탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
Trusted Extensions에서 파일 공유 및 마운트
Trusted Extensions에서 NFS 마운트된 디렉토리에 액세스
Trusted Extensions에서 홈 디렉토리 만들기
Trusted Extensions의 자동 마운트 변경 사항
Trusted Extensions 소프트웨어 및 NFS 프로토콜 버전
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
다음 작업 맵에서는 레이블이 있는 파일 시스템에서 데이터를 백업 및 복원하고, 레이블이 있는 디렉토리와 파일을 공유 및 마운트하는 데 사용되는 일반적인 작업을 설명합니다.
|
이 역할에는 Media Backup 권한 프로파일이 포함됩니다.
대규모 백업의 경우 /usr/lib/fs/ufs/ufsdump
소규모 백업의 경우 /usr/sbin/tar cT
이러한 명령을 호출하는 스크립트
예를 들어, Budtool 백업 응용 프로그램은 ufsdump 명령을 호출합니다. ufsdump(1M) 매뉴얼 페이지를 참조하십시오. tar 명령의 T 옵션에 대한 자세한 내용은 tar(1) 매뉴얼 페이지를 참조하십시오.
대규모 복원의 경우 /usr/lib/fs/ufs/ufsrestore
소규모 복원의 경우 /usr/sbin/tar xT
이러한 명령을 호출하는 스크립트
tar 명령의 T 옵션에 대한 자세한 내용은 tar(1) 매뉴얼 페이지를 참조하십시오.
주의 - 이러한 명령만 레이블을 보존합니다. |
Oracle Solaris OS에서와 마찬가지로 Solaris Management Console의 마운트 및 공유 도구를 사용하여 전역 영역에서 파일을 공유하고 마운트합니다. 이 도구는 레이블이 있는 영역의 디렉토리를 마운트하거나 공유하는 데 사용할 수 없습니다. 영역의 레이블에서 dfstab 파일을 만든 다음 영역을 다시 시작하여 레이블이 있는 디렉토리를 공유합니다.
시작하기 전에
사용자는 수퍼유저이거나 파일 서버의 전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서의 특정 레이블에서 작업 공간을 추가하는 방법을 참조하십시오.
디렉토리를 공유할 각 영역에 대해 다음 단계를 반복합니다.
# mkdir -p /zone/zone-name/etc/dfs
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
# /zone/zone-name/etc/dfs/dfstab
항목은 영역 루트 경로의 관점에서 디렉토리를 설명합니다. 예를 들어, 다음 항목은 포함하는 영역의 레이블에서 응용 프로그램의 파일을 공유합니다.
share -F nfs -o ro /viewdir/viewfiles
전역 영역에서 각 영역에 대해 다음 명령 중 하나를 실행합니다. 각 영역은 이러한 방식으로 디렉토리를 공유할 수 있습니다. 실제 공유는 각 영역이 ready 또는 running 상태가 될 때 이루어집니다.
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
# showmount -e
예 11-2 PUBLIC 레이블에서 /export/share 디렉토리 공유
PUBLIC 레이블에서 실행되는 응용 프로그램의 경우 시스템 관리자는 사용자가 public 영역의 /export/share 디렉토리에 있는 문서를 읽도록 할 수 있습니다. 이름이 public인 영역은 PUBLIC 레이블에서 실행됩니다.
우선 관리자가 public 작업 공간을 만들고 dfstab 파일을 편집합니다.
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab
관리자가 파일에 다음 항목을 추가합니다.
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs
관리자는 public 작업 공간에서 나와 Trusted Path(신뢰할 수 있는 경로) 작업 공간으로 돌아갑니다. 사용자는 이 시스템에 로그인할 수 없으므로 관리자가 영역을 ready 상태로 설정하여 파일을 공유합니다.
# zoneadm -z public ready
디렉토리가 사용자의 시스템에 마운트되면 사용자는 공유 디렉토리에 액세스할 수 있습니다.
Trusted Extensions에서 레이블이 있는 영역은 해당 영역의 파일 마운트를 관리합니다.
레이블이 없는 호스트 및 레이블이 있는 호스트의 파일은 Trusted Extensions 레이블이 있는 호스트에 마운트할 수 있습니다.
단일 레이블 호스트에서 파일을 읽기/쓰기로 마운트하려면 원격 호스트의 할당된 레이블이 파일이 마운트되는 영역과 동일해야 합니다.
상위 수준 영역에서 마운트된 파일은 읽기 전용입니다.
Trusted Extensions에서 auto_home 구성 파일은 영역별로 사용자 정의됩니다. 파일은 영역 이름을 따라 지정됩니다. 예를 들어, 전역 영역과 공용 영역이 있는 시스템에는 두 개의 auto_home 파일인 auto_home_global과 auto_home_public이 있습니다.
Trusted Extensions에서는 Oracle Solaris OS와 동일한 마운트 인터페이스를 사용합니다.
부팅 시 파일을 마운트하려면 레이블이 있는 영역의 /etc/vfstab 파일을 사용합니다.
동적으로 파일을 마운트하려면 레이블이 있는 영역의 mount 명령을 사용합니다.
홈 디렉토리를 자동 마운트하려면 auto_home_zone-name 파일을 사용합니다.
다른 디렉토리를 자동 마운트하려면 표준 자동 마운트 맵을 사용합니다. 자동 마운트 맵이 LDAP에 있을 경우 LDAP 명령을 사용하여 관리합니다.
시작하기 전에
마운트하려는 파일의 레이블 영역에서 클라이언트 시스템에 있어야 합니다. 자동 마운트를 사용하지 않는 경우 사용자는 수퍼유저이거나 시스템 관리자 역할을 가진 사용자여야 합니다. 하위 수준 서버에서 마운트하려면 영역이 net_mac_aware 권한으로 구성되어야 합니다.
대부분의 절차에는 특정 레이블에서 작업 공간 만들기가 포함됩니다. 작업 공간을 만들려면 Oracle Solaris Trusted Extensions 사용자 설명서의 특정 레이블에서 작업 공간을 추가하는 방법을 참조하십시오.
레이블이 있는 영역에서 mount 명령을 사용합니다. 동적으로 파일을 마운트하는 예는 예 11-3을 참조하십시오.
레이블이 있는 영역에서 마운트를 vfstab 파일에 추가합니다.
예는 예 11-6을 참조하십시오.
예는 예 11-7을 참조하십시오.
예 11-3 mount 명령을 사용하여 레이블이 있는 영역에서 파일 마운트
이 예에서 시스템 관리자는 공용 영역에서 원격 파일 시스템을 마운트합니다. 공용 영역은 다중 레벨 서버에 있습니다.
시스템 관리자 역할을 맡은 후 관리자는 작업 공간을 PUBLIC 레이블에서 만듭니다. 해당 작업 공간에서 관리자는 mount 명령을 실행합니다.
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs
PUBLIC 레이블의 단일 레이블 파일 서버에도 마운트할 문서가 포함되어 있습니다.
# mount -F nfs public-sys:/publicdocs /opt/publicdocs
remote-sys 파일 서버의 공용 영역이 ready 또는 running 상태인 경우 remote-sys 파일이 이 시스템에서 성공적으로 마운트됩니다. public-sys 파일 서버가 실행 중인 경우 파일이 성공적으로 마운트됩니다.
예 11-4 vfstab 파일을 수정하여 레이블이 있는 영역에서 파일을 읽기/쓰기로 마운트
이 예에서 시스템 관리자는 공용 영역이 부팅될 때 로컬 시스템의 공용 영역에 PUBLIC 레이블의 두 원격 파일 시스템을 마운트합니다. 한 파일 시스템은 다중 레벨 시스템에서 마운트되고, 다른 파일 시스템은 단일 레이블 시스템에서 마운트됩니다.
시스템 관리자 역할을 맡은 후 관리자는 작업 공간을 PUBLIC 레이블에서 만듭니다. 해당 작업 공간에서 관리자는 해당 영역의 vfstab 파일을 수정합니다.
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw
다중 레벨 시스템의 원격 레이블이 있는 영역의 파일에 액세스하기 위해 vfstab 항목은 원격 시스템 공용 영역의 영역 루트 경로인 /zone/public/root를 마운트할 디렉토리의 디렉토리 경로 이름으로 사용합니다. 단일 레이블 시스템의 경로는 Oracle Solaris 시스템에서 사용되는 경로와 동일합니다.
PUBLIC 레이블의 터미널 창에서 관리자가 파일을 마운트합니다.
# mountall
예 11-5 vfstab 파일을 수정하여 레이블이 있는 영역에서 하위 수준 파일 마운트
이 예에서 시스템 관리자는 로컬 시스템 내부 영역의 공용 영역에서 원격 파일 시스템을 마운트합니다. 시스템 관리자 역할을 맡은 후 관리자는 작업 공간을 INTERNAL 레이블에서 만든 다음 해당 영역에서 vfstab 파일을 수정합니다.
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro
원격 레이블이 있는 영역의 파일에 액세스하려면 vfstab 항목은 원격 시스템 공용 영역의 영역 루트 경로인 /zone/public/root를 마운트할 디렉토리의 디렉토리 경로 이름으로 사용합니다.
내부 영역의 사용자 관점에서 파일은 /opt/docs에서 액세스할 수 있습니다.
INTERNAL 레이블의 터미널 창에서 관리자가 파일을 마운트합니다.
# mountall
예 11-6 LDAP을 사용하여 관리되는 네트워크에서 레이블이 있는 홈 디렉토리 마운트
이 예에서 시스템 관리자는 새로운 사용자인 ikuk가 모든 레이블에서 자신의 홈 디렉토리에 액세스할 수 있게 합니다. 이 사이트는 두 개의 홈 디렉토리 서버를 사용하며 LDAP으로 관리됩니다. 두 번째 서버에는 jdoe 및 pkai 사용자에 대한 홈 디렉토리가 포함되어 있습니다. 새로운 사용자가 이 목록에 추가됩니다.
먼저 시스템 관리자 역할을 맡은 후 관리자는 두 번째 홈 디렉토리 서버에 새로운 사용자가 포함되도록 전역 영역의 /etc 디렉토리에 있는 auto_home_zone-name 파일을 수정합니다.
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
그런 다음 사용자가 모든 레이블에서 로그인할 수 있도록 관리자는 모든 레이블의 auto_home_zone-name 파일에 대해 이러한 편집 작업을 반복합니다.
마지막으로 이 시스템의 모든 auto_home_zone-name 파일을 수정한 후 관리자가 이러한 파일을 사용하여 항목을 LDAP 데이터베이스에 추가합니다.
Oracle Solaris OS와 마찬가지로 /etc/auto_home_zone-name 파일의 +auto_home_public 항목은 자동 마운트를 LDAP 항목으로 지정합니다. 네트워크의 다른 시스템에 있는 auto_home_zone-name 파일은 LDAP 데이터베이스에서 업데이트됩니다.
예 11-7 파일을 사용하여 관리되는 시스템에서 하위 수준 홈 디렉토리 마운트
이 예에서 시스템 관리자는 사용자가 모든 레이블에서 자신의 디렉토리에 액세스할 수 있게 합니다. 사이트의 레이블은 PUBLIC, INTERNAL 및 NEEDTOKNOW입니다. 이 사이트는 두 개의 홈 디렉토리 서버를 사용하며 파일로 관리됩니다. 두 번째 서버에는 jdoe 및 pkai 사용자에 대한 홈 디렉토리가 포함되어 있습니다.
이 작업을 위해 시스템 관리자는 public 영역에서 공용 영역 NFS 홈 디렉토리를 정의하고, internal 및 needtoknow 영역과 이 구성을 공유합니다.
먼저 시스템 관리자 역할을 맡은 후 관리자는 PUBLIC 레이블에서 작업 공간을 만듭니다. 이 작업 공간에서 관리자는 새 파일인 /export/home/auto_home_public을 만듭니다. 이 파일에는 모든 사용자 정의된 사용자별 NFS 지정 항목이 포함됩니다.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/&
두 번째로 관리자는 이 새 파일을 가리키도록 /etc/auto_home_public 파일을 수정합니다.
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public
이 항목은 자동 마운트가 로컬 파일의 내용을 사용하도록 지정합니다.
세 번째로 관리자는 internal 및 needtoknow 영역에서 /etc/auto_home_public 파일을 유사하게 수정합니다. 관리자는 internal 및 needtoknow 영역에서 볼 수 있는 public 영역의 경로 이름을 사용합니다.
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
관리자가 새로운 사용자인 ikuk을 추가하면 PUBLIC 레이블에서 /export/home/auto_home_public 파일에 추가됩니다.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
상위 수준 영역은 하위를 읽어 하위 수준 공용 영역에서 사용자별 홈 디렉토리를 가져옵니다.
시작하기 전에
마운트하려는 파일의 레이블 영역에 있어야 합니다. 수퍼유저이거나 시스템 관리자 역할을 가진 사용자여야 합니다.
해당 범위에서 Solaris Management Console의 보안 템플리트 도구를 사용합니다. 자세한 내용은 Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 Solaris Management Console 서버 초기화를 참조하십시오.
주소는 직접 할당되거나 와일드 카드 방식을 통해 간접적으로 할당될 수 있습니다. 주소는 레이블이 있는 템플리트 또는 레이블이 없는 템플리트에 있을 수 있습니다.
레이블은 파일을 마운트하려는 레이블과 일관성이 있어야 합니다.
레이블이 마운트된 파일 시스템의 레이블보다 상위인 경우 원격 파일 시스템을 읽기/쓰기 권한으로 내보내더라도 마운트에 쓸 수 없습니다. 마운트의 레이블에서 마운트된 파일 시스템에만 쓸 수 있습니다.
이러한 서버에서 파일 시스템을 마운트하려면 레이블이 없는 템플리트에 서버가 할당되어야 합니다.