test

Solaris 10 11/06 및 Solaris 10 8/07 릴리스용 Solaris Trusted Extensions 설치 및 구성

6장 Trusted Extensions로 헤드리스 시스템 구성(작업)

NetraTM 시리즈와 같은 헤드리스 시스템에서 Solaris Trusted Extensions 소프트웨어를 구성하고 관리하려면 모니터가 있는 시스템에서 같은 작업을 수행할 때와는 다른 절차가 필요합니다. Trusted Extensions 소프트웨어는 관리 책임을 역할로 나누며, 이러한 역할은 원격으로 수락할 수 없습니다. 이 소프트웨어는 관리 GUI도 제공합니다. 직렬 라인에서는 GUI가 표시되지 않습니다.

주 –

헤드리스 시스템에 필요한 구성 방법은 평가된 구성의 조건을 만족시키지 않습니다. 자세한 내용은 사이트 보안 정책의 이해를 참조하십시오.

Trusted Extensions에서 헤드리스 시스템 구성(작업 맵)

헤드리스 시스템에서 직렬 라인을 통해 콘솔을 터미널 에뮬레이터 창에 연결합니다. 이 라인은 일반적으로 tip 명령을 통해 고정됩니다. 사용 가능한 두 번째 시스템의 유형에 따라 다음 방법 중 하나를 사용하여 헤드리스 시스템을 구성할 수 있습니다. 다음 표의 작업 3에는 가장 선호되는 방법부터 순서대로 나열되어 있습니다.

작업 

설명 

수행 방법 

1. 헤드리스 시스템을 cipso 시스템으로 식별합니다.

헤드리스 시스템을 구성할 데스크탑 시스템이 Trusted Extensions와 함께 구성된 경우 헤드리스 시스템의 호스트 유형을 cipso로 만듭니다.

신뢰할 수 있는 네트워크의 헤드리스 시스템 부분을 아직 만들지 않은 경우 적절한 보안 템플리트를 시스템에 할당합니다. Solaris Trusted Extensions Administrator’s ProceduresHow to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

2. 원격 로그인을 사용 가능하게 합니다. 

수퍼유저가 헤드리스 시스템에 원격으로 로그인할 수 있게 합니다. 

Trusted Extensions에서 원격 로그인 활성화

3. 헤드리스 시스템을 설정할 구성 및 관리 방법을 선택합니다. 

헤드리스 시스템과 통신하는 두 번째 시스템에서 사용할 수 있는 하드웨어와 소프트웨어를 기반으로 선택합니다. 선택 사항은 간편성 및 보안에 따라 내림차순으로 나열됩니다. 

rlogin 명령을 사용하여 한 역할 내에서 원격 시스템을 관리합니다.

원격 시스템을 관리하는 역할을 수락하려면 rlogin 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인으로 이동합니다.

ssh 명령을 사용하여 수퍼유저로 원격 시스템을 관리합니다.

원격 시스템을 수퍼유저로 관리하려면 ssh 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인으로 이동합니다.

윈도우화 시스템이 없으면 직렬 로그인을 사용할 수 있습니다. 이 절차는 안전하지 않습니다. 

직렬 로그인을 사용하여 헤드리스 시스템을 구성하고 관리하려면 Trusted Extensions에서 직렬 로그인으로 관리 설정으로 이동합니다.

4. 헤드리스 시스템에서 Trusted Extensions를 구성합니다. 

로그인되면 모니터 있는 시스템에서 하는 것과 동일하게 구성을 계속합니다. 

4 장Trusted Extensions 구성(작업)을 참조하고 선택한 로그인 방법에 따라 가능한 방법을 사용합니다.

ProcedureTrusted Extensions에서 원격 로그인 활성화

rlogin 또는 ssh 명령을 사용하여 헤드리스 시스템을 관리해야 하는 경우에만 이 절차를 수행하십시오. 이 절차는 안전하지 않습니다.

구성 오류는 원격으로 디버그할 수 있습니다.

시작하기 전에

보안 정책을 검토하여 사이트에서 허용되는 원격 로그인 방법을 결정합니다. 데스크탑 시스템 및 헤드리스 시스템은 동일한 보안 템플리트를 사용하는 것으로 서로를 식별해야 합니다.

  1. 콘솔 장치를 통해 root 계정에 로그인합니다.

  2. 원격 로그인의 다음 방법 중 하나 이상을 활성화하도록 선택합니다.

    • root 사용자의 원격 로그인을 사용 가능하게 합니다.

      1. /etc/default/login 파일의 CONSOLE= 행을 주석 처리합니다.


        #CONSOLE=/dev/console

      2. ssh 서비스에 대해 root 사용자 로그인을 허용합니다.

        /etc/ssh/sshd_config 파일을 수정합니다. 기본적으로 ssh는 Solaris 시스템에서 활성화되어 있습니다.


        PermitRootLogin yes

    • 역할이 rlogin 서비스를 사용하여 로그인하도록 허용합니다.

      root가 역할인 경우 root 역할로 원격 로그인하려면 이러한 수정이 필요합니다.

      1. 텍스트 편집기에서 pam.conf 파일을 엽니다.


        # vi /etc/pam.conf

      2. 파일 끝으로 이동하면서 other account requisite를 찾습니다.

      3. allow_remote를 역할 모듈에 추가합니다.

        필드 사이를 이동할 때는 Tab 키를 사용합니다.


        other account requisite      pam_roles.so.1        allow_remote

        편집 후 이 섹션은 다음과 유사합니다.


        other account requisite      pam_roles.so.1        allow_remote
other account required       pam_unix_account.so.1
other account required       pam_tsol_account.so.1

    • 레이블이 없는 호스트에서 전역 영역으로 원격 로그인을 활성화합니다.

      1. 텍스트 편집기에서 pam.conf 파일을 엽니다.


        # vi /etc/pam.conf

      2. 파일 끝으로 이동하면서 other account requisite를 찾습니다.

      3. allow_unlabeledtsol_account 모듈에 추가합니다.

        필드 사이를 이동할 때는 Tab 키를 사용합니다.


        other account required       pam_tsol_account.so.1 allow_unlabeled

        편집 후 이 섹션은 다음과 유사합니다.


        other account requisite      pam_roles.so.1        allow_remote
other account required       pam_unix_account.so.1
other account required       pam_tsol_account.so.1 allow_unlabeled

    • 특정 사용자가 전역 영역에 로그인할 수 있도록 활성화합니다.

      이러한 사용자에게 관리 레이블 범위를 할당합니다. 데스크탑의 사용자 이름은 헤드리스 시스템의 사용자 이름과 같아야 합니다.


      # usermod -R root -K min_label=ADMIN_LOW -K clearance=ADMIN_LOW username

  3. 헤드리스 시스템에서 데스크탑의 호스트 유형을 정의합니다.

    데스크탑 시스템의 호스트 유형과 헤드리스 시스템의 호스트 유형은 일치해야 합니다. 이 임시 정의를 만들려면 tnctl 명령을 사용합니다. 자세한 내용은 tnctl(1M) 매뉴얼 페이지를 참조하십시오.

    • 레이블이 있는 데스크탑 시스템에 대해 호스트 유형을 cipso로 정의합니다.


      # tnctl -h desktop-IP-address:cipso

    • 레이블이 없는 데스크탑 시스템의 경우 호스트 유형을 ADMIN_LOW에서 실행되는 레이블이 없는 시스템으로 정의합니다.


      # tnctl -h desktop-IP-address:admin_low

Procedurerlogin 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인

이 절차에서는 역할 수락을 통해 명령줄 및 Trusted Extensions GUI를 사용하여 헤드리스 시스템을 관리할 수 있습니다.

시작하기 전에

헤드리스 시스템에는 Solaris Management Console을 사용할 충분한 메모리가 있어야 합니다. 요구 사항은 Solaris OS의 요구 사항과 같습니다. 자세한 내용은 Solaris 10 11/06 설치 설명서: 기본 설치시스템 요구 사항 및 권장 사항를 참조하십시오.

관리자의 데스크탑 시스템이 Trusted Extensions와 함께 구성되어 있는 경우 헤드리스 시스템은 데스크탑 시스템에서 CIPSO 시스템으로 식별됩니다. 자세한 내용은 Solaris Trusted Extensions Administrator’s ProceduresHow to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

Trusted Extensions에서 원격 로그인 활성화를 완료했습니다.

사용자는 헤드리스 시스템에 로그인할 수 있는 사용자입니다.

  1. 데스크탑 시스템에서 헤드리스 시스템의 프로세스가 표시되도록 합니다.

    1. 헤드리스 시스템이 X 서버에 액세스할 수 있도록 합니다.


      desktop $ xhost + headless-host

    2. 데스크탑의 DISPLAY 변수 값을 확인합니다.


      desktop $ echo $DISPLAY
:n.n

  2. Trusted Extensions 데스크탑 시스템에서 Trusted Path(신뢰할 수 있는 경로) 작업 공간을 엽니다.

    • 사용자 계정에 전역 영역에 대한 직접 액세스 권한이 있는 경우 Trusted Path(신뢰할 수 있는 경로) 작업 공간을 만들고 터미널 창을 엽니다.

    • 사용자 계정에 전역 영역에 대한 직접 액세스 권한이 없는 경우 역할을 수락한 다음 터미널 창을 엽니다.

  3. 이 터미널 창에서 헤드리스 시스템에 원격으로 로그인합니다.


    desktop # rlogin headless
Password: Type the headless user's password

  4. 역할을 수락합니다.

    헤드리스 시스템에 권한 없는 사용자로 로그인한 경우 관리 권한이 있는 역할을 수락합니다. 같은 터미널 창을 사용합니다. 예를 들어 root 역할을 수락합니다.


    headless $ su - root
Password: Type the root password

    이제 사용자가 전역 영역에 있습니다.

  5. 헤드리스 시스템의 프로세스가 데스크탑 시스템에 표시될 수 있도록 합니다.


    headless $ setenv DISPLAY desktop:n.n
headless $ export DISPLAY=n:n

    이제 Trusted Extensions GUI를 사용하여 헤드리스 시스템을 관리할 수 있습니다.

  6. 헤드리스 시스템을 관리합니다.

    • Solaris Management Console을 시작합니다.


      headless $ /usr/sbin/smc &

      Solaris Management Console이 데스크탑 시스템에 표시됩니다. 도구 상자 목록에서 헤드리스 시스템에 대해 Scope=Files, Policy=TSOL을 선택합니다.

    • txzonemgr을 시작합니다.


      headless $ /usr/sbin/txzonemgr

    • Trusted CDE 작업에 액세스합니다.


      headless # /usr/dt/bin/dtappsession desktop
Password: Type the remote password

Proceduressh 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인

이 절차에서는 명령줄을 사용하여 수퍼유저로 헤드리스 시스템을 관리할 수 있습니다. Trusted Extensions GUI를 사용하려면 rlogin 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인에서 원격 표시를 위한 단계를 완료합니다.

시작하기 전에

헤드리스 시스템에는 Solaris Management Console을 사용할 충분한 메모리가 있어야 합니다. 요구 사항은 Solaris OS의 요구 사항과 같습니다. 자세한 내용은 Solaris 10 11/06 설치 설명서: 기본 설치시스템 요구 사항 및 권장 사항를 참조하십시오.

관리자의 데스크탑 시스템이 Trusted Extensions와 함께 구성되어 있는 경우 헤드리스 시스템은 데스크탑 시스템에서 CIPSO 시스템으로 식별됩니다. 자세한 내용은 Solaris Trusted Extensions Administrator’s ProceduresHow to Assign a Security Template to a Host or a Group of Hosts를 참조하십시오.

Trusted Extensions에서 원격 로그인 활성화를 완료했습니다.

사용자는 헤드리스 시스템에 로그인할 수 있는 사용자입니다.

  1. Trusted Extensions 데스크탑 시스템에서 Trusted Path(신뢰할 수 있는 경로) 작업 공간을 엽니다.

    • 사용자 계정에 전역 영역에 대한 직접 액세스 권한이 있는 경우 Trusted Path(신뢰할 수 있는 경로) 작업 공간을 만들고 터미널 창을 엽니다.

    • 사용자 계정에 전역 영역에 대한 직접 액세스 권한이 없는 경우 역할을 수락한 다음 터미널 창을 엽니다.

  2. 이 터미널 창에서 헤드리스 시스템에 원격으로 로그인합니다.


    desktop $ ssh -l username-on-headless headless
Password: Type the headless user's password
headless $

    이제 터미널 창에 헤드리스 시스템의 작업이 표시됩니다.

  3. 수퍼유저가 됩니다.

    헤드리스 시스템에서 전역 영역에 있지 않은 경우 같은 터미널 창에서 사용자를 root로 전환합니다.


    headless $ su - root
Password: Type the root password

    이제 명령줄을 사용하여 헤드리스 시스템을 관리할 수 있습니다.

    관리 GUI를 사용하여 시스템을 관리하려면 헤드리스 시스템의 프로세스가 데스크탑에 표시되도록 합니다. 자세한 내용은 rlogin 명령을 사용하여 Trusted Extensions에서 헤드리스 시스템에 로그인을 참조하십시오.

예 6–1 헤드리스 시스템의 원격 관리 설정

이 예제에서 관리자는 레이블이 있는 데스크탑 시스템에서 레이블이 없는 헤드리스 시스템을 설정합니다. Solaris OS에서처럼 관리자는 X 서버가 데스크탑 시스템에 액세스할 수 있도록 하고 헤드리스 시스템에서 DISPLAY 변수를 설정합니다.


TXdesk1 $ xhost + TXnohead4
TXdesk1 $ whoami
config1
TXdesk1 $ uname -n ; echo $DISPLAY
TXdesk1
:1.0
 

TXdesk1 $ ssh -l install1 TXnohead4
Password: Ins1PwD1
TXnohead4 $

전역 영역에서 관리자는 DISPLAY 변수를 설정합니다.


TXnohead4 # su -
Password: abcd1EFG
TXnohead4 # setenv DISPLAY TXdesk1:1.0
TXnohead4 # export DISPLAY=TXdesk1:1.0

그런 다음 관리자는 Solaris Management Console을 시작합니다.


TXnohead4 # /usr/sbin/smc &

마지막으로 관리자는 This Computer (TXnohead: Scope=Files, Policy=TSOL ) 도구 상자를 선택합니다.

ProcedureTrusted Extensions에서 직렬 로그인으로 관리 설정

헤드리스 시스템을 구성하는 데 사용할 데스크탑 시스템이 없는 경우에만 이 절차를 수행하십시오. 이 절차는 안전하지 않습니다.

시작하기 전에

헤드리스 시스템의 단일 사용자 모드에서 수퍼유저여야 합니다. 어느 정도 보안을 유지하려면 시스템을 구성하는 동안 두 사람이 있어야 합니다.

  1. 직렬 포트를 할당합니다.

    자세한 내용은 Solaris Trusted Extensions Administrator’s ProceduresManaging Devices in Trusted Extensions (Task Map)를 참조하십시오.

  2. 수퍼유저로 시스템을 관리합니다.