DOI(Domain of Interpretation) 구성

Trusted Extensions로 구성된 시스템 간의 모든 통신은 단일 CIPSO DOI(Domain of Interpretation)의 레이블 지정 규칙에 따라야 합니다. 각 메시지에서 사용되는 DOI는 CIPSO IP Option 헤더에서 정수로 식별됩니다. 기본적으로 Trusted Extensions에서 DOI는 1입니다.

DOI가 1이 아닌 경우 /etc/system 파일에 항목을 추가하고 기본 보안 템플릿에서 doi 값을 수정해야 합니다.

1. 다음과 같이 /etc/system 파일에 DOI 항목을 입력합니다.

   set default_doi = n

   이 0이 아닌 양의 정수는 노드 및 노드에서 통신하는 시스템의 tnrhtp 데이터베이스에 있는 DOI 수와 일치해야 합니다.

2. LDAP 서버에 tnrhtp 데이터베이스를 추가하기 전에 먼저 기본 항목과 모든 로컬 주소 항목에 있는 doi 값을 수정합니다.

   Trusted Extensions에서는 tnrhtp 데이터베이스에 cipso와 admin_low라는 두 가지 템플리트를 제공합니다. 로컬 주소 항목을 추가한 경우 이 항목도 수정합니다.

   1. 신뢰할 수 있는 편집기에서 tnrhtp 데이터베이스를 엽니다.

      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp

      Solaris Trusted Extensions(CDE)에서는 응용 프로그램 관리자의 Trusted_Extensions 폴더에 있는 관리 편집기 작업을 대신 사용할 수 있습니다.

   2. 다른 줄에 cipso 템플리트 항목을 복사합니다.

      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   3. cipso 항목 중 하나를 주석 처리합니다.

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   4. 주석 처리되지 않은 cipso 항목에서 doi 값을 수정합니다.

      이 값을 /etc/system 파일의 default_doi 값과 동일한 값으로 수정합니다.

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   5. admin_low 항목의 doi 값을 변경합니다.

      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

   tnrhtp 데이터베이스에 있는 모든 항목의 doi 값이 모두 동일하면 작업이 완료됩니다.

일반 오류

/etc/system 파일에서 1이 아닌 default_doi 값을 설정하고 이 시스템의 보안 템플리트에 이 default_doi 값과 일치하지 않는 값이 설정되면 인터페이스 구성 중 다음과 유사한 메시지가 시스템 콘솔에 표시됩니다.

• NOTICE: er10 failed: 10.17.1.12 has wrong DOI 4 instead of 1

• Failed to configure IPv4 interface(s): er10

인터페이스 구성 실패로 인해 다음과 같이 로그인 실패가 발생할 수 있습니다.

• Hostname: unknown

• unknown console login: root

• Oct 10 10:10:20 unknown login: pam_unix_cred: cannot load hostname Error 0

문제를 해결하려면 단일 사용자 모드로 시스템을 부트하고 이 절차에서 설명한 대로 보안 템플리트를 수정합니다.

참조

DOI에 대한 자세한 내용은 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Network Security Attributes in Trusted Extensions를 참조하십시오.

만든 보안 템플리트에서 doi 값을 변경하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 How to Construct a Remote Host Template를 참조하십시오.

선택한 편집기를 신뢰할 수 있는 편집기로 사용하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 How to Assign the Editor of Your Choice as the Trusted Editor를 참조하십시오.