신뢰할 수 있는 네트워크 데이터베이스 구성(작업 맵)

Trusted Extensions 소프트웨어에는 tnrhtp 및 tnrhdb 데이터베이스가 포함되어 있습니다. 이러한 데이터베이스는 시스템에 연결하는 원격 호스트에 대한 레이블을 제공합니다. Solaris Management Console은 이러한 데이터베이스를 관리하는 데 사용하는 GUI를 제공합니다.

다음 작업 맵에서는 보안 템플리트를 만들어서 호스트에 할당하는 작업을 설명합니다.

작업	설명	수행 방법
사이트에 사용자 정의된 보안 템플리트가 필요한지 여부를 확인합니다.	사이트의 보안 요구 사항에 대해 기존 템플리트를 평가합니다.	사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
Solaris Management Console에서 Security Templates(보안 템플리트) 도구에 액세스합니다.	신뢰할 수 있는 네트워크 데이터베이스를 수정하는 도구에 액세스합니다.	신뢰할 수 있는 네트워킹 도구를 여는 방법
보안 템플리트를 수정합니다.	신뢰할 수 있는 네트워크 데이터베이스를 수정하여 신뢰할 수 있는 네트워크의 보안 속성 정의를 수정합니다.	원격 호스트 템플리트를 작성하는 방법
	DOI를 `1` 이외의 값으로 변경합니다.	예 13-1
	다른 호스트 간의 통신을 단일 레이블로 제한하는 레이블이 있는 호스트에 대한 보안 템플리트를 만듭니다.	예 13-2
	단일 레이블 게이트웨이로 작동하는 레이블이 없는 호스트에 대한 보안 템플리트를 만듭니다.	예 13-3
	레이블 범위가 제한된 호스트에 대한 보안 템플리트를 만듭니다.	예 13-4
	레이블 범위에서 고유의 레이블 세트를 지정하는 호스트에 대한 보안 템플리트를 만듭니다.	예 13-5
	레이블이 없는 시스템 및 네트워크에 대한 보안 템플리트를 만듭니다.	예 13-6
	두 개발자 시스템에 대한 보안 템플리트를 만듭니다.	예 13-7
알려진 네트워크에 호스트를 추가합니다.	신뢰할 수 있는 네트워크에 시스템과 네트워크를 추가합니다.	시스템의 알려진 네트워크에 호스트를 추가하는 방법
와일드카드 항목을 사용하여 원격 호스트 액세스를 제공합니다.	각 호스트를 동일한 보안 템플리트에 간접적으로 할당하여 IP 주소 범위 내에 있는 호스트가 시스템과 통신할 수 있도록 합니다.	예 13-8 예 13-9 예 13-10
`tnrhdb` 파일에서 `admin_low` 와일드카드 항목을 변경합니다.	와일드카드 항목을 호스트가 부팅 시 연결하는 특정 주소로 바꾸어 보안을 강화합니다.	신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
`tnrhdb` 파일에서 `admin_low` 와일드카드 항목을 변경합니다.	와일드카드 항목을 레이블이 있는 호스트의 네트워크(기본값)로 바꾸어 보안을 강화합니다.	예 13-11
호스트 주소 `0.0.0.0`에 대한 항목을 만듭니다.	원격 클라이언트의 초기 연결을 수락하도록 Sun Ray 서버를 구성합니다.	예 13-13
보안 템플리트를 할당합니다.	템플리트를 IP 주소나 연속 IP 주소 목록과 연결합니다.	호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법

사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Trusted Extensions 템플리트를 익힙니다.
로컬 호스트의 tnrhtp 파일을 읽습니다. 파일의 주석을 활용할 수 있습니다. Solaris Management Console에서 Security Templates(보안 템플리트) 도구의 보안 속성 값을 볼 수도 있습니다.
- 기본 템플리트는 모든 설치에서 동일합니다. 각 템플리트에 대한 레이블 범위는 ADMIN_LOW ~ ADMIN_HIGH입니다.
- cipso 템플리트는 DOI가 1인 CIPSO 호스트 유형을 정의합니다. 템플리트에 대한 레이블 범위는 ADMIN_LOW ~ADMIN_HIGH입니다.
- admin_low 템플리트는 DOI가 1인 레이블이 없는 호스트를 정의합니다. 템플리트의 기본 레이블은 ADMIN_LOW입니다. 템플리트에 대한 레이블 범위는 ADMIN_LOW ~ ADMIN_HIGH입니다. 기본 구성에서는0.0.0.0 주소가 이 템플리트에 할당됩니다. 따라서 CIPSO가 아닌 호스트는 모두 ADMIN_LOW 보안 레이블에서 작동하는 호스트로 처리됩니다.
기본 템플리트를 유지합니다.
지원을 위해 기본 템플리트를 삭제하거나 수정하지 마십시오. 이러한 기본 템플리트가 할당된 호스트는 변경할 수 있습니다. 예는 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.
다음과 같은 작업을 수행하려는 경우 새 템플리트를 만듭니다.
- 호스트 또는 호스트 그룹의 레이블 범위를 제한합니다.
- 단일 레이블 호스트를 만듭니다.
- 일부 고유 레이블을 인식하는 호스트를 만듭니다.
- 1 이외의 다른 DOI를 사용합니다.
- 레이블이 없는 호스트에 대해 ADMIN_LOW 이외의 기본 레이블이 필요합니다.
예는 원격 호스트 템플리트를 작성하는 방법을 참조하십시오.

신뢰할 수 있는 네트워킹 도구를 여는 방법

시작하기 전에

전역 영역에서 네트워크 보안을 수정할 수 있는 역할을 가진 사용자여야 합니다. 예를 들어, Information Security 또는 Network Security 권한 프로파일이 할당된 역할은 보안 설정을 수정할 수 있습니다. 보안 관리자 역할에는 이러한 프로파일이 포함됩니다.

LDAP 도구 상자를 사용하려면 Oracle Solaris Trusted Extensions 구성 설명서의 LDAP에 대해 Solaris Management Console 구성(작업 맵)을 완료해야 합니다.

Solaris Management Console을 시작합니다.
자세한 내용은 Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 Solaris Management Console 서버 초기화를 참조하십시오.
적절한 도구를 사용합니다.
- 템플리트를 수정하려면 Security Templates(보안 템플리트) 도구를 사용합니다.
  
  현재 정의된 모든 템플리트가 오른쪽 창에 표시됩니다. 템플리트를 선택하거나 만들 때 왼쪽 창에서 온라인 도움말을 사용할 수 있습니다.
- 호스트를 템플리트에 할당하려면 Security Templates(보안 템플리트) 도구를 사용합니다.
- 템플리트에 할당할 수 있는 호스트를 만들려면 Computers and Networks(컴퓨터 및 네트워크) 도구를 사용합니다.
- 영역에 레이블을 할당하려면 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 사용합니다. Trusted Extensions의 영역에 대한 자세한 내용은 10 장Trusted Extensions에서 영역 관리(작업)를 참조하십시오.

원격 호스트 템플리트를 작성하는 방법

시작하기 전에

Solaris Management Console에서 Security Templates(보안 템플리트) 도구로 이동합니다.
단계는 신뢰할 수 있는 네트워킹 도구를 여는 방법을 참조하십시오.
Computers and Networks(컴퓨터 및 네트워크)에서 Security Templates(보안 템플리트)를 두 번 누릅니다.
기존 템플리트가 View(보기) 창에 표시됩니다. 이러한 템플리트는 이 시스템이 연결할 수 있는 호스트에 대한 보안 속성을 설명합니다. 이러한 호스트에는 Trusted Extensions를 실행하는 CIPSO 호스트 및 레이블이 없는 호스트가 포함됩니다.
cipso 템플리트를 검사합니다.
이 템플리트가 이미 할당된 호스트와 네트워크를 확인합니다.
admin_low 템플리트를 검사합니다.
이 템플리트가 이미 할당된 호스트와 네트워크를 확인합니다.
템플리트를 만듭니다.
제공된 템플리트가 이 시스템과 통신할 수 있는 호스트를 충분히 설명하지 않는 경우 Action(작업) 메뉴에서 Add Template(템플리트 추가)를 선택합니다.
자세한 내용은 온라인 도움말을 참조하십시오. 호스트를 템플리트에 할당하기 전에 사이트에 필요한 모든 템플리트를 만듭니다.
(옵션) 기본 템플리트가 아닌 기존 템플리트를 수정합니다.
템플리트를 두 번 누르고 온라인 도움말을 참조합니다. 할당된 호스트나 네트워크를 변경할 수 있습니다.

예 13-1 다른 DOI 값으로 보안 템플리트 만들기

이 예에서 보안 관리자의 네트워크에는 값이 1이 아닌 DOI가 있습니다. 처음에 시스템을 구성한 팀에서 Oracle Solaris Trusted Extensions 구성 설명서의 DOI(Domain of Interpretation) 구성을 완료했습니다.

먼저 보안 관리자는 /etc/system 파일에서 DOI의 값을 확인합니다.

# grep doi /etc/system
set default_doi = 4

그런 다음 Security Templates(보안 템플리트) 도구에서 관리자가 만드는 모든 템플리트에 대해 doi의 값을 4로 설정합니다. 예 13-2에 설명된 단일 레이블 시스템의 경우 보안 관리자는 다음 템플리트를 만듭니다.

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 4
min_sl: PUBLIC
max_sl: PUBLIC

예 13-2 단일 레이블을 가진 보안 템플리트 만들기

이 예에서 보안 관리자는 단일 레이블인 PUBLIC에서만 패킷을 전달할 수 있는 게이트웨이를 만들려고 합니다. 관리자가 Solaris Management Console에서 Security Templates(보안 템플리트) 도구로 템플리트를 만들어 게이트웨이 호스트를 템플리트에 할당합니다.

먼저 게이트웨이 호스트와 IP 주소를 Computers and Networks(컴퓨터 및 네트워크) 도구에 추가합니다.

gateway-1
192.168.131.75

그런 다음 Security Templates(보안 템플리트) 도구에서 템플리트를 만듭니다. 다음은 템플리트의 값입니다.

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 1
min_sl: PUBLIC
max_sl: PUBLIC

도구는 PUBLIC에 대한 16진수 값인 0X0002-08-08을 제공합니다.

마지막으로 gateway-1 호스트가 해당 이름과 IP 주소로 템플리트에 할당됩니다.

gateway-1
192.168.131.75

로컬 호스트에서 tnrhtp 항목은 다음과 비슷합니다.

cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;

로컬 호스트에서 tnrhdb 항목은 다음과 비슷합니다.

# gateway-1
192.168.131.75:cipso_public

예 13-3 레이블이 없는 라우터에 대한 보안 템플리트 만들기

라우터에서 명시적으로 레이블을 지원하지 않더라도 모든 IP 라우터는 CIPSO 레이블로 메시지를 전달할 수 있습니다. 이러한 레이블이 없는 라우터에는 대개 라우터 관리를 위한 라우터 연결을 처리해야 하는 수준을 정의하기 위한 기본 레이블이 필요합니다. 이 예에서 보안 관리자는 어느 레이블에서나 트래픽을 전달할 수 있는 라우터를 만들지만, 라우터와의 모든 직접 통신은 기본 레이블인 PUBLIC에서 처리됩니다.

Solaris Management Console에서 관리자는 템플리트를 만들고 게이트웨이 호스트를 템플리트에 할당합니다.

먼저 라우터와 해당 IP 주소를 Computers and Networks(컴퓨터 및 네트워크) 도구에 추가합니다.

router-1
192.168.131.82

그런 다음 Security Templates(보안 템플리트) 도구에서 템플리트를 만듭니다. 다음 값이 템플리트에 있습니다.

Template Name: UNL_PUBLIC
Host Type: UNLABELED
DOI: 1
Default Label: PUBLIC
Minimum Label: ADMIN_LOW
Maximum Label: ADMIN_HIGH

도구에서 레이블에 대한 16진수 값을 제공합니다.

마지막으로 router-1 라우터가 해당 이름과 IP 주소로 템플리트에 할당됩니다.

router-1
192.168.131.82

예 13-4 제한된 레이블 범위를 가진 보안 템플리트 만들기

이 예에서 보안 관리자는 패킷을 좁은 레이블 범위로 제한하는 게이트웨이를 만들려고 합니다. Solaris Management Console에서 관리자는 템플리트를 만들고 게이트웨이 호스트를 템플리트에 할당합니다.

먼저 호스트와 해당 IP 주소를 Computers and Networks(컴퓨터 및 네트워크) 도구에 추가합니다.

gateway-ir
192.168.131.78

그런 다음 Security Templates(보안 템플리트) 도구에서 템플리트를 만듭니다. 다음 값이 템플리트에 있습니다.

Template Name: CIPSO_IUO_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY
Maximum Label: CONFIDENTIAL : RESTRICTED

도구에서 레이블에 대한 16진수 값을 제공합니다.

마지막으로 gateway-ir 게이트웨이가 해당 이름과 IP 주소로 템플리트에 할당됩니다.

gateway-ir
192.168.131.78

예 13-5 보안 레이블 세트를 가진 보안 템플리트 만들기

이 예에서 보안 관리자는 두 레이블만 인식하는 보안 템플리트를 만들려고 합니다. Solaris Management Console에서 관리자는 템플리트를 만들고 게이트웨이 호스트를 템플리트에 할당합니다.

먼저 이 템플리트를 사용할 각 호스트 및 IP 주소를 Computers and Networks(컴퓨터 및 네트워크) 도구에 추가합니다.

host-slset1
192.168.132.21

host-slset2
192.168.132.22

host-slset3
192.168.132.23

host-slset4
192.168.132.24

그런 다음 Security Templates(보안 템플리트) 도구에서 템플리트를 만듭니다. 다음 값이 템플리트에 있습니다.

Template Name: CIPSO_PUB_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: PUBLIC
Maximum Label: CONFIDENTIAL : RESTRICTED
SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED

도구에서 레이블에 대한 16진수 값을 제공합니다.

마지막으로 와일드카드 버튼 및 접두어를 사용하여 IP 주소 범위가 템플리트에 할당됩니다.

192.168.132.0/17

예 13-6 PUBLIC 레이블에서 레이블이 없는 템플리트 만들기

이 예에서 보안 관리자는 Oracle Solaris 시스템의 하위 네트워크가 신뢰할 수 있는 네트워크에서 PUBLIC 레이블을 가지도록 허용합니다. 템플리트는 다음 값을 가집니다.

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Wildcard Entry: 10.10.0.0
Prefix: 16

10.10.0.0 하위 네트워크의 모든 시스템은 PUBLIC 레이블에서 처리됩니다.

예 13-7 개발자에 대한 레이블이 있는 템플리트 만들기

이 예에서 보안 관리자는 SANDBOX 템플리트를 만듭니다. 이 템플리트는 신뢰할 수 있는 소프트웨어의 개발자가 사용하는 시스템에 할당됩니다. 이 템플리트가 할당된 두 시스템은 레이블이 있는 프로그램을 만들고 테스트합니다. 그러나 SANDBOX 레이블은 네트워크의 다른 레이블과 떨어져 있으므로 이러한 테스트는 다른 레이블이 있는 시스템에 영향을 주지 않습니다.

Template Name: cipso_sandbox
Host Type: CIPSO
Minimum Label: SANDBOX
Maximum Label: SANDBOX
DOI: 1

Hostname: DevMachine1
IP Address: 196.168.129.129

Hostname: DevMachine2
IP Address: 196.168.129.102

이러한 시스템을 사용하는 개발자는 SANDBOX 레이블에서 서로 통신할 수 있습니다.

시스템의 알려진 네트워크에 호스트를 추가하는 방법

Solaris Management Console의 Computers(컴퓨터) 도구는 Oracle Solaris OS의 Computers(컴퓨터) 도구와 동일합니다. 여기에서 이 절차는 사용자의 편의를 위해 제공됩니다. 호스트가 알려졌으면 호스트를 보안 템플리트에 할당합니다.

시작하기 전에

사용자는 네트워크를 관리할 수 있는 관리자여야 합니다. 예를 들어, Network Management 또는 System Administrator 권한 프로파일을 포함하는 역할이 네트워크를 관리할 수 있습니다.

Solaris Management Console에서 Computers(컴퓨터) 도구로 이동합니다.
자세한 내용은 신뢰할 수 있는 네트워킹 도구를 여는 방법을 참조하십시오.
Computers(컴퓨터) 도구에서 네트워크의 모든 컴퓨터를 보려고 하는지 확인합니다.
이 시스템이 연결할 수 있는 호스트를 추가합니다.
정적 라우터 및 감사 서버를 포함하여 이 시스템이 연결할 수 있는 모든 호스트를 추가해야 합니다.
1. Action(작업) 메뉴에서 Add Computer(컴퓨터 추가)를 선택합니다.
2. 이름 및 IP 주소로 호스트를 식별합니다.
3. (옵션) 호스트에 대한 추가 정보를 제공합니다.
4. 호스트를 추가하려면 Apply(적용)를 누릅니다.
5. 입력이 완료되면 OK(확인)를 누릅니다.
이 시스템이 연결할 수 있는 호스트 그룹을 추가합니다.
온라인 도움말을 참조하여 네트워크 IP 주소로 호스트 그룹을 추가합니다.

호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

템플리트에 할당하려고 하는 모든 호스트는 Computers and Networks(컴퓨터 및 네트워크) 도구에 있어야 합니다. 자세한 내용은 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.

Solaris Management Console에서 Security Templates(보안 템플리트) 도구로 이동합니다.
자세한 내용은 신뢰할 수 있는 네트워킹 도구를 여는 방법을 참조하십시오.
적절한 템플리트 이름을 두 번 누릅니다.
Hosts Assigned to Template(템플리트에 할당된 호스트) 탭을 누릅니다.
단일 호스트에 템플리트를 할당하려면 다음을 수행합니다.
1. Hostname(호스트 이름) 필드에 호스트의 이름을 입력합니다.
2. IP Address(IP 주소) 필드에 호스트의 주소를 입력합니다.
3. 추가 버튼을 누릅니다.
4. 변경 사항을 저장하려면 OK(확인)를 누릅니다.
연속 주소를 사용하는 호스트 그룹에 템플리트를 할당하려면 다음을 수행합니다.
1. Wildcard(와일드카드)를 누릅니다.
2. IP Address(IP 주소) 필드에 IP 주소를 입력합니다.
3. Prefix(접두어) 필드에 연속 주소의 그룹을 설명하는 접두어를 입력합니다.
4. 추가 버튼을 누릅니다.
5. 변경 사항을 저장하려면 OK(확인)를 누릅니다.

예 13-8 와일드카드 항목으로 IPv4 네트워크 추가

다음 예에서 보안 관리자는 여러 IPv4 하위 네트워크를 동일한 보안 템플리트에 할당합니다. Hosts Assigned to Template(템플리트에 할당된 호스트) 탭에서 관리자는 다음 와일드카드 항목을 추가합니다.

IP Address: 192.168.113.0
IP address: 192.168.75.0

예 13-9 와일드카드 항목으로 IPv4 호스트 목록 추가

이 예에서 보안 관리자는 옥테트 경계를 따르지 않는 연속 IPv4 주소를 동일한 보안 템플리트에 할당합니다. Hosts Assigned to Template(템플리트에 할당된 호스트) 탭에서 관리자는 다음 와일드카드 항목을 추가합니다.

IP Address: 192.168.113.100
Prefix Length: 25

이 와일드카드 항목은 192.168.113.0 ~ 192.168.113.127의 주소 범위를 포함합니다. 주소에는 192.168.113.100이 포함됩니다.

예 13-10 와일드카드 항목으로 IPv6 호스트 목록 추가

다음 예에서 보안 관리자는 연속 IPv6 주소를 동일한 보안 템플리트에 할당합니다. Hosts Assigned to Template(템플리트에 할당된 호스트) 탭에서 관리자는 다음 와일드카드 항목을 추가합니다.

IP Address: 2001:a08:3903:200::0
Prefix Length: 56

이 와일드카드 항목은 2001:a08:3903:200::0 ~ 2001:a08:3903:2ff:ffff:ffff:ffff:ffff의 주소 범위를 포함합니다. 주소에는 2001:a08:3903:201:20e:cff:fe08:58c가 포함됩니다.

신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법

다음은 임의의 레이블이 없는 호스트가 레이블이 있는 호스트에 연결하지 못하게 하는 절차입니다. Trusted Extensions가 설치되면 이 기본 템플리트는 네트워크의 모든 호스트를 정의합니다. 이 절차를 사용하여 레이블이 없는 특정 호스트를 열거합니다.

각 시스템의 로컬 tnrhdb 파일은 부팅 시 네트워크에 연결하는 데 사용됩니다. 기본적으로 CIPSO 템플리트가 제공되지 않은 모든 호스트는 admin_low 템플리트로 정의됩니다. 이 템플리트는 다르게 정의되지 않은 모든 시스템(0.0.0.0)을 기본 레이블 admin_low의 레이블이 없는 시스템이 되도록 할당합니다.

주의 - 기본 admin_low 템플리트는 Trusted Extensions 네트워크에서 보안상 위험할 수 있습니다. 사이트 보안에 강력한 보호가 요구되는 경우 보안 관리자는 시스템이 설치된 후 0.0.0.0 와일드카드 항목을 제거할 수 있습니다. 항목은 시스템이 부팅 중 연결하는 모든 호스트에 대한 항목으로 바뀌어야 합니다.

예를 들어, 0.0.0.0 와일드카드 항목이 제거된 후 DNS 서버, 홈 디렉토리 서버, 감사 서버, 브로드캐스트/멀티캐스트 주소 및 라우터가 로컬 tnrhdb 파일에 있어야 합니다.

응용 프로그램에서 처음으로 호스트 주소 0.0.0.0의 클라이언트를 인식할 경우 0.0.0.0/32:admin_low 호스트 항목을 tnrhdb 데이터베이스에 추가해야 합니다. 예를 들어, 잠재적 Sun Ray 클라이언트의 초기 연결 요청을 받으려면 Sun Ray 서버에 이 항목이 포함되어야 합니다. 그러면 서버에서 클라이언트를 인식할 때 클라이언트에 IP 주소가 제공되고 CIPSO 클라이언트로 연결됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

부팅 시 연결해야 하는 모든 호스트가 Computers and Networks(컴퓨터 및 네트워크) 도구에 있어야 합니다.

Solaris Management Console에서 Files(파일) 범위에 있는 Security Templates(보안 템플리트) 도구로 이동합니다.
Files(파일) 범위는 부팅 중 시스템을 보호합니다. Security Templates(보안 템플리트) 도구에 액세스하려면 신뢰할 수 있는 네트워킹 도구를 여는 방법을 참조하십시오.
admin_low 템플리트에 할당된 호스트를 수정합니다.
1. admin_low 템플리트를 두 번 누릅니다.
  추가된 모든 호스트는 부팅 중 ADMIN_LOW 레이블에서 연결할 수 있습니다.
2. Hosts Assigned to Template(템플리트에 할당된 호스트) 탭을 누릅니다.
  추가된 모든 호스트는 부팅 중 ADMIN_LOW 레이블에서 연결할 수 있습니다.
3. 부팅 시 연결해야 하는 각 레이블이 없는 호스트를 추가합니다.
  자세한 내용은 호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법을 참조하십시오.
  Trusted Extensions를 실행하지 않는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 호스트가 통신해야 합니다.
4. 부팅 시 연결해야 하는 호스트의 범위를 추가합니다.
5. 0.0.0.0 항목을 제거합니다.
cipso 템플리트에 할당된 호스트를 수정합니다.
1. cipso 템플리트를 두 번 누릅니다.
  추가된 모든 호스트는 부팅 중 연결할 수 있습니다.
2. Hosts Assigned to Template(템플리트에 할당된 호스트) 탭을 누릅니다.
  추가된 모든 호스트는 부팅 중 ADMIN_LOW 레이블에서 연결할 수 있습니다.
3. 부팅 시 연결해야 하는 각 레이블이 있는 호스트를 추가합니다.
  자세한 내용은 호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법을 참조하십시오.
  - LDAP 서버를 포함합니다.
  - Trusted Extensions를 실행하는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 호스트가 통신해야 합니다.
  - 모든 네트워크 인터페이스가 템플리트에 할당되었는지 확인합니다.
  - 브로드캐스트 주소를 포함합니다.
4. 부팅 시 연결해야 하는 호스트의 범위를 추가합니다.
호스트 할당에서 시스템 부팅을 허용하는지 확인합니다.

예 13-11 0.0.0.0 tnrhdb 항목의 레이블 변경

이 예에서 보안 관리자는 공용 게이트웨이 시스템을 만듭니다. 관리자는 admin_low 템플리트에서 0.0.0.0 항목을 제거하고 레이블이 없는 public 템플리트에 항목을 할당합니다. 그러면 시스템은 tnrhdb 파일에 나열되지 않은 모든 시스템을 public 보안 템플리트의 보안 속성을 가진 레이블이 없는 시스템으로 인식합니다.

다음은 공용 게이트웨이용으로 특별히 만들어진 레이블이 없는 템플리트를 설명합니다.

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

예 13-12 tnrhdb 데이터베이스에서 부팅 중 연결할 컴퓨터 열거

다음 예는 두 네트워크 인터페이스를 가진 LDAP 클라이언트에 대한 항목이 있는 로컬 tnrhdb 데이터베이스를 나타냅니다. 클라이언트는 다른 네트워크 및 라우터와 통신합니다.

127.0.0.1:cipso       Loopback address
192.168.112.111:cipso Interface 1 of this host
192.168.113.111:cipso Interface 2 of this host
10.6.6.2:cipso        LDAP server
192.168.113.6:cipso   Audit server
192.168.112.255:cipso Subnet broadcast address
192.168.113.255:cipso Subnet broadcast address
192.168.113.1:cipso   Router
192.168.117.0:cipso   Another Trusted Extensions network
192.168.112.12:public Specific network router
192.168.113.12:public Specific network router
224.0.0.2:public      Multicast address
255.255.255.255:admin_low Broadcast address

예 13-13 호스트 주소 0.0.0.0을 유효한 tnrhdb 항목으로 만들기

이 예에서 보안 관리자는 Sun Ray 서버가 잠재적 클라이언트의 초기 연결 요청을 받아들이도록 구성합니다. 서버는 전용 토폴로지와 기본값을 사용합니다.

# utadm -a bge0

먼저 관리자가 Solaris Management Console 도메인 이름을 확인합니다.

SMCserver # /usr/sadm/bin/dtsetup scopes
Getting list of managable scopes...
Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM

그런 다음 관리자는 클라이언트 초기 연결에 대한 항목을 Sun Ray 서버의 tnrhdb 데이터베이스에 추가합니다. 관리자가 테스트 중이므로 기본 와일드카드 주소는 여전히 모든 알 수 없는 주소에 사용됩니다.

SunRayServer # /usr/sadm/bin/smtnrhdb \
add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \
-- -w 0.0.0.0 -p 32 -n admin_low
Authenticating as user: root

Please enter a string value for: password :: 
... from machine1.ExampleCo.COM was successful.

이 명령 후 tnhrdb 데이터베이스는 다음과 비슷합니다. smtnrhdb 명령의 결과가 강조 표시되어 있습니다.

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## Default wildcard address
0.0.0.0:admin_low
Other addresses to be contacted at boot

# tnchkdb -h /etc/security/tsol/tnrhdb

이 테스트 단계가 성공한 후 관리자는 기본 와일드카드 주소를 제거하여 구성을 더욱 안전하게 만들고 tnrhdb 데이터베이스의 구문을 검사한 후 다시 테스트합니다. 최종 tnhrdb 데이터베이스는 다음과 비슷합니다.

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## 0.0.0.0:admin_low - no other systems can enter network at admin_low
Other addresses to be contacted at boot

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어)