탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
Trusted Extensions에서 원격 시스템을 관리하는 방법
Trusted Extensions에서 역할을 통한 원격 로그인
Trusted Extensions에서 원격 로그인 관리
원격으로 Trusted Extensions 관리(작업 맵)
Trusted Extensions의 명령줄에서 원격으로 로그인하는 방법
dtappsession을 사용하여 Trusted Extensions를 원격으로 관리하는 방법
Trusted Extensions 시스템에서 Solaris Management Console을 사용하여 시스템을 원격으로 관리하는 방법
레이블이 없는 시스템에서 Solaris Management Console을 사용하여 시스템을 원격으로 관리하는 방법
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
다음 작업 맵에서는 원격 Trusted Extensions 시스템을 관리하는 데 사용되는 작업에 대해 설명합니다.
|
주 - telnet 명령은 기본 ID와 역할 ID를 pam_roles 모듈에 전달할 수 없으므로 원격 역할을 맡는 데 사용할 수 없습니다.
시작하기 전에
사용자와 역할이 로컬 시스템과 원격 시스템에 동일하게 정의되어 있어야 합니다.
역할에 Remote Login(원격 로그인) 인증이 있어야 합니다. 기본적으로 이 인증은 Remote Administration 프로파일과 Maintenance and Repair 권한 프로파일에 있습니다.
보안 관리자가 원격으로 관리할 수 있는 모든 시스템에서 Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 역할을 통한 원격 로그인 활성화 절차를 완료했습니다. 레이블이 없는 시스템에서 시스템을 관리할 수 있는 경우 Oracle Solaris Trusted Extensions 구성 설명서의 레이블이 없는 시스템에서의 원격 로그인 활성화 절차도 완료된 것입니다.
rlogin, ssh 또는 ftp 명령을 사용합니다.
rlogin -l 또는 ssh 명령을 사용하여 로그인하는 경우 역할의 권한 프로파일에 있는 모든 명령을 사용할 수 있습니다.
ftp 명령을 사용하는 경우 사용 가능한 명령은 ftp(1) 매뉴얼 페이지를 참조하십시오.
관리자는 dtappsession 프로그램을 사용하여 CDE를 실행 중인 원격 시스템을 관리할 수 있습니다.
dtappsession은 원격 시스템에 모니터가 없는 경우 유용합니다. 예를 들어, dtappsession은 대규모 서버에서 도메인을 관리하는 데 많이 사용됩니다. 자세한 내용은 dtappsession(1) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
레이블이 있는 시스템의 경우 전역 영역에서 관리 역할을 가진 사용자여야 합니다. 레이블이 없는 시스템의 경우 원격 시스템에 정의된 역할을 맡아야 합니다. 그런 다음 역할의 프로파일 쉘에서 원격 로그인을 실행해야 합니다.
원격 CDE 응용 프로그램과 로컬 응용 프로그램 간의 혼동을 방지하기 위해 관리 역할 작업 공간을 이 절차 전용으로 사용합니다. 자세한 내용은 Oracle Solaris Trusted Extensions 사용자 설명서의 특정 레이블에서 작업 공간을 추가하는 방법을 참조하십시오.
rlogin 또는 ssh 명령을 사용할 수 있습니다.
$ ssh remote-host
터미널 창에서 dtappsession 명령과 로컬 호스트 이름을 차례로 입력합니다.
$ /usr/dt/bin/dtappsession local-host
원격 호스트에서 실행 중인 Application Manager(응용 프로그램 관리자)가 로컬 호스트에 표시됩니다. Exit(종료) 대화 상자도 나타납니다.
Trusted CDE에서 원격 세션을 호출한 경우 Trusted_Extensions 폴더의 작업을 사용할 수 있습니다.
주의 - Application Manager(응용 프로그램 관리자)를 닫아도 로그인 세션은 종료되지 않으므로 이 방법을 사용하지 않는 것이 좋습니다. |
hostname 명령을 사용하여 로컬 호스트에 있는지 확인합니다.
$ exit $ hostname local-host
Solaris Management Console에서는 사용자, 권한, 역할 및 네트워크를 관리할 수 있는 원격 관리 인터페이스를 제공합니다. 콘솔을 사용할 역할을 맡습니다. 이 절차에서는 로컬 시스템에서 콘솔을 실행하고 원격 시스템을 서버로 지정합니다.
시작하기 전에
다음 절차를 완료했습니다.
두 시스템 모두 – Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 Solaris Management Console 서버 초기화
원격 시스템 – Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 역할을 통한 원격 로그인 활성화 및 Oracle Solaris Trusted Extensions 구성 설명서의 네트워크 통신을 승인하도록 Solaris Management Console 활성화
LDAP 서버인 원격 시스템 – Oracle Solaris Trusted Extensions 구성 설명서의 LDAP에 대해 Solaris Management Console 구성(작업 맵)
자세한 내용은 Oracle Solaris Trusted Extensions 구성 설명서의 Trusted Extensions에서 Solaris Management Console 서버 초기화를 참조하십시오.
다음 범위 중 하나를 선택합니다.
이 컴퓨터(ldap-server: Scope=LDAP, Policy=TSOL)
이 컴퓨터(ldap-server: Scope=Files, Policy=TSOL)
그런 다음 Scope=Files 도구 상자를 선택합니다.
이 컴퓨터(remote-system: Scope=Files, Policy=TSOL)
User(사용자)와 같은 도구를 선택하면 대화 상자에 Solaris Management Console 서버 이름, 사용자 이름, 역할 이름, 역할 암호 입력란 등이 표시됩니다. 항목이 올바른지 확인하십시오.
역할 암호를 입력하고 Login as Role(역할로 로그인)을 누릅니다. 이제 Solaris Management Console을 사용하여 시스템을 관리할 수 있습니다.
주 - Solaris Management Console을 사용하여 dtappsession을 실행할 수 있지만 dtappsession을 사용하는 가장 간단한 방법은 dtappsession을 사용하여 Trusted Extensions를 원격으로 관리하는 방법을 참조하십시오.
이 절차에서는 원격 시스템에서 Solaris Management Console 클라이언트와 서버를 실행하고 로컬 시스템에 콘솔을 표시합니다.
시작하기 전에
Trusted Extensions 시스템에서 ADMIN_LOW 레이블을 로컬 시스템에 할당해야 합니다.
주 - CIPSO 프로토콜을 실행하지 않는 시스템(예: Trusted Solaris 시스템)은 Trusted Extensions 시스템의 관점에서 레이블이 없는 시스템입니다.
원격 연결을 수락하도록 원격 시스템의 Solaris Management Console 서버를 구성해야 합니다. 절차는 Oracle Solaris Trusted Extensions 구성 설명서의 네트워크 통신을 승인하도록 Solaris Management Console 활성화를 참조하십시오.
두 시스템 모두에서 Solaris Management Console을 사용할 수 있는 역할이 할당된 동일한 사용자가 있어야 합니다. 사용자의 범위는 일반 사용자의 레이블 범위일 수 있지만 역할의 범위는 ADMIN_LOW ~ ADMIN_HIGH이어야 합니다.
전역 영역에서 관리 역할을 가진 사용자여야 합니다.
# xhost + TX-SMC-Server # echo $DISPLAY :n.n
# su - same-username-on-both-systems
$ rlogin -l same-rolename-on-both-systems TX-SMC-Server
$ DISPLAY=local:n.n $ export DISPLAY=local:n.n
$ LOGNAME=same-username-on-both-systems $ export LOGNAME=same-username-on-both-systems
$ USER=same-rolename-on-both-systems $ export USER=same-rolename-on-both-systems
$ /usr/sbin/smc &
User(사용자)와 같은 도구를 선택하면 대화 상자에 Solaris Management Console 서버 이름, 사용자 이름, 역할 이름, 역할 암호 입력란 등이 표시됩니다. 항목이 올바른지 확인하십시오.
역할 암호를 입력하고 Login as Role(역할로 로그인)을 누릅니다. 이제 Solaris Management Console을 사용하여 시스템을 관리할 수 있습니다.
주 - LDAP 서버가 아닌 시스템에서 네트워크 데이터베이스 정보에 액세스하려고 하는 경우 작업에 실패합니다. 콘솔에서 원격 호스트에 로그인하여 도구 상자를 열 수 있습니다. 그러나 정보에 액세스하거나 정보를 변경하려고 하는 경우 다음과 같은 오류 메시지가 표시되어 LDAP 서버가 아닌 시스템에서 Scope=LDAP를 선택했음을 나타냅니다.
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
사용자의 기본 레이블 범위와 영역의 기본 동작이 역할 없이 원격으로 로그인할 수 있게 변경됩니다. 원격 레이블이 있는 시스템을 사용 중인 테스터를 위해 이 절차를 수행할 수 있습니다. 보안을 위해 테스터의 시스템에서 다른 사용자의 비연속 레이블을 실행하고 있어야 합니다.
시작하기 전에
이 사용자가 전역 영역에 로그인해야 하는 타당한 이유가 있어야 합니다.
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
Solaris Management Console을 사용하여 ADMIN_HIGH의 클리어런스와 ADMIN_LOW의 최소 레이블을 각 사용자에게 할당합니다. 자세한 내용은 Solaris Management Console에서 사용자의 레이블 범위를 수정하는 방법을 참조하십시오.
사용자의 레이블이 있는 영역에서도 로그인을 허용해야 합니다.
Solaris Management Console을 사용합니다. TCP 프로토콜을 통해 포트 513으로 원격 로그인할 수 있습니다. 예는 영역에 대한 다중 레벨 포트를 만드는 방법을 참조하십시오.
# tnctl -fz /etc/security/tsol/tnzonecfg
# svcadm restart svc:/network/login:rlogin
VNC(Virtual Network Computing) 기술은 클라이언트를 원격 서버에 연결한 다음 클라이언트의 창에 원격 서버의 데스크탑을 표시합니다. Xvnc는 표준 X 서버를 기반으로 하는 VNC의 UNIX 버전입니다. Trusted Extensions에서는 모든 플랫폼의 클라이언트가 Trusted Extensions 소프트웨어를 실행 중인 Xvnc에 연결하여 Xvnc 서버에 로그인한 다음 다중 레벨 데스크탑을 표시한 후 작업할 수 있습니다.
시작하기 전에
Xvnc 서버로 사용할 시스템에서 Trusted Extensions 소프트웨어를 설치하고 구성했습니다. 레이블이 있는 영역을 만들고 부팅했습니다. Xvnc 서버에서 호스트 이름 또는 IP 주소로 VNC 클라이언트를 인식합니다.
Xvnc 서버로 사용할 시스템의 전역 영역에서 수퍼유저입니다.
자세한 내용은 Xvnc(1) 및 vncconfig(1) 매뉴얼 페이지를 참조하십시오.
주의 - Solaris 10 10/08 또는 Solaris 10 5/08 릴리스를 실행 중인 경우 서버를 구성하기 전에 시스템을 패치해야 합니다. SPARC 시스템의 경우 패치 125719의 최신 버전을 설치합니다. x86 시스템의 경우 패치 125720의 최신 버전을 설치합니다. |
# mkdir -p /etc/dt/config
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
이 예에서는 암호 없이 서버에 로그인하도록 항목이 구성됩니다. 데스크탑에 성공적으로 로그인하려면 로컬 UID가 console이 아니고 none이어야 합니다.
보기 좋게 항목이 나뉘었지만 실제로는 한 줄에 있어야 합니다.
# :0 Local local_uid@console root /usr/X11/bin/Xserver :0 -nobanner :0 Local local_uid@none root /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024x768x24 -depth 24
주 - 안전한 구성을 위해 -SecurityTypes VncAuth 매개변수를 지정하여 암호를 사용하는 것이 좋습니다. Xvnc(1) 매뉴얼 페이지에서는 암호 요구 사항에 대해 설명합니다.
# reboot
다시 부팅한 후 Xvnc 프로그램이 실행 중인지 확인합니다.
# ps -ef | grep Xvnc root 2145 932 0 Jan 18 ? 6:15 /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024
클라이언트 시스템의 경우 소프트웨어를 선택할 수 있습니다. 이 예에서는 Sun VNC 소프트웨어를 사용합니다.
# cd SUNW-pkg-directory # pkgadd -d . SUNWvncviewer
% /usr/bin/vncviewer Xvnc-server-hostname
로그인 절차를 계속합니다. 나머지 단계에 대한 자세한 설명은 Oracle Solaris Trusted Extensions 사용자 설명서의 Trusted Extensions에 로그인을 참조하십시오.
서버에 수퍼유저로 로그인한 경우 서버를 즉시 관리할 수 있습니다. 서버에 사용자로 로그인한 경우 시스템을 관리하는 역할을 맡아야 합니다.