업무 분리를 적용하는 권한 프로필 만들기

업무 분리가 사이트 보안 요구 사항이 아닌 경우 이 절차를 건너뜁니다. 사이트에 업무 분리가 필요한 경우 LDAP 서버를 채우기 전에 이러한 권한 프로필 및 역할을 만들어야 합니다.

이 절차를 통해 사용자를 관리하기 위한 고유한 기능을 가진 권한 프로필을 만듭니다. 이러한 프로필을 고유한 역할에 할당할 경우 사용자를 만들고 구성하기 위해 두 가지 역할이 필요합니다. 한 역할은 사용자를 만들 수 있지만 보안 속성을 할당할 수 없습니다. 다른 역할은 보안 속성을 할당할 수 있으나 사용자를 만들 수 없습니다. 이러한 프로필 중 하나가 할당된 역할로 Solaris Management Console에 로그인할 경우 해당 역할에 대한 탭 및 필드만 사용할 수 있습니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다. 이 절차를 시작할 경우 Solaris Management Console을 닫아야 합니다.

1. 사용자 구성에 영향을 주는 기본 권한 프로필의 복사본을 만듭니다.

   1. prof_attr 파일을 prof_attr.orig 파일로 복사합니다.

   2. 신뢰할 수 있는 편집기에서 prof_attr 파일을 엽니다.

      # /usr/dt/bin/trusted_edit /etc/security/prof_attr

   3. 세 가지 권한 프로필을 복사하고 복사본의 이름을 바꿉니다.

      System Administrator:::Can perform most non-security... Custom System Administrator:::Can perform most non-security... User Security:::Manage passwords... Custom User Security:::Manage passwords... User Management:::Manage users, groups, home... Custom User Management:::Manage users, groups, home...

   4. 변경 사항을 저장합니다.

   5. 변경 사항을 확인합니다.

      # grep ^Custom /etc/security/prof_attr Custom System Administrator:::Can perform most non-security... Custom User Management:::Manage users, groups, home... Custom User Security:::Manage passwords...

   권한 프로필을 수정하는 대신 복사하면 시스템을 이후의 Solaris 릴리스로 업그레이드하고 변경 사항을 유지할 수 있습니다. 이러한 권한 프로필은 복잡하므로 기본 프로필의 복사본을 수정하는 것이 처음부터 더 제한적인 프로필을 작성하는 것보다 오류가 덜 발생할 수 있습니다.

2. Solaris Management Console을 시작합니다.

   # /usr/sbin/smc &

3. 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 선택합니다.

4. System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.

   암호를 입력하라는 메시지가 표시됩니다.

5. 적절한 암호를 입력합니다.

6. Rights(권한)를 두 번 누릅니다.

7. Custom User Security(사용자 정의 사용자 보안) 권한 프로필을 수정합니다.

   이 프로필이 사용자를 작성할 수 없게 제한합니다.

   1. Custom User Security(사용자 정의 사용자 보안)를 두 번 누릅니다.

   2. Authorizations(권한 부여) 탭을 누르고 다음 단계를 수행합니다.

      1. Included(포함) 목록에서 Manage Users and Roles 권한 부여를 제거합니다.

         다음 User Accounts(사용자 계정) 권한이 유지됩니다.

         Audit Controls Label and Clearance Range Change Password View Users and Roles Modify Extended Security Attributes

      2. Included(포함) 목록에 Manage Privileges(권한 관리) 권한을 추가합니다.

   3. OK(확인)를 눌러 변경 사항을 저장합니다.

8. Custom User Management(사용자 정의 사용자 관리) 프로필을 수정합니다.

   이 프로필이 암호를 설정할 수 없게 제한합니다.

   1. Custom User Management(사용자 정의 사용자 관리)를 두 번 누릅니다.

   2. Authorizations(권한 부여) 탭을 누르고 다음 단계를 수행합니다.

      1. Included(포함) 목록의 스크롤 막대를 User Accounts(사용자 계정)로 끕니다.

      2. Included(포함) 목록에서 Modify Extended Security Attributes 권한 부여를 제거합니다.

         다음 User Accounts(사용자 계정) 권한이 유지됩니다.

         Manage Users and Roles View Users and Roles

   3. 변경 사항을 저장합니다.

9. Custom System Administrator(사용자 정의 시스템 관리자) 권한 프로필을 수정합니다.

   User Management(사용자 관리) 프로필은 이 프로필의 보완 프로필입니다. 시스템 관리자가 암호를 설정할 수 없게 제한합니다.

   1. Custom System Administrator(사용자 정의 시스템 관리자)를 두 번 누릅니다.

   2. Supplementary Rights(보완 권한) 탭을 누르고 다음 단계를 수행합니다.

      1. User Management(사용자 관리) 권한 프로필을 제거합니다.

      2. Custom User Management(사용자 정의 사용자 관리) 권한 프로필을 추가합니다.

      3. Custom User Management(사용자 정의 사용자 관리) 권한 프로필을 All(모두) 권한 프로필 위로 이동합니다.

   3. 변경 사항을 저장합니다.

다음 순서

기본 프로필이 사용되지 않도록 제한하려면 사용자 정의 프로필이 업무 분리를 적용하는지 확인한 후 Trusted Extensions 역할 작동 확인의 단계 7을 참조하십시오.