전역 영역을 설정하려면 먼저 구성에 대해 결정해야 합니다. 결정에 대한 자세한 내용은 Trusted Extensions 활성화 전 정보 수집 및 의사 결정을 참조하십시오.
작업 |
설명 |
수행 방법 |
---|---|---|
하드웨어를 보호합니다. |
하드웨어 설정을 변경하려면 암호를 요구하여 하드웨어를 보호할 수 있습니다. |
System Administration Guide: Security Services의 Controlling Access to System Hardware |
레이블을 구성합니다. |
사용자 사이트에 대한 레이블을 반드시 구성해야 합니다. 기본 label_encodings 파일을 사용하려면 이 단계를 건너뛸 수 있습니다. | |
IPv6의 경우 /etc/system 파일을 수정합니다. |
IPv6 네트워크를 실행하는 경우 /etc/system 파일을 수정하여 IP가 레이블이 있는 패킷을 인식하도록 합니다. | |
값이 1이 아닌 DOI의 경우 /etc/system 파일을 수정합니다. |
네트워크 노드의 CIPSO DOI(Domain of Interpretation)가 1이 아닌 경우 /etc/system 파일에서 DOI를 지정합니다. | |
Solaris ZFS 스냅샷을 위한 공간을 만듭니다. |
Solaris ZFS 스냅샷을 사용하여 영역을 복제하려면 ZFS 풀을 만듭니다. 첫 번째 영역을 복제하여 레이블이 있는 나머지 영역을 만들려면 이 작업을 수행합니다. | |
다시 부트하고 로그인합니다. |
전역 영역으로 로그인됩니다. 전역 영역은 MAC(Mandatory Access Control)를 인식하고 실행하는 환경입니다. | |
Solaris Management Console을 초기화합니다. |
Trusted Extensions는 사용자, 역할, 영역 및 네트워크 관리를 위한 도구를 Solaris Management Console에 추가합니다. | |
LDAP를 구성합니다. |
LDAP 이름 지정 서비스를 사용하려면 LDAP 서비스를 설정합니다. | |
LDAP 서비스를 설정한 경우 이 시스템을 LDAP 클라이언트로 지정합니다. |
인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.
Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.
인코딩 파일에 대해 잘 알고 있는 경우 다음 절차를 사용할 수 있습니다.
인코딩 파일에 익숙하지 않은 경우 Oracle Solaris Trusted Extensions Label Administration에서 요구 사항, 절차 및 예를 참조하십시오.
계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다.
사용자는 보안 관리자입니다. 보안 관리자는 label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.
label_encodings 파일이 들어 있는 매체를 해당 장치에 넣습니다.
label_encodings 파일을 디스크로 복사합니다.
파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.
Trusted JDS에서는 명령줄에서 파일을 확인하고 설치합니다.
터미널 창을 엽니다.
chk_encodings 명령을 실행합니다.
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file |
출력을 읽어본 후 다음 중 하나를 수행합니다.
오류를 해결합니다.
명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.
파일을 활성 label_encodings 파일로 만듭니다.
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings |
계속하려면 label_encodings 파일이 chk_encodings 테스트를 통과해야 합니다.
Trusted CDE에서는 인코딩 확인 작업을 사용합니다.
Trusted_Extensions 폴더를 엽니다.
배경에서 마우스 버튼 3을 누릅니다.
Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.
Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.
Check Encodings(인코딩 확인) 작업을 두 번 누릅니다.
대화 상자에 파일의 전체 경로 이름을 입력합니다.
/full-pathname-of-label-encodings-file |
chk_encodings 명령을 호출하여 파일의 구문을 확인합니다. 결과가 Check Encodings(인코딩 확인) 대화 상자에 표시됩니다.
Check Encodings(인코딩 확인) 대화 상자의 내용을 읽어본 후 다음 중 하나를 수행합니다.
오류를 해결합니다.
인코딩 확인 작업에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.
Yes를 눌러 파일을 활성 label_encodings 파일로 만듭니다.
인코딩 확인 작업에서는 원본 파일의 백업 복사본을 만든 다음 확인된 버전을 /etc/security/tsol/label_encodings에 설치합니다. 그런 다음 레이블 데몬을 다시 시작합니다.
계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.
파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.
명령줄을 사용합니다.
터미널 창을 엽니다.
chk_encodings 명령을 실행합니다.
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file |
출력을 읽어본 후 다음 중 하나를 수행합니다.
오류를 해결합니다.
명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.
파일을 활성 label_encodings 파일로 만듭니다.
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings |
계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.
이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 |
관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2006 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ... |
관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.06 label_encodings |
마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2006 |
CIPSO 옵션에는 패킷의 IPv6 Option Type(IPv6 옵션 유형) 필드에서 사용하는 IANA(Internet Assigned Numbers Authority) 번호가 없습니다. 이 절차에서 설정한 항목은 IANA에서 이 옵션에 대한 번호를 할당할 때까지 로컬 네트워크에서 사용할 번호를 제공합니다. 이 번호가 정의되지 않으면 Trusted Extensions는 IPv6 네트워킹을 사용하지 않습니다.
Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.
부트 중에 오류 메시지가 표시되면 IPv6 구성이 잘못된 것입니다.
항목의 철자가 올바른지 확인합니다.
/etc/system 파일에 올바른 항목을 추가한 후에 시스템을 다시 부트했는지 확인합니다.
현재 IPv6을 사용하는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다. t_optmgmt: System error: Cannot assign requested address time-stamp
IPv6을 사용하지 않는 Solaris 시스템에 Trusted Extensions를 설치할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다.
WARNING: IPv6 not enabled via /etc/system
Failed to configure IPv6 interface(s): hme0
rpcbind: Unable to join IPv6 multicast group for rpc broadcast broadcast-number
Trusted Extensions로 구성된 시스템 간의 모든 통신은 단일 CIPSO DOI(Domain of Interpretation)의 레이블 지정 규칙에 따라야 합니다. 각 메시지에서 사용되는 DOI는 CIPSO IP Option 헤더에서 정수로 식별됩니다. 기본적으로 Trusted Extensions에서 DOI는 1입니다.
DOI가 1이 아닌 경우 /etc/system 파일에 항목을 추가하고 기본 보안 템플릿에서 doi 값을 수정해야 합니다.
다음과 같이 /etc/system 파일에 DOI 항목을 입력합니다.
set default_doi = n |
이 0이 아닌 양의 정수는 노드 및 노드에서 통신하는 시스템의 tnrhtp 데이터베이스에 있는 DOI 수와 일치해야 합니다.
LDAP 서버에 tnrhtp 데이터베이스를 추가하기 전에 먼저 기본 항목과 모든 로컬 주소 항목에 있는 doi 값을 수정합니다.
Trusted Extensions에서는 tnrhtp 데이터베이스에 cipso와 admin_low라는 두 가지 템플리트를 제공합니다. 로컬 주소 항목을 추가한 경우 이 항목도 수정합니다.
신뢰할 수 있는 편집기에서 tnrhtp 데이터베이스를 엽니다.
# /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp |
Solaris Trusted Extensions(CDE)에서는 응용 프로그램 관리자의 Trusted_Extensions 폴더에 있는 관리 편집기 작업을 대신 사용할 수 있습니다.
다른 줄에 cipso 템플리트 항목을 복사합니다.
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
cipso 항목 중 하나를 주석 처리합니다.
#cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
주석 처리되지 않은 cipso 항목에서 doi 값을 수정합니다.
이 값을 /etc/system 파일의 default_doi 값과 동일한 값으로 수정합니다.
#cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH |
admin_low 항목의 doi 값을 변경합니다.
#admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW |
tnrhtp 데이터베이스에 있는 모든 항목의 doi 값이 모두 동일하면 작업이 완료됩니다.
/etc/system 파일에서 1이 아닌 default_doi 값을 설정하고 이 시스템의 보안 템플리트에 이 default_doi 값과 일치하지 않는 값이 설정되면 인터페이스 구성 중 다음과 유사한 메시지가 시스템 콘솔에 표시됩니다.
NOTICE: er10 failed: 10.17.1.12 has wrong DOI 4 instead of 1
Failed to configure IPv4 interface(s): er10
인터페이스 구성 실패로 인해 다음과 같이 로그인 실패가 발생할 수 있습니다.
Hostname: unknown
unknown console login: root
Oct 10 10:10:20 unknown login: pam_unix_cred: cannot load hostname Error 0
문제를 해결하려면 단일 사용자 모드로 시스템을 부트하고 이 절차에서 설명한 대로 보안 템플리트를 수정합니다.
DOI에 대한 자세한 내용은 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Network Security Attributes in Trusted Extensions를 참조하십시오.
만든 보안 템플리트에서 doi 값을 변경하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 How to Construct a Remote Host Template를 참조하십시오.
선택한 편집기를 신뢰할 수 있는 편집기로 사용하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 How to Assign the Editor of Your Choice as the Trusted Editor를 참조하십시오.
Solaris ZFS 스냅샷을 영역 템플리트로 사용하려면 ZFS 파일 또는 ZFS 장치에서 ZFS 풀을 만들어야 합니다. 이 풀에는 각 영역의 복제를 위한 스냅샷이 보관됩니다. ZFS 풀에 대해 /zone 장치를 사용합니다.
Solaris 설치 중에 ZFS 파일 시스템을 위한 별도의 디스크 공간을 확보해 두었습니다. 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.
/zone 분할 영역을 마운트 해제합니다.
설치하는 동안 충분한 디스크 공간(약 2000MB)이 있는 /zone 분할 영역을 만들었습니다.
# umount /zone |
/zone 마운트 지점을 제거합니다.
# rmdir /zone |
vfstab 파일에서 /zone 항목을 주석 처리합니다.
디스크 슬라이스를 사용하여 /zone을 ZFS 풀로 다시 만듭니다.
# zpool create -f zone cntndnsn |
예를 들어, /zone 항목에서 c0t0d0s5 디스크 슬라이스를 사용한 경우 명령은 다음과 같습니다.
# zpool create -f zone c0t0d0s5 |
ZFS 풀이 정상인지 확인합니다.
다음 명령 중 하나를 사용합니다.
# zpool status -x zone pool 'zone' is healthy |
# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT /zone 5.84G 80K 5.84G 7% ONLINE - |
이 예에서는 초기 설정 팀이 영역에 대해 6000MB의 분할 영역을 예약했습니다. 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.
대부분의 사이트에는 시스템을 구성할 때 초기 설정 팀 역할을 하는 두 명 이상의 관리자가 있습니다.
로그인하기 전에 먼저 Trusted Extensions의 데스크탑 및 레이블 옵션을 숙지하십시오. 자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서의 2 장, Trusted Extensions에 로그인(작업) 을 참조하십시오.
시스템을 다시 부트합니다.
# /usr/sbin/reboot |
시스템에 그래픽 디스플레이가 없는 경우 6 장Trusted Extensions로 헤드리스 시스템 구성(작업)을 참조하십시오.
Solaris Trusted Extensions(CDE) 또는 Solaris Trusted Extensions(JDS) 데스크탑 중 하나에 수퍼유저로 로그인합니다.
로그인 창에서 신뢰할 수 있는 데스크탑 중 하나를 선택합니다.
Trusted CDE 데스크탑에는 시스템을 구성하는 데 유용한 작업이 포함되어 있습니다. Solaris 10 10/08 릴리스부터 txzonemgr 스크립트가 시스템 구성을 위한 기본 프로그램입니다.
로그인 대화 상자에서 root와 루트 암호를 입력합니다.
다른 사용자가 별도의 확인이나 설명 없이 사용자의 데이터에 액세스할 수 있으므로 다른 사용자에게 암호를 공개해서는 안 됩니다. 사용자가 고의적으로 자신의 암호를 다른 사용자에게 누설하여 직접적으로 암호가 공개될 수도 있고, 암호를 메모해 두거나 보안되지 않은 암호를 선택함으로써 간접적으로 암호가 공개될 수도 있습니다. Trusted Extensions 소프트웨어는 보안되지 않은 암호에 대해 보호 기능을 제공하지만, 사용자가 자신의 암호를 공개하거나 메모하지 못하도록 막을 수는 없습니다.
Last Login(마지막 로그인) 대화 상자의 정보를 읽어 보십시오.
그런 다음 OK(확인)를 눌러 상자를 없앱니다.
Label Builder(레이블 구축기)를 읽습니다.
OK(확인)를 눌러 기본 레이블을 적용합니다.
로그인 프로세스가 완료되면 Trusted Extensions 화면이 잠시 나타난 다음 네 개의 작업 공간이 있는 데스크탑 세션이 시작됩니다. Trusted Path 기호가 신뢰할 수 있는 스트라이프에 표시됩니다.
자리를 비우기 전에 반드시 로그오프하거나 화면을 잠가야 합니다. 그렇지 않으면 다른 사용자가 별도의 확인이나 설명 없이 식별 및 인증 과정을 거치지 않고 시스템에 액세스할 수 있습니다.
다음 절차에 따라 이 시스템에서 사용자, 역할, 호스트, 영역 및 네트워크를 관리할 수 있습니다. 구성하는 첫 번째 시스템에서는 files 범위만 사용할 수 있습니다.
사용자는 수퍼유저여야 합니다.
클라이언트에서 실행 중인 Solaris Management Console에서 LDAP 서버의 LDAP 도구 상자를 사용하려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)의 모든 작업을 완료해야 합니다.
Solaris Management Console을 시작합니다.
# /usr/sbin/smc & |
처음에 Solaris Management Console을 시작하면 몇 가지 등록 작업을 수행합니다. 이 작업에는 몇 분 정도의 시간이 소요될 수 있습니다.
Solaris Management Console에 도구 상자 아이콘이 표시되지 않으면 다음 중 하나를 수행합니다.
Navigation(탐색) 창이 표시되지 않는 경우
표시되는 Open Toolbox(도구 상자 열기) 대화 상자의 Server(서버) 아래에서 이 시스템 이름 옆에 있는 Load(로드)를 누릅니다.
이 시스템에 권장된 양의 메모리 및 스왑이 없는 경우 도구 상자를 표시하는 데 몇 분 정도 걸릴 수 있습니다. 권장 사항은 Trusted Extensions용 Solaris OS 설치 또는 업그레이드를 참조하십시오.
도구 상자 목록에서 Policy=TSOL인 도구 상자를 선택합니다.
그림 4–2는 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여 줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.
정책이 없는 도구 상자를 선택하면 안 됩니다. 나열된 정책이 없는 도구 상자는 Trusted Extensions를 지원하지 않습니다.
제어하려는 범위에 따라 선택하는 도구 상자가 달라집니다.
로컬 파일을 편집하려면 Files(파일) 범위를 선택합니다.
LDAP 데이터베이스를 편집하려면 LDAP 범위를 선택합니다.
LDAP에 대해 Solaris Management Console 구성(작업 맵)의 모든 작업을 완료하면 LDAP 범위를 사용할 수 있습니다.
Open(열기)을 누릅니다.
Navigation(탐색) 창이 표시되지만 도구 상자 아이콘이 중지 기호인 경우
아직 선택하지 않은 경우 Policy=TSOL인 도구 상자를 선택합니다.
다음 그림은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.
(옵션) 현재 도구 상자를 저장합니다.
Policy=TSOL 도구 상자를 저장하면 기본적으로 Trusted Extensions 도구 상자를 로드할 수 있습니다. Preferences(기본 설정)는 역할별, 호스트별로 저장됩니다. 호스트는 Solaris Management Console 서버입니다.
Solaris Management Console을 종료합니다.
Solaris Management Console에 Trusted Extensions 추가에 대한 개요는 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Solaris Management Console Tools를 참조하십시오. Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.
LDAP의 경우 이 절차에서는 전역 영역에 대한 이름 지정 서비스 구성을 설정합니다. LDAP를 사용하지 않는 경우 이 절차를 건너뛸 수 있습니다.
Solaris 10 5/08 릴리스부터 Solaris Trusted Extensions(CDE) 작업 공간에 있는 경우 txzonemgr 스크립트 또는 Trusted CDE 작업을 사용하여 LDAP 클라이언트를 만들 수 있습니다. Solaris Trusted Extensions(JDS) 또는 Solaris Trusted Extensions (GNOME) 작업 공간에 있는 경우에는 txzonemgr 스크립트를 사용해야 합니다.
레이블이 있는 각 영역에서 이름 서버를 설정하려는 경우 사용자가 해당 영역에 대한 LDAP 클라이언트 연결을 설정해야 합니다.
Sun Java System Directory Server 즉, LDAP 서버가 있어야 합니다. 서버를 Trusted Extensions 데이터베이스로 채우고 이 시스템에서 서버에 연결할 수 있어야 합니다. 따라서 구성 중인 시스템에는 LDAP 서버의 tnrhdb 데이터베이스에 항목이 있어야 합니다. 또는 이 절차를 수행하기 전에 이 시스템을 와일드카드 항목에 포함시켜야 합니다.
Trusted Extensions를 사용하여 구성된 LDAP 서버가 없는 경우 이 절차를 수행하기 전에 5 장Trusted Extensions에 대해 LDAP 구성(작업) 의 절차를 완료해야 합니다.
DNS를 사용하는 경우 nsswitch.ldap 파일을 수정합니다.
원본 nsswitch.ldap 파일의 복사본을 저장합니다.
LDAP의 표준 이름 지정 서비스 전환 파일이 Trusted Extensions에 너무 제한적입니다.
# cd /etc # cp nsswitch.ldap nsswitch.ldap.orig |
다음 서비스에 대한 nsswitch.ldap 파일 항목을 변경합니다.
올바른 항목은 다음과 비슷합니다.
hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files |
Trusted Extensions는 다음 두 개의 항목을 추가합니다.
tnrhtp: files ldap tnrhdb: files ldap |
수정된 nsswitch.ldap 파일을 nsswitch.conf에 복사합니다.
# cp nsswitch.ldap nsswitch.conf |
다음 단계 중 하나를 수행하여 DLAP 클라이언트를 만듭니다.
txzonemgr 스크립트를 실행하고 LDAP 관련 프롬프트에 응답합니다.
Create LDAP Client(LDAP 클라이언트 만들기) 메뉴 항목에서는 전역 영역만 구성합니다.
txzonemgr 스크립트 실행의 지침에 따라 수행합니다.
대화 상자 제목은 Labeled Zone Manager(레이블이 있는 영역 관리자)입니다.
Create LDAP Client(LDAP 클라이언트 만들기)를 선택합니다.
다음 프롬프트에 응답한 다음 각 응답 후 OK(확인)를 누릅니다.
Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name |
표시된 값을 확인하거나 취소합니다.
Proceed to create LDAP Client? |
확인이 완료되면 txzonemgr 스크립트에 LDAP 클라이언트가 추가됩니다. 그러면 창에 명령 출력이 표시됩니다.
Trusted CDE 작업 공간에서 Create LDAP Client(LDAP 클라이언트 만들기) 작업을 찾아 사용합니다.
배경에서 마우스 버튼 3을 눌러 Trusted_Extensions 폴더로 이동합니다.
Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.
Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.
이 폴더에는 인터페이스, LDAP 클라이언트 및 레이블이 있는 영역을 설정하는 작업이 포함되어 있습니다.
Create LDAP Client(LDAP 클라이언트 만들기) 작업을 두 번 누릅니다.
다음 프롬프트에 응답합니다.
Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name |
OK(확인)를 누릅니다.
다음 완료 메시지가 나타납니다.
global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window *** |
작업 창을 닫습니다.
터미널 창에서 enableShadowUpdate 매개 변수를 TRUE로 설정합니다.
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured |
Create LDAP Client(LDAP 클라이언트 만들기) 작업 및 txzonemgr 스크립트는 ldapclient init 명령만 실행합니다. Trusted Extensions에서 섀도우 업데이트를 사용하려면 초기화된 LDAP 클라이언트도 수정해야 합니다.
서버에서 정보가 올바른지 확인합니다.
터미널 창을 열고 LDAP 서버를 쿼리합니다.
# ldapclient list |
출력은 다음과 유사합니다.
NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number |
오류를 수정합니다.
오류가 발생하는 경우 LDAP 클라이언트를 다시 만들고 올바른 값을 제공하십시오. 예를 들어, 다음 오류는 시스템에 LDAP 서버의 항목이 없음을 나타냅니다.
LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name |
이 오류를 해결하려면 LDAP 서버를 확인해야 합니다.
이 예에서 관리자는 시스템에서 DNS 서버의 특정 집합을 사용 가능하게 하려고 합니다. 관리자는 신뢰할 수 있는 네트워크의 서버에서 resolv.conf 파일을 복사합니다. DNS가 아직 활성 상태가 아니므로 관리자는 서버의 IP 주소를 사용하여 서버를 찾습니다.
# cd /etc # cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf |
resolv.conf 파일을 복사하고, nsswitch.conf 파일에 hosts 항목의 dns가 포함되고 나면 관리자는 호스트 이름을 사용하여 시스템을 찾을 수 있습니다.