SolarisTM for ISPsTM를 시작합니다. Solaris 오버팩은 Solaris 운영 체제의 개방형 구조와 확장성을 기초로 구성되어 있어 인터넷 서비스 공급자와 그 고객에게 최적의 운영 환경을 제공합니다.
Solaris for ISPs는 두 개의 소프트웨어로 구성됩니다. 플랫폼 소프트웨어는 기본 Solaris를 확장하여 ISP 서비스를 사용할 수 있도록 해주는 기능을 추가하지만 이 기능을 ISP 가입자가 직접 액세스할 수는 없습니다. ISP 서비스는 확장 Solaris 환경을 이용하는 동안 인터넷 뉴스, FTP, World Wide Web 액세스 등과 같은 기능을 가입자에게 제공합니다.
Solaris for ISPs에서는 Solaris 운영 체제에 대해 다음과 같은 사항을 향상시켰습니다.
SunTM Internet AdministratorTM
호스트 구성 소프트웨어
SunTM Internet Services MonitorTM
SunTM Directory Services
SunscreenTM SKIP
FlexLM 사용허가 서버
HotJavaTM 브라우저
Java Development Kit
Sun Internet Administrator는 분산 ISP 서비스에 대해 중앙 집중식 보안 관리를 제공합니다. 이것은 ISP 관리자가 다음 기능을 수행할 수 있도록 해줍니다.
관리자에 대한 단일 서명 기능 ISP 관리자는 한 번 Sun Internet Administrator에 로그온하여 인증을 가진 모든 기능에 액세스합니다. ISP 지침에 따라 개발되고 Sun Internet Administrator에서 관리되는 서비스는 이로부터 로그온 정보를 받으므로 사용자가 연속적으로 정보를 요구 받는 일이 없습니다.
관리자의 클라이언트 시스템과 원격 서비스 호스트 간의 보안 통신 선택 사항인 SKIP 소프트웨어를 콘솔에 대한 모든 연결과 콘솔에서 서비스 호스트 시스템으로의 모든 연결에 설치 및 구성할 수 있으므로 이러한 통신의 보안성을 유지할 수 있습니다.
추적을 위한 관리자 동작 로깅 초기 로그온 시도부터 로그아웃까지 각각의 관리자 동작이 syslog 유틸리티를 통해 기록됩니다. 이러한 기능은 문제를 해결하고 책임을 규명할 수 있는 정보를 제공합니다.
기존 ISP 서비스의 원격 관리 Solaris for ISPs와 함께 제공되는 서비스 구성 요소를 네트워크에서의 위치에 관계 없이 모두 Sun Internet Administrator에서 관리할 수 있습니다. 또한 SunTM Internet FTP ServerTM와 SunTM Internet News ServerTM는 3단계 구성 요소이며 Sun Internet Administrator에 구축된 모든 보안 기능을 이용할 수 있습니다. Sun Internet Administrator와의 서비스 상호 작용에 대한 자세한 내용은 "Sun Internet Administrator로 서비스 관리"을(를) 참조하십시오.
기존 서비스에 대한 확장성 ISP는 자체 응용프로그램을 Sun Internet Administrator와 통합하여 Solaris for ISPs에 제공된 서비스와 같은 방식으로 관리할 수 있습니다. 응용프로그램을 Sun Internet Administrator와 통합하는 방법에 대한 자세한 내용은 제 7 장을 참조하십시오.
Solaris for ISPs 호스트 구성 소프트웨어는 다음 기능을 제공합니다.
소프트웨어 설치 관리자는 호스트 구성 소프트웨어를 사용하여 모든 Solaris for ISPs 소프트웨어를 설치하거나 설치 해제합니다. 관리자는 JumpStart 마감 스크립트에 사용할 설치 시나리오를 저장하여 자동으로 설치를 반복할 수 있습니다.
기본 Solaris 구성 보안을 개선하고 자원을 보존하기 위해 필요 없는 Solaris 서비스는 비활성화 됩니다. Solaris의 보안 관련 구성 요소는 ISP 환경에 맞게 구성됩니다.
침입 감지 주기적으로 침입 감지기가 로그 파일을 점검하여 마지막 점검 이후에 시도된 로그온 중 실패한 것이 있는지 알아 봅니다. 침입 시도가 있었다면 감지기는 기록된 데이터를 수집하여 전자 우편과 같은 사용자 지정 통보 체계에 전달합니다.
서버 프로세스 관리 이 cron 작업은 뉴스 서버 등의 서버 프로세스가 실제로 실행되도록 합니다. 서버가 비정상적으로 중단되면 서버 프로세스 관리자가 해당 서버를 시작합니다.
로그 파일 관리 감사 로그 및 시스템 로그는 매일 순환됩니다. 로그 파일 관리 대몬은 매주 로그를 아카이브하며 한 달을 초과한 아카이브는 삭제합니다.
호스트 구성 소프트웨어는 필수 소프트웨어 구성 요소입니다. 이 소프트웨어는 모든 Solaris for ISPs 호스트 시스템에 설치됩니다.
성능 감시 소프트웨어를 사용함으로써 ISP는 가입자의 작업 내역을 ISP 서비스에 에뮬레이트하는 특정 클라이언트 시스템을 설정할 수 있습니다. 성능 감시 애플릿을 웹, 전자 우편, 뉴스, 디렉토리 서비스 서버에 연결하도록 설정하고 가입자의 관점에서 성능 정보를 수집할 수 있습니다. 이 데이터는 감시 호스트 시스템에 수집되며 웹 브라우저에서 볼 수 있습니다.
Sun Internet Services Monitor는 2단계 응용프로그램입니다. 이 프로그램은 Sun Internet Administrator를 통하여 관리할 수 있지만 단일 서명 또는 관리자 인증 기능을 이용할 수 없습니다. 2단계 구조에 대한 자세한 내용은 "Sun Internet Administrator로 서비스 관리"을 참조하십시오.
이 LDAP(Lightweight Directory Access Protocol)를 구현하여 사용자(관리자)와 서비스 구성 정보 모두에 공유 저장소를 제공할 수 있습니다. 관리자도 저장소에 가입자 정보를 저장합니다. 이 Sun Directory Services 릴리스에는 다음 기능이 포함됩니다.
LDAP v3 인터넷 표준 준수
NAS(Network Access Server)를 통하여 네트워크에 연결하는 원격 사용자에 대한 인증을 제공하는 RADIUS(Remote Access Dialup User Service) 서버
기존 NIS 환경에 통합되어 통합 명명 서비스를 제공하는 NIS(Network Information System) 서버
Deja 디렉토리 편집기, 디렉토리 관리용 Java 구현 관리 콘솔 및 모든 브라우저에서의 액세스를 지원하는 웹 게이트웨이가 포함된 완전한 관리 도구 모음
Sun Directory Services는 X 기반 응용프로그램으로 Sun Internet Administrator에서 관리할 수 있습니다.
Sun Directory Services는 디렉토리에 1K(천 개) 항목을 사용허가의 제한 없이 설치합니다. 5K(오천 개) 항목 사용 허가 보증서는 Solaris for ISPs와 함께 제공되며 효력이 발생하기 전에 FlexLM 사용 허가 서버와 함께 이행되고 등록되어야 합니다. 사용 허가 보증서 이행 및 설치에 대한 자세한 내용은 Solaris for ISPs 설치 설명서의 내용을 참조하십시오.
Solaris for ISPs에서 Sun Directory Services의 역할에 대한 내용은 이 책의 제 5 장와 제 6 장을 참조하십시오. Sun Directory Services 설명서는 Sun Directory Services 3.1 Administration Guide와 Sun Directory Services 3.1 User's Guide라는 두 권의 책으로 구성되어 있습니다. 이 두 권의 책은 AnswerBook2TM 패키지로도 제공됩니다. Sun Directory Services Deja 도구에도 완전한 온라인 도움말이 제공됩니다.
SunscreenTM SKIP은 IP 암호화의 키 관리 표준인 SKIP(Simple Key-management for Internet Protocols)를 기초로 합니다. SKIP의 특징은 다음과 같습니다.
자동 보증서 교환
세션 없는 프로토콜
IPv4와 IPv6용의 멀티캐스트 및 단일캐스트 패킷 프로토콜
CDP(Certificate Discovery Protocol)
완전한 SKIP 기술은 북미에서만 사용할 수 있으며 세계의 다른 지역으로 나가는 버전은 따로 제공됩니다. SKIP을 설치하면 매뉴얼 페이지가 /opt/SUNWicp/man에 놓입니다.
FlexLM 사용 허가 서버는 Sun Directory Services에 의해 사용되며 다양한 크기의 사용 허가를 관리합니다. 네트워크에 사용 허가 서버를 이미 설치한 경우(버전 4.1 이상) 이 사용 허가 서버를 Sun Directory Services 사용 허가를 서비스하는 데 사용할 수 있습니다.
Sun Directory Services는 사용 허가를 요구하기 전에 1K(천 개) 항목을 허용합니다. 이 정도면 디렉토리를 설치하고 초기화하는 데 충분합니다. ISP 응용프로그램의 경우에는 그 이상의 항목이 바로 필요하게 됩니다. 사용 허가 키를 획득하고 서버를 구성하려면 Solaris for ISPs 설치 설명서의 지시를 따르십시오.
설치하고 나면 FlexLM 매뉴얼 페이지가 /opt/SUNWste/licene_tools/man에 놓입니다.
HotJava 브라우저는 Solaris for ISPs와 함께 제공되어 Sun Internet Administrator와 제품의 다른 관리 사용자 인터페이스를 지원합니다. 이 제품은 다음 인터넷 표준과 프로토콜을 지원합니다.
Java Development Kit 1.1.6
HTTP 1.1 프로토콜
HTML 3.2
표 및 프레임
지속적인 쿠키
GIF 및 JPEG 매체 형식
AU 오디오 형식
FTP 및 Gopher 파일 전송 프로토콜
SMTP 및 MIME 전자 우편 프로토콜
SOCKS 프로토콜
SSL(Secure Sockets Layer) 3.0
JAR(Java Archive) 형식
JDK(Java Development Kit)는 Solaris for ISPs와 함께 제공되어 제품에서 Java의 사용을 지원합니다. JDK 버전 1.1.5에는 다음과 같은 새로운 기능이 포함되어 있습니다.
국제화
서명된 애플릿
JAR 파일 형식
AWT(윈도우 툴킷) 강화
JavaBeansTM 구성 요소 모델
네트워킹 강화
큰 수에 사용하는 Math 패키지
RMI(Remote Method Invocation)
반영
데이터베이스 연결성(JDBC)
이 Solaris for ISPs 버전의 서비스에는 다음이 포함됩니다.
SunTM WebServerTM (SWS)
SunTM Internet News ServerTM
SunTM Internet FTP ServerTM
그래픽 사용자 인터페이스뿐 아니라 모든 ISP 서비스도 스크립트를 위한 완전한 명령줄 액세스를 제공합니다.
SWS는 인터넷, 익스트라넷 또는 인트라넷에서 정보를 액세스, 관리 및 배포하는 신뢰성 있는 표준 보안 웹 서버입니다. 이 SWS 릴리스에 추가된 기능은 다음과 같습니다.
HTTP/1.1 지원 SWS는 명명된 가상 호스트와 컨텐트 절충을 포함하여 최신 버전의 하이퍼텍스트 전송 프로토콜을 지원합니다.
강화된 확장성 서버 프로세스의 여러 인스턴스를 하나의 시스템에서 실행하고 동일한 관리 그래픽 사용자 인터페이스에서 관리할 수 있습니다. 따라서 사용할 수 있는 가상 호스트의 수는 기하학적으로 늘어나게 됩니다.
Java Servlet 지원 보다 일반적인 CGI 스크립트가 아닌 Servlet을 사용하면 처리 속도를 향상시키면서도 서버에서 플랫폼에 구애 받지 않는 Java의 이점을 이용할 수 있습니다.
보안 HTTP 통신 SWS는 SSL(secure-socket layer) 기능을 포함하며 안전하고 암호화된 통신을 위해 Verisign 보증서를 지원합니다.
Microsoft FrontPage 지원 SWS는 작성, 관리 및 동적 컨텐트의 영역에 널리 사용되는 FrontPage 확장 기능을 지원합니다.
SWS는 2단계 응용프로그램입니다. 이 프로그램은 Sun Internet Administrator를 통해 관리할 수 있지만 단일 서명 기능을 이용할 수는 없습니다. 이 프로그램은 Sun Internet Administrator와 관리자 데이터를 공유하도록 구성되었습니다. 이 구성에 대한 자세한 내용은 제 7 장을(를), 2단계 구조에 대한 자세한 내용은 "Sun Internet Administrator로 서비스 관리"을(를) 참조하십시오.
Sun Internet News Server는 고성능의 확장성이 큰 뉴스 서버입니다. 주요 기능은 다음과 같습니다.
고성능의 클라이언트 연결 확장성 다중 스레드, 다중 프로세스 대몬이 클라이언트 연결을 처리하며, 이 때 동시에 많은 수의 뉴스 독자 연결을 처리할 수 있는 확장성을 제공하는 다중 프로세서 Solaris 서버를 이용합니다.
완전한 기능을 갖춘 뉴스 공급 처리 Internet Software Consortium의 INN(INN 릴리스 1.5 sec. 2)을 기초로 하여, Sun Internet News Server는 뉴스 공급 처리 영역에서 해당 구현에 대한 모든 유용성 개선 사항을 유지합니다.
개별 공급 처리와 뉴스 독자 서비스 기능 뉴스 독자에 대한 서비스는 공급 처리 기능과 분리되어 뉴스 독자 연결 처리의 수평적 확장성을 활성화합니다.
중앙 집중식 브라우저 기반 관리 Sun Internet News Server는 완전한 보안 기능과 중앙 집중식 관리를 위해 Sun Internet Administrator와 통합된 3단계 서비스입니다. 3단계 구조에 대한 자세한 내용은 "Sun Internet Administrator로 서비스 관리"을(를) 참조하십시오.
이 확장 가능한 고성능 FTP 서버는 다음과 같은 향상 기능을 제공합니다.
단일 호스트에서의 다중 도메인 Sun Internet FTP Server는 IP 기반 가상 호스팅을 제공합니다. 각각의 가상 호스트는 특정 도메인에 대해 서버를 조정하는 고유 구성 파일을 가집니다.
구성 가능한 사용자 인증 Sun Internet FTP Server는 UNIX 계정이나 SunDS 레지스트리의 항목을 사용하여 관리자를 인증할 수 있습니다.
중앙 집중식 브라우저 기반 관리 Sun Internet FTP Server는 완전한 보안 기능과 중앙 집중식 관리를 위해 Sun Internet Administrator와 통합된 3단계 서비스입니다. 3단계 구조에 대한 자세한 내용은 "Sun Internet Administrator로 서비스 관리"을(를) 참조하십시오.
일반적인 UNIX 서버는 다양한 응용프로그램을 실행해야 하므로 기본 Solaris 설치에서는 대부분의 UNIX 서비스가 필요하다고 가정합니다. ISP는 공용 환경에서의 특정 서비스 제공이라는 보다 좁은 범위에 초점을 맞춥니다. ISP에는 강력한 성능과 보안이 요구됩니다.
Solaris를 필요에 맞게 구성하기 위해 일반적으로 ISP 관리자는 면밀한 강화 및 조정 작업을 수행합니다. 필요 없는 Solaris 서비스를 중지하고 파일 권한을 변경하여 보안 침해 가능성을 차단합니다. 이것을 처리하는데 몇 시간이 소요됩니다.
Solaris for ISPs 호스트 구성 소프트웨어는 관리자를 위하여 이 강화 및 조정 과정을 자동화합니다. 필요한 소프트웨어 패키지를 적당한 위치에 복사하는 작업 외에도 Solaris 보안 및 로깅 체계를 구성할 뿐 아니라, 파일 소유자와 모드를 적절하게 변경하여 기본 Solaris 2.6을 강화합니다. 이 프로세스의 최종 단계는 주어진 호스트 시스템의 목적을 지원하지 않을 경우 finger 또는 rlogin과 같은 표준 Solaris 서비스를 선택적으로 비활성화하는 것입니다.
Solaris for ISPs 호스트 구성을 그래픽 사용자 인터페이스를 사용하여 대화식으로 수행하거나 JumpStart를 사용하여 대화 방식을 사용하지 않고 반복적으로 수행할 수 있습니다.
시스템의 현재 상태, 설치하여 사용할 수 있는 소프트웨어 구성 요소가 어떤 것이고 사용자가 설치나 설치 해제용으로 선택한 것이 무엇인지에 대한 시나리오를 구축하면 구성 프로세스가 작동됩니다.
호스트 구성 소프트웨어도 필요에 따라 설치 후 호스트 재구성, 서비스의 추가 및 제거에 사용될 수 있습니다.
대화식 호스트 구성(그래픽 사용자 인터페이스 사용)은 구성 시나리오를 이진 파일 및 몇몇 관련 파일 형태로 저장할 수 있는 옵션을 제공합니다. ISP 관리자는 시나리오를 작성하고 저장한 다음 이를 비대화식, 한 단계 설치를 수행하는 JumpStartTM 마감 스크립트에 사용할 수 있습니다. 이러한 JumpStart 설치는 반복 가능하며 동일한 구성을 할 때 사용될 수 있습니다.
JumpStart는 지역적으로나 원격으로 Solaris를 사용자 정의하여 반복적으로 설치할 수 있는 Solaris 운영 체제의 한 부분입니다. 사용자 정의 JumpStart 설치를 작성하는 자세한 방법은 Solaris Advanced Installation Guide를 참조하십시오. 사용자 정의 JumpStart 설치를 위하여 마감 스크립트에 시나리오 파일을 사용하는 방법은 이 책의 2장을 참조하십시오.
Sun Internet Administrator는 지역적으로나 호스트 네트워크를 통해서 모든 ISP 서비스에 중앙 집중식 보안 관리를 제공합니다. 또한 권한을 가진 관리자가 요청하면 개별 서비스의 관리 GUI(현재 위치)를 시작합니다. 적절한 곳에서 명령줄 인터페이스도 액세스할 수 있습니다.
Sun Internet Administrator는 다음과 같은 보안 기능을 제공합니다.
관리자 인증 관리자는 GUI에 액세스할 때 유효한 사용자 이름과 암호가 필요합니다.
관리자 액세스 제어 액세스는 ISP 서비스별로 제어됩니다. 네트워크에서 FTP 서버를 관리할 수 있는 권한을 가진 관리자는 뉴스 서버에 액세스할 수도 있고 액세스할 수 없을 수도 있습니다. 콘솔 관리자(Sun Internet Administrator 프로세스를 관리할 수 있는 관리자)는 Sun Internet Administrator에서 관리하는 모든 서비스에 액세스할 수 있습니다.
중앙 감사 관리자의 동작이 추적과 책임 규명을 위해 기록됩니다.
모든 네트워크 트래픽에 대한 프라이버시 및 무결성 보호 선택 사항인 SKIP 소프트웨어를 구성하여 Sun Internet Administrator와의 모든 연결을 보호할 수 있습니다. SSL도 보안 HTTP 트래픽에 사용될 수 있습니다.
Sun Internet Administrator는 2단계와 3단계의 두 개 구조로 서비스를 지원합니다. 3단계 구조만이 위에 나열된 모든 보안 기능을 이용할 수 있습니다. 다음과 같은 네 가지 서비스 UI 유형이 제공됩니다.
3단계, 브라우저 기반 응용프로그램은 Sun Internet Administrator에서 제공하는 모든 보안 기능을 이용할 수 있습니다.
2단계, 브라우저 기반 응용프로그램은 단일 서명 기능을 사용할 수 없지만 Sun Internet Administrator를 통해 관리할 수는 있습니다. SWS를 사용하여 관리 응용프로그램을 지원하는 경우 이를 구성하여 관리자 인증을 제공할 수 있습니다. 이러한 구성에 대한 자세한 내용은 제 7 장 참조하십시오. 2단계 구조는 레거시 응용프로그램을 지원하기 위해 포함된 것입니다.
X 기반 응용프로그램은 3단계 응용프로그램의 모든 기능을 이용할 수 있습니다.
명령줄 기능(스크립트, 프로그램 또는 그 조합)은 3단계 응용프로그램의 모든 기능을 이용할 수 있습니다. 이들은 개수에 제한 받지 않고 주어진 서비스에 등록되고 Sun Internet Administrator에서 관리될 수 있어서 명령줄 프로그램에 웹 인터페이스를 구축합니다.
권장된 3단계 브라우저 기반 응용프로그램 구조는 모든 Sun Internet Administrator 보안 기능을 이용할 수 있습니다.
그림 1-3에서 볼 수 있듯이 관리자는 다음 단계를 이용하여 서비스 관리 기능에 액세스합니다.
브라우저에서 관리자가 특정 URL을 요청합니다(주 Sun Internet Administrator GUI 페이지 위치).
AWC가 클라이언트 브라우저에 다운로드되므로 관리자는 관리할 서비스를 선택할 수 있습니다.
Sun Internet Administrator는 관리자에게 사용자 이름과 암호를 요구합니다. 관리자는 콘솔 GUI;에 액세스하기 위해 UNIX 계정을 사용할 필요가 없는데 이것은 디렉토리 서비스 저장소(Sun Directory Services)가 Sun Internet Administrator 관리자 정보를 관리하기 때문입니다. 이 연결은 보안 HTTP 사용에 의해 보호됩니다.
선택된 서비스는 서비스의 ASCA를 가리키는 URL로 분해됩니다. 서버 에이전트 GUI가 이에 대한 응답으로 다운로드됩니다. 이 단계에서 제어가 서비스 관리 프로그램으로 전달됩니다.
연속적인 액세스가 클라이언트 브라우저와 AWS의 구성 요소 서버 에이전트 사이에 직접 이루어집니다.
AWS는 디렉토리 서비스에 대해 관리자를 인증하며 각각의 관리자 요청을 로깅합니다. 관리자의 액세스가 적합할 경우 요청은 ASRA에 전달됩니다.
ASCA는 서비스 개발자가 선택한 프로토콜을 통하여 ASRA와 통신합니다. 이 연결과 트래픽을 보호하기 위해 적절한 IP 레벨 보안 방법이 취해져야 합니다.
ASRA는 다시 관리자를 인증하고 관리자의 각 동작을 기록합니다. 네트워크 통신을 보호하기 위해 필요한 경우 ISP는 SKIP을 사용하여 IP 레벨 암호화를 추가할 수 있습니다.
명령줄과 X 기반 프로그램을 위한 ASCA와 ASRA 모듈이 Solaris for ISPs에 제공됩니다. Sun Internet Administrator는 이들 응용프로그램을 등록할 때 이 모듈을 자동으로 사용합니다.
일부 응용프로그램 특히 기존 서비스의 경우, Sun Internet Administrator를 사용하여 액세스하는 2단계 구조가 보다 실용적입니다. 이들 서비스는 Sun Internet Administrator에서 관리할 수 있지만 단일 서명 기능 및 로깅과 같은 보안 기능을 이용할 수 없습니다.
그림 1-4에서 볼 수 있듯이 관리자는 다음 단계를 사용하여 서비스 관리자 기능에 액세스합니다.
브라우저에서 관리자가 특정 URL(주 콘솔 GUI 페이지 위치)을 요청합니다.
이 단계는 3단계 구조에서와 같습니다. AWC가 클라이언트 브라우저에 다운로드되므로 여기에서 관리자는 관리할 서비스를 선택할 수 있습니다.
선택된 서비스는 구성 요소의 ASRA를 가리키는 URL로 분해됩니다. 서비스의 관리 GUI가 브라우저 기반이 아닐 경우 다른 프로토콜이 개발자 선택에 따라 사용될 수 있습니다.
연속적인 액세스가 클라이언트 브라우저와 서비스의 원격 에이전트 사이에 직접 이루어집니다. 이 연결과 트래픽을 보호하기 위해 적절한 IP 레벨 보안 방법이 취해집니다.
2단계 구조에서 서비스는 단일 서명 기능을 사용할 수 없습니다.