Oracle Solaris Trusted Extensions 구성 설명서

LDAP에 대해 Solaris Management Console 구성(작업 맵)

Solaris Management Console은 Trusted Extensions가 실행되고 있는 시스템의 네트워크를 관리하기 위한 GUI입니다.

작업 

설명 

수행 방법 

Solaris Management Console을 초기화합니다. 

Solaris Management Console을 초기화합니다. 이 절차는 전역 영역에서 시스템당 한 번 수행됩니다. 

Trusted Extensions에서 Solaris Management Console 서버 초기화

자격 증명을 등록합니다. 

LDAP 서버에서 Solaris Management Console을 인증합니다. 

Solaris Management Console에 LDAP 자격 증명 등록

시스템에서 원격 관리를 활성화합니다. 

기본적으로 Solaris Management Console 클라이언트는 다른 시스템의 Console 서버와 통신할 수 없습니다. 원격 관리를 명시적으로 활성화해야 합니다. 

네트워크 통신을 승인하도록 Solaris Management Console 활성화

LDAP 도구 상자를 만듭니다. 

Solaris Management Console에서 Trusted Extensions용 LDAP 도구 상자를 만듭니다. 

Solaris Management Console에서 LDAP 도구 상자 편집

통신을 확인합니다. 

Trusted Extensions 호스트가 LDAP 클라이언트가 될 수 있는지 확인합니다. 

Solaris Management Console에 Trusted Extensions 정보가 포함되는지 확인

ProcedureSolaris Management Console에 LDAP 자격 증명 등록

시작하기 전에

Trusted Extensions가 실행되고 있는 LDAP 서버의 root 사용자여야 합니다. 프록시 서버를 서버로 사용할 수 있습니다.

Sun Java System Directory Server를 구성해야 합니다. 다음 구성 중 하나를 완료했습니다.

  1. LDAP 관리 자격 증명을 등록합니다.


    LDAP-Server # /usr/sadm/bin/dtsetup storeCred
    Administrator DN:Type the value for cn on your system
    Password:Type the Directory Manager password
    Password (confirm):Retype the password
    
  2. Directory Server의 범위를 나열합니다.


    LDAP-Server # /usr/sadm/bin/dtsetup scopes
    Getting list of manageable scopes...
    Scope 1 file:Displays name of file scope
    Scope 2 ldap:Displays name of ldap scope
    

    LDAP 서버 설정에 따라 나열되는 범위가 결정됩니다. LDAP 도구 상자를 편집하기 전까지는 LDAP 범위가 나열되지 않습니다. 서버를 등록한 후에만 도구 상자를 편집할 수 있습니다.


예 5–1 LDAP 자격 증명 등록

이 예에서 LDAP 서버의 이름은 LDAP1이며 cn의 값은 기본값인 Directory Manager입니다.


# /usr/sadm/bin/dtsetup storeCred
Administrator DN:cn=Directory Manager
Password:abcde1;!
Password (confirm):abcde1;!
# /usr/sadm/bin/dtsetup scopes
Getting list of manageable scopes...
Scope 1 file:/LDAP1/LDAP1
Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com

Procedure네트워크 통신을 승인하도록 Solaris Management Console 활성화

기본적으로 Solaris 시스템은 보안 위험이 있는 포트를 수신하도록 구성되어 있지 않습니다. 따라서 원격으로 관리하려는 시스템은 네트워크 통신을 승인하도록 명시적으로 구성해야 합니다. 예를 들어, 클라이언트에서 LDAP 서버의 네트워크 데이터베이스를 관리하려면 LDAP 서버의 Solaris Management Console 서버에서 네트워크 통신을 승인해야 합니다.

LDAP 서버가 포함된 네트워크에 대한 Solaris Management Console 구성 요구 사항을 보여 주는 그림은 Oracle Solaris Trusted Extensions Administrator’s ProceduresClient-Server Communication With the Solaris Management Console을 참조하십시오.

시작하기 전에

사용자가 Solaris Management Console 서버 시스템의 전역 영역에서 수퍼유저여야 합니다. 이 절차에서는 시스템을 원격 시스템이라고 합니다. 또한 수퍼유저로서 클라이언트 시스템에 명령줄을 통해 액세스할 수 있어야 합니다.

  1. 원격 시스템에서 원격 연결을 승인하도록 시스템을 활성화합니다.

    smc 데몬은 wbem 서비스에서 제어합니다. wbem 서비스에 대한 options/tcp_listen 등록 정보가 true로 설정되면 Solaris Management Console 서버에서 원격 연결을 승인합니다.


    # /usr/sbin/svcprop -p options wbem
    options/tcp_listen boolean false
    # svccfg -s wbem setprop options/tcp_listen=true
    
  2. wbem 서비스를 새로 고치고 다시 시작합니다.


    # svcadm refresh wbem
    # svcadm restart wbem
    
  3. wbem 서비스가 원격 연결을 승인하도록 설정되어 있는지 확인합니다.


    # svcprop -p options wbem
    options/tcp_listen boolean true
  4. 원격 시스템 및 Solaris Management Console에 액세스해야 하는 클라이언트에서 smcserver.config 파일에 원격 연결이 활성화되어 있는지 확인합니다.

    1. 신뢰할 수 있는 편집기에서 smcserver.config 파일을 엽니다.


      # /usr/dt/bin/trusted_edit /etc/smc/smcserver.config
      
    2. remote.connections 매개 변수를 true로 설정합니다.


      ## remote.connections=false
      remote.connections=true
      
    3. 파일을 저장하고 신뢰할 수 있는 편집기를 종료합니다.

일반 오류

wbem 서비스를 다시 시작하거나 활성화하는 경우 smcserver.config 파일의 remote.connections 매개 변수가 true로 설정되어 있는지 확인해야 합니다.

ProcedureSolaris Management Console에서 LDAP 도구 상자 편집

시작하기 전에

사용자가 LDAP 서버의 수퍼유저여야 합니다. Solaris Management Console에 LDAP 자격 증명을 반드시 등록해야 하며,/usr/sadm/bin/dtsetup scopes 명령 출력을 꼭 알아야 합니다. 자세한 내용은 Solaris Management Console에 LDAP 자격 증명 등록을 참조하십시오.

  1. LDAP 도구 상자를 찾습니다.


    # cd /var/sadm/smc/toolboxes/tsol_ldap
    # ls *tbx
    tsol_ldap.tbx
  2. LDAP 서버 이름을 제공합니다.

    1. 신뢰할 수 있는 편집기를 엽니다.

    2. tsol_ldap.tbx 도구 상자의 전체 경로 이름을 복사하여 편집기에 인수로 붙여 넣습니다.

      예를 들어 다음 경로는 LDAP 도구 상자의 기본 위치입니다.


      /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
    3. 범위 정보를 교체합니다.

      <Scope></Scope> 태그 사이의 server 태그를 ldap:/...... 라인(/usr/sadm/bin/dtsetup scopes 명령)의 출력으로 교체합니다.


      <Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
    4. <?server?> 또는 <?server ?>의 모든 인스턴스를 LDAP 서버로 교체합니다.


      <Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name>
      services and configuration of ldap-server-name.</Description>
      and configuring ldap-server-name.</Description>
      ...
    5. 파일을 저장하고 편집기를 종료합니다.

  3. wbem 서비스를 새로 고치고 다시 시작합니다.


    # svcadm refresh wbem
    # svcadm restart wbem
    

예 5–2 LDAP 도구 상자 구성

이 예에서 LDAP 서버의 이름은 LDAP1입니다. 도구 상자를 구성하기 위해 관리자가 <?server ?>의 인스턴스를 LDAP1로 교체합니다.


# cd /var/sadm/smc/toolboxes/tsol_ldap
# /usr/dt/bin/trusted_edit /tsol_ldap.tbx
<Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope

...
<Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name>
services and configuration of LDAP1.</Description>
and configuring LDAP1.</Description>
...

ProcedureSolaris Management Console에 Trusted Extensions 정보가 포함되는지 확인

LDAP 서버가 포함된 네트워크와 LDAP 서버가 포함되지 않은 네트워크에 대한 Solaris Management Console 구성 요구 사항을 보여 주는 그림은 Oracle Solaris Trusted Extensions Administrator’s ProceduresClient-Server Communication With the Solaris Management Console을 참조하십시오.

시작하기 전에

관리 역할 또는 수퍼유저로 LDAP 클라이언트에 로그인해야 합니다. 시스템을 LDAP 클라이언트로 만들려면 Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기를 참조하십시오.

로컬 시스템을 관리하기 위해 Trusted Extensions에서 Solaris Management Console 서버 초기화의 절차를 완료했어야 합니다.

로컬 시스템에서 원격 시스템의 Console 서버에 연결하려면 두 시스템에서 모두 Trusted Extensions에서 Solaris Management Console 서버 초기화의 절차를 완료했어야 합니다. 또한 원격 시스템에서 네트워크 통신을 승인하도록 Solaris Management Console 활성화의 절차를 완료했어야 합니다.

LDAP 클라이언트에서 LDAP 이름 지정 서비스의 데이터베이스를 관리하려면 이전 절차와 더불어 LDAP 서버에서 Solaris Management Console에서 LDAP 도구 상자 편집의 절차를 완료했어야 합니다.

  1. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &
    
  2. Trusted Extensions 도구 상자를 엽니다.

    Trusted Extensions 도구 상자에 Policy=TSOL 값이 있습니다.

    • LDAP를 이름 지정 서비스로 사용하는 신뢰할 수 있는 네트워크에서 다음 테스트를 수행합니다.

      1. 로컬 관리 데이터베이스에 액세스할 수 있는지 확인하려면 다음 도구 상자를 엽니다.


        이 컴퓨터(this-host: Scope=Files, Policy=TSOL)
      2. LDAP 서버의 로컬 관리 데이터베이스에 액세스할 수 있는지 확인하려면 다음 도구 상자를 지정합니다.


        이 컴퓨터(ldap-server: Scope=Files, Policy=TSOL)
      3. LDAP 서버의 이름 지정 서비스 데이터베이스에 액세스할 수 있는지 확인하려면 다음 도구 상자를 지정합니다.


        이 컴퓨터(ldap-server: Scope=LDAP, Policy=TSOL)
    • LDAP를 이름 지정 서비스로 사용하지 않는 신뢰할 수 있는 네트워크에서 다음 테스트를 수행합니다.

      1. 로컬 관리 데이터베이스에 액세스할 수 있는지 확인하려면 다음 도구 상자를 엽니다.


        이 컴퓨터(this-host: Scope=Files, Policy=TSOL)
      2. 원격 시스템의 로컬 관리 데이터베이스를 액세스할 수 있는지 확인하려면 다음 도구 상자를 지정합니다.


        이 컴퓨터(remote-system: Scope=Files, Policy=TSOL)
  3. System Configuration(시스템 구성) 아래에서 Computers and Networks(컴퓨터 및 네트워크)로 이동한 다음 Security Templates(보안 템플리트)로 이동합니다.

  4. 올바른 템플리트와 레이블이 원격 시스템에 적용되었는지 확인합니다.


    주 –

    LDAP 서버가 아닌 시스템에서 네트워크 데이터베이스 정보에 액세스하려고 하는 경우 작업에 실패합니다. 콘솔에서 원격 호스트에 로그인하여 도구 상자를 열 수 있습니다. 그러나 정보에 액세스하거나 정보를 변경하려고 하는 경우 다음과 같은 오류 메시지가 표시되어 LDAP 서버가 아닌 시스템에서 Scope=LDAP를 선택했음을 나타냅니다.


    Management server cannot perform the operation requested.
    ...
    Error extracting the value-from-tool.
    The keys received from the client were machine, domain, Scope.
    Problem with Scope.

일반 오류

LDAP 구성 문제를 해결하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)의 13 장, LDAP Troubleshooting (Reference)을 참조하십시오.