Sun Cluster Geographic Edition 시스템 관리 설명서

4장 액세스 및 보안 관리

이 장에서는 액세스 및 보안 관리 방법에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

Sun Cluster Geographic Edition 소프트웨어와 RBAC

이 절에서는 Sun Cluster Geographic Edition 소프트웨어에서의 역할 기반 액세스 제어(RBAC)에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

RBAC 설정 및 사용하기

Sun Cluster Geographic Edition 소프트웨어는 RBAC 프로파일을 Sun Cluster 소프트웨어에서 사용되는 RBAC 권한 프로파일에 기초를 둡니다. Sun Cluster 소프트웨어를 사용한 RBAC 설정 및 사용에 대한 일반 정보는 Sun Cluster System Administration Guide for Solaris OS의 2 장, Sun Cluster and RBAC를 참조하십시오.

Sun Cluster Geographic Edition 소프트웨어는 다음의 새로운 RBAC 엔티티를 /etc/security 디렉토리의 적당한 파일에 추가합니다.

auth_attr의 RBAC 권한 이름
prof_attr의 RBAC 실행 프로파일
exec_attr의 RBAC 실행 속성

주 –

auth_attr 및 prof_attr 데이터베이스에 대한 기본 검색 순서는 files nis이며, 이는 /etc/nsswitch.conf 파일에 정의됩니다. 사용자 환경에서 검색 순서를 사용자 정의한 경우 files가 검색 목록에 있는지 확인합니다. 검색 목록에 있는 files는 시스템이 Sun Cluster Geographic Edition가 정의한 RBAC 엔티티를 찾을 수 있도록 합니다.

RBAC 권한 프로파일

Sun Cluster Geographic Edition CLI 및 GUI는 RBAC 권한을 사용하여 조작에 대한 일반 사용자 액세스를 제어합니다. 이러한 권한에 대한 일반적 규약은 표 4–1에 설명되어 있습니다.

표 4–1 Sun Cluster Geographic Edition RBAC 권한 프로파일


권한 프로필	포함된 권한 부여	역할 식별 권한
Geo Management	`solaris.cluster.geo.read`	Sun Cluster Geographic Edition 엔티티에 대한 정보 읽기
	`solaris.cluster.geo.admin`	Sun Cluster Geographic Edition 소프트웨어를 사용한 관리 작업 수행
	`solaris.cluster.geo.modify`	Sun Cluster Geographic Edition 소프트웨어의 구성 수정
기본 Solaris 사용자	Solaris 권한	기본 Solaris 사용자 역할 ID가 수행할 수 있는 동일한 조작 수행
기본 Solaris 사용자	`solaris.cluster.geo.read`	Sun Cluster Geographic Edition 엔티티에 대한 정보 읽기

사용자의 RBAC 등록 정보 수정

사용자에 대한 RBAC 권한을 수정하려면 루트 사용자로 로그인하거나 기본 관리자 권한 프로파일을 지정한 역할로 전환해야 합니다.

예를 들어 다음과 같이 Geo Management RBAC 프로파일을 사용자 admin에게 지정할 수 있습니다.

# usermod -P "Geo Management" admin
# profiles admin
Geo Management
Basic Solaris User
#

사용자에 대한 RBAC 등록 정보 수정 방법에 대한 자세한 정보는 Sun Cluster System Administration Guide for Solaris OS의 2 장, Sun Cluster and RBAC를 참조하십시오.

보안 인증서를 사용한 보안 클러스터 통신 구성

파트너 클러스터 사이의 보안 통신을 위해 Sun Cluster Geographic Edition 소프트웨어를 구성해야 합니다. 구성은 상호 보완적이어야 하므로 클러스터 cluster-paris는 해당 파트너 클러스터 cluster-newyork을 트러스트하도록 구성해야 하고 클러스터 cluster-newyork은 해당 파트너 cluster-paris를 트러스트하도록 구성해야 합니다.

GUI를 사용하여 Sun Cluster Geographic Edition 소프트웨어를 사용 중인 경우 루트 암호가 두 파트너 클러스터의 모든 노드에서 동일해야 합니다.

파트너 클러스터의 보안 인증 설정에 대한 내용은 파트너 클러스터 간 트러스트 구성을 참조하십시오.

클러스터 구성 예에 대한 자세한 내용은 Sun Cluster Geographic Edition 클러스터 구성 예를 참조하십시오.

IPsec를 사용한 보안 클러스터 통신 구성

IPsec(IP Security Architecture)를 사용하여 파트너 클러스터 사이의 보안 통신을 구성할 수 있습니다. IPsec를 사용하면 IP를 사용하여 통신하는 시스템 사이에 보안 데이터그램 인증, 실제 데이터 암호화 또는 둘 다를 허용하거나 요구하는 정책을 설정할 수 있습니다. 다음 클러스터 통신에 대한 IPsec 사용을 고려하십시오.

데이터 통신에 Sun StorEdge Availability Suite 3.2.1 소프트웨어를 사용하는 경우, 보안 Sun StorEdge Availability Suite 3.2.1 통신
보안 TCP/UDP 하트비트 통신

Sun Cluster 소프트웨어와 Sun Cluster Geographic Edition 소프트웨어는 수동 키만을 사용하여 IPsec를 지원합니다. 키는 서버 및 클라이언트 IP 주소의 각 조합에 대해 클러스터 노드에 수동으로 저장되어야 합니다. 키는 또한 각 클라이언트에 수동으로 저장되어야 합니다.

IPsec 구성 매개변수에 대한 전체 설명은 System Administration Guide: IP Services 를 참조하십시오.

보안 클러스터 통신에 대해 IPsec 구성 방법

Sun Cluster Geographic Edition 기반 구조에서 논리 호스트의 호스트 이름이 클러스터의 이름과 동일해야 합니다. 논리 호스트 이름은 특별한 HA 자원입니다. 클러스터 구성에 따라 여러 가지 Sun Cluster Geographic Edition 구성 요소에 많은 IP 주소를 설정해야 합니다.

각 파트너 클러스터에서 실제 노드에서 논리 호스트 이름 주소로의 인바운드 및 아웃바운드 패킷 교환을 위해 암호화 및 권한 부여를 구성해야 합니다. 이들 주소의 IPsec 구성 매개변수에 대한 값은 파트너 클러스터 사이에 일관성이 있어야 합니다.

IPsec는 다음 두 구성 파일을 사용합니다.

IPsec 정책 파일, /etc/inet/ipsecinit.conf. 인증되고 암호화된 하트비트를 지원하기 위한 지시적 규칙을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터에서 서로 다릅니다.
IPsec 키 파일, /etc/init/secret/ipseckeys. 특정 인증 및 암호화 알고리즘을 위한 키 파일을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터 모두에서 동일합니다.

다음 절차에서는 다른 클러스터 cluster-newyork과의 IPsec 보안 통신을 위해 클러스터 cluster-paris를 구성합니다. 두 클러스터는 Solaris OS 9 릴리스를 실행 중입니다. 이 절차는 cluster-paris의 로컬 논리 호스트 이름이 lh-paris-1이고 원격 논리 호스트 이름이 lh-newyork-1이라고 가정합니다. 인바운드 메시지는 lh-paris-1로 보내지고 아웃바운드 메시지는 lh-newyork-1로 보내집니다.

cluster-paris의 각 노드에서 다음 절차를 사용하십시오.

기본 클러스터 phys-paris-1의 첫 번째 노드에 수퍼유저로 로그인합니다.

phys-paris-1이 어느 노드인지 확인하려면 Sun Cluster Geographic Edition 클러스터 구성 예를 참조하십시오.

IPsec 정책 파일에서 로컬 주소 및 원격 주소에 대한 항목을 설정합니다.

정책 파일은 /etc/inet/ipsecinit.conf에 있습니다. 이 파일에 대한 권한은 644여야 합니다. 이 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.

Sun Cluster Geographic Edition 소프트웨어가 지원하는 이름 및 값에 대한 정보는 부록 B, Sun Cluster Geographic Edition 엔티티의 합법적 이름 및 값를 참조하십시오.
1. 통신 정책을 구성합니다.
  
  tcp_udp 플러그인의 기본 포트는 2084입니다. /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml 파일에서 이 값을 지정할 수 있습니다.
  
  다음 명령은 권한 부여 또는 암호화 알고리즘에 대한 환경 설정 없는 정책을 구성합니다.
  # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
  보조 클러스터 cluster-newyork에서 통신 정책을 구성할 때 정책을 반전해야 합니다.
  # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
2. 노드를 재부트하거나 다음 명령을 실행하여 정책을 추가합니다.
  # ipsecconf -a /etc/inet/ipsecinit.conf

인바운드 및 아웃바운드 통신을 위한 암호화 및 인증 키를 설정합니다.

통신 파일은 /etc/init/secret/ipseckeys에 위치합니다. 파일에 대한 권한은 600이어야 합니다.

다음 키를 추가합니다.

# ipseckey -f /etc/init/secret/ipseckeys

키 항목은 다음 일반 형식을 갖습니다.

# inbound to cluster-paris
add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \
encrkey <paris-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \
authkey <paris-authkey-value>

# outbound to cluster-newyork
add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \
<newyork-encr-algorithm> encrkey <newyork-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \
<newyork-auth-algorithm> authkey <newyork-authkey-value>

통신 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.