Trusted Extensions에서 장치 관리(작업 맵)

다음 작업 맵에서는 사이트에서 장치를 보호하는 절차를 설명합니다.

작업	설명	수행 방법
장치 정책을 설정하거나 수정합니다.	장치에 액세스하는 데 필요한 권한을 변경합니다.	System Administration Guide: Security Services의 Configuring Device Policy (Task Map)
장치를 할당할 수 있는 인증을 사용자에게 부여합니다.	보안 관리자 역할은 Allocate Device(장치 할당) 인증이 있는 프로파일을 사용자에게 할당합니다.	System Administration Guide: Security Services의 How to Authorize Users to Allocate a Device
장치를 할당할 수 있는 인증을 사용자에게 부여합니다.	보안 관리자 역할은 사이트별 인증이 있는 프로파일을 사용자에게 할당합니다.	Trusted Extensions에서 장치 인증 사용자 정의(작업 맵)
장치를 구성합니다.	장치를 보호하기 위한 보안 기능을 선택합니다.	Trusted Extensions에서 장치를 구성하는 방법
장치를 해지하거나 재생 이용합니다.	Device Allocation Manager(장치 할당 관리자)로 장치를 사용할 수 있게 만듭니다.	Trusted Extensions에서 장치를 해지하거나 재생 이용하는 방법
장치를 해지하거나 재생 이용합니다.	Oracle Solaris 명령으로 장치를 사용할 수 있게 만들거나 사용할 수 없게 만듭니다.	System Administration Guide: Security Services의 Forcibly Allocating a Device System Administration Guide: Security Services의 Forcibly Deallocating a Device
할당 가능한 장치에 대한 액세스를 금지합니다.	장치에 대한 세분화된 액세스 제어를 제공합니다.	예 17-4
할당 가능한 장치에 대한 액세스를 금지합니다.	할당 가능한 장치에 대한 모든 사용자의 액세스를 거부합니다.	예 17-1
프린터와 프레임 버퍼를 보호합니다.	할당 불가능한 장치를 할당할 수 없게 합니다.	Trusted Extensions에서 할당 불가능한 장치를 보호하는 방법
직렬 로그인 장치를 구성합니다.	직렬 포트로 로그인을 활성화합니다.	로그인을 위한 직렬 회선을 구성하는 방법
CD 플레이어 프로그램이 사용되게 활성화합니다.	음악 CD를 넣으면 오디오 플레이어 프로그램이 자동으로 열리게 활성화합니다.	Trusted CDE에서 사용할 오디오 플레이어 프로그램을 구성하는 방법
File Manager(파일 관리자)가 표시되지 않게 합니다.	장치가 할당된 후 File Manager(파일 관리자)가 표시되지 않게 합니다.	장치 할당 후 File Manager(파일 관리자)가 표시되지 않게 하는 방법
새 device-clean 스크립트를 사용합니다.	적당한 위치에 새 스크립트를 넣습니다.	Trusted Extensions에서 Device_Clean 스크립트를 추가하는 방법

Trusted Extensions에서 장치를 구성하는 방법

기본적으로 할당 가능한 장치는 ADMIN_LOW ~ ADMIN_HIGH의 레이블 범위를 가지며 사용하도록 할당되어야 합니다. 또한 장치를 할당할 수 있는 인증이 사용자에게 있어야 합니다. 이러한 기본값을 변경할 수 있습니다.

다음 장치를 사용하도록 할당할 수 있습니다.

audion – 마이크로폰 및 스피커를 나타냅니다.
cdromn – CD-ROM 드라이브를 나타냅니다.
floppyn – 디스켓 드라이브를 나타냅니다.
mag_tapen – 테이프 드라이브(스트리밍)를 나타냅니다.
rmdiskn – 이동식 디스크(예: JAZ 또는 ZIP 드라이브) 또는 USB 핫플러그 가능 매체를 나타냅니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Trusted Path(신뢰할 수 있는 경로) 메뉴에서 Allocate Device(장치 할당)를 선택합니다.
Device Allocation Manager(장치 할당 관리자)가 나타납니다.
기본 보안 설정을 확인합니다.
Device Administration(장치 관리)을 누르고 장치를 강조 표시합니다. 다음 그림은 기본 보안 설정의 CD-ROM 드라이브를 보여줍니다.
(옵션) 장치의 레이블 범위를 제한합니다.
1. 최소 레이블을 설정합니다.
  Min Label(최소 레이블)... 버튼을 누릅니다. 레이블 구축기에서 최소 레이블을 선택합니다. 레이블 구축기에 대한 자세한 내용은 Trusted Extensions의 레이블 구축기를 참조하십시오.
2. 최대 레이블을 설정합니다.
  Max Label(최대 레이블)... 버튼을 누릅니다. 레이블 구축기에서 최대 레이블을 선택합니다.
장치를 로컬로 할당할 수 있는지 여부를 지정합니다.
Device Allocation Configuration(장치 할당 구성) 대화 상자의 For Allocations From Trusted Path(신뢰할 수 있는 경로에서 할당)에 있는 Allocatable By(가능한 할당자) 목록에서 옵션을 선택합니다. 기본적으로 Authorized Users(인증된 사용자) 옵션이 선택되어 있습니다. 따라서 장치는 할당 가능하며 사용자가 인증되어야 합니다.
- 장치를 할당할 수 없게 하려면 No Users(사용자 없음)를 누릅니다.
  할당할 수 없어야 하는 프린터, 프레임 버퍼 또는 기타 장치를 구성할 때 No Users(사용자 없음)를 선택합니다.
- 인증 없이도 장치를 할당할 수 있게 하려면 All Users(모든 사용자)를 누릅니다.
장치를 원격으로 할당할 수 있는지 여부를 지정합니다.
For Allocations From Non-Trusted Path(신뢰할 수 없는 경로에서 할당) 구역에 있는 Allocatable By(가능한 할당자) 목록에서 옵션을 선택합니다. 기본적으로 Same As Trusted Path(신뢰할 수 있는 경로와 같음) 옵션이 선택되어 있습니다.
- 사용자 인증이 필요하도록 하려면 Allocatable by Authorized Users(인증된 사용자가 할당 가능)를 선택합니다.
- 원격 사용자가 장치를 할당할 수 없게 하려면 No Users(사용자 없음)를 선택합니다.
- 누구나 장치를 할당할 수 있게 하려면 All Users(모든 사용자)를 선택합니다.
장치를 할당할 수 있고 사이트에서 새 장치 인증을 만든 경우 적당한 인증을 선택합니다.
다음 대화 상자는 cdrom0 장치를 할당하려면 solaris.device.allocate 인증이 필요함을 나타냅니다.

사이트별 장치 인증을 만들고 사용하려면 Trusted Extensions에서 장치 인증 사용자 정의(작업 맵)를 참조하십시오.
변경 사항을 저장하려면 OK(확인)를 누릅니다.

Trusted Extensions에서 장치를 해지하거나 재생 이용하는 방법

장치가 Device Allocation Manager(장치 할당 관리자)에 나열되지 않을 경우 이미 할당되었거나 할당 오류 상태일 수 있습니다. 시스템 관리자는 사용할 장치를 복구할 수 있습니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 이 역할에는 solaris.device.revoke 인증이 포함됩니다.

Trusted Path(신뢰할 수 있는 경로) 메뉴에서 Allocate Device(장치 할당)를 선택합니다.
다음 그림에서는 오디오 장치가 이미 사용자에게 할당되었습니다.
Device Administration(장치 관리) 버튼을 누릅니다.
장치의 상태를 확인합니다.
장치 이름을 선택하고 State(상태) 필드를 확인합니다.
- State(상태) 필드가 Allocate Error State(할당 오류 상태)인 경우 Reclaim(재생 이용) 버튼을 누릅니다.
- State(상태) 필드가 Allocated(할당됨)인 경우 다음 중 하나를 수행합니다.
  - Owner(소유자) 필드의 사용자에게 장치를 할당 해제하도록 요청합니다.
  - Revoke(해지) 버튼을 눌러 장치를 강제로 할당 해제합니다.
Device Allocation Manager(장치 할당 관리자)를 닫습니다.

Trusted Extensions에서 할당 불가능한 장치를 보호하는 방법

Device Configuration(장치 구성) 대화 상자의 Allocatable By(가능한 할당자) 구역에 있는 No Users(사용자 없음) 옵션은 사용을 위해 할당할 필요가 없는 프레임 버퍼와 프린터에 가장 자주 사용됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Trusted Path(신뢰할 수 있는 경로) 메뉴에서 Allocate Device(장치 할당)를 선택합니다.
Device Allocation Manager(장치 할당 관리자)에서 Device Administration(장치 관리) 버튼을 누릅니다.
새 프린터나 프레임 버퍼를 선택합니다.
1. 장치를 할당할 수 없게 하려면 No Users(사용자 없음)를 누릅니다.
2. (옵션) 장치의 레이블 범위를 제한합니다.
  1. 최소 레이블을 설정합니다.
    Min Label(최소 레이블)... 버튼을 누릅니다. 레이블 구축기에서 최소 레이블을 선택합니다. 레이블 구축기에 대한 자세한 내용은 Trusted Extensions의 레이블 구축기를 참조하십시오.
  2. 최대 레이블을 설정합니다.
    Max Label(최대 레이블)... 버튼을 누릅니다. 레이블 구축기에서 최대 레이블을 선택합니다.

예 17-1 오디오 장치의 원격 할당 금지

Allocatable By(가능한 할당자) 구역의 No Users(사용자 없음) 옵션은 원격 사용자가 원격 시스템 주변의 대화를 들을 수 없도록 합니다.

보안 관리자는 Device Allocation Manager(장치 할당 관리자)에서 오디오 장치를 다음과 같이 구성합니다.

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate

Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

로그인을 위한 직렬 회선을 구성하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Files(파일) 범위에서 Solaris Management Console을 엽니다.
그림 17-1 Solaris Management Console의 Serial Ports(직렬 포트) 도구
Devices and Hardware(장치 및 하드웨어)에서 Serial Ports(직렬 포트)로 이동합니다.
암호를 입력하라는 메시지가 나타나면 암호를 제공합니다. 온라인 도움말에 따라 직렬 포트를 구성합니다.
기본 레이블 범위를 변경하려면 Device Allocation Manager(장치 할당 관리자)를 엽니다.
기본 레이블 범위는 ADMIN_LOW ~ ADMIN_HIGH입니다.

예 17-2 직렬 포트의 레이블 범위 제한

직렬 로그인 장치를 만든 후 보안 관리자는 직렬 포트의 레이블 범위를 단일 레이블인 Public으로 제한합니다. 관리자는 Device Administration(장치 관리) 대화 상자에서 다음 값을 설정합니다.

Device Name: /dev/term/[a|b]
Device Type: tty
Clean Program: /bin/true
Device Map: /dev/term/[a|b]
Minimum Label: Public
Maximum Label: Public
Allocatable By: No Users

Trusted CDE에서 사용할 오디오 플레이어 프로그램을 구성하는 방법

다음은 사용자가 음악 CD를 넣으면 Trusted CDE 작업 공간에서 오디오 플레이어가 자동으로 열리게 하는 절차입니다. 사용자의 절차는 Oracle Solaris Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당하는 방법에 나와 있는 예를 참조하십시오.

주 - 사용자는 신뢰할 수 없는 작업 공간에서 휴대용 매체의 동작을 지정할 때와 같이 Trusted JDS 작업 공간에서 해당 동작을 지정합니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

/etc/rmmount.conf 파일을 편집합니다.
신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
사이트의 CD 플레이어 프로그램을 파일의 cdrom 작업에 추가합니다.
```
action media action_program.so path-to-program
```

예 17-3 사용할 오디오 플레이어 프로그램 구성

다음 예에서 시스템 관리자는 시스템의 모든 사용자가 workman 프로그램을 사용할 수 있도록 합니다. workman 프로그램은 오디오 플레이어 프로그램입니다.

# /etc/rmmount.conf file
action cdrom action_workman.so /usr/local/bin/workman

장치 할당 후 File Manager(파일 관리자)가 표시되지 않게 하는 방법

기본적으로 장치가 마운트되면 File Manager(파일 관리자)가 표시됩니다. 파일 시스템이 있는 장치를 마운트하지 않는 경우 File Manager(파일 관리자)가 표시되지 않도록 할 수 있습니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

/etc/rmmount.conf 파일을 편집합니다.
신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.

다음 filemgr 작업을 찾습니다.

action cdrom action_filemgr.so
action floppy action_filemgr.so

해당하는 작업을 주석 처리합니다.
다음 예에서는 cdrom 및 diskette 장치에 대한 action_filemgr.so 작업이 주석 처리되었습니다.
```
# action cdrom action_filemgr.so
# action floppy action_filemgr.so
```
CDROM이나 디스켓이 할당될 때는 File Manager(파일 관리자)가 표시되지 않습니다.

Trusted Extensions에서 Device_Clean 스크립트를 추가하는 방법

장치가 만들어질 때 device_clean 스크립트를 지정하지 않을 경우 기본 스크립트인 /bin/true가 사용됩니다.

시작하기 전에

물리적 장치에서 사용 가능한 데이터를 모두 비우고 성공 시 0을 반환하는 스크립트를 준비합니다. 휴대용 매체가 있는 장치의 경우 사용자가 매체를 꺼내지 않으면 스크립트에서 매체 꺼내기를 시도합니다. 매체가 꺼내지지 않을 경우 스크립트는 장치를 할당 오류 상태로 설정합니다. 요구 사항에 대한 자세한 내용은 device_clean(5) 매뉴얼 페이지를 참조하십시오.

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

스크립트를 /etc/security/lib 디렉토리에 복사합니다.
Device Administration(장치 관리) 대화 상자에서 스크립트의 전체 경로를 지정합니다.
1. Device Allocation Manager(장치 할당 관리자)를 엽니다.
2. Device Administration(장치 관리) 버튼을 누릅니다.
3. 장치의 이름을 선택하고 Configure(구성) 버튼을 누릅니다.
4. Clean Program(정리 프로그램) 필드에 스크립트의 전체 경로를 지정합니다.
변경 사항을 저장합니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어)