Trusted Extensions를 구성할 각 시스템에 대해 소프트웨어를 활성화하려면 먼저 다음과 같이 구성과 관련된 사항을 결정해야 합니다.
시스템 하드웨어를 안전하게 보호해야 하는 방법을 결정합니다.
안전한 사이트에서는 설치된 모든 Solaris 시스템에 대해 다음 단계를 수행해야 합니다.
SPARC 시스템의 경우 PROM 보안 수준 및 암호가 제공되었습니다.
x86 시스템의 경우 BIOS가 보호됩니다.
모든 시스템에서 root가 암호로 보호됩니다.
label_encodings 파일을 준비합니다.
사이트별 label_encodings 파일이 있는 경우 해당 파일을 확인하여 설치한 이후에 다른 구성 작업을 시작할 수 있습니다. 사이트에 label_encodings 파일이 없는 경우 Sun에서 제공하는 기본 파일을 사용할 수 있습니다. 또한 /etc/security/tsol 디렉토리에서 찾을 수 있는 기타 label_encodings 파일도 제공합니다. Sun 파일은 데모용 파일입니다. 해당 파일은 생산 시스템에 적합하지 않을 수도 있습니다.
파일을 사이트에 맞게 사용자 정의하려면 Oracle Solaris Trusted Extensions Label Administration을 참조하십시오.
label_encodings 파일의 레이블 목록에서 사용자가 만들어야 하는 레이블이 있는 영역 목록을 작성합니다.
다음 표에는 기본 label_encodings 파일에 대한 레이블 이름 및 권장 영역 이름이 나와 있습니다.
레이블 |
영역 이름 |
---|---|
PUBLIC |
public |
CONFIDENTIAL : INTERNAL |
internal |
CONFIDENTIAL : NEED TO KNOW |
needtoknow |
CONFIDENTIAL : RESTRICTED |
restricted |
NFS를 쉽게 마운트하려면 특정 레이블의 영역 이름이 모든 시스템에서 동일해야 합니다. 다중 레벨 인쇄 서버와 같은 일부 시스템에는 레이블이 있는 영역을 설치할 필요가 없습니다. 그러나 인쇄 서버에 레이블이 있는 영역을 설치할 경우 영역 이름은 네트워크에 있는 다른 시스템의 영역 이름과 동일해야 합니다.
역할을 만들 시기를 결정합니다.
사이트 보안 정책에 따라 역할을 수락하여 Trusted Extensions를 관리해야 할 수 있습니다. 평가된 구성에 대한 기준에 맞게 시스템을 구성하려면 구성 프로세스의 초기에 역할을 만들어야 합니다.
역할을 사용하여 시스템을 구성할 필요가 없는 경우 수퍼유저로 시스템을 구성하도록 선택할 수 있습니다. 이 구성 방법은 보안성이 떨어집니다. 감사 레코드는 구성하는 동안 수퍼유저였던 사용자를 표시하지 않습니다. 수퍼유저는 시스템에서 모든 작업을 수행할 수 있지만 역할은 수행 가능한 작업이 제한됩니다. 따라서 역할별로 수행할 때 보다 세부적으로 구성할 수 있습니다.
영역 생성 방법을 선택합니다.
영역을 처음부터 만들거나, 복사 또는 복제할 수 있습니다. 이러한 방법은 작성 속도, 디스크 공간 요구 사항 및 견고성이 서로 다릅니다. 각 방법의 장단점에 대한 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.
LDAP 구성을 계획합니다.
네트워크로 연결되지 않은 시스템의 경우 로컬 파일을 사용하여 관리하는 것이 좋습니다.
LDAP는 네트워크로 연결된 환경에 대한 이름 지정 서비스입니다. 여러 시스템을 구성할 경우 이름이 입력된 LDAP 서버가 필요합니다.
기존 Sun Java System Directory Server(LDAP 서버)가 있는 경우 Trusted Extensions를 실행 중인 시스템에서 LDAP 프록시 서버를 만들 수 있습니다. 다중 레벨 프록시 서버는 레이블이 없는 LDAP 서버와의 통신을 처리합니다.
LDAP 서버가 없는 경우 Trusted Extensions 소프트웨어를 실행하는 시스템을 다중 레벨 LDAP 서버로 구성할 수 있습니다.
각 시스템 및 네트워크에 대한 기타 보안 문제를 결정합니다.
예를 들어 다음 보안 문제를 고려할 수 있습니다.
시스템에 연결하여 사용할 수 있는 장치를 결정합니다.
시스템에서 액세스할 수 있는 프린터와 해당 레이블을 식별합니다.
게이트웨이 시스템 또는 공개 키오스크와 같이 제한된 레이블 범위를 가진 시스템을 식별합니다.
레이블이 없는 특정 시스템과 통신할 수 있는 레이블이 있는 시스템을 식별합니다.