이 장에서는 Sun Cluster와 관련된 역할 기반 액세스 제어(RBAC)에 대해 설명합니다. 주요 내용은 다음과 같습니다.
다음 표에는 RBAC 설정 및 사용 방법에 관한 참조 문서가 나열되어 있습니다. Sun Cluster와 함께 RBAC를 설정 및 사용하기 위해 수행할 특정 단계는 이 장 후반부에서 설명합니다.
작업 |
지침 |
---|---|
RBAC에 대한 자세한 내용 |
System Administration Guide: Security Services의 8 장, Using Roles and Privileges (Overview) |
RBAC의 요소 설정 및 관리와 RBAC 사용 |
System Administration Guide: Security Services의 9 장, Using Role-Based Access Control (Tasks) |
RBAC 요소과 도구에 대한 자세한 내용 |
System Administration Guide: Security Services의 10 장, Role-Based Access Control (Reference) |
Sun Cluster Manager와 선택한 Sun Cluster 명령 및 명령줄에서 지정한 옵션은 인증을 위해 RBAC를 사용합니다. RBAC 인증이 필요한 Sun Cluster 명령 및 옵션에는 다음과 같은 인증 레벨이 하나 이상 필요합니다. Sun Cluster RBAC 권한 프로파일은 전역 및 비전역 영역에 모두 적용됩니다.
list, show 및 다른 읽기 작업에 필요한 인증
클러스터 객체의 상태를 변경하기 위한 인증
클러스터 객체의 등록 정보를 변경하기 위한 인증
Sun Cluster 명령에 필요한 RBAC 인증에 대한 자세한 내용은 명령 매뉴얼 페이지를 참조하십시오.
RBAC 권한 프로파일에는 하나 이상의 RBAC 인증이 포함됩니다. 이 권한 프로필을 사용자나 역할에 할당하여 Sun Cluster에 대한 서로 다른 수준의 액세스를 제공할 수 있습니다. Sun에서는 Sun Cluster 소프트웨어에 다음과 같은 권한 프로필을 제공합니다.
다음 표에 나열된 RBAC 권한 프로파일은 이전 Sun Cluster 릴리스에서 정의된 기존 RBAC 인증을 계속 지원합니다.
이 작업을 통하여 Sun Cluster Management 권한 프로필로 새 RBAC 역할을 생성하고 이 새 역할에 사용자를 할당합니다.
역할을 만들려면 기본 관리자 권한 프로필이 할당된 역할을 맡거나 root 사용자로 실행해야 합니다.
관리 역할 도구를 시작합니다.
관리 역할 도구를 실행하려면 System Administration Guide: Security Services의 How to Assume a Role in the Solaris Management Console의 설명에 따라 Solaris Management Console을 시작합니다. 그런 다음 사용자 도구 모음을 열고 관리 역할 아이콘을 누릅니다.
관리 역할 추가 마법사를 시작합니다.
작업 메뉴에서 관리 역할 추가를 선택하여 역할을 구성하기 위한 관리 역할 추가 마법사를 시작합니다.
클러스터 관리 권한 프로필이 할당되는 역할을 설정합니다.
다음 및 뒤로 버튼을 사용하여 대화 상자 간에 이동합니다. 모든 필수 필드를 입력할 때까지는 다음 버튼이 활성화되지 않습니다. 마지막 대화 상자에서는 이제까지 입력한 데이터를 검토할 수 있으며, 뒤로 버튼을 사용하여 입력한 내용을 변경하거나 마침을 눌러 새 역할을 저장할 수 있습니다. 다음 목록에는 대화 상자 필드 및 버튼이 요약되어 있습니다.
역할의 약식 이름입니다.
이름의 긴 버전입니다.
역할에 대한 설명입니다.
역할의 UID이며 자동으로 증가합니다.
역할에 사용할 수 있는 프로필 쉘: 관리자의 C, 관리자의 Bourne 또는 관리자의 Korn 쉘입니다.
이 역할에 할당된 사용자의 메일링 목록을 작성합니다.
역할의 권한 프로필을 할당 또는 제거합니다.
동일한 명령을 여러 번 입력할 수도 있습니다. 이 경우 권한 프로필의 첫 번째 명령 항목에 할당된 속성이 우선권을 가지며 모든 후속 항목은 무시됩니다. 순서를 변경하려면 위쪽 및 아래쪽 화살표를 사용하십시오.
홈 디렉토리의 서버입니다.
홈 디렉토리 경로입니다.
이 역할을 맡을 수 있는 사용자를 추가합니다. 동일한 범위 내에 있어야 합니다.
이 역할에 할당된 사용자를 삭제합니다.
먼저 역할에 할당된 프로필 목록에 이 프로필을 배치해야 합니다.
Sun Cluster Manager 기능이나 Sun Cluster 명령을 사용해야 할 사용자를 새로 만든 역할에 추가합니다.
useradd(1M) 명령을 사용하여 사용자 계정을 시스템에 추가합니다. -P 옵션은 역할을 사용자 계정에 할당합니다.
사용자를 추가한 후 종료를 누릅니다.
터미널 창을 열고 root로 전환합니다.
이름 서비스 캐시 데몬을 시작 및 중지합니다.
이름 서비스 캐시 데몬을 다시 시작할 때까지 새 역할이 적용되지 않습니다. root로 전환한 후 다음 텍스트를 입력합니다.
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
수퍼유저 또는 solaris.cluster.admin RBAC 인증을 제공하는 역할로 전환합니다.
역할을 만들 방법을 선택합니다.
로컬 범위의 역할의 경우 roleadd(1M) 명령을 사용하여 새 로컬 역할과 속성을 지정합니다.
또한 로컬 범위의 역할에서는 user_attr(4) 파일에 type=role인 사용자를 직접 추가할 수도 있습니다.
입력하는 중에 실수를 할 가능성이 높기 때문에 긴급한 경우에만 이 방법을 사용하십시오.
이름 서비스의 역할의 경우 smrole(1M) 명령을 사용하여 새 역할과 속성을 지정합니다.
이 명령을 사용하려면 수퍼유저나 다른 역할을 만들 수 있는 역할의 인증이 필요합니다. 모든 이름 서비스에 smrole을 적용할 수 있습니다. 이 명령은 Solaris Management Console 서버의 클라이언트로 실행됩니다.
이름 서비스 캐시 데몬을 시작 및 중지합니다.
이름 서비스 캐시 데몬을 다시 시작할 때까지 새 역할이 적용되지 않습니다. root로 다음 텍스트를 입력합니다.
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
다음 시퀀스에서는 smrole 명령을 사용하여 역할을 만드는 방법을 보여줍니다. 이 예에서는 표준 운영자 권한 프로필과 매체 복원 권한 프로필이 할당된 새로운 버전의 운영자 역할을 만듭니다.
% su primaryadmin # /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \ -d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore" Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<type oper2 password> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
새로 만든 역할 및 다른 역할을 보려면 다음과 같이 smrole을 list 옵션과 함께 사용합니다.
# /usr/sadm/bin/smrole list -- Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Custom Operator |
사용자 계정 도구 또는 명령줄을 사용하여 사용자의 RBAC 등록 정보를 수정할 수 있습니다. 사용자의 RBAC 등록 정보를 수정하려면 다음 절차 중 하나를 선택합니다.
사용자의 등록 정보를 수정하려면 사용자 도구 모음을 루트 사용자로 실행하거나 기본 관리자 권한 프로필이 할당된 역할을 맡고 있어야 합니다.
사용자 계정 도구를 시작합니다.
사용자 계정 도구를 실행하려면 System Administration Guide: Security Services의 How to Assume a Role in the Solaris Management Console의 설명에 따라 Solaris Management Console을 시작합니다. 그런 다음 사용자 도구 모음을 열고 사용자 계정 아이콘을 누릅니다.
사용자 계정 도구를 시작하면 기존 사용자 계정의 아이콘이 보기 창에 표시됩니다.
변경할 사용자 계정 아이콘을 누르고 작업 메뉴에서 등록 정보를 선택하거나 사용자 계정 아이콘을 두 번 누릅니다.
다음과 같이 대화 상자에서 변경할 등록 정보에 해당하는 탭을 누릅니다.
사용자에게 할당된 역할을 변경하려면 역할 탭을 누르고 변경할 역할 할당을사용 가능한 역할 또는 할당된 역할 중 해당하는 열로 이동하십시오.
사용자에게 할당된 권한 프로필을 변경하려면 권한 탭을 누르고사용 가능한 권한 또는 할당된 권한 중 해당하는 열로 이동하십시오.
권한 프로파일을 사용자에게 직접 할당하지 않도록 합니다. 더 나은 방법은 권한 부여된 응용 프로그램을 수행하기 위한 역할을 사용자가 맡도록 하는 것입니다. 이 전략은 사용자가 권한을 남용하는 것을 방지합니다.
수퍼유저 또는 solaris.cluster.modify RBAC 인증을 제공하는 역할로 전환합니다.
해당하는 명령을 선택합니다.
로컬 범위에 정의된 사용자에게 할당된 인증, 역할 또는 권한 프로필을 변경하려면 usermod(1M) 명령을 사용합니다.
또는 로컬 범위에 정의된 사용자에게 할당된 인증, 역할 또는 권한 프로필을 변경하려면 user_attr 파일을 편집하십시오.
입력하는 중에 실수를 할 가능성이 높기 때문에 긴급한 경우에만 이 방법을 사용하십시오.
이름 서비스에 정의된 사용자에게 할당된 인증, 역할 또는 권한 프로필을 변경하려면 smuser(1M) 명령을 사용합니다.
이 명령을 사용하려면 수퍼유저 또는 사용자 파일을 변경할 수 있는 역할과 같은 인증이 필요합니다. 모든 이름 서비스에 smuser를 적용할 수 있습니다. smuser는 Solaris Management Console 서버의 클라이언트로 실행됩니다.