Trusted Extensions의 전역 영역 설정

전역 영역을 설정하려면 먼저 구성에 대해 결정해야 합니다. 결정에 대한 자세한 내용은 Trusted Extensions 설치 전 정보 수집 및 의사 결정을 참조하십시오.

레이블 인코딩 파일 확인 및 설치

인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.

Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.

• 인코딩 파일에 대해 잘 알고 있는 경우 다음 절차를 사용할 수 있습니다.

• 인코딩 파일에 익숙하지 않은 경우 Solaris Trusted Extensions Label Administration에서 요구 사항, 절차 및 예를 참조하십시오.

계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다.

시작하기 전에

사용자가 보안 관리자로 Trusted Extensions 패키지를 추가했으므로 이미 로그인된 것입니다.

보안 관리자는 label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.

1. label_encodings 파일이 들어 있는 매체를 해당 장치에 넣습니다.

2. label_encodings 파일을 디스크로 복사합니다.

3. 새 레이블 인코딩 파일의 구문을 확인합니다.

   1. Trusted_Extensions 폴더를 엽니다.

      배경에서 마우스 버튼 3을 누릅니다.

   2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

   3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

      

4. Check Encodings(인코딩 확인) 작업을 두 번 누릅니다.

   대화 상자에 파일의 전체 경로 이름을 입력합니다.

   /full-pathname-of-label-encodings-file

   chk_encodings 명령을 호출하여 파일의 구문을 확인합니다. 결과가 Check Encodings(인코딩 확인) 대화 상자에 표시됩니다.

5. Check Encodings(인코딩 확인) 대화 상자의 내용을 읽습니다.

6. 다음 중 한 가지를 수행합니다.

   계속

   인코딩 확인 작업에서 오류를 보고하지 않는 경우 계속할 수 있습니다. 단계 7로 이동합니다.

   오류 해결

   인코딩 확인 작업에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

7. 파일이 구문 검사를 통과하면 Yes(예)를 누릅니다.

   인코딩 확인 작업에서는 원본 파일의 백업 복사본을 만든 다음 확인된 버전을 /etc/security/tsol/label_encodings에 설치합니다. 그런 다음 레이블 데몬을 다시 시작합니다.

   ---

   주의 –

   계속하려면 레이블 인코딩 파일이 인코딩 확인 테스트를 반드시 통과해야 합니다.

   ---

예 4–1 명령줄에서 label_encodings 구문 검사

이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06

# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

Trusted Extensions에서 IPv6 네트워크 사용

IPv6을 사용하지 않는 경우 Trusted Extensions에서 CIPSO 옵션을 사용하여 IPv6 패킷을 전달할 수 없습니다. Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.

1. /etc/system 파일에 다음 항목을 추가합니다.

   set ip:ip6opt_ls = 0x0a

일반 오류

• 부트 중에 오류 메시지가 표시되면 IPv6 구성이 잘못된 것입니다.

  • 항목의 철자가 올바른지 확인합니다.

  • /etc/system 파일에 올바른 항목을 추가한 후에 시스템을 다시 부트했는지 확인합니다.

• 현재 IPv6을 사용하는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다. t_optmgmt: System error: Cannot assign requested address time-stamp

• IPv6을 사용하지 않는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다.

  • WARNING: IPv6 not enabled via /etc/system

  • Failed to configure IPv6 interface(s): hme0

  • rpcbind: Unable to join IPv6 multicast group for rpc broadcast broadcast-number

영역 복제를 위한 ZFS 풀 만들기

Solaris ZFS 스냅샷을 영역 템플리트로 사용하려면 ZFS 파일 또는 ZFS 장치에서 ZFS 풀을 만들어야 합니다. 이 풀에는 각 영역의 복제를 위한 스냅샷이 보관됩니다. ZFS 풀에 대해 /zone 장치를 사용합니다.

시작하기 전에

Solaris 설치 중에 ZFS 파일 시스템을 위한 별도의 디스크 공간을 확보해 두었습니다. 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.

1. /zone 분할 영역을 마운트 해제합니다.

   설치하는 동안 충분한 디스크 공간(약 2000MB)이 있는 /zone 분할 영역을 만들었습니다.

   # umount /zone

2. /zone 마운트 지점을 제거합니다.

   # rmdir /zone

3. vfstab 파일에서 /zone 항목을 주석 처리합니다.

   1. /zone 항목을 읽지 못하도록 합니다.

      편집기에서 vfstab 파일을 엽니다. /zone 항목 앞에 주석 기호를 추가합니다.

      #/dev/dsk/cntndnsn /dev/dsk/cntndnsn /zone ufs 2 yes -

   2. 디스크 슬라이스, cn tndn sn을 클립보드에 복사합니다.

   3. 파일을 저장하고 편집기를 닫습니다.

4. 디스크 슬라이스를 사용하여 /zone을 ZFS 풀로 다시 만듭니다.

   # zpool create -f zone cntndnsn

   예를 들어, /zone 항목에서 c0t0d0s5 디스크 슬라이스를 사용한 경우 명령은 다음과 같습니다.

   # zpool create -f zone c0t0d0s5

5. ZFS 풀이 정상인지 확인합니다.

   다음 명령 중 하나를 사용합니다.

   # zpool status -x zone pool 'zone' is healthy

   # zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT /zone 5.84G 80K 5.84G 7% ONLINE -

   이 예에서는 설치 팀이 영역에 대해 6000MB의 분할 영역을 예약했습니다. 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.

Trusted Extensions 다시 부트 및 로그인

대부분의 사이트에는 시스템을 구성할 때 설치 팀 역할을 하는 두 명 이상의 관리자가 있습니다.

시작하기 전에

로그인하기 전에 먼저 Trusted Extensions의 데스크탑 및 레이블 옵션을 숙지하십시오. 자세한 내용은 Solaris Trusted Extensions 사용 설명서의 2 장, Trusted Extensions에 로그인(작업) 를 참조하십시오.

1. 시스템을 다시 부트합니다.

   # /usr/sbin/reboot

   시스템에 그래픽 디스플레이가 없는 경우 6 장Trusted Extensions로 헤드리스 시스템 구성(작업)으로 이동합니다.

2. Solaris Trusted Extensions(CDE) 데스크탑에 수퍼유저로 로그인합니다.

   1. 로그인 창에서 Solaris Trusted Extensions(CDE)을 데스크탑으로 선택합니다.

      이 Trusted CDE 데스크탑에는 시스템을 구성하는 데 유용한 작업이 포함되어 있습니다.

   2. 로그인 대화 상자에서 root와 루트 암호를 입력합니다.

      다른 사용자가 별도의 확인이나 설명 없이 사용자의 데이터에 액세스할 수 있으므로 다른 사용자에게 암호를 공개해서는 안 됩니다. 사용자가 고의적으로 자신의 암호를 다른 사용자에게 누설하여 직접적으로 암호가 공개될 수도 있고, 암호를 메모해 두거나 보안되지 않은 암호를 선택함으로써 간접적으로 암호가 공개될 수도 있습니다. Trusted Extensions 소프트웨어는 보안되지 않은 암호에 대해 보호 기능을 제공하지만, 사용자가 자신의 암호를 공개하거나 메모하지 못하도록 막을 수는 없습니다.

3. Last Login(마지막 로그인) 대화 상자의 정보를 읽어 보십시오.

   

   그런 다음 OK(확인)를 눌러 상자를 없앱니다.

4. Label Builder(레이블 구축기)를 읽습니다.

   OK(확인)를 눌러 기본 레이블을 적용합니다.

   로그인 프로세스가 완료되면 Trusted Extensions 화면이 잠시 나타난 다음 네 개의 작업 공간이 있는 데스크탑 세션이 시작됩니다. Trusted Path 기호가 신뢰할 수 있는 스트라이프에 표시됩니다.

   ---

   주 –

   자리를 비우기 전에 반드시 로그오프하거나 화면을 잠가야 합니다. 그렇지 않으면 다른 사용자가 별도의 확인이나 설명 없이 식별 및 인증 과정을 거치지 않고 시스템에 액세스할 수 있습니다.

   ---

Trusted Extensions에서 Solaris Management Console 서버 초기화

다음 절차에 따라 이 시스템에서 사용자, 역할, 호스트, 영역 및 네트워크를 관리할 수 있습니다. 구성하는 첫 번째 시스템에서는 files 범위만 사용할 수 있습니다.

시작하기 전에

사용자는 수퍼유저여야 합니다.

1. Solaris Management Console을 시작합니다.

   # /usr/sbin/smc &

   ---

   주 –

   처음에 Solaris Management Console을 시작하면 몇 가지 등록 작업을 수행합니다. 이 작업에는 몇 분 정도의 시간이 소요될 수 있습니다.

   ---

2. Solaris Management Console에 도구 상자 아이콘이 표시되지 않으면 다음 중 하나를 수행합니다.

   • Navigation(탐색) 창이 표시되지 않는 경우

     1. 표시되는 Open Toolbox(도구 상자 열기) 대화 상자의 Server(서버) 아래에서 이 시스템 이름 옆에 있는 Load(로드)를 누릅니다.

        이 시스템에 권장된 양의 메모리 및 스왑이 없는 경우 도구 상자를 표시하는 데 몇 분 정도 걸릴 수 있습니다. 권장 사항은 Trusted Extensions용 Solaris OS 설치 또는 업그레이드를 참조하십시오.

     2. 도구 상자 목록에서 Policy=TSOL인 도구 상자를 선택합니다.

        그림 4–1은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

        ---

        주의 –

        정책이 없는 도구 상자를 선택하면 안 됩니다. 나열된 정책이 없는 도구 상자는 Trusted Extensions를 지원하지 않습니다.

        ---

        제어하려는 범위에 따라 선택하는 도구 상자가 달라집니다.

        • 로컬 파일을 편집하려면 Files(파일) 범위를 선택합니다.

        • LDAP 데이터베이스를 편집하려면 LDAP 범위를 선택합니다.

          Solaris Management Console에서 LDAP 도구 상자 편집을 완료한 후에 LDAP 범위를 사용할 수 있습니다.

     3. Open(열기)을 누릅니다.

   • Navigation(탐색) 창이 표시되지만 도구 상자 아이콘이 중지 기호인 경우

     1. Solaris Management Console을 종료합니다.

     2. Solaris Management Console을 다시 시작합니다.

        # /usr/sbin/smc &

3. 아직 선택하지 않은 경우 Policy=TSOL인 도구 상자를 선택합니다.

   다음 그림은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

   그림 4–1 Solaris Management Console의 Trusted Extensions 도구

   
   

4. (옵션) 현재 도구 상자를 저장합니다.

   Policy=TSOL 도구 상자를 저장하면 기본적으로 Trusted Extensions 도구 상자를 로드할 수 있습니다. Preferences(기본 설정)는 역할별, 호스트별로 저장됩니다. 호스트는 Solaris Management Console 서버입니다.

   1. Console(콘솔) 메뉴에서 Preferences(기본 설정)를 선택합니다.

      Home(홈) 도구 상자가 선택됩니다.

   2. Policy=TSOL 도구 상자를 Home(홈) 도구 상자로 정의합니다.

      Use Current Toolbox(현재 도구 상자 사용) 버튼을 눌러 현재 도구 상자를 Location(위치) 필드에 넣습니다.

   3. OK(확인)를 눌러 기본 설정을 저장합니다.

5. Solaris Management Console을 종료합니다.

참조

Solaris Management Console에 Trusted Extensions 추가에 대한 개요는 Solaris Trusted Extensions Administrator’s Procedures의 Solaris Management Console Tools를 참조하십시오. Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.

Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

LDAP의 경우 이 절차에서는 전역 영역에 대한 이름 지정 서비스 구성을 설정합니다. LDAP를 사용하지 않는 경우 이 절차를 건너뛸 수 있습니다.

시작하기 전에

Sun Java^TM System Directory Server 즉, LDAP 서버가 있어야 합니다. 서버를 Trusted Extensions 데이터베이스로 채우고 이 시스템에서 서버에 연결할 수 있어야 합니다. 따라서 구성 중인 시스템에는 LDAP 서버의 tnrhdb 데이터베이스에 항목이 있어야 합니다. 또는 이 절차를 수행하기 전에 이 시스템을 와일드카드 항목에 포함시켜야 합니다.

Trusted Extensions로 구성되는 LDAP 서버가 없는 경우 이 절차를 수행하기 전에 5 장Trusted Extensions에 대해 LDAP 구성(작업) 의 절차를 완료해야 합니다.

1. 원본 nsswitch.ldap 파일의 복사본을 저장합니다.

   LDAP의 표준 이름 지정 서비스 전환 파일이 Trusted Extensions에 너무 제한적입니다.

   # cd /etc # cp nsswitch.ldap nsswitch.ldap.orig

2. DNS를 사용할 경우 다음 서비스에 대해 nsswitch.ldap 파일 항목을 변경합니다.

   올바른 항목은 다음과 비슷합니다.

   hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files

   Trusted Extensions는 다음 두 개의 항목을 추가합니다.

   tnrhtp: files ldap tnrhdb: files ldap

3. 수정된 nsswitch.ldap 파일을 nsswitch.conf에 복사합니다.

   # cp nsswitch.ldap nsswitch.conf

4. Trusted CDE 작업 공간에서 Trusted_Extensions 폴더로 이동합니다.

   1. 배경에서 마우스 버튼 3을 누릅니다.

   2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

   3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

      이 폴더에는 인터페이스, LDAP 클라이언트 및 레이블이 있는 영역을 설정하는 작업이 포함되어 있습니다.

5. Create LDAP Client(LDAP 클라이언트 만들기) 작업을 두 번 누릅니다.

   다음 프롬프트에 응답합니다.

   Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name

6. OK(확인)를 누릅니다.

   다음 완료 메시지가 나타납니다.

   global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window ***

7. 작업 창을 닫습니다.

8. 서버에서 정보가 올바른지 확인합니다.

   1. 단말기 창을 열고 LDAP 서버를 쿼리합니다.

      # ldapclient list

      출력은 다음과 유사합니다.

      NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number

   2. 오류를 수정합니다.

      오류가 발생하면 올바른 값을 사용하여 Create LDAP Client(LDAP 클라이언트 만들기) 작업을 실행합니다. 예를 들어, 다음 오류는 시스템에 LDAP 서버의 항목이 없음을 나타냅니다.

      LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name

      이 오류를 해결하려면 LDAP 서버를 확인해야 합니다.