test

Oracle Solaris Trusted Extensions 구성 설명서

4장 Trusted Extensions 구성(작업)

이 장에서는 모니터가 있는 시스템에서 Trusted Extensions를 구성하는 방법에 대해 설명합니다. Trusted Extensions 소프트웨어가 제대로 작동하려면 레이블, 영역, 네트워크, 역할을 맡을 수 있는 사용자, 역할 및 도구를 구성해야 합니다.

기타 구성 작업은 Oracle Solaris Trusted Extensions Administrator’s Procedures를 참조하십시오.

Trusted Extensions의 전역 영역 설정

전역 영역을 설정하려면 먼저 구성에 대해 결정해야 합니다. 결정에 대한 자세한 내용은 Trusted Extensions 활성화 전 정보 수집 및 의사 결정을 참조하십시오.

작업 

설명 

수행 방법 

하드웨어를 보호합니다. 

하드웨어 설정을 변경하려면 암호를 요구하여 하드웨어를 보호할 수 있습니다. 

System Administration Guide: Security ServicesControlling Access to System Hardware

레이블을 구성합니다. 

사용자 사이트에 대한 레이블을 반드시 구성해야 합니다. 기본 label_encodings 파일을 사용하려면 이 단계를 건너뛸 수 있습니다.

레이블 인코딩 파일 확인 및 설치

IPv6의 경우 /etc/system 파일을 수정합니다.

IPv6 네트워크를 실행하는 경우 /etc/system 파일을 수정하여 IP가 레이블이 있는 패킷을 인식하도록 합니다.

Trusted Extensions에서 IPv6 네트워크 사용

값이 1이 아닌 DOI의 경우 /etc/system 파일을 수정합니다.

네트워크 노드의 CIPSO DOI(Domain of Interpretation)가 1이 아닌 경우 /etc/system 파일에서 DOI를 지정합니다.

DOI(Domain of Interpretation) 구성

Solaris ZFS 스냅샷을 위한 공간을 만듭니다. 

Solaris ZFS 스냅샷을 사용하여 영역을 복제하려면 ZFS 풀을 만듭니다. 

첫 번째 영역을 복제하여 레이블이 있는 나머지 영역을 만들려면 이 작업을 수행합니다. 

영역 복제를 위한 ZFS 풀 만들기

다시 부트하고 로그인합니다. 

전역 영역으로 로그인됩니다. 전역 영역은 MAC(Mandatory Access Control)를 인식하고 실행하는 환경입니다. 

Trusted Extensions 다시 부트 및 로그인

Solaris Management Console을 초기화합니다. 

Trusted Extensions는 사용자, 역할, 영역 및 네트워크 관리를 위한 도구를 Solaris Management Console에 추가합니다. 

Trusted Extensions에서 Solaris Management Console 서버 초기화

LDAP를 구성합니다. 

LDAP 이름 지정 서비스를 사용하려면 LDAP 서비스를 설정합니다. 

5 장Trusted Extensions에 대해 LDAP 구성(작업)

LDAP 서비스를 설정한 경우 이 시스템을 LDAP 클라이언트로 지정합니다. 

Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

Procedure레이블 인코딩 파일 확인 및 설치

인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.

주 –

Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.

주의 – 주의 –

계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다.

시작하기 전에

사용자는 보안 관리자입니다. 보안 관리자label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.

  1. label_encodings 파일이 들어 있는 매체를 해당 장치에 넣습니다.

  2. label_encodings 파일을 디스크로 복사합니다.

  3. 파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.

    • Trusted JDS에서는 명령줄에서 파일을 확인하고 설치합니다.

      1. 터미널 창을 엽니다.

      2. chk_encodings 명령을 실행합니다.


        # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

      3. 출력을 읽어본 후 다음 중 하나를 수행합니다.

        • 오류를 해결합니다.

          명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

        • 파일을 활성 label_encodings 파일로 만듭니다.


          # cp /full-pathname-of-label-encodings-file \
 /etc/security/tsol/label.encodings.site
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.site label_encodings
      주의 – 주의 –

      계속하려면 label_encodings 파일이 chk_encodings 테스트를 통과해야 합니다.

    • Trusted CDE에서는 인코딩 확인 작업을 사용합니다.

      1. Trusted_Extensions 폴더를 엽니다.

        배경에서 마우스 버튼 3을 누릅니다.

      2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

      3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

        이 그림은 Trusted_Extensions 폴더 아이콘을 보여 줍니다.

      4. Check Encodings(인코딩 확인) 작업을 두 번 누릅니다.

        대화 상자에 파일의 전체 경로 이름을 입력합니다.


        /full-pathname-of-label-encodings-file

        chk_encodings 명령을 호출하여 파일의 구문을 확인합니다. 결과가 Check Encodings(인코딩 확인) 대화 상자에 표시됩니다.

      5. Check Encodings(인코딩 확인) 대화 상자의 내용을 읽어본 후 다음 중 하나를 수행합니다.

        • 오류를 해결합니다.

          인코딩 확인 작업에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

        • Yes를 눌러 파일을 활성 label_encodings 파일로 만듭니다.

          인코딩 확인 작업에서는 원본 파일의 백업 복사본을 만든 다음 확인된 버전을 /etc/security/tsol/label_encodings에 설치합니다. 그런 다음 레이블 데몬을 다시 시작합니다.

    주의 – 주의 –

    계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.

  4. 파일 구문을 확인하고 활성 label_encodings 파일로 만듭니다.

    명령줄을 사용합니다.

    1. 터미널 창을 엽니다.

    2. chk_encodings 명령을 실행합니다.


      # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

    3. 출력을 읽어본 후 다음 중 하나를 수행합니다.

      • 오류를 해결합니다.

        명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Oracle Solaris Trusted Extensions Label Administration의 3 장, Making a Label Encodings File (Tasks)을 참조하십시오.

      • 파일을 활성 label_encodings 파일로 만듭니다.


        # cp /full-pathname-of-label-encodings-file \
 /etc/security/tsol/label.encodings.site
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.site label_encodings
    주의 – 주의 –

    계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다.

예 4–1 명령줄에서 label_encodings 구문 검사

이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.


# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.


# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.


# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.


# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

ProcedureTrusted Extensions에서 IPv6 네트워크 사용

CIPSO 옵션에는 패킷의 IPv6 Option Type(IPv6 옵션 유형) 필드에서 사용하는 IANA(Internet Assigned Numbers Authority) 번호가 없습니다. 이 절차에서 설정한 항목은 IANA에서 이 옵션에 대한 번호를 할당할 때까지 로컬 네트워크에서 사용할 번호를 제공합니다. 이 번호가 정의되지 않으면 Trusted Extensions는 IPv6 네트워킹을 사용하지 않습니다.

Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.

  1. /etc/system 파일에 다음 항목을 추가합니다.


    set ip:ip6opt_ls = 0x0a
일반 오류

ProcedureDOI(Domain of Interpretation) 구성

Trusted Extensions로 구성된 시스템 간의 모든 통신은 단일 CIPSO DOI(Domain of Interpretation)의 레이블 지정 규칙에 따라야 합니다. 각 메시지에서 사용되는 DOI는 CIPSO IP Option 헤더에서 정수로 식별됩니다. 기본적으로 Trusted Extensions에서 DOI는 1입니다.

DOI가 1이 아닌 경우 /etc/system 파일에 항목을 추가하고 기본 보안 템플릿에서 doi 값을 수정해야 합니다.

  1. 다음과 같이 /etc/system 파일에 DOI 항목을 입력합니다.


    set default_doi = n

    이 0이 아닌 양의 정수는 노드 및 노드에서 통신하는 시스템의 tnrhtp 데이터베이스에 있는 DOI 수와 일치해야 합니다.

  2. LDAP 서버에 tnrhtp 데이터베이스를 추가하기 전에 먼저 기본 항목과 모든 로컬 주소 항목에 있는 doi 값을 수정합니다.

    Trusted Extensions에서는 tnrhtp 데이터베이스에 cipsoadmin_low라는 두 가지 템플리트를 제공합니다. 로컬 주소 항목을 추가한 경우 이 항목도 수정합니다.

    1. 신뢰할 수 있는 편집기에서 tnrhtp 데이터베이스를 엽니다.


      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp

      Solaris Trusted Extensions(CDE)에서는 응용 프로그램 관리자의 Trusted_Extensions 폴더에 있는 관리 편집기 작업을 대신 사용할 수 있습니다.

    2. 다른 줄에 cipso 템플리트 항목을 복사합니다.


      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    3. cipso 항목 중 하나를 주석 처리합니다.


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    4. 주석 처리되지 않은 cipso 항목에서 doi 값을 수정합니다.

      이 값을 /etc/system 파일의 default_doi 값과 동일한 값으로 수정합니다.


      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

    5. admin_low 항목의 doi 값을 변경합니다.


      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW
admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

    tnrhtp 데이터베이스에 있는 모든 항목의 doi 값이 모두 동일하면 작업이 완료됩니다.

일반 오류

/etc/system 파일에서 1이 아닌 default_doi 값을 설정하고 이 시스템의 보안 템플리트에 이 default_doi 값과 일치하지 않는 값이 설정되면 인터페이스 구성 중 다음과 유사한 메시지가 시스템 콘솔에 표시됩니다.

인터페이스 구성 실패로 인해 다음과 같이 로그인 실패가 발생할 수 있습니다.

문제를 해결하려면 단일 사용자 모드로 시스템을 부트하고 이 절차에서 설명한 대로 보안 템플리트를 수정합니다.

참조

DOI에 대한 자세한 내용은 Oracle Solaris Trusted Extensions Administrator’s ProceduresNetwork Security Attributes in Trusted Extensions를 참조하십시오.

만든 보안 템플리트에서 doi 값을 변경하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Construct a Remote Host Template를 참조하십시오.

선택한 편집기를 신뢰할 수 있는 편집기로 사용하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Assign the Editor of Your Choice as the Trusted Editor를 참조하십시오.

Procedure영역 복제를 위한 ZFS 풀 만들기

Solaris ZFS 스냅샷을 영역 템플리트로 사용하려면 ZFS 파일 또는 ZFS 장치에서 ZFS 풀을 만들어야 합니다. 이 풀에는 각 영역의 복제를 위한 스냅샷이 보관됩니다. ZFS 풀에 대해 /zone 장치를 사용합니다.

시작하기 전에

Solaris 설치 중에 ZFS 파일 시스템을 위한 별도의 디스크 공간을 확보해 두었습니다. 자세한 내용은 Trusted Extensions의 영역 계획을 참조하십시오.

  1. /zone 분할 영역을 마운트 해제합니다.

    설치하는 동안 충분한 디스크 공간(약 2000MB)이 있는 /zone 분할 영역을 만들었습니다.


    # umount /zone

  2. /zone 마운트 지점을 제거합니다.


    # rmdir /zone

  3. vfstab 파일에서 /zone 항목을 주석 처리합니다.

    1. /zone 항목을 읽지 못하도록 합니다.

      편집기에서 vfstab 파일을 엽니다. /zone 항목 앞에 주석 기호를 추가합니다.


      #/dev/dsk/cntndnsn  /dev/dsk/cntndnsn  /zone  ufs  2  yes  -

    2. 디스크 슬라이스, cn tndn sn을 클립보드에 복사합니다.

    3. 파일을 저장하고 편집기를 닫습니다.

  4. 디스크 슬라이스를 사용하여 /zone을 ZFS 풀로 다시 만듭니다.


    # zpool create -f zone cntndnsn

    예를 들어, /zone 항목에서 c0t0d0s5 디스크 슬라이스를 사용한 경우 명령은 다음과 같습니다.


    # zpool create -f zone c0t0d0s5

  5. ZFS 풀이 정상인지 확인합니다.

    다음 명령 중 하나를 사용합니다.


    # zpool status -x zone
pool 'zone' is healthy
    		 

    # zpool list
NAME     SIZE     USED   AVAIL   CAP   HEALTH   ALTROOT
/zone    5.84G   80K    5.84G    7%   ONLINE   -

    이 예에서는 초기 설정 팀이 영역에 대해 6000MB의 분할 영역을 예약했습니다. 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.

ProcedureTrusted Extensions 다시 부트 및 로그인

대부분의 사이트에는 시스템을 구성할 때 초기 설정 팀 역할을 하는 두 명 이상의 관리자가 있습니다.

시작하기 전에

로그인하기 전에 먼저 Trusted Extensions의 데스크탑 및 레이블 옵션을 숙지하십시오. 자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서의 2 장, Trusted Extensions에 로그인(작업) 을 참조하십시오.

  1. 시스템을 다시 부트합니다.


    # /usr/sbin/reboot

    시스템에 그래픽 디스플레이가 없는 경우 6 장Trusted Extensions로 헤드리스 시스템 구성(작업)을 참조하십시오.

  2. Solaris Trusted Extensions(CDE) 또는 Solaris Trusted Extensions(JDS) 데스크탑 중 하나에 수퍼유저로 로그인합니다.

    1. 로그인 창에서 신뢰할 수 있는 데스크탑 중 하나를 선택합니다.

      Trusted CDE 데스크탑에는 시스템을 구성하는 데 유용한 작업이 포함되어 있습니다. Solaris 10 10/08 릴리스부터 txzonemgr 스크립트가 시스템 구성을 위한 기본 프로그램입니다.

    2. 로그인 대화 상자에서 root와 루트 암호를 입력합니다.

      다른 사용자가 별도의 확인이나 설명 없이 사용자의 데이터에 액세스할 수 있으므로 다른 사용자에게 암호를 공개해서는 안 됩니다. 사용자가 고의적으로 자신의 암호를 다른 사용자에게 누설하여 직접적으로 암호가 공개될 수도 있고, 암호를 메모해 두거나 보안되지 않은 암호를 선택함으로써 간접적으로 암호가 공개될 수도 있습니다. Trusted Extensions 소프트웨어는 보안되지 않은 암호에 대해 보호 기능을 제공하지만, 사용자가 자신의 암호를 공개하거나 메모하지 못하도록 막을 수는 없습니다.

  3. Last Login(마지막 로그인) 대화 상자의 정보를 읽어 보십시오.

    이 그림은 Last Login(마지막 로그인) 대화 상자를 보여 줍니다.

    그런 다음 OK(확인)를 눌러 상자를 없앱니다.

  4. Label Builder(레이블 구축기)를 읽습니다.

    OK(확인)를 눌러 기본 레이블을 적용합니다.

    로그인 프로세스가 완료되면 Trusted Extensions 화면이 잠시 나타난 다음 네 개의 작업 공간이 있는 데스크탑 세션이 시작됩니다. Trusted Path 기호가 신뢰할 수 있는 스트라이프에 표시됩니다.

    주 –

    자리를 비우기 전에 반드시 로그오프하거나 화면을 잠가야 합니다. 그렇지 않으면 다른 사용자가 별도의 확인이나 설명 없이 식별 및 인증 과정을 거치지 않고 시스템에 액세스할 수 있습니다.

ProcedureTrusted Extensions에서 Solaris Management Console 서버 초기화

다음 절차에 따라 이 시스템에서 사용자, 역할, 호스트, 영역 및 네트워크를 관리할 수 있습니다. 구성하는 첫 번째 시스템에서는 files 범위만 사용할 수 있습니다.

시작하기 전에

사용자는 수퍼유저여야 합니다.

클라이언트에서 실행 중인 Solaris Management Console에서 LDAP 서버의 LDAP 도구 상자를 사용하려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)의 모든 작업을 완료해야 합니다.

  1. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &
    주 –

    처음에 Solaris Management Console을 시작하면 몇 가지 등록 작업을 수행합니다. 이 작업에는 몇 분 정도의 시간이 소요될 수 있습니다.

    그림 4–1 Solaris Management Console 초기 창

    그래픽은 Solaris Management Console 시작 창을 보여 줍니다.

  2. Solaris Management Console에 도구 상자 아이콘이 표시되지 않으면 다음 중 하나를 수행합니다.

    • Navigation(탐색) 창이 표시되지 않는 경우

      1. 표시되는 Open Toolbox(도구 상자 열기) 대화 상자의 Server(서버) 아래에서 이 시스템 이름 옆에 있는 Load(로드)를 누릅니다.

        이 시스템에 권장된 양의 메모리 및 스왑이 없는 경우 도구 상자를 표시하는 데 몇 분 정도 걸릴 수 있습니다. 권장 사항은 Trusted Extensions용 Solaris OS 설치 또는 업그레이드를 참조하십시오.

      2. 도구 상자 목록에서 Policy=TSOL인 도구 상자를 선택합니다.

        그림 4–2는 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여 줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

        주의 – 주의 –

        정책이 없는 도구 상자를 선택하면 안 됩니다. 나열된 정책이 없는 도구 상자는 Trusted Extensions를 지원하지 않습니다.

        제어하려는 범위에 따라 선택하는 도구 상자가 달라집니다.

      3. Open(열기)을 누릅니다.

    • Navigation(탐색) 창이 표시되지만 도구 상자 아이콘이 중지 기호인 경우

      1. Solaris Management Console을 종료합니다.

      2. Solaris Management Console을 다시 시작합니다.


        # /usr/sbin/smc &

  3. 아직 선택하지 않은 경우 Policy=TSOL인 도구 상자를 선택합니다.

    다음 그림은 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 보여줍니다. Trusted Extensions은 System Configuration(시스템 구성) 노드에서 도구를 수정합니다.

    그림 4–2 Solaris Management Console의 Trusted Extensions 도구

    Users(사용자) 도구와 Computers and Networks(컴퓨터 및 네트워크) 도구가 있는 System Configuration(시스템 구성) 노드가 창에 표시됩니다.

  4. (옵션) 현재 도구 상자를 저장합니다.

    Policy=TSOL 도구 상자를 저장하면 기본적으로 Trusted Extensions 도구 상자를 로드할 수 있습니다. Preferences(기본 설정)는 역할별, 호스트별로 저장됩니다. 호스트는 Solaris Management Console 서버입니다.

    1. Console(콘솔) 메뉴에서 Preferences(기본 설정)를 선택합니다.

      Home(홈) 도구 상자가 선택됩니다.

    2. Policy=TSOL 도구 상자를 Home(홈) 도구 상자로 정의합니다.

      Use Current Toolbox(현재 도구 상자 사용) 버튼을 눌러 현재 도구 상자를 Location(위치) 필드에 넣습니다.

    3. OK(확인)를 눌러 기본 설정을 저장합니다.

  5. Solaris Management Console을 종료합니다.

참조

Solaris Management Console에 Trusted Extensions 추가에 대한 개요는 Oracle Solaris Trusted Extensions Administrator’s ProceduresSolaris Management Console Tools를 참조하십시오. Solaris Management Console을 사용하여 보안 템플리트를 만들려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

ProcedureTrusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기

LDAP의 경우 이 절차에서는 전역 영역에 대한 이름 지정 서비스 구성을 설정합니다. LDAP를 사용하지 않는 경우 이 절차를 건너뛸 수 있습니다.

Solaris 10 5/08 릴리스부터 Solaris Trusted Extensions(CDE) 작업 공간에 있는 경우 txzonemgr 스크립트 또는 Trusted CDE 작업을 사용하여 LDAP 클라이언트를 만들 수 있습니다. Solaris Trusted Extensions(JDS) 또는 Solaris Trusted Extensions (GNOME) 작업 공간에 있는 경우에는 txzonemgr 스크립트를 사용해야 합니다.

주 –

레이블이 있는 각 영역에서 이름 서버를 설정하려는 경우 사용자가 해당 영역에 대한 LDAP 클라이언트 연결을 설정해야 합니다.

시작하기 전에

Sun Java System Directory Server 즉, LDAP 서버가 있어야 합니다. 서버를 Trusted Extensions 데이터베이스로 채우고 이 시스템에서 서버에 연결할 수 있어야 합니다. 따라서 구성 중인 시스템에는 LDAP 서버의 tnrhdb 데이터베이스에 항목이 있어야 합니다. 또는 이 절차를 수행하기 전에 이 시스템을 와일드카드 항목에 포함시켜야 합니다.

Trusted Extensions를 사용하여 구성된 LDAP 서버가 없는 경우 이 절차를 수행하기 전에 5 장Trusted Extensions에 대해 LDAP 구성(작업) 의 절차를 완료해야 합니다.

  1. DNS를 사용하는 경우 nsswitch.ldap 파일을 수정합니다.

    1. 원본 nsswitch.ldap 파일의 복사본을 저장합니다.

      LDAP의 표준 이름 지정 서비스 전환 파일이 Trusted Extensions에 너무 제한적입니다.


      # cd /etc
# cp nsswitch.ldap nsswitch.ldap.orig

    2. 다음 서비스에 대한 nsswitch.ldap 파일 항목을 변경합니다.

      올바른 항목은 다음과 비슷합니다.


      hosts:    files dns ldap

ipnodes:    files dns ldap

networks:   ldap files
protocols:  ldap files
rpc:        ldap files
ethers:     ldap files
netmasks:   ldap files
bootparams: ldap files
publickey:  ldap files

services:   files

      Trusted Extensions는 다음 두 개의 항목을 추가합니다.


      tnrhtp:    files ldap
tnrhdb:    files ldap

    3. 수정된 nsswitch.ldap 파일을 nsswitch.conf에 복사합니다.


      # cp nsswitch.ldap nsswitch.conf

  2. 다음 단계 중 하나를 수행하여 DLAP 클라이언트를 만듭니다.

    • txzonemgr 스크립트를 실행하고 LDAP 관련 프롬프트에 응답합니다.

      Create LDAP Client(LDAP 클라이언트 만들기) 메뉴 항목에서는 전역 영역만 구성합니다.

      1. txzonemgr 스크립트 실행의 지침에 따라 수행합니다.

        대화 상자 제목은 Labeled Zone Manager(레이블이 있는 영역 관리자)입니다.

      2. Create LDAP Client(LDAP 클라이언트 만들기)를 선택합니다.

      3. 다음 프롬프트에 응답한 다음 각 응답 후 OK(확인)를 누릅니다.


        Enter Domain Name:                   Type the domain name
Enter Hostname of LDAP Server:       Type the name of the server
Enter IP Address of LDAP Server servername: Type the IP address
Enter LDAP Proxy Password:       Type the password to the server
Confirm LDAP Proxy Password:     Retype the password to the server
Enter LDAP Profile Name:         Type the profile name

      4. 표시된 값을 확인하거나 취소합니다.


        Proceed to create LDAP Client?

        확인이 완료되면 txzonemgr 스크립트에 LDAP 클라이언트가 추가됩니다. 그러면 창에 명령 출력이 표시됩니다.

    • Trusted CDE 작업 공간에서 Create LDAP Client(LDAP 클라이언트 만들기) 작업을 찾아 사용합니다.

      1. 배경에서 마우스 버튼 3을 눌러 Trusted_Extensions 폴더로 이동합니다.

      2. Workspace(작업 공간) 메뉴에서 Applications(응용 프로그램) -> Application Manager(응용 프로그램 관리자)를 선택합니다.

      3. Trusted_Extensions 폴더 아이콘을 두 번 누릅니다.

        이 폴더에는 인터페이스, LDAP 클라이언트 및 레이블이 있는 영역을 설정하는 작업이 포함되어 있습니다.

      4. Create LDAP Client(LDAP 클라이언트 만들기) 작업을 두 번 누릅니다.

        다음 프롬프트에 응답합니다.


        Domain Name:               Type the domain name
Hostname of LDAP Server:   Type the name of the server
IP Address of LDAP Server: Type the IP address
LDAP Proxy Password:       Type the password to the server
Profile Name:              Type the profile name

      5. OK(확인)를 누릅니다.

        다음 완료 메시지가 나타납니다.


        global zone will be LDAP client of LDAP-server
System successfully configured.

*** Select Close or Exit from the window menu to close this window ***

      6. 작업 창을 닫습니다.

  3. 터미널 창에서 enableShadowUpdate 매개 변수를 TRUE로 설정합니다. 


    # ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix
System successfully configured

    Create LDAP Client(LDAP 클라이언트 만들기) 작업 및 txzonemgr 스크립트는 ldapclient init 명령만 실행합니다. Trusted Extensions에서 섀도우 업데이트를 사용하려면 초기화된 LDAP 클라이언트도 수정해야 합니다.

  4. 서버에서 정보가 올바른지 확인합니다.

    1. 터미널 창을 열고 LDAP 서버를 쿼리합니다.


      # ldapclient list

      출력은 다음과 유사합니다.


      NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name
...
NS_LDAP_BIND_TIME= number

    2. 오류를 수정합니다.

      오류가 발생하는 경우 LDAP 클라이언트를 다시 만들고 올바른 값을 제공하십시오. 예를 들어, 다음 오류는 시스템에 LDAP 서버의 항목이 없음을 나타냅니다.


      LDAP ERROR (91): Can't connect to the LDAP server.
Failed to find defaultSearchBase for domain domain-name

      이 오류를 해결하려면 LDAP 서버를 확인해야 합니다.

예 4–2 resolv.conf 파일 로드 후 호스트 이름 사용

이 예에서 관리자는 시스템에서 DNS 서버의 특정 집합을 사용 가능하게 하려고 합니다. 관리자는 신뢰할 수 있는 네트워크의 서버에서 resolv.conf 파일을 복사합니다. DNS가 아직 활성 상태가 아니므로 관리자는 서버의 IP 주소를 사용하여 서버를 찾습니다.


# cd /etc
# cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf

resolv.conf 파일을 복사하고, nsswitch.conf 파일에 hosts 항목의 dns가 포함되고 나면 관리자는 호스트 이름을 사용하여 시스템을 찾을 수 있습니다.

레이블이 있는 영역 만들기

txzonemgr 스크립트는 레이블이 있는 영역을 구성하는 다음 작업 과정을 모두 안내합니다.

주의 – 주의 –

txzonemgr 절차를 사용하려면 Trusted Extensions의 Solaris 10 8/07 릴리스나 이후 릴리스가 실행 중이어야 합니다. 또는 Solaris 10 11/06 릴리스에 대한 모든 패치를 설치해야 합니다.

최신 패치가 설치되지 않은 Solaris 10 11/06 릴리스를 실행하는 경우 부록 BCDE 작업을 사용하여 Trusted Extensions에 영역 설치의 절차에 따라 레이블이 있는 영역을 구성합니다.

이 절의 지침에서는 두 개 이하의 IP 주소가 할당된 시스템에서 레이블이 있는 영역을 구성합니다. 기타 구성은 작업 맵: Trusted Extensions 준비 및 활성화의 구성 옵션을 참조하십시오.

작업 

설명 

수행 방법 

1. txzonemgr 스크립트를 실행합니다.

txzonemgr 스크립트는 영역을 구성할 때 적합한 작업을 나타내는 GUI를 만듭니다.

txzonemgr 스크립트 실행

2. 전역 영역에서 네트워크 인터페이스를 관리합니다. 

전역 영역에서 인터페이스를 구성하거나 논리적 인터페이스를 만든 후 전역 영역에서 구성합니다. 

Trusted Extensions에서 네트워크 인터페이스 구성

3. 영역의 이름과 레이블을 지정합니다. 

레이블의 버전을 사용하여 영역의 이름을 지정하고 레이블을 할당합니다. 

영역의 이름 및 레이블 지정

4. 영역을 설치하고 부트합니다. 

영역에서 패키지를 설치합니다. 영역에서 서비스를 구성합니다. Zone Terminal Console(영역 터미널 콘솔)을 사용하여 영역에서 활동을 볼 수 있습니다. 

레이블이 있는 영역 설치

레이블이 있는 영역 부트

5. 영역의 상태를 확인합니다. 

레이블이 있는 영역이 실행 중이고 영역이 전역 영역과 통신할 수 있는지 확인합니다. 

영역 상태 확인

6. 영역을 사용자 정의합니다. 

원하지 않는 서비스를 영역에서 제거합니다. 

이 영역을 사용하여 다른 영역을 만들려면 이 영역에만 해당하는 정보를 제거합니다. 

레이블이 있는 영역 사용자 정의

7. 나머지 영역을 만듭니다. 

두 번째 영역을 만들 때 선택한 방법을 사용합니다. 영역을 만드는 방법에 대한 설명은 Trusted Extensions의 영역 계획을 참조하십시오.

Trusted Extensions에서 영역 복사 또는 복제

8. (선택 사항) 영역별 네트워크 인터페이스를 추가합니다. 

네트워크 격리를 적용하려면 레이블이 있는 영역에 하나 이상의 네트워크 인터페이스를 추가합니다. 일반적으로 이러한 구성은 레이블이 있는 서브넷을 격리하기 위해 사용됩니다. 

네트워크 인터페이스 추가 및 레이블이 있는 영역으로 경로 설정

Proceduretxzonemgr 스크립트 실행

이 스크립트는 레이블이 있는 영역을 적절하게 구성, 설치, 초기화 및 부트하기 위한 작업 과정을 안내합니다. 스크립트에서 각 영역의 이름을 지정하고 이름을 레이블과 연결하며, 패키지를 설치하여 가상 OS를 만든 다음 영역을 부트하여 해당 영역에서 서비스를 시작합니다. 스크립트에는 영역 복사 및 영역 복제 작업이 포함되어 있습니다. 또한 영역을 정지하고 영역의 상태를 변경하며 영역별 네트워크 인터페이스를 추가할 수 있습니다.

이 스크립트는 현재 상황에 유효한 옵션만 표시하도록 동적으로 지정되는 메뉴를 제공합니다. 예를 들어, 영역의 상태를 구성할 경우 영역 설치 메뉴 항목은 표시되지 않습니다. 완료한 작업은 목록에 표시되지 않습니다.

시작하기 전에

사용자는 수퍼유저입니다.

영역을 복제하려는 경우 영역 복제 준비를 완료했습니다. 사용자 보안 템플리트를 사용하려는 경우 템플리트를 만들었습니다.

  1. 전역 영역에서 터미널 창을 엽니다.

  2. txzonemgr 스크립트를 실행합니다.


    # /usr/sbin/txzonemgr

    이 스크립트로 Labeled Zone Manager 대화 상자가 열립니다. 이 zenity 대화 상자에는 현재의 설치 상태에 따라 해당 작업을 묻는 메시지가 표시됩니다.

    작업을 수행하려면 메뉴 항목을 선택한 다음 Enter 키 또는 OK(확인)를 누릅니다. 텍스트를 입력하라는 메시지가 표시되면 텍스트를 입력한 다음 Enter 키 또는 OK(확인)를 누릅니다.

    참고 –

    현재 영역 완료 상태를 보려면 Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Return to Main Menu(주 메뉴로 돌아가기)를 누릅니다.

ProcedureTrusted Extensions에서 네트워크 인터페이스 구성

주 –

DHCP를 사용하도록 시스템을 구성하는 경우 OpenSolaris Community: Security 웹 페이지의 Trusted Extensions 섹션에 있는 노트북 지침을 참조하십시오.

Solaris 10 10/08 릴리스부터 레이블이 있는 각 영역이 자체 서브넷에 있는 시스템을 구성하는 경우 이 단계를 건너뛰고 영역의 이름 및 레이블 지정의 절차를 계속 진행할 수 있습니다. 영역 설치 및 사용자 정의 작업을 완료한 후 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가의 절차에 따라 레이블이 있는 각 영역에 네트워크 인터페이스를 추가합니다.

이 작업에서는 전역 영역에서 네트워크를 구성합니다. 정확히 한개 all-zones 인터페이스를 만들어야 합니다. all-zones 인터페이스가 레이블이 있는 영역과 전역 영역에 공유됩니다. 공유된 인터페이스는 레이블이 있는 영역과 전역 영역간의 트래픽 경로로 사용됩니다. 이 인터페이스를 구성하려면 다음 중 하나를 수행해야 합니다:

영역별 네트워크 인터페이스를 추가하려면 영역 만들기를 마치고 이를 확인한 후에 인터페이스를 추가합니다. 절차는 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가를 참조하십시오.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Manage Network Interfaces(네트워크 인터페이스 관리)를 선택하고 OK(확인)를 누릅니다.

    인터페이스 목록이 표시됩니다.

    주 –

    이 예에서 물리적 인터페이스는 설치 중에 호스트 이름과 IP 주소로 할당됩니다.

  2. physical interface(물리적 인터페이스)를 선택.

    인터페이스가 하나인 시스템에는 다음과 비슷한 메뉴가 표시됩니다. 지원을 위해 주석이 추가됩니다.


    vni0                        DownVirtual Network Interface
eri0 global 10.10.9.9 cipso Up Physical Interface

    1. eri0 인터페이스 선택.

    2. OK(확인)를 누릅니다.

  3. 이 네트워크 인터페이스에 해당하는 작업을 선택합니다.

    세 가지 옵션이 제공됩니다.


    View Template Assign a label to the interface
Share Enable the global zone and labeled zones to use this interface
Create Logical Interface Create an interface to use for sharing

    • 시스템이 한 개의 IP 주소를 갖고 있다면 단계 4로 이동합니다.

    • 시스템이 두 개의 IP 주소를 갖고 있다면 단계 5로 이동합니다.

  4. 한개 IP 주소를 갖고 있는 시스템에서 물리적 인터페이스를 공유합니다.

    이 구성에서는 호스트의 IP 주소가 모든 영역에 적용됩니다. 따라서 호스트의 주소가 all-zones 주소입니다. 이 호스트는 다중 레벨 서버로 사용되지 않습니다. 예를 들어, 사용자가 이 시스템에서 파일을 공유할 수 없습니다. 시스템이 LDAP 프록시 서버, NFS 홈 디렉토리 서버 또는 인쇄 서버가 될 수 없습니다.

    1. Share(공유)을 선택하고 OK(확인)를 누릅니다.

    2. 공유된 인터페이스가 표시되는 대화 상자에서 OK(확인)를 누릅니다.


      eri0  all-zones  10.10.9.8  cipso  Up

      물리적 인터페이스가 all-zones 인터페이스인 경우 성공. 영역의 이름 및 레이블 지정을 계속합니다.

  5. 두개 IP 주소를 갖고 있는 시스템에서 논리적 인터페이스를 만듭니다.

    그런 다음 물리적 인터페이스를 공유합니다.

    이 구성이 가장 간단한 Trusted Extensions 네트워크 구성입니다. 이 구성에서 기본 IP 주소는 다른 시스템에 사용되여 이 시스템상의 모든 영역에 도달할 수 있으며 논리적 인터페이스는 전역 영역에 대해 영역별입니다. 전역 영역은 다중 레벨 서버로 사용할수 있습니다.

    1. Create Logical Interface(논리적 인터페이스 작성)를 선택하고 ok(확인)를 누릅니다.

      새로운 논리적 인터페이스 작성을 확인하는 대화 상자를 없앱니다.

    2. Set IP address(IP 주소 설정)를 선택하고 ok(확인)를 누릅니다.

    3. 프롬프트에서 논리적 인터페이스의 호스트 이름을 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 호스트 이름을 machine1-services 로 지정합니다. 이름은 이 호스트가 다중 레벨 서비스를 제공한다는것을 나타냅니다.

    4. 프롬프트에서 논리적 인터페이스의 IP 주소를 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 IP 주소를 10.10.9.2 로 지정합니다.

    5. logical interface(논리적 인터페이스)를 다시 선택하고 ok(확인)를 누릅니다.

    6. Bring Up(실행)를 선택하고 OK(확인)를 누릅니다.

      인터페이스가 Up으로 표시됩니다.


      eri0    global       10.10.9.1   cipso   Up
eri0:1  global       10.10.9.2   cipso   Up

    7. 물리적 인터페이스를 공유합니다.

      1. physical interface(물리적 인터페이스)를 선택하고 ok(확인)를 누릅니다.

      2. Share(공유)을 선택하고 OK(확인)를 누릅니다.


        eri0    all-zones    10.10.9.1   cipso   Up
eri0:1  global       10.10.9.2   cipso   Up

    적어도 한개 인터페이스가 all-zones 인터페이스이면 성공.

예 4–3 공유된 논리적 인터페이스를 사용하여 시스템에서 /etc/hosts 파일 보기

전역 영역에 고유한 인터페이스가 있고 레이블이 있는 영역이 전역 영역과 두 번째 인터페이스를 공유하는 시스템에서 /etc/hosts 파일은 다음과 비슷합니다.


# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services

기본 구성에서 tnrhdb 파일은 다음과 비슷합니다.


# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

all-zones 인터페이스가 tnrhdb 파일에 없는 경우 인터페이스는 기본적으로 cipso로 지정됩니다.

예 4–4 IP 주소가 하나인 Trusted Extensions 시스템에서 공유 인터페이스 표시

이 예에서 관리자는 시스템을 다중 레벨 서버로 사용하지 않습니다. IP 주소를 유지하기 위해 전역 영역은 레이블이 있는 모든 영역과 해당 IP 주소를 공유하도록 구성됩니다.

관리자는 시스템에서 hme0 인터페이스에 대해 Share(공유)를 선택합니다. 소프트웨어에서는 모든 영역이 논리적 NIC를 갖도록 구성합니다. 이러한 논리적 NIC는 전역 영역에서 한 개의 물리적 NIC를 공유합니다.

관리자는 ifconfig -a 명령을 실행하여 네트워크 인터페이스 192.168.0.11에서 물리적 인터페이스 hme0이 공유되는지 확인합니다. all-zones 값이 표시됩니다.


 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

Solaris 10 10/08 릴리스부터는 Trusted Extensions의 루프백 인터페이스가 all-zones 인터페이스로 만들어집니다.


 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         all-zones
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

또한 관리자는 /etc/hostname.hme0 파일의 내용을 검사합니다.


192.168.0.11 all-zones

Procedure영역의 이름 및 레이블 지정

label_encodings 파일의 모든 레이블에 대해 영역을 만들 필요는 없지만 그렇게 할 수는 있습니다. 관리 GUI는 이 시스템에서 영역을 만들 수 있는 레이블을 열거합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오. 전역 영역에서 네트워크 인터페이스를 구성했습니다.

필요한 보안 템플리트를 만들었습니다. 보안 템플리트는 속성 중에서 네트워크 인터페이스에 할당할 수 있는 레이블 범위를 정의합니다. 기본 보안 템플리트는 사용자의 요구를 충족시킬 수 있습니다.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Create a new zone(새 영역 만들기)을 선택하고 OK(확인)를 누릅니다.

    이름을 묻는 메시지가 표시됩니다.

    1. 영역의 이름을 입력합니다.

      참고 –

      영역에 해당 레이블과 비슷한 이름을 지정합니다. 예를 들어, 레이블이 CONFIDENTIAL: RESTRICTED인 영역의 이름은 restricted입니다.

      예를 들어, 기본 label_encodings 파일에 다음과 같은 레이블이 포함되어 있습니다.


      PUBLIC
CONFIDENTIAL: INTERNAL USE ONLY
CONFIDENTIAL: NEED TO KNOW
CONFIDENTIAL: RESTRICTED
SANDBOX: PLAYGROUND
MAX LABEL

      레이블당 영역을 한 개씩 만들 수 있지만 다음과 같이 영역을 만드는 것을 고려해 보십시오.

      • 모든 사용자용 시스템에서 PUBLIC 레이블에 대해 한 개의 영역을, CONFIDENTIAL 레이블에 대해 세 개의 영역을 만듭니다.

      • 개발자용 시스템에서 SANDBOX: PLAYGROUND 레이블에 대해 영역을 만듭니다. SANDBOX: PLAYGROUND는 개발자용 분리 레이블로 정의되므로 개발자가 사용하는 시스템에만 이 레이블에 대해 영역이 필요합니다.

      • 클리어런스로 정의되는 MAX LABEL 레이블에 대해서는 영역을 만들지 마십시오.

    2. OK(확인)를 누릅니다.

      대화 상자의 작업 목록 위에 zone-name :configured가 표시됩니다.

  2. 영역의 레이블을 지정하려면 다음 중 하나를 선택합니다.

    • 사용자 정의된 label_encodings 파일을 사용할 경우 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 사용하여 영역의 레이블을 지정합니다.

      1. Solaris Management Console에서 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 엽니다.

        1. Solaris Management Console을 시작합니다.


          # /usr/sbin/smc &

        2. 로컬 시스템의 Trusted Extensions 도구 상자를 엽니다.

          1. Console(콘솔) -> Open Toolbox(도구 상자 열기)를 선택합니다.

          2. 이 컴퓨터(this-host: Scope=Files, Policy=TSOL)라는 도구 상자를 선택합니다.

          3. Open(열기)을 누릅니다.

        3. System Configuration(시스템 구성)에서 Computers and Networks(컴퓨터 및 네트워크)로 이동합니다.

          암호를 입력하라는 메시지가 나타나면 암호를 제공합니다.

        4. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 두 번 누릅니다.

      2. 각 영역에 대해 해당 레이블을 영역 이름과 연결합니다.

        1. Action(작업) -> Add Zone Configuration(영역 구성 추가)을 선택합니다.

          대화 상자에 할당된 레이블이 없는 영역의 이름이 표시됩니다.

        2. 영역 이름을 확인한 다음 Edit(편집)를 누릅니다.

        3. 레이블 구축기에서 영역 이름에 해당하는 레이블을 누릅니다.

          잘못된 레이블을 누른 경우 레이블을 다시 눌러 선택을 해제한 다음 올바른 레이블을 누릅니다.

        4. 할당을 저장합니다.

          레이블 구축기에서 OK(확인)를 누른 다음 Trusted Network Zones Properties(신뢰할 수 있는 네트워크 영역 등록 정보) 대화 상자에서 OK(확인)를 누릅니다.

        원하는 모든 영역이 패널에 표시되어 있으면 작업이 완료된 것이며, 그렇지 않은 경우 Add Zone Configuration(영역 구성 추가) 메뉴 항목이 Zone Name(영역 이름)에 값이 없는 대화 상자를 엽니다.

    • 기본 label_encodings 파일을 사용할 경우 Labeled Zone Manager(레이블이 있는 영역 관리자)를 사용합니다.

      Select Label(레이블 선택) 메뉴 항목을 누르고 OK(확인)를 눌러 사용 가능한 레이블 목록을 표시합니다.

      1. 영역에 대한 레이블을 선택합니다.

        영역의 이름이 public인 경우 목록에서 PUBLIC 레이블을 선택합니다.

      2. OK(확인)를 누릅니다.

        작업 목록이 표시됩니다.

Procedure레이블이 있는 영역 설치

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역이 구성되고 네트워크 인터페이스가 영역에 할당됩니다.

부제가 zone-name:configured인 Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Install(설치)을 선택하고 OK(확인)를 누릅니다.

    주의 – 주의 –

    이 프로세스는 완료하는 데 시간이 약간 걸립니다. 이 작업을 완료하는 동안에는 다른 작업을 수행하지 마십시오.

    패키지를 전역 영역에서 비전역 영역으로 복사합니다. 이 작업에서는 레이블이 있는 가상 운영 체제를 영역에 설치합니다. 이 예를 계속하려면 이 작업에서 public 영역을 설치합니다. GUI 표시 출력은 다음과 비슷합니다.


    # Labeled Zone Manager: Installing zone-name zone
Preparing to install zone <zonename>
Creating list of files to copy from the global zone
Copying <total> files to the zone
Initializing zone product registry
Determining zone package initialization order.
Preparing to initialize <subtotal> packages on the zone.
Initializing package <number> of <subtotal>: percent complete: percent

Initialized <subtotal> packages on zone.
Zone <zonename> is initialized.
The file /zone/internal/root/var/sadm/system/logs/install_log 
contains a log of the zone installation.
    주 –

    cannot create ZFS dataset zone/zonename: dataset already exists와 같은 메시지는 정보 제공용입니다. 영역에서는 기존 데이터 세트가 사용됩니다.

    설치가 완료되면 호스트의 이름을 묻는 메시지가 표시됩니다. 이름이 제공됩니다.

  2. 호스트의 이름을 그대로 사용합니다.

    대화 상자의 작업 목록 위에 zone-name:installed가 표시됩니다.

일반 오류

Installation of these packages generated errors: SUNWpkgname과 비슷한 경고가 표시될 경우 설치 로그를 확인하고 패키지 설치를 마칩니다.

Procedure레이블이 있는 영역 부트

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역이 설치되고 네트워크 인터페이스가 영역에 할당됩니다.

부제가 zone-name:installed인 Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

  1. Labeled Zone manager(레이블이 있는 영역 관리자)에서 Zone Console(영역 콘솔)을 선택하고 OK(확인)를 누릅니다.

    현재 레이블이 있는 영역에 대한 개별 콘솔 창이 나타납니다.

  2. Boot(부트)를 선택합니다.

    Zone Terminal Console(영역 터미널 콘솔)에서 영역의 부트 진행률을 추적합니다. 영역을 처음부터 만들 경우 다음과 비슷한 메시지가 콘솔에 표시됩니다.


    [Connected to zone 'public' console]

[NOTICE: Zone booting up]
...
Hostname: zone-name
Loading smf(5) service descriptions: number/total
Creating new rsa public/private host key pair
Creating new dsa public/private host key pair

rebooting system due to change(s) in /etc/default/init

[NOTICE: Zone rebooting]
    주의 – 주의 –

    이 작업을 완료하는 동안에는 다른 작업을 수행하지 마십시오.

    4개의 기본 영역을 구성하고 부트한 경우 Labeled Zone Manager(레이블이 있는 영역 관리자)에 다음과 같은 영역이 표시됩니다.

    Labeled Zone Manager(레이블이 있는 영역 관리자)에 실행 중인 영역 4개가 표시됩니다.
일반 오류

오류 메시지가 표시되고 영역이 다시 부트되지 않는 경우도 있습니다. Zone Terminal Console(영역 터미널 콘솔)에서 Enter 키를 누릅니다. 다시 부트하기 위해 y를 입력하라는 메시지가 표시되면 y를 입력하고 Enter 키를 누릅니다. 영역이 다시 부트됩니다.

다음 순서

이 영역이 다른 영역에서 복사 또는 복제된 경우 영역 상태 확인을 계속합니다.

이 영역이 첫 번째 영역이면 레이블이 있는 영역 사용자 정의를 계속합니다.

Procedure영역 상태 확인

주 –

X 서버가 전역 영역에서 실행됩니다. X 서버를 사용하려면 레이블이 있는 각 영역에서 전역 영역에 연결할 수 있어야 합니다. 따라서 영역을 사용하려면 영역 네트워크가 작동해야 합니다. 자세한 내용은 다중 레벨 액세스 계획을 참조하십시오.

  1. 영역이 완전히 시작되었는지 확인합니다.

    1. zone-name: Zone Terminal Console(영역 터미널 콘솔)에서 루트로 로그인합니다.


      hostname console login: root
Password: Type root password

    2. Zone Terminal Console(영역 터미널 콘솔)에서 중요한 서비스를 실행하고 있는지 확인합니다.


      # svcs -xv
svc:/application/print/server:default (LP print server)
 State: disabled since Tue Oct 10 10:10:10 2006
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: lpsched(1M)
...

      sendmailprint 서비스는 중요한 서비스가 아닙니다.

    3. 영역에 유효한 IP 주소가 있는지 확인합니다.


      # ifconfig -a

      예를 들어, 다음 출력에는 hme0 인터페이스에 대한 IP 주소가 표시됩니다.


      # ...
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

    4. (옵션) 영역이 전역 영역과 통신할 수 있는지 확인합니다.

      1. DISPLAY 변수가 X 서버를 가리키도록 설정합니다.


        # DISPLAY=global-zone-hostname:n.n
# export DISPLAY

      2. 터미널 창에서 GUI를 표시합니다.

        예를 들어, 클럭을 표시합니다.


        # /usr/openwin/bin/xclock

        영역 레이블에 클럭이 나타나지 않는 경우 영역 네트워크가 잘못 구성된 것입니다. 디버깅 제안 사항은 레이블이 있는 영역에서 X 서버에 액세스할 수 없음을 참조하십시오.

      3. 계속하려면 먼저 GUI를 닫습니다.

  2. 전역 영역에서 레이블이 있는 영역의 상태를 확인합니다.


    # zoneadm list -v
ID NAME         STATUS         PATH                BRAND   IP
 0 global       running        /                   native  shared
 3 internal     running        /zone/internal      native  shared
 4 needtoknow   running        /zone/needtoknow    native  shared
 5 restricted   running        /zone/restricted    native  shared
다음 순서

레이블이 있는 영역 구성을 완료했습니다. 영역에 영역별 네트워크 인터페이스를 추가하거나 레이블이 있는 영역별로 기본 경로를 설정하려면 네트워크 인터페이스 추가 및 레이블이 있는 영역으로 경로 설정의 절차를 계속 진행합니다. 그렇지 않으면 Trusted Extensions의 역할 및 사용자 만들기의 절차를 계속 진행합니다.

Procedure레이블이 있는 영역 사용자 정의

영역을 복제하거나 복사하려면 이 절차에서 영역을 다른 영역에 대한 템플리트로 구성합니다. 또한 이 절차에서 사용할 템플리트에서 만들어지지 않은 영역을 구성합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. 영역 상태 확인을 완료했습니다.

  1. Zone Terminal Console(영역 터미널 콘솔)의 레이블이 있는 영역에서 불필요한 서비스를 비활성화합니다.

    이 영역을 복사 또는 복제하는 경우에는 비활성화한 서비스가 새 영역에서 비활성화됩니다. 시스템에 온라인 상태로 유지되는 서비스는 영역에 대한 서비스 매니페스트에 따라 달라집니다. netservices limited 명령을 사용하여 레이블이 있는 영역에서 불필요한 서비스를 해제합니다.

    1. 불필요한 서비스들을 제거합니다.


      # netservices limited

    2. 나머지 서비스를 나열합니다.


      # svcs
...
STATE        STIME      FMRI
online       13:05:00   svc:/application/graphical-login/cde-login:default
...

    3. 그래픽 로그인을 비활성화합니다.


      # svcadm disable svc:/application/graphical-login/cde-login
# svcs cde-login
STATE        STIME      FMRI
disabled     13:06:22   svc:/application/graphical-login/cde-login:default

    서비스 관리 프레임워크에 대한 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.

  2. Labeled Zone Manager(레이블이 있는 관리자)에서 Halt(정지)를 선택하여 영역을 정지시킵니다.

  3. 계속하기 전에 먼저 영역이 종료되었는지 확인합니다.

    zone-name: Zone Terminal Console(영역 터미널 콘솔)에서 다음 메시지는 영역이 종료되었음을 나타냅니다.


    [ NOTICE: Zone halted]

    이 영역을 복사 또는 복제하지 않는 경우에는 첫 번째 영역을 만든 방법으로 나머지 영역을 만듭니다. 그렇지 않은 경우 다음 단계를 계속합니다.

  4. 이 영역을 다른 영역에 대한 템플리트로 사용하는 경우에는 다음을 수행합니다.

    1. auto_home_zone-name 파일을 제거합니다.

      전역 영역의 터미널 창에서 이 파일을 zone-name 영역에서 제거합니다.


      # cd /zone/zone-name/root/etc
# ls auto_home*
auto_home  auto_home_zone-name
# rm auto_home_zone-name

      예를 들어, public 영역이 다른 영역의 복제를 위한 템플리트인 경우 auto_home_public 파일을 제거합니다.


      # cd /zone/public/root/etc
# rm auto_home_public

    2. 이 영역을 복제하려면 다음 단계에서 ZFS 스냅샷을 만든 다음 Trusted Extensions에서 영역 복사 또는 복제를 계속합니다.

    3. 이 영역을 복사하려면 단계 6을 완료한 다음 Trusted Extensions에서 영역 복사 또는 복제의 절차를 계속 진행합니다.

  5. 나머지 영역을 복제하기 위한 영역 템플리트를 만들려면 Create Snapshot(스냅샷 만들기)을 선택한 다음 OK(확인)를 누릅니다.

    주의 – 주의 –

    스냅샷 영역이 ZFS 파일 시스템에 있어야 합니다. 영역 복제를 위한 ZFS 풀 만들기 에서 영역에 대한 ZFS 파일 시스템을 만들었습니다.

  6. 사용자 정의된 영역을 계속 사용할 수 있는지 확인하려면 Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Boot(부트)를 선택합니다.

    Zone Terminal Console(영역 터미널 콘솔)은 영역 부트 과정을 추적합니다. 콘솔에 다음과 유사한 메시지가 나타납니다.


    [Connected to zone 'public' console]

[NOTICE: Zone booting up]
...
Hostname: zonename

    로그인 프롬프트에서 Enter 키를 누릅니다. root로 로그인할 수 있습니다.

ProcedureTrusted Extensions에서 영역 복사 또는 복제

시작하기 전에

레이블이 있는 영역 사용자 정의를 완료했습니다.

Labeled Zone Manager(레이블이 있는 영역 관리자) 대화 상자가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

  1. 영역을 만듭니다.

    자세한 내용은 영역의 이름 및 레이블 지정을 참조하십시오.

  2. 다음 방법 중 하나를 선택하여 영역 만들기 전략을 계속합니다.

    모든 새 영역에 대해 이 단계를 반복합니다.

    • 레이블이 있는 영역을 복사합니다.

      1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Copy(복사)를 선택하고 OK(확인)를 누릅니다.

      2. 영역 템플리트를 선택하고 OK(확인)를 누릅니다.

        창에 복사 프로세스가 표시됩니다. 프로세스가 완료되면 영역이 설치됩니다.

        Labeled Zone Manager(레이블이 있는 영역 관리자)에 zone-name :configured가 표시되면 다음 단계를 계속합니다. 그렇지 않으면 단계 e를 계속합니다.

      3. Select another zone(다른 영역 선택) 메뉴 항목을 선택하고 OK(확인)를 누릅니다.

      4. 새로 설치된 영역을 선택하고 OK(확인)를 누릅니다.

      5. 레이블이 있는 영역 부트를 완료합니다.

      6. 영역 상태 확인을 완료합니다.

    • 레이블이 있는 영역을 복제합니다.

      1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Clone(복제)을 선택하고 OK(확인)를 누릅니다.

      2. 목록에서 ZFS 스냅샷을 선택하고 OK(확인)를 누릅니다.

        예를 들어, public에서 스냅샷을 만든 경우 zone/public@snapshot을 선택합니다.

        복제 프로세스가 완료되면 영역이 설치됩니다. 단계 c를 계속 진행합니다.

      3. 영역 콘솔을 열고 영역을 부트합니다.

        자세한 내용은 레이블이 있는 영역 부트를 참조하십시오.

      4. 영역 상태 확인을 완료합니다.

다음 순서

네트워크 인터페이스 추가 및 레이블이 있는 영역으로 경로 설정

다음 작업은 각 영역이 별도의 물리적 네트워크에 연결되어 있는 환경을 지원합니다.

작업 

설명 

수행 방법 

1a: 레이블이 있는 각 영역에 네트워크 인터페이스를 추가하고 전역 영역을 사용하여 외부 네트워크에 연결합니다. 

레이블이 있는 각 영역을 별도의 물리적 네트워크에 연결합니다. 레이블이 있는 영역이 전역 영역이 제공하는 네트워크 경로를 사용합니다. 

레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가

또는 1b: 기본 경로가 구성된 레이블이 있는 각 영역에 네트워크 인터페이스를 추가합니다. 

각 영역을 별도의 물리적 네트워크에 연결합니다. 레이블이 있는 영역이 경로 설정 시 전역 영역을 사용하지 않습니다.

레이블이 있는 기존 영역의 경로 설정을 위해 전역 영역을 사용하지 않는 네트워크 인터페이스 추가

2. 레이블이 있는 각 영역에 이름 서비스 캐시를 만듭니다. 

각 영역에 대해 이름 서비스 캐시 데몬을 구성합니다. 

레이블이 있는 각 영역에 이름 서비스 캐시 구성

Procedure레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 네트워크 인터페이스를 추가합니다. 이 구성은 레이블이 있는 각 영역이 별도의 물리적 네트워크에 연결되는 환경을 지원합니다. 레이블이 있는 영역이 전역 영역이 제공하는 네트워크 경로를 사용합니다.

주 –

전역 영역은 비전역 영역 주소를 구성한 모든 서브넷의 IP 주소를 구성해야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

모든 영역에 대해 레이블이 있는 영역 만들기의 작업을 완료했습니다.

  1. 전역 영역에서 추가 네트워크 인터페이스의 IP 주소와 호스트 이름을 /etc/hosts 파일에 입력합니다.

    호스트의 이름에 -zone-name 을 추가 하는것과 같은 표준 이름 지정 규약을 사용하십시오. 


    ## /etc/hosts in global zone
10.10.8.2   hostname-zone-name1
10.10.8.3   hostname-global-name1
10.10.9.2   hostname-zone-name2
10.10.9.3   hostname-global-name2

  2. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.


    ## /etc/netmasks in global zone
10.10.8.0 255.255.255.0
10.10.9.0 255.255.255.0

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  3. 전역 영역에서 영역별 물리적 인터페이스를 연결합니다.

    1. 이미 연결한 물리적 인터페이스를 식별합니다.


      # ifconfig -a

    2. 각 인터페이스에 전역 영역 주소를 구성합니다.


      # ifconfig interface-nameN1 plumb
# ifconfig interface-nameN1 10.10.8.3 up
# ifconfig interface-nameN2 plumb
# ifconfig interface-nameN2 10.10.9.3 up

    3. 각 전역 영역 주소에 대해서 hostname. interface-nameN 파일을 만듭니다. 


      # /etc/hostname.interface-nameN1
10.10.8.3
# /etc/hostname.interface-nameN2
10.10.9.3

    전역 영역 주소는 시스템 시작에서 즉시 구성됩니다. 영역이 부트될 때 영역별 주소가 구성됩니다.

  4. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

    네트워크에 대한 게이트웨이에 레이블이 구성되지 않은 경우 admin_low 보안 템플리트를 할당합니다. 네트워크에 대한 게이트웨이에 레이블이 구성된 경우 cipso 보안 템플리트를 할당합니다.

    모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 구성할 수 있습니다. 템플리트를 만들어 할당하는 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

  5. 영역별 인터페이스를 추가할 레이블이 있는 모든 영역을 정지합니다.


    # zoneadm -z zone-name halt

  6. Labeled Zone Manager(레이블이 있는 영역 관리자)를 시작합니다.


    # /usr/sbin/txzonemgr

  7. 영역별 인터페이스를 추가할 각 영역에 대해 다음을 수행합니다.

    1. 영역을 선택합니다.

    2. Add Network(네트워크 추가)를 선택합니다.

    3. 네트워크 인터페이스의 이름을 지정합니다.

    4. 인터페이스의 IP 주소를 입력합니다.

  8. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 완료된 모든 영역에 대해 Zone Console(영역 콘솔)을 선택합니다.

  9. Boot(부트)를 선택합니다.

  10. Zone Console(영역 콘솔)에서 인터페이스가 만들어졌는지 확인합니다.


    # ifconfig -a

  11. 영역에 서브넷에 대한 게이트웨이 경로가 있는지 확인합니다.


    # netstat -rn
일반 오류

영역 구성을 디버깅하려면 다음을 참조하십시오.

Procedure레이블이 있는 기존 영역의 경로 설정을 위해 전역 영역을 사용하지 않는 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 기본 경로를 설정합니다. 이 구성에서는 레이블이 있는 영역이 경로 설정 시 전역 영역을 사용하지 않습니다.

영역을 부트하기 전에 레이블이 있는 영역이 전역 영역에 연결되어야 합니다. 그러나 레이블이 있는 영역을 전역 영역에서 격리하려면 영역을 부트할 때 인터페이스가 down 상태에 있어야 합니다. 자세한 내용은 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 17 장, Non-Global Zone Configuration (Overview)

주 –

부트되는 모든 비전역 영역에 대해 고유 기본 경로가 구성되어야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

모든 영역에 대해 레이블이 있는 영역 만들기의 작업을 완료했습니다. vni0 인터페이스 또는 lo0 인터페이스 중 하나를 사용하여 레이블이 있는 영역을 전역 영역에 연결합니다.

  1. 모든 네트워크 인터페이스에 대해 IP 주소, 넷마스크 및 기본 라우터를 확인합니다.

    ifconfig -a 명령을 사용하여 IP 주소 및 넷마스크를 확인합니다. zonecfg -z zonename info net 명령을 사용하여 기본 라우터가 할당되어 있는지 확인합니다.

  2. 레이블이 있는 각 영역에 대해 비어 있는 /etc/hostname.interface 파일을 만듭니다.


    # touch /etc/hostname.interface
# touch /etc/hostname.interface:n

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  3. 레이블이 있는 영역의 네트워크 인터페이스를 연결합니다.


    # ifconfig zone1-network-interface plumb
# ifconfig zone2-network-interface plumb

  4. 레이블이 있는 영역의 인터페이스가 down 상태에 있는지 확인합니다.


    # ifconfig -a
zone1-network-interface zone1-IP-address down
zone2-network-interface zone2-IP-address down

    영역이 부트될 때 영역별 주소가 구성됩니다.

  5. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.


    ## /etc/netmasks in global zone
192.168.2.0 255.255.255.0
192.168.3.0 255.255.255.0

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  6. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

    모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 만듭니다. 템플리트를 만들고 할당하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

  7. txzonemgr 스크립트를 실행하고 별도의 터미널 창을 엽니다.

    Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역에 대한 네트워크 인터페이스를 추가합니다. 터미널 창에서 영역에 대한 정보를 표시하고 기본 라우터를 설정합니다.

  8. 영역별 네트워크 인터페이스 및 라우터를 추가하려는 모든 영역에 대해 다음 단계를 완료합니다.

    1. 터미널 창에서 영역을 정지합니다.


      # zoneadm -z zone-name halt

    2. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 다음을 수행합니다.

      1. 영역을 선택합니다.

      2. Add Network(네트워크 추가)를 선택합니다.

      3. 네트워크 인터페이스의 이름을 지정합니다.

      4. 인터페이스의 IP 주소를 입력합니다.

      5. 터미널 창에서 영역 구성을 확인합니다.


        # zonecfg -z zone-name info net
net:   address: IP-address
       physical: zone-network-interface
       defrouter not specified

    3. 터미널 창에서 레이블이 있는 영역의 네트워크에 대한 기본 라우터를 구성합니다.


      # zonecfg -z zone-name
zonecfg:zone-name > select net address=IP-address 
zonecfg:zone-name:net> set defrouter=router-address 
zonecfg:zone-name:net> end 
zonecfg:zone-name > verify 
zonecfg:zone-name > commit 
zonecfg:zone-name > exit 
#

      자세한 내용은 zonecfg(1M) 매뉴얼 페이지 및 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris ZonesHow to Configure the Zone을 참조하십시오.

    4. 레이블이 있는 영역을 부트합니다.


      # zoneadm -z zone-name boot

    5. 전역 영역에서 레이블이 있는 영역에 서브넷의 게이트웨이에 대한 경로가 있는지 확인합니다.


      # netstat -rn

      라우팅 테이블이 표시됩니다. 레이블이 있는 영역의 대상 및 인터페이스는 전역 영역의 항목과 다릅니다.

  9. 기본 경로를 제거하려면 영역의 IP 주소를 선택한 다음 경로를 제거합니다.


    # zonecfg -z zone-name

zonecfg:zone-name > select net address=zone-IP-address
zonecfg:zone-name:net> remove net defrouter=zone-default-route
zonecfg:zone-name:net>  info net
net:
   address: zone-IP-address
   physical: zone-network-interface
   defrouter not specified
예 4–5 레이블이 있는 영역에 대한 기본 경로 설정

이 예에서는 관리자가 Secret 영역의 경로를 별도의 물리적 서브넷으로 설정합니다. Secret 영역에 대한 입출력 트래픽은 전역 영역을 통해 경로가 설정되지 않습니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자) 및 zonecfg 명령을 사용한 다음 경로 설정이 제대로 작동하는지 확인합니다.

관리자는 qfe1qfe1:0이 현재 사용 중이 아닌지 확인하고 레이블이 있는 두 영역에 대한 매핑을 만듭니다. qfe1이 Secret 영역에 할당되는 인터페이스입니다.


Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

먼저 관리자가 /etc/hostname.qfe1 파일을 만들고 /etc/netmasks 파일을 구성합니다.


# touch /etc/hostname.qfe1


# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

그런 다음 관리자는 네트워크 인터페이스를 연결하고 인터페이스가 down(종료) 상태인지 확인합니다.


# ifconfig qfe1 plumb
# ifconfig -a

다음으로 Solaris Management Console에서 관리자가 Secret라는 단일 레이블을 가진 보안 템플리트를 만들고 템플리트에 인터페이스의 IP 주소를 할당합니다.

관리자가 영역을 정지합니다.


# zoneadm -z secret halt

관리자가 txzonemgr 스크립트를 실행하여 Labeled Zone Manager(레이블이 있는 영역 관리자)를 엽니다.


# /usr/sbin/txzonemgr

Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자가 Secret 영역을 선택하고 Add Network(네트워크 추가)를 선택한 다음 네트워크 인터페이스를 선택합니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자)를 닫습니다.

명령줄에서 관리자가 영역의 IP 주소를 선택한 다음 그 기본 경로를 설정합니다. 명령을 종료하기 전에 관리자가 경로를 확인하고 적용합니다.


# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

관리자가 영역을 부트합니다.


# zoneadm -z secret boot

전역 영역에 있는 별도의 터미널 창에서 관리자가 패킷 송신 및 수신을 확인합니다.


# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...

Procedure레이블이 있는 각 영역에 이름 서비스 캐시 구성

이 절차를 통해 레이블이 있는 각 영역에 이름 서비스 데몬(nscd)을 개별적으로 구성할 수 있습니다. 이 구성에서는 각 영역이 해당 영역 레이블에서 실행되는 하위 네트워크에 연결되고 하위 네트워크에는 해당 레이블에 대한 고유 이름 서버가 있는 환경을 지원합니다.

주 –

이 구성은 평가 구성용 기준에 맞지는 않습니다. 평가 구성에서는 nscd 데몬이 전역 영역에서만 실행됩니다. 레이블이 있는 각 영역의 도어는 영역을 전역 nscd 데몬에 연결합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. root는 아직 역할이 아니어야 합니다. 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가의 절차를 성공적으로 완료했습니다.

이 구성을 사용하려면 사용자에게 고급 네트워크 기술이 있어야 합니다. LDAP가 이름 지정 서비스인 경우 사용자가 레이블이 있는 각 영역에 대한 LDAP 클라이언트 연결을 설정해야 합니다. nscd 데몬은 이름 서비스 정보를 캐시하지만 라우팅하지는 않습니다.

  1. LDAP를 사용하는 경우 레이블이 있는 영역에서 LDAP 서버에 대한 경로를 확인합니다.

    레이블이 있는 모든 영역의 터미널 창에서 다음 명령을 실행합니다.


    zone-name # netstat -rn

  2. 전역 영역에서 Labeled Zone Manager(레이블이 있는 영역 관리자)를 시작합니다.


    # /usr/sbin/txzonemgr

  3. Configure per-zone name service(영역당 이름 서비스 구성)를 선택하고 OK(확인)를 누릅니다.

    이 옵션은 초기 시스템 구성 중 한 번 사용됩니다.

  4. 각 영역의 nscd 서비스를 구성합니다.

    자세한 내용은 nscd(1M)nscd.conf(4) 매뉴얼 페이지를 참조하십시오.

  5. 시스템을 다시 부트합니다.

  6. 모든 영역에 대해 경로와 이름 서비스 데몬을 확인합니다.

    1. Zone Console(영역 콘솔)에서 nscd 서비스를 나열합니다.


      zone-name # svcs -x name-service-cache
svc:/system/name-service-cache:default (name service cache)
 State: online since October 10, 2010  10:10:10 AM PDT
   See: nscd(1M)
   See: /etc/svc/volatile/system-name-service-cache:default.log
Impact: None.

    2. 하위 네트워크에 대한 경로를 확인합니다.


      zone-name # netstat -rn

  7. 영역별 이름 서비스 데몬을 제거하려면 전역 영역에서 다음을 수행합니다.

    1. Labeled Zone Manager(레이블이 있는 영역 관리자)를 엽니다.

    2. Unconfigure per-zone name service(영역당 이름 서비스 구성 해제)를 선택하고 OK(확인)를 누릅니다.

      이렇게 하면 레이블이 있는 모든 영역에서 nscd 데몬이 제거됩니다.

    3. 시스템을 다시 부트합니다.

Trusted Extensions의 역할 및 사용자 만들기

관리 역할을 이미 사용 중인 경우 보안 관리자 역할을 추가할 수 있습니다. 역할을 아직 구현하지 않은 사이트의 경우 역할을 만드는 절차는 Solaris OS의 절차와 비슷합니다. Trusted Extensions에서는 보안 관리자 역할을 추가하고 Solaris Management Console을 사용하여 Trusted Extensions 도메인을 관리해야 합니다.

사이트 보안 요구 사항에 따라 사용자 및 역할 계정을 만들기 위해 두 명의 담당자가 필요한 경우 사용자 정의 권한 프로필을 만들고 이를 업무 분리를 적용할 역할에 할당합니다.

작업 

설명 

수행 방법 

기본 프로필보다 더 제한적인 세 가지 권한 프로필을 만듭니다. 

사용자를 관리하기 위한 권한 프로필을 만듭니다. 이러한 프로필은 사용자를 관리하는 기본 프로필보다 더 제한적입니다. 

업무 분리를 적용하는 권한 프로필 만들기

Security Administrator(보안 관리자) 역할을 만듭니다. 

보안 관련 작업을 처리하는 Security Administrator(보안 관리자) 역할을 만듭니다. 

Trusted Extensions의 보안 관리자 역할 만들기

사용자 암호를 설정할 수 없는 System Administrator(시스템 관리자) 역할을 만듭니다. 

System Administrator(시스템 관리자) 역할을 만들고 제한된 System Administrator(시스템 관리자) 권한 프로필에 할당합니다. 

제한된 System Administrator(시스템 관리자) 역할 만들기

관리자 역할을 수락할 사용자를 만듭니다. 

역할을 수락할 수 있는 한 명 이상의 사용자를 만듭니다. 

Trusted Extensions에서 역할을 수락할 수 있는 사용자 만들기

역할이 해당 작업을 수행할 수 있는지 확인합니다. 

다양한 시나리오에서 역할을 테스트합니다. 

Trusted Extensions 역할 작동 확인

레이블이 있는 영역에 사용자가 로그인할 수 있게 합니다. 

일반 사용자가 로그인할 수 있도록 zones 서비스를 시작합니다.

레이블이 있는 영역에 대한 사용자 로그인 허용

Procedure업무 분리를 적용하는 권한 프로필 만들기

업무 분리가 사이트 보안 요구 사항이 아닌 경우 이 절차를 건너뜁니다. 사이트에 업무 분리가 필요한 경우 LDAP 서버를 채우기 전에 이러한 권한 프로필 및 역할을 만들어야 합니다.

이 절차를 통해 사용자를 관리하기 위한 고유한 기능을 가진 권한 프로필을 만듭니다. 이러한 프로필을 고유한 역할에 할당할 경우 사용자를 만들고 구성하기 위해 두 가지 역할이 필요합니다. 한 역할은 사용자를 만들 수 있지만 보안 속성을 할당할 수 없습니다. 다른 역할은 보안 속성을 할당할 수 있으나 사용자를 만들 수 없습니다. 이러한 프로필 중 하나가 할당된 역할로 Solaris Management Console에 로그인할 경우 해당 역할에 대한 탭 및 필드만 사용할 수 있습니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다. 이 절차를 시작할 경우 Solaris Management Console을 닫아야 합니다.

  1. 사용자 구성에 영향을 주는 기본 권한 프로필의 복사본을 만듭니다.

    1. prof_attr 파일을 prof_attr.orig 파일로 복사합니다.

    2. 신뢰할 수 있는 편집기에서 prof_attr 파일을 엽니다.


      # /usr/dt/bin/trusted_edit /etc/security/prof_attr

    3. 세 가지 권한 프로필을 복사하고 복사본의 이름을 바꿉니다.


      System Administrator:::Can perform most non-security...
Custom System Administrator:::Can perform most non-security...

User Security:::Manage passwords...
Custom User Security:::Manage passwords...

User Management:::Manage users, groups, home...
Custom User Management:::Manage users, groups, home...

    4. 변경 사항을 저장합니다.

    5. 변경 사항을 확인합니다.


      # grep ^Custom  /etc/security/prof_attr
Custom System Administrator:::Can perform most non-security...
Custom User Management:::Manage users, groups, home...
Custom User Security:::Manage passwords...

    권한 프로필을 수정하는 대신 복사하면 시스템을 이후의 Solaris 릴리스로 업그레이드하고 변경 사항을 유지할 수 있습니다. 이러한 권한 프로필은 복잡하므로 기본 프로필의 복사본을 수정하는 것이 처음부터 더 제한적인 프로필을 작성하는 것보다 오류가 덜 발생할 수 있습니다.

  2. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &

  3. 이 컴퓨터(this-host: Scope=Files, Policy=TSOL) 도구 상자를 선택합니다.

  4. System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.

    암호를 입력하라는 메시지가 표시됩니다.

  5. 적절한 암호를 입력합니다.

  6. Rights(권한)를 두 번 누릅니다.

  7. Custom User Security(사용자 정의 사용자 보안) 권한 프로필을 수정합니다.

    이 프로필이 사용자를 작성할 수 없게 제한합니다.

    1. Custom User Security(사용자 정의 사용자 보안)를 두 번 누릅니다.

    2. Authorizations(권한 부여) 탭을 누르고 다음 단계를 수행합니다.

      1. Included(포함) 목록에서 Manage Users and Roles 권한 부여를 제거합니다.

        다음 User Accounts(사용자 계정) 권한이 유지됩니다.


        Audit Controls
Label and Clearance Range
Change Password
View Users and Roles
Modify Extended Security Attributes

      2. Included(포함) 목록에 Manage Privileges(권한 관리) 권한을 추가합니다.

    3. OK(확인)를 눌러 변경 사항을 저장합니다.

  8. Custom User Management(사용자 정의 사용자 관리) 프로필을 수정합니다.

    이 프로필이 암호를 설정할 수 없게 제한합니다.

    1. Custom User Management(사용자 정의 사용자 관리)를 두 번 누릅니다.

    2. Authorizations(권한 부여) 탭을 누르고 다음 단계를 수행합니다.

      1. Included(포함) 목록의 스크롤 막대를 User Accounts(사용자 계정)로 끕니다.

      2. Included(포함) 목록에서 Modify Extended Security Attributes 권한 부여를 제거합니다.

        다음 User Accounts(사용자 계정) 권한이 유지됩니다.


        Manage Users and Roles
View Users and Roles

    3. 변경 사항을 저장합니다.

  9. Custom System Administrator(사용자 정의 시스템 관리자) 권한 프로필을 수정합니다.

    User Management(사용자 관리) 프로필은 이 프로필의 보완 프로필입니다. 시스템 관리자가 암호를 설정할 수 없게 제한합니다.

    1. Custom System Administrator(사용자 정의 시스템 관리자)를 두 번 누릅니다.

    2. Supplementary Rights(보완 권한) 탭을 누르고 다음 단계를 수행합니다.

      1. User Management(사용자 관리) 권한 프로필을 제거합니다.

      2. Custom User Management(사용자 정의 사용자 관리) 권한 프로필을 추가합니다.

      3. Custom User Management(사용자 정의 사용자 관리) 권한 프로필을 All(모두) 권한 프로필 위로 이동합니다.

    3. 변경 사항을 저장합니다.

다음 순서

기본 프로필이 사용되지 않도록 제한하려면 사용자 정의 프로필이 업무 분리를 적용하는지 확인한 후 Trusted Extensions 역할 작동 확인단계 7을 참조하십시오.

ProcedureTrusted Extensions의 보안 관리자 역할 만들기

Trusted Extensions의 역할 만들기는 Solaris OS의 역할 만들기와 동일합니다. 그러나 Trusted Extensions에는 Security Administrator(보안 관리자) 역할이 필요합니다. 로컬 Security Administrator(보안 관리자) 역할을 만들려면 예 4–6에서와 같이 명령줄 인터페이스를 사용할 수도 있습니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

네트워크에서 역할을 만들려면 LDAP에 대해 Solaris Management Console 구성(작업 맵)을 완료해야 합니다.

  1. Solaris Management Console을 시작합니다.


    # /usr/sbin/smc &

  2. 적절한 도구 상자를 선택합니다.

    • 역할을 로컬로 만들려면 이 컴퓨터(this-host: Scope=Files, Policy=TSOL)를 사용합니다.

    • LDAP 서비스에서 역할을 만들려면 이 컴퓨터(ldap-server: Scope=LDAP, Policy=TSOL)를 사용합니다.

  3. System Configuration(시스템 구성), Users(사용자)를 차례로 누릅니다.

    암호를 입력하라는 메시지가 표시됩니다.

  4. 적절한 암호를 입력합니다.

  5. Administrative Roles(관리 역할)를 두 번 누릅니다.

  6. Action(작업) 메뉴에서 Add Administrative Role(관리 역할 추가)을 선택합니다.

  7. 보안 관리자 역할을 만듭니다.

    다음 정보에 따라 작업을 수행합니다.

    • Role name(역할 이름) – secadmin

    • Full name(전체 이름) – Security Administrator

    • Description(설명) – Site Security Officer(사이트 보안 관리자) 여기에는 소유 정보가 없습니다.

    • Role ID Number(역할 ID 번호) – ≥100

    • Role Shell(역할 쉘) – 관리자의 Bourne(프로필 쉘)

    • Create A Role Mailing List(역할 메일링 목록 만들기) – 확인란을 선택한 상태로 둡니다.

    • Password And Confirm(암호 및 확인) – 6자 이상의 영숫자로 구성된 암호를 지정합니다.

      악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.

      주 –

      모든 관리 역할에 대해 계정을 Always Available(항상 사용 가능)로 지정하고 암호 만료 날짜를 설정하지 않습니다.

    • Available and Granted Rights(사용 가능 및 허용된 권한) – 정보 보안, 사용자 보안

      • 사이트 보안 요구 사항에 업무 분리가 없는 경우 Information Security(정보 보안) 및 기본 User Security(사용자 보안) 권한 프로필을 선택합니다.

      • 사이트 보안 요구 사항에 따라 업무 분리가 필요한 경우 Information Security(정보 보안) 및 Custom User Security(사용자 정의 사용자 보안) 권한 프로필을 선택합니다.

    • Home Directory Server(홈 디렉토리 서버) – home-directory-server

    • Home Directory Path(홈 디렉토리 경로) – /mount-path

    • Assign Users(사용자 할당) – 사용자에게 역할을 할당하면 이 필드가 자동으로 채워집니다.

  8. 역할을 만든 후 설정이 올바른지 확인합니다.

    역할을 선택하고 두 번 누릅니다.

    다음 필드 값을 검토합니다.

    • Available Groups(사용 가능한 그룹) – 필요한 경우 그룹을 추가합니다.

    • Trusted Extensions Attributes(Trusted Extensions 속성) – 기본값이 올바릅니다.

      레이블을 표시하면 안되는 단일 레이블 시스템의 경우 Hide for Label(레이블 숨기기): Show(표시) 또는 Hide(숨기기)를 선택합니다.

    • Audit Excluded and Included(감사 제외 및 포함) – 역할의 감사 플래그가 audit_control 파일의 시스템 설정에 대한 예외인 경우에만 감사 플래그를 설정합니다.

  9. 다른 역할을 만들려면 Security Administrator(보안 관리자) 역할을 참조하십시오.

    관련 예는 System Administration Guide: Security ServicesHow to Create and Assign a Role by Using the GUI를 참조하십시오. 각 역할에 고유한 ID를 제공하고 해당 역할에 올바른 권한 프로필을 할당합니다. 사용 가능한 역할은 다음과 같습니다.

    • admin Role(admin 역할) – System Administrator 권한 부여

    • primaryadmin Role(primaryadmin 역할) – Primary Administrator 권한 부여

    • oper Role(oper 역할) – Operator 권한 부여

예 4–6 roleadd 명령을 사용하여 로컬 보안 관리자 역할 만들기

이 예에서 root 사용자는 roleadd 명령을 사용하여 로컬 시스템에 Security Administrator(보안 관리자) 역할을 추가합니다. 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오. root 사용자는 역할을 만들기 전에 표 1–2를 참조하십시오. 이 사이트에서는 사용자를 만들기 위해 업무 분리가 필요하지 않습니다.


# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

root 사용자가 해당 역할에 대한 초기 암호를 제공합니다.


# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

로컬 사용자에게 역할을 할당하려면 예 4–7을 참조하십시오.

Procedure제한된 System Administrator(시스템 관리자) 역할 만들기

업무 분리가 사이트 보안 요구 사항이 아닌 경우 이 절차를 건너뜁니다.

이 절차에서 System Administrator(시스템 관리자) 역할에 더 제한적인 권한 프로필을 할당합니다.

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

업무 분리를 적용하는 권한 프로필 만들기의 절차를 완료했습니다. 권한 프로필을 만들기 위해 사용했던 것과 동일한 도구 상자를 사용합니다.

  1. Solaris Management Console에서 System Administrator(시스템 관리자) 역할을 만듭니다.

    자세한 내용은 Trusted Extensions의 보안 관리자 역할 만들기를 참조하십시오.

  2. Custom System Administrator(사용자 정의 시스템 관리자) 권한 프로필을 역할에 할당합니다.

  3. 변경 사항을 저장합니다.

  4. Solaris Management Console을 닫습니다.

ProcedureTrusted Extensions에서 역할을 수락할 수 있는 사용자 만들기

로컬 사용자를 만들려면 다음 절차를 수행하는 대신 예 4–7에서와 같이 명령줄 인터페이스를 사용할 수 있습니다. 사이트 보안 정책에 따라 둘 이상의 관리 역할을 수락할 수 있는 사용자를 만들도록 선택할 수 있습니다.

보안 사용자를 만드는 경우 System Administrator(시스템 관리자) 역할에서 사용자를 만들고 Security Administrator(보안 관리자) 역할에서 암호와 같은 보안 관련 속성을 할당합니다.

시작하기 전에

사용자는 수퍼유저, root 역할, Security Administrator(보안 관리자) 역할 또는 Primary Administrator(주 관리자) 역할이어야 합니다. Security Administrator(보안 관리자) 역할에는 사용자를 만드는 데 필요한 최소의 권한이 있습니다.

Solaris Management Console이 표시됩니다. 자세한 내용은 Trusted Extensions의 보안 관리자 역할 만들기를 참조하십시오.

  1. Solaris Management Console에서 User Accounts(사용자 계정)를 두 번 누릅니다.

  2. Action(작업) 메뉴에서 Add User(사용자 추가) -> Use Wizard(마법사 사용)를 선택합니다.

    주의 – 주의 –

    역할 및 사용자의 이름과 ID는 동일한 풀에서 가져옵니다. 추가하는 사용자에 대해서는 ID 기존 이름 또는 ID를 사용하지 마십시오.

  3. 온라인 도움말을 따릅니다.

    System Administration Guide: Basic AdministrationHow to Add a User With the Solaris Management Console’s Users Tool 절차를 따를 수도 있습니다.

  4. 사용자를 만든 후에 해당 사용자를 두 번 눌러 설정을 수정합니다.

    주 –

    역할을 수락할 수 있는 사용자의 경우 사용자 계정을 Always Available(항상 사용 가능)로 지정하고 암호 만료 날짜를 설정하지 않습니다.

    다음 필드가 올바르게 설정되어 있는지 확인합니다.

    • Description(설명) – 고유 정보가 없습니다.

    • Password And Confirm(암호 및 확인) – 6자 이상의 영숫자로 구성된 암호를 지정합니다.

      주 –

      초기 설정 팀은 암호를 선택할 때 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 추측하기 어려운 암호를 선택해야 합니다.

    • Account Availability(계정 가용성) – Always Available(항상 가능)입니다.

    • Trusted Extensions Attributes(Trusted Extensions 속성) – 기본값이 올바릅니다.

      레이블을 표시하면 안되는 단일 레이블 시스템의 경우 Hide for Label(레이블 숨기기): Show(표시) 또는 Hide(숨기기)를 선택합니다.

    • Account Usage(계정 사용) – 유휴 시간과 유휴 작업을 설정합니다.

      Lock account(계정 잠금) – 역할을 수락할 수 있는 모든 사용자에 대해 No(아니오)를 설정합니다.

  5. Solaris Management Console을 닫습니다.

  6. 사용자 환경을 사용자 정의합니다.

    1. Convenient Authorizations(편리한 권한 부여)를 할당합니다.

      사이트 보안 정책을 확인한 후 첫 번째 사용자에게 Convenient Authorizations(편리한 권한 부여) 권한 프로필을 부여할 수 있습니다. 이 프로필을 통해 사용자가 장치 할당, PostScript 파일 인쇄, 레이블 없이 인쇄, 원격 로그인 및 시스템 종료를 수행하도록 설정할 수 있습니다. 프로필을 만들려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Create a Rights Profile for Convenient Authorizations를 참조하십시오.

    2. 사용자 초기화 파일을 사용자 정의합니다.

      Oracle Solaris Trusted Extensions Administrator’s Procedures의 7 장, Managing Users, Rights, and Roles in Trusted Extensions (Tasks)를 참조하십시오.

      Oracle Solaris Trusted Extensions Administrator’s ProceduresManaging Users and Rights With the Solaris Management Console (Task Map)도 참조하십시오.

    3. 다중 레이블 복사본을 만들고 파일을 연결합니다.

      다중 레이블 시스템에서는 다른 레이블에 복사하거나 연결할 사용자 초기화 파일을 나열하는 파일을 사용하여 사용자와 역할을 설정할 수 있습니다. 자세한 내용은 Oracle Solaris Trusted Extensions Administrator’s Procedures.copy_files and .link_files Files를 참조하십시오.

예 4–7 useradd 명령을 사용하여 로컬 사용자 만들기

이 예에서 root 사용자는 Security Administrator(보안 관리자) 역할을 수락할 수 있는 로컬 사용자를 만듭니다. 자세한 내용은 useradd(1M)atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.

먼저 root 사용자는 16진수 형식의 사용자 최소 레이블 및 클리어런스 레이블을 결정합니다.


# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

다음으로 root 사용자는 표 1–2를 참조한 후에 사용자를 만듭니다.


# useradd -c "Local user for Security Admin" -d /export/home1 \
-K  idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe

그런 다음 root 사용자는 초기 암호를 제공합니다.


# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

마지막으로 root 사용자는 사용자 정의에 Security Administrator(보안 관리자) 역할을 추가합니다. 역할은 Trusted Extensions의 보안 관리자 역할 만들기에서 만들었습니다.


# usermod -R secadmin jandoe

ProcedureTrusted Extensions 역할 작동 확인

각 역할을 확인하려면 역할을 수락합니다. 그런 다음 해당 역할만 수행할 수 있는 작업을 수행합니다.

시작하기 전에

DNS 또는 라우팅을 구성한 경우 역할을 만들고 다시 부트한 후에 작동 여부를 확인해야 합니다.

  1. 각 역할에 대해 역할을 수락할 수 있는 사용자로 로그인합니다.

  2. Trusted Path(신뢰할 수 있는 경로) 메뉴를 엽니다.

    • Trusted CDE에서 작업 공간 전환 영역을 누릅니다.

      그림은 CDE에서 Trusted Path(신뢰할 수 있는 경로) 메뉴를 보여줍니다.

      메뉴에서 역할을 수락합니다.

    • Trusted JDS에서 신뢰할 수 있는 스트라이프의 사용자 이름을 누릅니다.

      다음 신뢰할 수 있는 스트라이프에서 사용자 이름은 tester입니다.

      그림은 사용자 이름이 tester인 신뢰할 수 있는 스트라이프를 보여 줍니다.

      사용자에게 할당된 역할 목록에서 역할을 선택합니다.

  3. 역할 작업 공간에서 Solaris Management Console을 시작합니다.


    $ /usr/sbin/smc &

  4. 테스트할 역할의 적절한 범위를 선택합니다.

  5. System Services(시스템 서비스)를 누르고 Users(사용자)로 이동합니다.

    암호를 입력하라는 메시지가 표시됩니다.

    1. 역할 암호를 입력합니다.

    2. User Accounts(사용자 계정)를 두 번 누릅니다.

  6. 사용자를 누릅니다.

    • System Administrator(시스템 관리자) 역할은 General(일반), Home Directory(홈 디렉토리) 및 Group(그룹) 탭에서 필드를 수정할 수 있어야 합니다.

      업무 분리를 적용하기 위해 역할을 구성하면 System Administrator(시스템 관리자) 역할이 사용자의 초기 암호를 설정할 수 없습니다.

    • Security Administrator(보안 관리자) 역할은 모든 탭에서 필드를 수정할 수 있어야 합니다.

      업무 분리를 적용하기 위해 역할을 구성하면 Security Administrator(보안 관리자) 역할이 사용자를 만들 수 없습니다.

    • Primary Administrator(주 관리자) 역할은 모든 탭에서 필드를 수정할 수 있어야 합니다.

  7. (옵션) 업무 분리를 적용하면 기본 권한 프로필 사용이 제한됩니다.

    주 –

    시스템이 새 버전의 Solaris OS로 업그레이드되는 경우 System Administrator(시스템 관리자), User Management(사용자 관리) 및 User Security(사용자 보안) 기본 프로필이 교체됩니다.

    신뢰할 수 있는 편집기에서 다음 단계 중 하나를 수행합니다.

    • prof_attr 파일에서 세 가지 권한 프로필을 제거합니다.

      프로필을 제거하면 관리자가 이러한 프로필을 보거나 할당할 수 없습니다. 또한 prof_attr.orig 파일을 제거합니다.

    • prof_attr 파일에서 세 가지 권한 프로필을 주석 처리합니다.

      권한 프로필을 주석 처리하면 Solaris Management Console에서 이러한 프로필을 볼 수 없게 되거나 사용자를 관리하는 명령에서 사용할 수 없게 됩니다. 프로필과 해당 내용은 여전히 prof_attr 파일에서 볼 수 있습니다.

    • prof_attr 파일에 있는 세 가지 권한 프로필에 대해 서로 다른 설명을 입력합니다.

      이러한 권한 프로필의 설명 필드를 변경하려면 prof_attr 파일을 편집합니다. 예를 들어, 설명을 Do not use this profile(이 프로필을 사용하지 마십시오)로 교체할 수 있습니다. 이렇게 변경하면 관리자에게 프로필을 사용하지 말도록 경고하지만 프로필을 사용하는 것을 제한하지는 않습니다.

Procedure레이블이 있는 영역에 대한 사용자 로그인 허용

호스트가 다시 부트되면 장치와 기본 저장소 간의 연결을 다시 설정해야 합니다.

시작하기 전에

레이블이 있는 영역을 한 개 이상 만들었습니다. 해당 영역은 복제에 사용되지 않습니다.

  1. 시스템을 다시 부트합니다.

  2. root 사용자로 로그인합니다.

  3. 영역 서비스를 다시 시작합니다.


    # svcs zones
STATE          STIME    FMRI
offline        -        svc:/system/zones:default
    		 

    # svcadm restart svc:/system/zones:default

  4. 로그아웃합니다.

    이제 일반 사용자가 로그인할 수 있습니다. 세션이 레이블이 있는 영역에 있습니다.

Trusted Extensions에서 홈 디렉토리 만들기

Trusted Extensions에서 사용자는 작업하는 모든 레이블에서 홈 디렉토리에 액세스할 수 있어야 합니다. 사용자가 모든 홈 디렉토리를 사용할 수 있게 하려면 다중 레벨 홈 디렉토리 서버를 만들고, 서버에서 자동 마운터를 실행한 다음 홈 디렉토리를 내보내야 합니다. 클라이언트 측에서 스크립트를 실행하여 각 사용자의 모든 영역에 대한 홈 디렉토리를 찾거나 사용자가 홈 디렉토리 서버에 로그인하도록 허용할 수 있습니다.

ProcedureTrusted Extensions에서 홈 디렉토리 서버 만들기

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

  1. Trusted Extensions 소프트웨어를 사용하여 홈 디렉토리 서버를 설치하고 구성합니다.

    • 영역을 복제하려면 비어 있는 홈 디렉토리가 있는 Solaris ZFS 스냅샷을 사용해야 합니다.

    • 사용자가 로그인할 수 있는 모든 레이블에는 홈 디렉토리가 필요하기 때문에 사용자가 로그인할 수 있는 모든 영역을 만듭니다. 예를 들어, 기본 label_encodings 파일을 사용할 경우 PUBLIC 레이블에 대한 영역을 만듭니다.

  2. UFS를 사용하고 Solaris ZFS는 사용하지 않을 경우 NFS 서버를 사용합니다.

    1. 전역 영역에서 nsswitch.conf 파일의 automount 항목을 수정합니다.

      신뢰할 수 있는 편집기를 사용하여 /etc/nsswitch.conf 파일을 편집합니다. 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to Edit Administrative Files in Trusted Extensions를 참조하십시오.


      automount: files

    2. 전역 영역에서 automount 명령을 실행합니다.

  3. 레이블이 있는 모든 영역에 대해 Oracle Solaris Trusted Extensions Administrator’s ProceduresHow to NFS Mount Files in a Labeled Zone에 나와 있는 자동 마운트 절차를 수행합니다. 그런 다음 이 절차로 돌아갑니다.

  4. 홈 디렉토리가 만들어졌는지 확인합니다.

    1. 홈 디렉토리 서버에서 로그아웃합니다.

    2. 일반 사용자로 홈 디렉토리 서버에 로그인합니다.

    3. 로그인 영역에서 터미널을 엽니다.

    4. 터미널 창에서 사용자의 홈 디렉토리가 있는지 확인합니다.

    5. 사용자가 작업할 수 있는 모든 영역에 대해 작업 공간을 만듭니다.

    6. 각 영역에서 터미널 창을 열어 사용자의 홈 디렉토리가 있는지 확인합니다.

  5. 홈 디렉토리 서버에서 로그아웃합니다.

ProcedureTrusted Extensions에서 사용자의 홈 디렉토리 액세스 허용

사용자는 처음에 홈 디렉토리 서버에 로그인하여 다른 시스템과 공유할 홈 디렉토리를 만들 수 있습니다.. 모든 레이블에서 홈 디렉토리를 만들려면 각 사용자는 모든 레이블에서 홈 디렉토리 서버에 로그인해야 합니다.

또는 관리자로 사용자가 처음 로그인하기 전에 각 사용자의 홈 시스템에서 홈 디렉토리에 대한 마운트 지점을 만들 스크립트를 작성할 수 있습니다. 스크립트는 사용자에게 작업이 허용되는 모든 레이블에서 마운트 지점을 만듭니다.

시작하기 전에

Trusted Extensions 도메인에 대한 홈 디렉토리 서버가 구성됩니다.

  1. 서버에 대한 직접 로그인을 허용할지, 아니면 스크립트를 실행할지 여부를 선택합니다.

    • 사용자가 홈 디렉토리 서버에 직접 로그인할 수 있도록 합니다.

      1. 각 사용자에게 홈 디렉토리 서버에 로그인하도록 지시합니다.

        로그인한 후에 사용자는 로그아웃해야 합니다.

      2. 다시 로그인하고 이번에는 다른 로그인 레이블을 선택하도록 각 사용자에게 지시합니다.

        사용자는 레이블 구축기를 사용하여 다른 로그인 레이블을 선택합니다. 로그인한 후에 사용자는 로그아웃해야 합니다.

      3. 사용이 허용된 모든 레이블에 대해 로그인 프로세스를 반복하도록 각 사용자에게 지시합니다.

      4. 일반 워크스테이션에서 로그인하도록 지시합니다.

        기본 레이블의 홈 디렉토리를 사용할 수 있습니다. 사용자가 세션의 레이블을 변경하거나 다른 레이블에 작업 공간을 추가한 경우 해당 레이블에 대한 사용자의 홈 디렉토리가 마운트됩니다.

    • 모든 사용자에 대해 홈 디렉토리 마운트 지점을 만드는 스크립트를 작성하고 스크립트를 실행합니다.


      #!/bin/sh
#
for zoneroot in `/usr/sbin/zoneadm list -p | cut -d ":" -f4` ; do
	if [ $zoneroot != / ]; then
		prefix=$zoneroot/root/export
	
		for j in `getent passwd|tr ' ' _` ; do
			uid=`echo $j|cut -d ":" -f3`
			if [ $uid -ge 100 ]; then
				gid=`echo $j|cut -d ":" -f4`
				homedir=`echo $j|cut -d ":" -f6`
				mkdir -m 711 -p $prefix$homedir
				chown $uid:$gid $prefix$homedir
			fi
		done
	fi
done

      1. 전역 영역의 NFS 서버에서 이 스크립트를 실행합니다.

      2. 그런 다음 사용자가 로그인할 모든 다중 레벨 데스크탑에서 이 스크립트를 실행합니다.

사용자 및 호스트를 기존의 신뢰할 수 있는 네트워크에 추가

NIS 맵에 정의된 사용자가 있는 경우에는 이 사용자를 네트워크에 추가할 수 있습니다.

호스트와 레이블을 호스트에 추가하려면 다음 절차를 참조하십시오.

ProcedureLDAP 서버에 NIS 사용자 추가

시작하기 전에

사용자가 수퍼유저이거나 root 역할 또는 Primary Administrator(주 관리자) 역할에 속해야 합니다.

  1. NIS 데이터베이스에서 필요한 정보를 수집합니다.

    1. aliases 데이터베이스의 사용자 항목에서 파일을 만듭니다.


      % ypcat -k aliases | grep login-name > aliases.name

    2. passwd 데이터베이스의 사용자 항목에서 파일을 만듭니다.


      % ypcat -k passwd | grep "Full Name" > passwd.name

    3. auto_home_ 데이터베이스의 사용자 항목에서 파일을 만듭니다.


      % ypcat -k auto_home | grep login-name > auto_home_label

  2. LDAP 및 Trusted Extensions 정보를 재포맷합니다.

    1. sed 명령을 사용하여 aliases 항목을 다시 포맷합니다.


      % sed 's/ /:/g' aliases.login-name > aliases

    2. nawk 명령을 사용하여 passwd 항목을 다시 포맷합니다.


      % nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd

    3. nawk 명령을 사용하여 shadow 항목을 재포맷합니다.


      % nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow

    4. nawk 명령을 사용하여 user_attr 항목을 만듭니다.


      % nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...;
labelview=int-or-ext,show-or-hide;min_label=min-label;
clearance=max-label;type=normal;roles=role-name,...;
auths=auth-name,..."}' passwd.name > user_attr

  3. 수정된 파일을 LDAP 서버의 /tmp 디렉토리에 복사합니다.


    # cp aliases auto_home_internal passwd shadow user_attr /tmp/name

  4. 단계 3의 파일 항목을 LDAP 서버의 데이터베이스에 추가합니다.


    # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \
-a simple -f /tmp/name/aliases aliases
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \
-a simple -f /tmp/name/auto_home_internal auto_home_internal
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \
-a simple -f /tmp/name/passwd passwd
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \
-a simple -f /tmp/name/shadow shadow
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \
-a simple -f /tmp/name/user_attr user_attr
예 4–8 NIS 데이터베이스에서 LDAP 서버로 사용자 추가

다음 예에서는 관리자가 신뢰할 수 있는 네트워크에 새 사용자를 추가합니다. 사용자의 정보는 원래 NIS 데이터베이스에 저장됩니다. LDAP 서버 암호를 보호하려면 관리자가 ldapaddent 명령을 서버에서 실행합니다.

Trusted Extensions에서 새 사용자는 장치를 할당하고 Operator(운영자) 역할을 수락합니다. 사용자가 역할을 수락할 수 있기 때문에 사용자 계정은 잠기지 않습니다. 사용자의 최소 레이블은 PUBLIC입니다. 사용자가 작업하는 레이블은 INTERNAL이므로 janauto_home_internal 데이터베이스에 추가됩니다. auto_home_internal 데이터베이스는 읽기/쓰기 권한으로 jan의 홈 디렉토리를 자동 마운트합니다.

Trusted Extensions 구성 문제 해결

Trusted Extensions에서 레이블이 있는 영역은 전역 영역을 통해 X 서버와 통신합니다. 따라서 레이블이 있는 영역은 전역 영역에 대해 사용 가능한 경로가 있어야 합니다. 또한 Solaris 설치 중에 선택한 옵션으로 인해 Trusted Extensions에서 전역 영역에 대한 인터페이스를 사용하지 못할 수 있습니다.

Trusted Extensions 활성화 후 netservices limited가 실행됨

설명:

Trusted Extensions를 활성화하기 전에 netservices limited 명령을 실행하는 대신 그 이후에 전역 영역에서 명령을 실행했습니다. 따라서 레이블이 있는 영역에서 전역 영역의 X 서버에 연결할 수 없습니다.

해결 방법:

다음 명령을 실행하여 Trusted Extensions에서 영역 간의 통신에 필요한 서비스를 엽니다.


# svccfg -s x11-server setprop options/tcp_listen = true
# svcadm enable svc:/network/rpc/rstat:default

레이블이 있는 영역에서 콘솔 창을 열 수 없음

설명:

레이블이 있는 영역에서 콘솔 창을 열려고 시도하면 대화 상자에 다음과 같은 오류가 표시됩니다.


Action:DttermConsole,*,*,*,0 [Error]
Action not authorized.
해결 방법:

/etc/security/exec_attr 파일의 각 영역 항목에 다음 두 줄이 있는지 확인합니다.


All Actions:solaris:act:::*;*;*;*;*:
All:solaris:act:::*;*;*;*;*:

이 줄이 없는 경우 해당 항목을 추가하는 Trusted Extensions 패키지가 레이블이 있는 영역에 설치되어 있지 않은 것입니다. 이 경우에는 레이블이 있는 영역을 다시 만듭니다. 절차는 레이블이 있는 영역 만들기를 참조하십시오.

레이블이 있는 영역에서 X 서버에 액세스할 수 없음

설명:

레이블이 있는 영역에서 X 서버에 액세스할 수 없는 경우 다음과 같은 메시지가 표시될 수 있습니다.

  • Action failed. Reconnect to Solaris Zone?(작업에 실패했습니다. Solaris 영역에 다시 연결하시겠습니까?)

  • No route available(사용 가능한 경로 없음)

  • Cannot reach globalzone(전역 영역에 연결할 수 없음)-hostname :0

원인:

레이블이 있는 영역에서 X 서버에 액세스할 수 없는 원인은 다음과 같습니다.

  • 영역이 초기화되지 않고 sysidcfg 프로세스가 완료될 때까지 대기하고 있습니다.

  • 레이블이 있는 영역의 호스트 이름이 전역 영역에서 실행되는 이름 지정 서비스에서 인식되지 않습니다.

  • all-zones로 지정된 인터페이스가 없습니다.

  • 레이블이 있는 영역의 네트워크 인터페이스의 작동이 중지되었습니다.

  • LDAP 이름을 조회하지 못했습니다.

  • NFS 마운트가 작동하지 않습니다.

해결 단계:

    다음을 수행합니다.

  1. 영역에 로그인합니다.

    zlogin 명령 또는 Zone Terminal Console(영역 터미널 콘솔) 작업을 사용할 수 있습니다.


    # zlogin -z zone-name

    수퍼유저로 로그인할 수 없는 경우 zlogin -S 명령을 사용하여 인증을 생략합니다.

  2. 영역이 실행 중인지 확인합니다.


    # zoneadm list

    영역이 running 상태인 경우에는 해당 영역에서 하나 이상의 프로세스가 실행되고 있는 것입니다.

  3. 레이블이 있는 영역에서 X 서버에 액세스하지 못하게 하는 모든 문제를 해결합니다.

    • sysidcfg 프로세스를 완료하여 영역을 초기화합니다.

      sysidcfg 프로그램을 대화식으로 실행합니다. zlogin 명령을 실행했던 터미널 창 또는 Zone Terminal Console(영역 터미널 콘솔)에서 프롬프트에 응답합니다.

      sysidcfg 프로세스를 비대화식으로 실행하기 위해 다음 중 하나를 수행할 수 있습니다.

      • /usr/sbin/txzonemgr 스크립트에서 Initialize(초기화) 항목을 지정합니다.

        Initialize(초기화) 항목을 사용하여 sysidcfg 질문에 기본값을 입력할 수 있습니다.

      • 사용자가 직접 sysidcfg 스크립트를 작성합니다.

        자세한 내용은 sysidcfg(4) 매뉴얼 페이지를 참조하십시오.

    • 영역에서 X 서버를 사용할 수 있는지 확인합니다.

      레이블이 있는 영역에 로그인합니다. DISPLAY 변수가 X 서버를 가리키도록 설정하고 창을 엽니다.


      # DISPLAY=global-zone-hostname:n.n
# export DISPLAY
# /usr/openwin/bin/xclock

      레이블이 있는 창이 나타나지 않으면 해당 레이블이 있는 영역에 대한 영역 네트워킹이 제대로 구성되지 않은 것입니다.

      주 –

      Solaris 10 5/09 릴리스부터 Trusted CDE를 실행하는 경우 Trusted CDE에서 로컬 영역을 전역 영역 경로로 결정을 참조하십시오.

    • 이름 지정 서비스를 사용하여 영역의 호스트 이름을 구성합니다.

      영역의 로컬 /etc/hosts 파일이 사용되고 있지 않습니다. 대신 전역 영역 또는 LDAP 서버에서 관련 정보를 지정해야 합니다. 정보에는 영역에 할당되는 호스트 이름의 IP 주소가 포함되어야 합니다.

    • all-zones로 지정된 인터페이스가 없습니다.

      모든 영역이 전역 영역과 동일한 서브넷의 IP 주소를 사용하는 경우가 아니면 all-zones(공유) 인터페이스를 구성해야 할 수 있습니다. 이 구성을 사용하면 레이블이 있는 영역에서 전역 영역의 X 서버에 연결할 수 있습니다. 전역 영역 X 서버에 대한 원격 연결을 제한하려면 vni0all-zones 주소로 사용할 수 있습니다.

      all-zones 인터페이스를 구성하지 않으려면 각 영역에 대해 전역 영역 X 서버의 경로를 제공해야 합니다. 이 경로는 전역 영역에서 구성해야 합니다.

    • 레이블이 있는 영역의 네트워크 인터페이스의 작동이 중지되었습니다.


      # ifconfig -a

      ifconfig 명령을 사용하여 레이블이 있는 영역의 네트워크 인터페이스가 UPRUNNING 상태인지 확인합니다.

    • LDAP 이름을 조회하지 못했습니다.

      ldaplist 명령을 사용하여 각 영역에서 LDAP 서버 또는 LDAP 프록시 서버와 통신할 수 있는지 확인합니다. LDAP 서버에서 영역이 tnrhdb 데이터베이스에 나열되는지 확인합니다.

    • NFS 마운트가 작동하지 않습니다.

      수퍼유저로 영역에서 automount를 다시 시작합니다. 또는 crontab 항목을 추가하여 automount 명령을 5분마다 실행합니다.

추가 Trusted Extensions 구성 작업

다음 두 작업을 수행하여 구성 파일의 정확한 복사본을 사이트의 모든 Trusted Extensions 시스템에 전송할 수 있습니다. 마지막 작업에서는 Solaris 시스템에서 Trusted Extensions 사용자 정의를 제거할 수 있습니다.

ProcedureTrusted Extensions에서 이동식 매체에 파일을 복사하는 방법

이동식 매체에 복사할 경우 정보의 민감도 레이블을 사용하여 매체의 레이블을 지정합니다.

주 –

Trusted Extensions를 구성하는 동안 수퍼유저 또는 이와 동등한 역할의 사용자가 이동식 매체로 또는 이동식 매체에서 관리 파일을 복사합니다. 매체 레이블을 Trusted Path로 지정합니다.

시작하기 전에

관리 파일을 복사하려면 사용자가 수퍼유저이거나 전역 영역의 역할에 속해야 합니다.

  1. 해당 장치를 할당합니다.

    Device Allocation Manager(장치 할당 관리자)를 사용하고 손상되지 않은 매체를 넣습니다. 자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서Trusted Extensions에서 장치를 할당하는 방법을 참조하십시오.

    • Solaris Trusted Extensions(CDE)에서 File Manager(파일 관리자)에 이동식 매체의 내용이 표시됩니다.

    • Solaris Trusted Extensions(JDS)에서 File Browser(파일 브라우저)에 내용이 표시됩니다.

    이 절차에서는 이 GUI를 나타내는 데 File Browser(파일 브라우저)를 사용합니다.

  2. 두 번째 File Browser(파일 브라우저)를 엽니다.

  3. 복사할 파일이 있는 폴더로 이동합니다.

    예를 들어, 파일을 /export/clientfiles 폴더에 복사했을 수 있습니다.

  4. 각 파일에 대해서 다음을 수행합니다.

    1. 파일에 대한 아이콘을 강조 표시합니다.

    2. 파일을 이동식 매체에 대한 File Browser(파일 브라우저)로 끕니다.

  5. 장치를 할당 해제합니다.

    자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서Trusted Extensions에서 장치를 할당 해제하는 방법을 참조하십시오.

  6. 이동식 매체에 대한 File Browser(파일 브라우저)의 File(파일) 메뉴에서 Eject(꺼내기)를 선택합니다.

    주 –

    복사된 파일의 민감도 레이블을 사용하여 매체에 레이블을 물리적으로 추가합니다.

예 4–9 구성 파일을 모든 시스템에서 동일하게 유지

시스템 관리자는 모든 시스템을 동일한 설정으로 구성하려고 합니다. 따라서 구성되는 첫 번째 시스템에서는 재부트 중에 삭제할 수 없는 디렉토리를 만듭니다. 관리자는 모든 시스템에서 동일하거나 유사한 파일을 해당 디렉토리에 넣습니다.

예를 들어, Solaris Management Console에서 LDAP 범위 /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx에 사용하는 Trusted Extensions 도구 상자를 복사합니다. tnrhtp 파일에서 원격 호스트 템플리트를 사용자 정의했으며, DNS 서버 목록과 감사 구성 파일이 있습니다. 또한 사이트에 대한 policy.conf 파일을 수정했습니다. 따라서 파일을 영구 디렉토리에 복사합니다.


# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
/etc/security/audit_control \
/etc/security/audit_startup \
/etc/security/tsol/tnrhtp \
/etc/resolv.conf \
/etc/nsswitch.conf \
/export/commonfiles

Device Allocation Manager(장치 할당 관리자)를 사용하여 전역 영역에서 디스켓을 할당하고 이 파일을 디스켓으로 전송합니다. 레이블이 ADMIN_HIGH인 개별 디스켓에 사이트에 대한 label_encodings 파일을 넣습니다.

파일을 시스템에 복사할 때 해당 시스템의 /etc/security/audit_control 파일에서 dir: 항목을 수정합니다.

ProcedureTrusted Extensions에서 이동식 매체의 파일을 복사하는 방법

파일을 바꾸기 전에 원본 Trusted Extensions 파일의 이름을 변경해도 안전합니다. 시스템을 구성할 때 root 역할은 관리 파일의 이름을 변경하고 이 파일을 복사합니다.

시작하기 전에

관리 파일을 복사하려면 사용자가 수퍼유저이거나 전역 영역의 역할에 속해야 합니다.

  1. 해당 장치를 할당합니다.

    자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서Trusted Extensions에서 장치를 할당하는 방법을 참조하십시오.

    • Solaris Trusted Extensions(CDE)에서 File Manager(파일 관리자)에 이동식 매체의 내용이 표시됩니다.

    • Solaris Trusted Extensions(JDS)에서 File Browser(파일 브라우저)에 내용이 표시됩니다.

    이 절차에서는 이 GUI를 나타내는 데 File Browser(파일 브라우저)를 사용합니다.

  2. 관리 파일이 들어 있는 매체를 삽입합니다.

  3. 시스템에 동일한 이름을 가진 파일이 있는 경우 원본 파일을 새 이름으로 복사합니다.

    예를 들어, .orig를 원본 파일의 끝에 추가합니다.


    # cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig

  4. File Browser(파일 브라우저)를 엽니다.

  5. 원하는 대상 디렉토리(예: /etc/security/tsol)로 이동합니다.

  6. 복사할 각 파일에 대해 다음을 수행합니다.

    1. 마운트된 매체의 File Browser(파일 브라우저)에서 해당 파일의 아이콘을 강조 표시합니다.

    2. 그런 다음 파일을 두 번째 File Browser(파일 브라우저)의 대상 디렉토리로 끕니다.

  7. 장치를 할당 해제합니다.

    자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서Trusted Extensions에서 장치를 할당 해제하는 방법을 참조하십시오.

  8. 메시지가 표시되면 매체를 꺼내서 제거합니다.

예 4–10 Trusted Extensions에서 감사 구성 파일 로드

이 예에서는 역할이 시스템에서 아직 구성되어 있지 않습니다. root 사용자는 구성 파일을 이동식 매체에 복사해야 합니다. 그러면 매체의 내용이 다른 시스템에 복사됩니다. 이 파일은 Trusted Extensions 소프트웨어에서 구성되는 각 시스템에 복사됩니다.

root 사용자는 Device Allocation Manager(장치 할당 관리자)에서 floppy_0 장치를 할당하고 마운트 쿼리에 yes로 응답합니다. 그런 다음 root 사용자는 구성 파일이 있는 디스켓을 넣고 해당 파일을 디스크에 복사합니다. 디스켓의 레이블이 Trusted Path로 지정됩니다.

매체에서 읽으려면 root 사용자는 수신 호스트에서 장치를 할당하고 내용을 다운로드합니다.

구성 파일이 테이프에 있는 경우 root 사용자는 mag_0 장치를 할당합니다. 구성 파일이 CD-ROM에 있는 경우 root 사용자는 cdrom_0 장치를 할당합니다.

Procedure시스템에서 Trusted Extensions를 제거하는 방법

Solaris 시스템에서 Trusted Extensions를 제거하려면 특정 단계를 수행하여 Solaris 시스템에서 Trusted Extensions 사용자 정의를 제거합니다.

  1. Solaris OS에서와 같이 레이블이 있는 영역에서 보관할 데이터를 모두 아카이브합니다.

  2. 레이블이 있는 영역을 시스템에서 제거합니다.

    자세한 내용은 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris ZonesHow to Remove a Non-Global Zone을 참조하십시오.

  3. Trusted Extensions 서비스를 비활성화합니다.


    # svcadm disable labeld

  4. bsmunconv 명령을 실행합니다.

    이 명령으로 인한 결과는 bsmunconv(1M) 매뉴얼 페이지를 참조하십시오.

  5. (옵션) 시스템을 다시 부트합니다.

  6. 시스템을 구성합니다.

    Solaris 시스템에 대한 다양한 서비스를 구성해야 할 수 있습니다. 대상 서비스에는 감사, 기본 네트워크, 이름 지정 서비스 및 파일 시스템 마운트가 포함됩니다.