Oracle Solaris Trusted Extensions 구성 설명서

ProcedureTrusted Extensions의 보안 관리자 역할 만들기

Trusted Extensions의 역할 만들기는 Solaris OS의 역할 만들기와 동일합니다. 그러나 Trusted Extensions에는 Security Administrator(보안 관리자) 역할이 필요합니다. 로컬 Security Administrator(보안 관리자) 역할을 만들려면 예 4–6에서와 같이 명령줄 인터페이스를 사용할 수도 있습니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

네트워크에서 역할을 만들려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)을 완료해야 합니다.

  1. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &
    
  2. 적절한 도구 상자를 선택합니다.

    • 역할을 로컬로 만들려면 이 컴퓨터(this-host: Scope=Files, Policy=TSOL)를 사용합니다.

    • LDAP 서비스에서 역할을 만들려면 이 컴퓨터(ldap-server: Scope=LDAP, Policy=TSOL)를 사용합니다.

  3. System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.

    암호를 입력하라는 메시지가 표시됩니다.

  4. 적절한 암호를 입력합니다.

  5. Administrative Roles(관리 역할)를 두 번 누릅니다.

  6. Action(작업) 메뉴에서 Add Administrative Role(관리 역할 추가)을 선택합니다.

  7. 보안 관리자 역할을 만듭니다.

    다음 정보에 따라 작업을 수행합니다.

    • Role name(역할 이름) – secadmin

    • Full name(전체 이름) – Security Administrator

    • Description(설명) – Site Security Officer(사이트 보안 관리자) 여기에는 소유 정보가 없습니다.

    • Role ID Number(역할 ID 번호) – ≥100

    • Role Shell(역할 쉘) – 관리자의 Bourne(프로필 쉘)

    • Create A Role Mailing List(역할 메일링 목록 만들기) – 확인란을 선택한 상태로 둡니다.

    • Password And Confirm(암호 및 확인) – 6자 이상의 영숫자로 구성된 암호를 지정합니다.

      악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.


      주 –

      모든 관리 역할에 대해 계정을 Always Available(항상 사용 가능)로 지정하고 암호 만료 날짜를 설정하지 않습니다.


    • Available and Granted Rights(사용 가능 및 허용된 권한) – 정보 보안, 사용자 보안

      • 사이트 보안 요구 사항에 업무 분리가 없는 경우 Information Security(정보 보안) 및 기본 User Security(사용자 보안) 권한 프로필을 선택합니다.

      • 사이트 보안 요구 사항에 따라 업무 분리가 필요한 경우 Information Security(정보 보안) 및 Custom User Security(사용자 정의 사용자 보안) 권한 프로필을 선택합니다.

    • Home Directory Server(홈 디렉토리 서버) – home-directory-server

    • Home Directory Path(홈 디렉토리 경로) – /mount-path

    • Assign Users(사용자 할당) – 사용자에게 역할을 할당하면 이 필드가 자동으로 채워집니다.

  8. 역할을 만든 후 설정이 올바른지 확인합니다.

    역할을 선택하고 두 번 누릅니다.

    다음 필드 값을 검토합니다.

    • Available Groups(사용 가능한 그룹) – 필요한 경우 그룹을 추가합니다.

    • Trusted Extensions Attributes(Trusted Extensions 속성) – 기본값이 올바릅니다.

      레이블을 표시하면 안되는 단일 레이블 시스템의 경우 Hide for Label(레이블 숨기기): Show(표시) 또는 Hide(숨기기)를 선택합니다.

    • Audit Excluded and Included(감사 제외 및 포함) – 역할의 감사 플래그가 audit_control 파일의 시스템 설정에 대한 예외인 경우에만 감사 플래그를 설정합니다.

  9. 다른 역할을 만들려면 Security Administrator(보안 관리자) 역할을 참조하십시오.

    관련 예는 System Administration Guide: Security ServicesHow to Create and Assign a Role by Using the GUI를 참조하십시오. 각 역할에 고유한 ID를 제공하고 해당 역할에 올바른 권한 프로필을 할당합니다. 사용 가능한 역할은 다음과 같습니다.

    • admin Role(admin 역할) – System Administrator 권한 부여

    • primaryadmin Role(primaryadmin 역할) – Primary Administrator 권한 부여

    • oper Role(oper 역할) – Operator 권한 부여


예 4–6 roleadd 명령을 사용하여 로컬 보안 관리자 역할 만들기

이 예에서 root 사용자는 roleadd 명령을 사용하여 로컬 시스템에 Security Administrator(보안 관리자) 역할을 추가합니다. 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오. root 사용자는 역할을 만들기 전에 표 1–2를 참조하십시오. 이 사이트에서는 사용자를 만들기 위해 업무 분리가 필요하지 않습니다.


# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

root 사용자가 해당 역할에 대한 초기 암호를 제공합니다.


# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

로컬 사용자에게 역할을 할당하려면 예 4–7을 참조하십시오.