Trusted Extensions에서 장치 인증 사용자 정의(작업 맵)

다음 작업 맵에서는 사이트에서 장치 인증을 변경하는 절차를 설명합니다.

새 장치 인증을 만드는 방법

장치가 만들어질 때 인증을 지정하지 않을 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 인증을 지정할 경우에는 기본적으로 인증된 사용자만 장치를 사용할 수 있습니다.

인증을 사용하지 않고 할당 가능한 장치에 액세스하지 못하게 하려면 예 21-1을 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

1. auth_attr 파일을 편집합니다.
2. 새 인증에 대한 머리글을 만듭니다.

   조직의 인터넷 도메인 이름을 역순으로 사용하고 선택적으로 추가 임의 구성 요소(회사 이름 등)를 붙입니다. 점으로 구성 요소를 구분합니다. 머리글 이름은 점으로 끝냅니다.

   domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html

3. 새 인증 항목을 추가합니다.

   한 줄에 하나씩 인증을 추가합니다. 줄은 표시 목적으로 나뉩니다. 인증에는 관리자가 새 인증을 할당할 수 있게 하는 grant 인증이 포함됩니다.

   domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
   help=CompanyGrant.html
   domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
   help=CompanyGrantDevice.html
   domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
   help=CompanyTapeAllocate.html
   domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
   help=CompanyFloppyAllocate.html

4. 파일을 저장하고 편집기를 닫습니다.
5. LDAP를 이름 지정 서비스로 사용하는 경우 Oracle Directory Server Enterprise Edition(디렉토리 서버)에서 auth_attr 항목을 업데이트합니다.

   자세한 내용은 ldapaddent(1M) 매뉴얼 페이지를 참조하십시오.

6. 적절한 권한 프로파일에 새 인증을 추가합니다. 그런 다음 프로파일을 사용자와 역할에 할당합니다.
7. 인증을 사용하여 테이프 및 디스켓 드라이브에 대한 액세스를 제한합니다.

   Device Manager(장치 할당 관리자)에서 필수 인증 목록에 새 인증을 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 인증을 추가하는 방법을 참조하십시오.

예 21-2 세분화된 장치 인증 만들기

NewCo의 보안 관리자는 회사를 위한 세분화된 장치 인증을 만들어야 합니다.

먼저 관리자는 다음 도움말 파일을 작성하여 /usr/lib/help/auths/locale/C 디렉토리에 넣습니다.

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

그런 다음 auth_attr 파일에서 newco.com에 대한 모든 인증의 머리글을 추가하고,

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

인증 항목을 파일에 추가합니다.

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

줄은 표시 목적으로 나뉩니다.

auth_attr 항목이 다음 인증을 만듭니다.

• 모든 NewCo의 인증을 부여할 수 있는 인증

• NewCo의 장치 인증을 부여할 수 있는 인증

• 테이프 드라이브를 할당할 수 있는 인증

• 디스켓 드라이브를 할당할 수 있는 인증

예 21-3 신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 인증 만들기

기본적으로 Allocate Device(장치 할당) 인증을 통해 신뢰할 수 있는 경로와 그 외부에서 할당이 가능합니다.

다음 예의 사이트 보안 정책에서는 원격 CD-ROM 할당 제한을 요구합니다. 보안 관리자는 com.someco.device.cdrom.local 인증을 만듭니다. 이 인증은 신뢰할 수 있는 경로를 사용하여 할당된 CD-ROM 드라이브용입니다. com.someco.device.cdrom.remote 인증은 신뢰할 수 있는 경로 외부에서 CD-ROM 드라이브를 할당할 수 있는 일부 사용자용입니다.

보안 관리자는 도움말 파일을 만든 후 인증을 auth_attr 데이터베이스에 추가하고 인증을 장치에 추가한 다음 인증을 권한 프로파일에 넣습니다. 프로파일은 장치 할당이 허용된 사용자에게 할당됩니다.

• 다음은 auth_attr 데이터베이스 항목입니다.

  com.someco.:::SomeCo Header::help=Someco.html
  com.someco.grant:::Grant All SomeCo Authorizations::
  help=SomecoGrant.html
  com.someco.grant.device:::Grant SomeCo Device Authorizations::
  help=SomecoGrantDevice.html
  com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
  help=SomecoCDAllocateLocal.html
  com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
  help=SomecoCDAllocateRemote.html

• 다음은 Device Manager(장치 할당 관리자) 지정입니다.

  신뢰할 수 있는 경로를 통해 인증된 사용자는 로컬 CD-ROM 드라이브를 할당할 때 Device Manager(장치 할당 관리자)를 사용할 수 있습니다.

  Device Name: cdrom_0
  For Allocations From: Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.local

  신뢰할 수 없는 경로를 통해 사용자는 allocate 명령을 사용하여 원격으로 장치를 할당할 수 있습니다.

  Device Name: cdrom_0
  For Allocations From: Non-Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.remote

• 다음은 권한 프로파일 항목입니다.

  # Local Allocator profile
  com.someco.device.cdrom.local
  
  # Remote Allocator profile
  com.someco.device.cdrom.remote

• 다음은 인증된 사용자에 대한 권한 프로파일입니다.

  # List of profiles for regular authorized user
  Local Allocator Profile
  ...
  
  # List of profiles for role or authorized user
  Remote Allocator Profile
  ...

Trusted Extensions에서 장치에 사이트별 인증을 추가하는 방법

시작하기 전에

보안 관리자 역할이나 장치 속성 구성 인증을 포함하는 역할을 가진 사용자여야 합니다. 새 장치 인증을 만드는 방법에 설명된 대로 사이트별 인증을 만들어 놓아야 합니다.

1. Trusted Extensions에서 장치를 구성하는 방법 절차를 따릅니다.
   1. 새 인증으로 보호해야 하는 장치를 선택합니다.
   2. Administration(장치 관리) 버튼을 누릅니다.
   3. Authorizations(권한 부여) 버튼을 누릅니다.

      새 인증이 Not Required(필수 아님) 목록에 표시됩니다.

   4. 새 인증을 Required(필수) 인증 목록에 추가합니다.
2. 변경 사항을 저장하려면 OK(확인)를 누릅니다.

장치 인증을 할당하는 방법

Allocate Device(장치 할당) 인증을 통해 사용자는 장치를 할당할 수 있습니다. Allocate Device(장치 할당) 인증과 Revoke or Reclaim Device(장치 해지 또는 재생 이용) 인증은 관리 역할에 적합합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

기존 프로파일이 적당하지 않은 경우 보안 관리자는 새 프로파일을 만들 수 있습니다. 예는 편리한 인증을 위해 권한 프로파일을 만드는 방법을 참조하십시오.

• Allocate Device(장치 할당) 인증이 포함된 권한 프로파일을 사용자에게 할당합니다.

  단계별 절차는 Oracle Solaris 관리: 보안 서비스의 사용자의 RBAC 등록 정보를 변경하는 방법을 참조하십시오.

  다음 권한 프로파일을 통해 역할이 장치를 할당할 수 있습니다.

  • All Authorizations

  • 장치 관리

  • Media Backup

  • Media Restore

  • Object Label Management

  • Software Installation

  다음 권한 프로파일을 통해 역할이 장치를 해지하거나 재생 이용할 수 있습니다.

  • All Authorizations

  • 장치 관리

  다음 권한 프로파일을 통해 역할이 장치를 만들거나 구성할 수 있습니다.

  • All Authorizations

  • Device Security

예 21-4 새 장치 인증 할당

이 예에서 보안 관리자는 시스템에 대한 새 장치 인증을 구성하고 새 인증이 포함된 권한 프로파일을 신뢰할 수 있는 사용자에게 할당합니다. 보안 관리자는 다음 작업을 수행합니다.

1. 새 장치 인증을 만드는 방법에 설명된 대로 새 장치 인증을 만듭니다.

2. Device Manager(장치 할당 관리자)에서 새 장치 인증을 테이프 및 디스켓 드라이브에 추가합니다.

3. 새 인증을 NewCo Allocation 권한 프로파일에 넣습니다.

4. 테이프 및 디스켓 드라이브를 할당할 수 있게 인증된 사용자 및 역할 프로파일에 NewCo Allocation 권한 프로파일을 추가합니다.

이제 인증된 사용자와 역할이 이 시스템에서 테이프 드라이브와 디스켓 드라이브를 사용할 수 있습니다.