업무 분리가 사이트 보안 요구 사항이 아닌 경우 이 절차를 건너뜁니다. 사이트에 업무 분리가 필요한 경우 LDAP 서버를 채우기 전에 이러한 권한 프로필 및 역할을 만들어야 합니다.
이 절차를 통해 사용자를 관리하기 위한 고유한 기능을 가진 권한 프로필을 만듭니다. 이러한 프로필을 고유한 역할에 할당할 경우 사용자를 만들고 구성하기 위해 두 가지 역할이 필요합니다. 한 역할은 사용자를 만들 수 있지만 보안 속성을 할당할 수 없습니다. 다른 역할은 보안 속성을 할당할 수 있으나 사용자를 만들 수 없습니다. 이러한 프로필 중 하나가 할당된 역할로 Solaris Management Console에 로그인할 경우 해당 역할에 대한 탭 및 필드만 사용할 수 있습니다.
사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다. 이 절차를 시작할 경우 Solaris Management Console을 닫아야 합니다.
사용자 구성에 영향을 주는 기본 권한 프로필의 복사본을 만듭니다.
prof_attr 파일을 prof_attr.orig 파일로 복사합니다.
신뢰할 수 있는 편집기에서 prof_attr 파일을 엽니다.
# /usr/dt/bin/trusted_edit /etc/security/prof_attr |
세 가지 권한 프로필을 복사하고 복사본의 이름을 바꿉니다.
System Administrator:::Can perform most non-security... Custom System Administrator:::Can perform most non-security... User Security:::Manage passwords... Custom User Security:::Manage passwords... User Management:::Manage users, groups, home... Custom User Management:::Manage users, groups, home... |
변경 사항을 저장합니다.
변경 사항을 확인합니다.
# grep ^Custom /etc/security/prof_attr Custom System Administrator:::Can perform most non-security... Custom User Management:::Manage users, groups, home... Custom User Security:::Manage passwords... |
권한 프로필을 수정하는 대신 복사하면 시스템을 이후의 Solaris 릴리스로 업그레이드하고 변경 사항을 유지할 수 있습니다. 이러한 권한 프로필은 복잡하므로 기본 프로필의 복사본을 수정하는 것이 처음부터 더 제한적인 프로필을 작성하는 것보다 오류가 덜 발생할 수 있습니다.
Solaris Management Console을 시작합니다.
# /usr/sbin/smc & |
이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 선택합니다.
System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.
암호를 입력하라는 메시지가 표시됩니다.
적절한 암호를 입력합니다.
Rights(권한)를 두 번 누릅니다.
Custom User Security(사용자 정의 사용자 보안) 권한 프로필을 수정합니다.
이 프로필이 사용자를 작성할 수 없게 제한합니다.
Custom User Management(사용자 정의 사용자 관리) 프로필을 수정합니다.
이 프로필이 암호를 설정할 수 없게 제한합니다.
Custom System Administrator(사용자 정의 시스템 관리자) 권한 프로필을 수정합니다.
User Management(사용자 관리) 프로필은 이 프로필의 보완 프로필입니다. 시스템 관리자가 암호를 설정할 수 없게 제한합니다.
기본 프로필이 사용되지 않도록 제한하려면 사용자 정의 프로필이 업무 분리를 적용하는지 확인한 후 Trusted Extensions 역할 작동 확인의 단계 7을 참조하십시오.