 이 구성은 각 영역이 별도의 물리적 네트워크에 연결되는 환경을 지원합니다.

전역 영역은 비전역 영역 주소를 구성한 모든 서브넷의 IP 주소를 구성해야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역 상태 확인을 성공적으로 완료했습니다.

1. 전역 영역에서 추가 네트워크 인터페이스의 IP 주소와 호스트 이름을 /etc/hosts 파일에 입력합니다.

   호스트의 이름에 -zone-name 을 추가 하는것과 같은 표준 이름 지정 규약을 사용하십시오.

   ## /etc/hosts in global zone 10.10.8.2 hostname-zone-name1 10.10.8.3 hostname-global-name1 10.10.9.2 hostname-zone-name2 10.10.9.3 hostname-global-name2

2. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.

   ## /etc/netmasks in global zone 10.10.8.0 255.255.255.0 10.10.9.0 255.255.255.0

   자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

3. 전역 영역에서 영역별 물리적 인터페이스를 연결합니다.

   1. 이미 연결한 물리적 인터페이스를 식별합니다.

      # ifconfig -a

   2. 각 인터페이스에 전역 영역 주소를 구성합니다.

      # ifconfig interface-nameN1 plumb # ifconfig interface-nameN1 10.10.8.3 up # ifconfig interface-nameN2 plumb # ifconfig interface-nameN2 10.10.9.3 up

   3. 각 전역 영역 주소에 대해서 hostname. interface-nameN 파일을 만듭니다.

      # /etc/hostname.interface-nameN1 10.10.8.3 # /etc/hostname.interface-nameN2 10.10.9.3

   전역 영역 주소는 시스템 시작에서 즉시 구성됩니다. 영역이 부트될 때 영역별 주소가 구성됩니다.

4. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

   네트워크에 대한 게이트웨이에 레이블이 구성되지 않은 경우 admin_low 보안 템플리트를 할당합니다. 네트워크에 대한 게이트웨이에 레이블이 구성된 경우 cipso 보안 템플리트를 할당합니다.

   모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 구성할 수 있습니다. 템플리트를 만들거나 할당 절차를 보시려면 Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.

5. 영역별 인터페이스를 추가할 레이블이 있는 모든 영역을 정지합니다.

   # zoneadm -z zone-name halt

6. Labeled Zone Manager(레이블이 있는 영역 관리자)를 시작합니다.

   # /usr/sbin/txzonemgr

7. 영역별 인터페이스를 추가할 각 영역에 대해 다음을 수행합니다.

   1. 영역을 선택합니다.

   2. Add Network(네트워크 추가)를 선택합니다.

   3. 네트워크 인터페이스의 이름을 지정합니다.

   4. 인터페이스의 IP 주소를 입력합니다.

8. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 완료된 모든 영역에 대해 Zone Console(영역 콘솔)을 선택합니다.

9. Boot(부트)를 선택합니다.

10. Zone Console(영역 콘솔)에서 인터페이스가 만들어졌는지 확인합니다.

    # ifconfig -a

11. 영역에 서브넷에 대한 게이트웨이 경로가 있는지 확인합니다.

    # netstat -rn

일반 오류

영역 구성을 디버깅하려면 다음을 참조하십시오.

• System Administration Guide: Solaris Containers-Resource Management and Solaris Zones의 29 장, Troubleshooting Miscellaneous Solaris Zones Problems

• Trusted Extensions 구성 문제 해결

• Solaris Trusted Extensions Administrator’s Procedures의 Troubleshooting the Trusted Network (Task Map)

Trusted Extensions의 역할 및 사용자 만들기

관리 역할을 이미 사용 중인 경우 보안 관리자 역할을 추가할 수 있습니다. 역할을 아직 구현하지 않은 사이트의 경우 역할을 만드는 절차는 Solaris OS의 절차와 비슷합니다. Trusted Extensions에서는 보안 관리자 역할을 추가하고 Solaris Management Console을 사용하여 Trusted Extensions 도메인을 관리해야 합니다.

Trusted Extensions의 보안 관리자 역할 만들기

Trusted Extensions의 역할 만들기는 Solaris OS의 역할 만들기와 동일합니다. 그러나 Trusted Extensions에는 Security Administrator(보안 관리자) 역할이 필요합니다. 로컬 보안 관리자 역할을 만들려면 예 4–4에서와 같이 명령줄 인터페이스를 사용할 수도 있습니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

네트워크에서 역할을 만들려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)을 완료해야 합니다.

1. Solaris Management Console을 시작합니다.

   # /usr/sbin/smc &

2. 적절한 도구 상자를 선택합니다.

   • 역할을 로컬로 만들려면 이 컴퓨터(this-host: Scope=Files, Policy=TSOL)를 사용합니다.

   • LDAP 서비스에서 역할을 만들려면 이 컴퓨터(this-host: Scope=LDAP, Policy=TSOL)를 사용합니다.

3. System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.

   암호를 입력하라는 메시지가 표시됩니다.

4. 적절한 암호를 입력합니다.

5. Administrative Roles(관리 역할)를 두 번 누릅니다.

6. Action(작업) 메뉴에서 Add Administrative Role(관리 역할 추가)을 선택합니다.

7. 보안 관리자 역할을 만듭니다.

   다음 정보에 따라 작업을 수행합니다.

   • Role name(역할 이름) – secadmin

   • Full name(전체 이름) – Security Administrator

   • Description(설명) – Site Security Officer(사이트 보안 관리자) 여기에는 소유 정보가 없습니다.

   • Role ID Number(역할 ID 번호) – ≥100

   • Role Shell(역할 쉘) – 관리자의 Bourne(프로필 쉘)

   • Create A Role Mailing List(역할 메일링 목록 만들기) – 확인란을 선택한 상태로 둡니다.

   • Password And Confirm(암호 및 확인) – 6자 이상의 영숫자로 구성된 암호를 지정합니다.

     악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.

     ---

     주 –

     모든 관리 역할에 대해 계정을 Always Available(항상 사용 가능)로 지정하고 암호 만료 날짜를 설정하지 않습니다.

     ---

   • Available and Granted Rights(사용 가능 및 허용된 권한) – 정보 보안, 사용자 보안

   • Home Directory Server(홈 디렉토리 서버) – home-directory-server

   • Home Directory Path(홈 디렉토리 경로) – /mount-path

   • Assign Users(사용자 할당) – 사용자에게 역할을 할당하면 이 필드가 자동으로 채워집니다.

8. 역할을 만든 후 설정이 올바른지 확인합니다.

   역할을 선택하고 두 번 누릅니다.

   다음 필드 값을 검토합니다.

   • Available Groups(사용 가능한 그룹) – 필요한 경우 그룹을 추가합니다.

   • Trusted Extensions Attributes(Trusted Extensions 속성) – 기본값이 올바릅니다.

     레이블을 표시하면 안되는 단일 레이블 시스템의 경우 Hide for Label(레이블 숨기기): Show(표시) 또는 Hide(숨기기)를 선택합니다.

   • Audit Excluded and Included(감사 제외 및 포함) – 역할의 감사 플래그가 audit_control 파일의 시스템 설정에 대한 예외인 경우에만 감사 플래그를 설정합니다.

9. 다른 역할을 만들려면 Security Administrator(보안 관리자) 역할을 참조하십시오.

   관련 예는 System Administration Guide: Security Services의 How to Create and Assign a Role by Using the GUI를 참조하십시오. 각 역할에 고유한 ID를 제공하고 해당 역할에 올바른 권한 프로필을 할당합니다. 사용 가능한 역할은 다음과 같습니다.

   • admin Role(admin 역할) – System Administrator 권한 부여

   • primaryadmin Role(primaryadmin 역할) – Primary Administrator 권한 부여

   • oper Role(oper 역할) – Operator 권한 부여

예 4–4 roleadd 명령을 사용하여 로컬 보안 관리자 역할 만들기

이 예에서 root 사용자는 roleadd 명령을 사용하여 로컬 시스템에 Security Administrator(보안 관리자) 역할을 추가합니다. 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오. root 사용자는 역할을 만들기 전에 표 1–2를 참조하십시오.

# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

root 사용자가 해당 역할에 대한 초기 암호를 제공합니다.

# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

로컬 사용자에게 역할을 할당하려면 예 4–5를 참조하십시오.

Trusted Extensions에서 역할을 수락할 수 있는 사용자 만들기

로컬 사용자를 만들려면 다음 절차를 수행하는 대신 예 4–5에서와 같이 명령줄 인터페이스를 사용할 수 있습니다. 사이트 보안 정책에 따라 둘 이상의 관리 역할을 수락할 수 있는 사용자를 만들도록 선택할 수 있습니다.

보안 사용자를 만드는 경우 System Administrator(시스템 관리자) 역할에서 사용자를 만들고 Security Administrator(보안 관리자) 역할에서 암호와 같은 보안 관련 속성을 할당합니다.

시작하기 전에

사용자는 수퍼유저, root 역할, Security Administrator(보안 관리자) 역할 또는 Primary Administrator(주 관리자) 역할이어야 합니다. Security Administrator(보안 관리자) 역할에는 사용자를 만드는 데 필요한 최소의 권한이 있습니다.

Solaris Management Console이 표시됩니다. 자세한 내용은 Trusted Extensions의 보안 관리자 역할 만들기를 참조하십시오.

1. Solaris Management Console에서 User Accounts(사용자 계정)를 두 번 누릅니다.

2. Action(작업) 메뉴에서 Add User(사용자 추가) -> Use Wizard(마법사 사용)를 선택합니다.

   ---

   주의 –

   역할 및 사용자의 이름과 ID는 동일한 풀에서 가져옵니다. 추가하는 사용자에 대해서는 ID 기존 이름 또는 ID를 사용하지 마십시오.

   ---

3. 온라인 도움말을 따릅니다.

   System Administration Guide: Basic Administration의 How to Add a User With the Solaris Management Console’s Users Tool 절차를 따를 수도 있습니다.

4. 사용자를 만든 후에 해당 사용자를 두 번 눌러 설정을 수정합니다.

   ---

   주 –

   역할을 수락할 수 있는 사용자의 경우 사용자 계정을 Always Available(항상 사용 가능)로 지정하고 암호 만료 날짜를 설정하지 않습니다.

   ---

   다음 필드가 올바르게 설정되어 있는지 확인합니다.

   • Description(설명) – 고유 정보가 없습니다.

   • Password And Confirm(암호 및 확인) – 6자 이상의 영숫자로 구성된 암호를 지정합니다.

     ---

     주 –

     설치 팀은 암호를 선택할 때 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 추측하기 어려운 암호를 선택해야 합니다.

     ---

   • Account Availability(계정 가용성) – Always Available(항상 가능)입니다.

   • Trusted Extensions Attributes(Trusted Extensions 속성) – 기본값이 올바릅니다.

     레이블을 표시하면 안되는 단일 레이블 시스템의 경우 Hide for Label(레이블 숨기기): Show(표시) 또는 Hide(숨기기)를 선택합니다.

   • Account Usage(계정 사용) – 유휴 시간과 유휴 작업을 설정합니다.

     Lock account(계정 잠금) – 역할을 수락할 수 있는 모든 사용자에 대해 No(아니오)를 설정합니다.

5. 사용자 환경을 사용자 정의합니다.

   • Assign Convenient Authorizations(편리한 권한 부여 할당)

     사이트 보안 정책을 확인한 후 첫 번째 사용자에게 Convenient Authorizations(편리한 권한 부여) 권한 프로필을 부여할 수 있습니다. 이 권한을 가진 사용자는 장치 할당, PostScript^TM 파일 인쇄, 레이블 없이 인쇄, 원격 로그인 및 시스템 종료를 수행할 수 있습니다.

   • Customize user initialization files(사용자 초기화 파일 사용자 정의)

     Solaris Trusted Extensions Administrator’s Procedures의 7 장, Managing Users, Rights, and Roles in Trusted Extensions (Tasks)를 참조하십시오.

     Solaris Trusted Extensions Administrator’s Procedures의 Managing Users and Rights With the Solaris Management Console (Task Map)을 참조하십시오.

   • Create Multilabel Copy And Link Files(다중 레이블 복사본 만들기 및 파일 연결)

     다중 레이블 시스템에서는 다른 레이블에 복사하거나 연결할 사용자 초기화 파일을 나열하는 파일을 사용하여 사용자와 역할을 설정할 수 있습니다. 자세한 내용은 Solaris Trusted Extensions Administrator’s Procedures의 .copy_files and .link_files Files를 참조하십시오.

예 4–5 useradd 명령을 사용하여 로컬 사용자 만들기

이 예에서 root 사용자는 Security Administrator(보안 관리자) 역할을 수락할 수 있는 로컬 사용자를 만듭니다. 자세한 내용은 useradd(1M) 및 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.

먼저 root 사용자는 16진수 형식의 사용자 최소 레이블 및 클리어런스 레이블을 결정합니다.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

다음으로 root 사용자는 표 1–2를 참조한 후에 사용자를 만듭니다.

# useradd -c "Local user for Security Admin" -d /export/home1 \
-K  idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe

그런 다음 root 사용자는 초기 암호를 제공합니다.

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

마지막으로 root 사용자는 사용자 정의에 Security Administrator(보안 관리자) 역할을 추가합니다. 역할은 Trusted Extensions의 보안 관리자 역할 만들기에서 만들었습니다.

# usermod -R secadmin jandoe

Trusted Extensions 역할 작동 확인

각 역할을 확인하려면 역할을 수락합니다. 그런 다음 해당 역할만 수행할 수 있는 작업을 수행합니다.

시작하기 전에

DNS 또는 라우팅을 구성한 경우 역할을 만들고 다시 부트한 후에 작동 여부를 확인해야 합니다.

1. 각 역할에 대해 역할을 수락할 수 있는 사용자로 로그인합니다.

2. Trusted Path(신뢰할 수 있는 경로) 메뉴를 엽니다.

   • Trusted CDE에서 작업 공간 전환 영역을 누릅니다.

   • Trusted JDS에서 신뢰할 수 있는 기호를 누릅니다.

   

3. 메뉴에서 역할을 수락합니다.

4. 역할 작업 공간에서 Solaris Management Console을 시작합니다.

   $ /usr/sbin/smc &

5. 테스트할 역할의 적절한 범위를 선택합니다.

6. System Services(시스템 서비스)를 누르고 Users(사용자)로 이동합니다.

   암호를 입력하라는 메시지가 표시됩니다.

   1. 역할 암호를 입력합니다.

   2. User Accounts(사용자 계정)를 두 번 누릅니다.

7. 사용자를 누릅니다.

   • System Administrator(시스템 관리자) 역할은 General(일반), Home Directory(홈 디렉토리) 및 Group(그룹) 탭에서 필드를 수정할 수 있어야 합니다.

   • Security Administrator(보안 관리자) 역할은 모든 탭에서 필드를 수정할 수 있어야 합니다.

   • Primary Administrator(주 관리자) 역할은 모든 탭에서 필드를 수정할 수 있어야 합니다.

레이블이 있는 영역에 대한 사용자 로그인 허용

호스트가 다시 부트되면 장치와 기본 저장소 간의 연결을 다시 설정해야 합니다.

시작하기 전에

레이블이 있는 영역을 한 개 이상 만들었습니다. 해당 영역은 복제에 사용되지 않습니다.

1. 시스템을 다시 부트합니다.

2. root 사용자로 로그인합니다.

3. 영역 서비스를 다시 시작합니다.

   # svcs zones STATE STIME FMRI offline - svc:/system/zones:default

   # svcadm restart svc:/system/zones:default

4. 로그아웃합니다.

   이제 일반 사용자가 로그인할 수 있습니다. 세션이 레이블이 있는 영역에 있습니다.

Trusted Extensions에서 홈 디렉토리 만들기

Trusted Extensions에서 사용자는 작업하는 모든 레이블에서 홈 디렉토리에 액세스할 수 있어야 합니다. 사용자가 모든 홈 디렉토리를 사용할 수 있게 하려면 다중 레벨 홈 디렉토리 서버를 만들고, 서버에서 자동 마운터를 실행한 다음 홈 디렉토리를 내보내야 합니다. 클라이언트 측에서 스크립트를 실행하여 각 사용자의 모든 영역에 대한 홈 디렉토리를 찾거나 사용자가 홈 디렉토리 서버에 로그인하도록 허용할 수 있습니다.

Trusted Extensions에서 홈 디렉토리 서버 만들기

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

1. Trusted Extensions 소프트웨어를 사용하여 홈 디렉토리 서버를 설치하고 구성합니다.

   • 영역을 복제하려면 비어 있는 홈 디렉토리가 있는 Solaris ZFS 스냅샷을 사용해야 합니다.

   • 사용자가 로그인할 수 있는 모든 레이블에는 홈 디렉토리가 필요하기 때문에 사용자가 로그인할 수 있는 모든 영역을 만듭니다. 예를 들어, 기본 label_encodings 파일을 사용할 경우 PUBLIC 레이블에 대한 영역을 만듭니다.

2. UFS를 사용하고 Solaris ZFS는 사용하지 않을 경우 NFS 서버를 사용합니다.

   1. 전역 영역에서 nsswitch.conf 파일의 automount 항목을 수정합니다.

      신뢰할 수 있는 편집기를 사용하여 /etc/nsswitch.conf 파일을 편집합니다. 자세한 내용은 Solaris Trusted Extensions Administrator’s Procedures의 How to Edit Administrative Files in Trusted Extensions를 참조하십시오.

      automount: files

   2. 전역 영역에서 automount 명령을 실행합니다.

3. 레이블이 있는 모든 영역에 대해 Solaris Trusted Extensions Administrator’s Procedures의 How to NFS Mount Files in a Labeled Zone에서 자동 마운트 절차를 수행합니다. 그런 다음 이 절차로 돌아갑니다.

4. 홈 디렉토리가 만들어졌는지 확인합니다.

   1. 홈 디렉토리 서버에서 로그아웃합니다.

   2. 일반 사용자로 홈 디렉토리 서버에 로그인합니다.

   3. 로그인 영역에서 터미널을 엽니다.

   4. 단말기 창에서 사용자의 홈 디렉토리가 있는지 확인합니다.

   5. 사용자가 작업할 수 있는 모든 영역에 대해 작업 공간을 만듭니다.

   6. 각 영역에서 단말기 창을 열어 사용자의 홈 디렉토리가 있는지 확인합니다.

5. 홈 디렉토리 서버에서 로그아웃합니다.

Trusted Extensions에서 사용자의 홈 디렉토리 액세스 허용

사용자는 처음에 홈 디렉토리 서버에 로그인하여 다른 시스템과 공유할 홈 디렉토리를 만들 수 있습니다.. 모든 레이블에서 홈 디렉토리를 만들려면 각 사용자는 모든 레이블에서 홈 디렉토리 서버에 로그인해야 합니다.

또는 관리자로 사용자가 처음 로그인하기 전에 각 사용자의 홈 시스템에서 홈 디렉토리에 대한 마운트 지점을 만들 스크립트를 작성할 수 있습니다. 스크립트는 사용자에게 작업이 허용되는 모든 레이블에서 마운트 지점을 만듭니다.

시작하기 전에

Trusted Extensions 도메인에 대한 홈 디렉토리 서버가 구성됩니다.

1. 서버에 대한 직접 로그인을 허용할지, 아니면 스크립트를 실행할지 여부를 선택합니다.

   • 사용자가 홈 디렉토리 서버에 직접 로그인할 수 있도록 합니다.

     1. 각 사용자에게 홈 디렉토리 서버에 로그인하도록 지시합니다.

        로그인한 후에 사용자는 로그아웃해야 합니다.

     2. 다시 로그인하고 이번에는 다른 로그인 레이블을 선택하도록 각 사용자에게 지시합니다.

        사용자는 레이블 구축기를 사용하여 다른 로그인 레이블을 선택합니다. 로그인한 후에 사용자는 로그아웃해야 합니다.

     3. 사용이 허용된 모든 레이블에 대해 로그인 프로세스를 반복하도록 각 사용자에게 지시합니다.

     4. 일반 워크스테이션에서 로그인하도록 지시합니다.

        기본 레이블의 홈 디렉토리를 사용할 수 있습니다. 사용자가 세션의 레이블을 변경하거나 다른 레이블에 작업 공간을 추가한 경우 해당 레이블에 대한 사용자의 홈 디렉토리가 마운트됩니다.

   • 모든 사용자에 대해 홈 디렉토리 마운트 지점을 만드는 스크립트를 작성하고 스크립트를 실행합니다.

     #!/bin/sh # for zoneroot in `/usr/sbin/zoneadm list -p | cut -d ":" -f4` ; do if [ $zoneroot != / ]; then prefix=$zoneroot/root/export for j in `getent passwd|tr ' ' _` ; do uid=`echo $j|cut -d ":" -f3` if [ $uid -ge 100 ]; then gid=`echo $j|cut -d ":" -f4` homedir=`echo $j|cut -d ":" -f6` mkdir -m 711 -p $prefix$homedir chown $uid:$gid $prefix$homedir fi done fi done

     1. 전역 영역의 NFS 서버에서 이 스크립트를 실행합니다.

     2. 그런 다음 사용자가 로그인할 모든 다중 레벨 데스크탑에서 이 스크립트를 실행합니다.

사용자 및 호스트를 기존의 신뢰할 수 있는 네트워크에 추가

NIS 맵에 정의된 사용자가 있는 경우에는 이 사용자를 네트워크에 추가할 수 있습니다.

호스트와 레이블을 호스트에 추가하려면 다음 절차를 참조하십시오.

• 호스트를 추가하려면 Solaris Management Console에 설정된 Computers and Networks(컴퓨터 및 네트워크) 도구를 사용합니다. 자세한 내용은 Solaris Trusted Extensions Administrator’s Procedures의 How to Add Hosts to the System’s Known Network를 참조하십시오.

  LDAP 서버에 호스트를 추가하는 경우 호스트와 연관된 모든 IP 주소를 추가합니다. 레이블이 있는 영역에 대한 주소를 포함하여 모든 영역 주소를 LDAP 서버에 추가해야 합니다.

• 호스트의 레이블을 지정하려면 Solaris Trusted Extensions Administrator’s Procedures의 How to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

LDAP 서버에 NIS 사용자 추가

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

1. NIS 데이터베이스에서 필요한 정보를 수집합니다.

   1. aliases 데이터베이스의 사용자 항목에서 파일을 만듭니다.

      % ypcat -k aliases | grep login-name > aliases.name

   2. passwd 데이터베이스의 사용자 항목에서 파일을 만듭니다.

      % ypcat -k passwd | grep "Full Name" > passwd.name

   3. auto_home_ 데이터베이스의 사용자 항목에서 파일을 만듭니다.

      % ypcat -k auto_home | grep login-name > auto_home_label

2. LDAP 및 Trusted Extensions 정보를 재포맷합니다.

   1. sed 명령을 사용하여 aliases 항목을 다시 포맷합니다.

      % sed 's/ /:/g' aliases.login-name > aliases

   2. nawk 명령을 사용하여 passwd 항목을 다시 포맷합니다.

      % nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd

   3. nawk 명령을 사용하여 shadow 항목을 재포맷합니다.

      % nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow

   4. nawk 명령을 사용하여 user_attr 항목을 만듭니다.

      % nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...; labelview=int-or-ext,show-or-hide;min_label=min-label; clearance=max-label;type=normal;roles=role-name,...; auths=auth-name,..."}' passwd.name > user_attr

3. 수정된 파일을 LDAP 서버의 /tmp 디렉토리에 복사합니다.

   # cp aliases auto_home_internal passwd shadow user_attr /tmp/name

4. 단계 3의 파일 항목을 LDAP 서버의 데이터베이스에 추가합니다.

   # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/user_attr user_attr

예 4–6 NIS 데이터베이스에서 LDAP 서버로 사용자 추가

다음 예에서는 관리자가 신뢰할 수 있는 네트워크에 새 사용자를 추가합니다. 사용자의 정보는 원래 NIS 데이터베이스에 저장됩니다. LDAP 서버 암호를 보호하려면 관리자가 ldapaddent 명령을 서버에서 실행합니다.

Trusted Extensions에서 새 사용자는 장치를 할당하고 Operator(운영자) 역할을 수락합니다. 사용자가 역할을 수락할 수 있기 때문에 사용자 계정은 잠기지 않습니다. 사용자의 최소 레이블은 PUBLIC입니다. 사용자가 작업하는 레이블은 INTERNAL이므로 jan이 auto_home_internal 데이터베이스에 추가됩니다. auto_home_internal 데이터베이스는 읽기/쓰기 권한으로 jan의 홈 디렉토리를 자동 마운트합니다.

• LDAP 서버에서 관리자는 NIS 데이터베이스에서 사용자 정보를 추출합니다.

  # ypcat -k aliases | grep jan.doe > aliases.jan # ypcat passwd | grep "Jan Doe" > passwd.jan # ypcat -k auto_home | grep jan.doe > auto_home_internal

• 그런 다음 관리자는 LDAP에 대한 항목을 다시 포맷합니다.

  # sed 's/ /:/g' aliases.jan > aliases # nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.jan > passwd # nawk -F: '{print $1":"$2":6445::::::"}' passwd.jan > shadow

• 그런 다음 관리자는 Trusted Extensions에 대한 user_attr 항목을 만듭니다.

  # nawk -F: '{print $1"::::lock_after_retries=no;profiles=Media User; labelview=internal,showsl;min_label=0x0002-08-08; clearance=0x0004-08-78;type=normal;roles=oper; auths=solaris.device.allocate"}' passwd.jan > user_attr

• 그런 다음 관리자는 파일을 /tmp/jan 디렉토리에 복사합니다.

  # cp aliases auto_home_internal passwd shadow user_attr /tmp/jan

• 마지막으로 관리자는 서버를 /tmp/jan 디렉토리의 파일로 채웁니다.

  # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/user_attr user_attr

Trusted Extensions 구성 문제 해결

Trusted Extensions에서 레이블이 있는 영역은 전역 영역을 통해 X 서버와 통신합니다. 따라서 레이블이 있는 영역은 전역 영역에 대해 사용 가능한 경로가 있어야 합니다. 또한 Solaris 설치 중에 선택한 옵션으로 인해 Trusted Extensions에서 전역 영역에 대한 인터페이스를 사용하지 못할 수 있습니다.

Trusted Extensions 설치 후 netservices limited가 실행됨

설명:

Trusted Extensions 패키지를 추가하기 전에 netservices limited 명령을 실행하는 대신 패키지를 추가한 후에 전역 영역에서 명령을 실행했습니다. 따라서 레이블이 있는 영역에서 전역 영역의 X 서버에 연결할 수 없습니다.

해결 방법:

다음 명령을 실행하여 Trusted Extensions에서 영역 간의 통신에 필요한 서비스를 엽니다.

# svccfg -s x11-server setprop options/tcp_listen = true # svcadm enable svc:/network/rpc/rstat:default

레이블이 있는 영역에서 콘솔 창을 열 수 없음

설명:

레이블이 있는 영역에서 콘솔 창을 열려고 시도하면 대화 상자에 다음과 같은 오류가 표시됩니다.

Action:DttermConsole,*,*,*,0 [Error] Action not authorized.

해결 방법:

/etc/security/exec_attr 파일의 각 영역 항목에 다음 두 줄이 있는지 확인합니다.

All Actions:solaris:act:::*;*;*;*;*: All:solaris:act:::*;*;*;*;*:

이 줄이 없는 경우 해당 항목을 추가하는 Trusted Extensions 패키지가 레이블이 있는 영역에 설치되어 있지 않은 것입니다. 이 경우에는 레이블이 있는 영역을 다시 만듭니다. 절차는 레이블이 있는 영역 만들기를 참조하십시오.

레이블이 있는 영역에서 X 서버에 액세스할 수 없음

설명:

레이블이 있는 영역에서 X 서버에 액세스할 수 없는 경우 다음과 같은 메시지가 표시될 수 있습니다.

• Action failed. Reconnect to Solaris Zone?(작업에 실패했습니다. Solaris 영역에 다시 연결하시겠습니까?)

• No route available(사용 가능한 경로 없음)

• Cannot reach globalzone(전역 영역에 연결할 수 없음)-hostname :0

원인:

레이블이 있는 영역에서 X 서버에 액세스할 수 없는 원인은 다음과 같습니다.

• 영역이 초기화되지 않고 sysidcfg 프로세스가 완료될 때까지 대기하고 있습니다.

• 레이블이 있는 영역의 호스트 이름이 전역 영역에서 실행되는 이름 지정 서비스에서 인식되지 않습니다.

• all-zones로 지정된 인터페이스가 없습니다.

• 레이블이 있는 영역의 네트워크 인터페이스의 작동이 중지되었습니다.

• LDAP 이름을 조회하지 못했습니다.

• NFS 마운트가 작동하지 않습니다.

해결 단계:

다음을 수행합니다.

1. 영역에 로그인합니다.

   zlogin 명령 또는 Zone Terminal Console(영역 터미널 콘솔) 작업을 사용할 수 있습니다.

   # zlogin -z zone-name

   수퍼유저로 로그인할 수 없는 경우 zlogin -S 명령을 사용하여 인증을 생략합니다.

2. 영역이 실행 중인지 확인합니다.

   # zoneadm list

   영역이 running 상태인 경우에는 해당 영역에서 하나 이상의 프로세스가 실행되고 있는 것입니다.

3. 레이블이 있는 영역에서 X 서버에 액세스하지 못하게 하는 모든 문제를 해결합니다.

   • sysidcfg 프로세스를 완료하여 영역을 초기화합니다.

     sysidcfg 프로그램을 대화식으로 실행합니다. zlogin 명령을 실행했던 단말기 창 또는 Zone Terminal Console(영역 터미널 콘솔)에서 프롬프트에 응답합니다.

     sysidcfg 프로세스를 비대화식으로 실행하기 위해 다음 중 하나를 수행할 수 있습니다.

     • /usr/sbin/txzonemgr 스크립트에서 Initialize(초기화) 항목을 지정합니다.

       Initialize(초기화) 항목을 사용하여 sysidcfg 질문에 기본값을 입력할 수 있습니다.

     • 사용자가 직접 sysidcfg 스크립트를 작성합니다.

       자세한 내용은 sysidcfg(4) 매뉴얼 페이지를 참조하십시오.

   • 영역에서 X 서버를 사용할 수 있는지 확인합니다.

     레이블이 있는 영역에 로그인합니다. DISPLAY 변수가 X 서버를 가리키도록 설정하고 창을 엽니다.

     # DISPLAY=global-zone-hostname:n.n # export DISPLAY # /usr/openwin/bin/xclock

     레이블이 있는 창이 나타나지 않으면 해당 레이블이 있는 영역에 대한 영역 네트워킹이 제대로 구성되지 않은 것입니다.

   • 이름 지정 서비스를 사용하여 영역의 호스트 이름을 구성합니다.

     영역의 로컬 /etc/hosts 파일이 사용되고 있지 않습니다. 대신 전역 영역 또는 LDAP 서버에서 관련 정보를 지정해야 합니다. 정보에는 영역에 할당되는 호스트 이름의 IP 주소가 포함되어야 합니다.

   • all-zones로 지정된 인터페이스가 없습니다.

     모든 영역이 전역 영역과 동일한 서브넷의 IP 주소를 사용하는 경우가 아니면 all-zones(공유) 인터페이스를 구성해야 할 수 있습니다. 이 구성을 사용하면 레이블이 있는 영역에서 전역 영역의 X 서버에 연결할 수 있습니다. 전역 영역 X 서버에 대한 원격 연결을 제한하려면 vni0을 all-zones 주소로 사용할 수 있습니다.

     all-zones 인터페이스를 구성하지 않으려면 각 영역에 대해 전역 영역 X 서버의 경로를 제공해야 합니다. 이 경로는 전역 영역에서 구성해야 합니다.

   • 레이블이 있는 영역의 네트워크 인터페이스의 작동이 중지되었습니다.

     # ifconfig -a

     ifconfig 명령을 사용하여 레이블이 있는 영역의 네트워크 인터페이스가 UP 및 RUNNING 상태인지 확인합니다.

   • LDAP 이름을 조회하지 못했습니다.

     ldaplist 명령을 사용하여 각 영역에서 LDAP 서버 또는 LDAP 프록시 서버와 통신할 수 있는지 확인합니다. LDAP 서버에서 영역이 tnrhdb 데이터베이스에 나열되는지 확인합니다.

   • NFS 마운트가 작동하지 않습니다.

     수퍼유저로 영역에서 automount를 다시 시작합니다. 또는 crontab 항목을 추가하여 automount 명령을 5분마다 실행합니다.

추가 Trusted Extensions 구성 작업

다음 두 작업을 수행하여 구성 파일의 정확한 복사본을 사이트의 모든 Trusted Extensions 시스템에 전송할 수 있습니다. 마지막 작업에서는 Solaris 시스템에서 Trusted Extensions 사용자 정의를 제거할 수 있습니다.

Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법

이동식 매체에 복사할 경우 정보의 민감도 레이블을 사용하여 매체의 레이블을 지정합니다.

설치하는 동안 수퍼유저 또는 이와 동등한 역할의 사용자가 이동식 매체로 또는 이동식 매체에서 관리 파일을 복사합니다. 매체 레이블을 Trusted Path로 지정합니다.

시작하기 전에

관리 파일을 복사하려면 사용자가 수퍼유저이거나 전역 영역의 역할에 속해야 합니다.

1. 해당 장치를 할당합니다.

   Device Allocation Manager(장치 할당 관리자)를 사용하고 손상되지 않은 매체를 넣습니다. 자세한 내용은 Solaris Trusted Extensions 사용 설명서의 Trusted Extensions에서 장치를 할당하는 방법를 참조하십시오.

   • Solaris Trusted Extensions(CDE)에서 File Manager(파일 관리자)에 이동식 매체의 내용이 표시됩니다.

   • Solaris Trusted Extensions(JDS)에서 File Browser(파일 브라우저)에 내용이 표시됩니다.

   이 절차에서 File Manager(파일 관리자)는 이 GUI를 참조하는 데 사용됩니다.

2. 두 번째 File Manager(파일 관리자)를 엽니다.

3. 복사할 파일이 있는 폴더로 이동합니다.

   예를 들어, 파일을 /export/clientfiles 폴더에 복사했을 수 있습니다.

4. 각 파일에 대해서 다음을 수행합니다.

   1. 파일에 대한 아이콘을 강조 표시합니다.

   2. 파일을 이동식 매체에 대한 File Manager(파일 관리자)로 끕니다.

5. 장치를 할당 해제합니다.

   자세한 내용은 Solaris Trusted Extensions 사용 설명서의 Trusted Extensions에서 장치를 할당 해제하는 방법를 참조하십시오.

6. 이동식 매체에 대한 File Manager(파일 관리자)의 File(파일) 메뉴에서 Eject(꺼내기)를 선택합니다.

   ---

   주 –

   복사된 파일의 민감도 레이블을 사용하여 매체에 레이블을 물리적으로 추가합니다.

   ---

예 4–7 구성 파일을 모든 시스템에서 동일하게 유지

시스템 관리자는 모든 시스템을 동일한 설정으로 구성하려고 합니다. 따라서 구성되는 첫 번째 시스템에서는 재부트 중에 삭제할 수 없는 디렉토리를 만듭니다. 관리자는 모든 시스템에서 동일하거나 유사한 파일을 해당 디렉토리에 넣습니다.

예를 들어, Solaris Management Console에서 LDAP 범위 /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx에 사용하는 Trusted Extensions 도구 상자를 복사합니다. tnrhtp 파일에서 원격 호스트 템플리트를 사용자 정의했으며, DNS 서버 목록과 감사 구성 파일이 있습니다. 또한 사이트에 대한 policy.conf 파일을 수정했습니다. 따라서 파일을 영구 디렉토리에 복사합니다.

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
/etc/security/audit_control \
/etc/security/audit_startup \
/etc/security/tsol/tnrhtp \
/etc/resolv.conf \
/etc/nsswitch.conf \
/export/commonfiles

Device Allocation Manager(장치 할당 관리자)를 사용하여 전역 영역에서 디스켓을 할당하고 이 파일을 디스켓으로 전송합니다. 레이블이 ADMIN_HIGH인 개별 디스켓에 사이트에 대한 label_encodings 파일을 넣습니다.

파일을 시스템에 복사할 때 해당 시스템의 /etc/security/audit_control 파일에서 dir: 항목을 수정합니다.

Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법

파일을 바꾸기 전에 원본 Trusted Extensions 파일의 이름을 변경해도 안전합니다. 시스템을 구성할 때 root 역할은 관리 파일의 이름을 변경하고 이 파일을 복사합니다.

시작하기 전에

관리 파일을 복사하려면 사용자가 수퍼유저이거나 전역 영역의 역할에 속해야 합니다.

1. 해당 장치를 할당합니다.

   자세한 내용은 Solaris Trusted Extensions 사용 설명서의 Trusted Extensions에서 장치를 할당하는 방법를 참조하십시오.

   • Solaris Trusted Extensions(CDE)에서 File Manager(파일 관리자)에 이동식 매체의 내용이 표시됩니다.

   • Solaris Trusted Extensions(JDS)에서 File Browser(파일 브라우저)에 내용이 표시됩니다.

   이 절차에서 File Manager(파일 관리자)는 이 GUI를 참조하는 데 사용됩니다.

2. 관리 파일이 들어 있는 매체를 삽입합니다.

3. 시스템에 동일한 이름을 가진 파일이 있는 경우 원본 파일을 새 이름으로 복사합니다.

   예를 들어, .orig를 원본 파일의 끝에 추가합니다.

   # cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig

4. File Manager(파일 관리자)를 엽니다.

5. 원하는 대상 디렉토리(예: /etc/security/tsol)로 이동합니다.

6. 복사할 각 파일에 대해 다음을 수행합니다.

   1. 마운트된 매체의 File Manager(파일 관리자)에서 해당 파일의 아이콘을 강조 표시합니다.

   2. 그런 다음 파일을 두 번째 File Manager(파일 관리자)의 대상 디렉토리로 끕니다.

7. 장치를 할당 해제합니다.

   자세한 내용은 Solaris Trusted Extensions 사용 설명서의 Trusted Extensions에서 장치를 할당 해제하는 방법를 참조하십시오.

8. 메시지가 표시되면 매체를 꺼내서 제거합니다.

예 4–8 Trusted Extensions에서 감사 구성 파일 로드

이 예에서는 역할이 시스템에서 아직 구성되어 있지 않습니다. root 사용자는 구성 파일을 이동식 매체에 복사해야 합니다. 그러면 매체의 내용이 다른 시스템에 복사됩니다. 이 파일은 Trusted Extensions 소프트웨어에서 구성되는 각 시스템에 복사됩니다.

root 사용자는 Device Allocation Manager(장치 할당 관리자)에서 floppy_0 장치를 할당하고 마운트 쿼리에 yes로 응답합니다. 그런 다음 root 사용자는 구성 파일이 있는 디스켓을 넣고 해당 파일을 디스크에 복사합니다. 디스켓의 레이블이 Trusted Path로 지정됩니다.

매체에서 읽으려면 root 사용자는 수신 호스트에서 장치를 할당하고 내용을 다운로드합니다.

구성 파일이 테이프에 있는 경우 root 사용자는 mag_0 장치를 할당합니다. 구성 파일이 CD-ROM에 있는 경우 root 사용자는 cdrom_0 장치를 할당합니다.

시스템에서 Trusted Extensions를 제거하는 방법

Solaris 시스템에서 Trusted Extensions를 제거하려면 특정 단계를 수행하여 Solaris 시스템에서 Trusted Extensions 사용자 정의를 제거합니다.

1. Solaris OS에서와 같이 레이블이 있는 영역에서 보관할 데이터를 모두 아카이브합니다.

2. 레이블이 있는 영역을 시스템에서 제거합니다.

   자세한 내용은 System Administration Guide: Solaris Containers-Resource Management and Solaris Zones의 How to Remove a Non-Global Zone을 참조하십시오.

3. 시스템에서 Trusted Extensions 패키지를 제거합니다.

   • 설치 마법사를 사용하여 Trusted Extensions 패키지를 추가한 경우 제거 마법사를 사용합니다.

     마법사는 /var/sadm/tx 디렉토리에 있습니다.

     # cd /var/sadm/tx # java uninstall_Solaris_Trusted_Extensions

     또한 prodreg 명령을 사용할 수 있습니다. 자세한 내용은 prodreg(1M) 명령을 참조하십시오.

   • pkgadd 명령을 사용하여 Trusted Extensions 패키지를 추가한 경우 pkgrm 명령을 사용합니다.

     자세한 내용은 pkgrm(1M) 매뉴얼 페이지를 참조하십시오.

4. bsmunconv 명령을 실행합니다.

   이 명령으로 인한 결과는 bsmunconv(1M) 매뉴얼 페이지를 참조하십시오.

5. (옵션) 시스템을 다시 부트합니다.

6. 시스템을 구성합니다.

   Solaris 시스템에 대한 다양한 서비스를 구성해야 할 수 있습니다. 대상 서비스에는 감사, 기본 네트워크, 이름 지정 서비스 및 파일 시스템 마운트가 포함됩니다.