JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Trusted Extensions 구성 및 관리     Oracle Solaris 11 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부Trusted Extensions의 초기 구성

1.  Trusted Extensions의보안 계획

2.  Trusted Extensions용 로드맵 구성

3.  Oracle Solaris에 Trusted Extensions 기능 추가(작업)

4.  Trusted Extensions 구성(작업)

5.  Trusted Extensions에 대해 LDAP 구성(작업)

제2부Trusted Extensions 관리

6.  Trusted Extensions 관리 개념

7.  Trusted Extensions 관리 도구

8.  Trusted Extensions 시스템의 보안 요구 사항(개요)

9.  Trusted Extensions에서 일반 작업 수행(작업)

10.  Trusted Extensions의 사용자, 권한 및 역할(개요)

11.  Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)

12.  Trusted Extensions에서 원격 관리(작업)

13.  Trusted Extensions에서 영역 관리(작업)

14.  Trusted Extensions에서 파일 관리 및 마운트(작업)

15.  신뢰할 수 있는 네트워킹(개요)

16.  Trusted Extensions에서 네트워크 관리(작업)

신뢰할 수 있는 네트워크 관리(작업 맵)

호스트 및 네트워크 레이블 지정(작업 맵)

보안 템플리트를 보는 방법

사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법

보안 템플리트를 만드는 방법

시스템의 알려진 네트워크에 호스트를 추가하는 방법

호스트를 보안 템플리트에 추가하는 방법

호스트 범위를 보안 템플리트에 추가하는 방법

신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법

경로 및 다중 레벨 포트 구성(작업)

기본 경로를 추가하는 방법

영역에 대한 다중 레벨 포트를 만드는 방법

레이블이 있는 IPsec 구성(작업 맵)

다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법

신뢰할 수 없는 네트워크에서 터널을 구성하는 방법

신뢰할 수 있는 네트워크 문제 해결(작업 맵)

시스템의 인터페이스가 작동 중인지 확인하는 방법

Trusted Extensions 네트워크를 디버깅하는 방법

LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법

17.  Trusted Extensions 및 LDAP(개요)

18.  Trusted Extensions의 다중 레벨 메일(개요)

19.  레이블이 있는 인쇄 관리(작업)

20.  Trusted Extensions의 장치(개요)

21.  Trusted Extensions에 대한 장치 관리(작업)

22.  Trusted Extensions 감사(개요)

23.  Trusted Extensions에서 소프트웨어 관리(참조)

A.  사이트 보안 정책

보안 정책 생성 및 관리

사이트 보안 정책 및 Trusted Extensions

컴퓨터 보안 권장 사항

물리적 보안 권장 사항

담당자 보안 권한 사항

일반 보안 위반

추가 보안 참조

B.  Trusted Extensions 구성 검사 목록

Trusted Extensions 구성 검사 목록

C.  Trusted Extensions 관리에 대한 빠른 참조

Trusted Extensions의 관리 인터페이스

Trusted Extensions에서 확장된 Oracle Solaris 인터페이스

Trusted Extensions의 강화된 보안 기본값

Trusted Extensions의 제한된 옵션

D.  Trusted Extensions 매뉴얼 페이지 목록

Trusted Extensions 매뉴얼 페이지(사전순)

Trusted Extensions에서 수정된 Oracle Solaris 매뉴얼 페이지

용어집

색인

신뢰할 수 있는 네트워크 문제 해결(작업 맵)

다음 작업 맵에서는 Trusted Extensions 네트워크를 디버깅하는 데 도움이 되는 작업을 설명합니다.

작업
설명
수행 방법
시스템과 원격 호스트가 통신할 수 없는 이유를 확인합니다.
단일 시스템의 인터페이스가 작동 중인지 확인합니다.
시스템과 원격 호스트가 서로 통신할 수 없을 때 디버깅 도구를 사용합니다.
LDAP 클라이언트가 LDAP 서버에 연결할 수 없는 이유를 확인합니다.
LDAP 서버와 클라이언트 간의 연결 끊김 문제를 해결합니다.

시스템의 인터페이스가 작동 중인지 확인하는 방법

시스템이 다른 호스트와 예상한 대로 통신하지 않을 경우 이 절차를 사용합니다.

시작하기 전에

전역 영역에서 네트워크 속성 값을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이 이러한 값을 확인할 수 있습니다.

  1. 시스템의 네트워크 인터페이스가 작동 중인지 확인합니다.

    Labeled Zone Manager(레이블이 있는 영역 관리자) GUI 또는 ipadm 명령을 사용하여 시스템의 인터페이스를 표시할 수 있습니다.

    • Labeled Zone Manager(레이블이 있는 영역 관리자)를 연 다음 관심 영역을 두 번 누릅니다.
      # txzonemgr &

      Configure Network Interfaces(네트워크 인터페이스 구성)를 선택하고 영역에 대한 Status(상태) 열의 값이 Up(작동 중)인지 확인합니다.

    • 또는 ipadm show-addr 명령을 사용합니다.
      # ipadm show-addr
      ...
      ADDROBJ          TYPE      STATE        ADDR
      lo0/v4           static    ok           127.0.0.1/8
      net0/_a          dhcp      down         10.131.132.133/23
      net0:0/_a        dhcp      down         10.131.132.175/23

      net0 인터페이스의 값이 ok이어야 합니다. ipadm 명령에 대한 자세한 내용은 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

  2. 인터페이스가 작동 중이 아닌 경우 작동시킵니다.
    1. Labeled Zone Manager(레이블이 있는 영역 관리자) GUI에서 인터페이스 작동이 중지된 영역을 두 번 누릅니다.
    2. Configure Network Interfaces(네트워크 인터페이스 구성)를 선택합니다.
    3. 상태가 Down(작동 중지)인 인터페이스를 두 번 누릅니다.
    4. Bring Up(작동 시작)을 선택한 다음 OK(확인)를 선택합니다.
    5. Cancel(취소) 또는 OK(확인)를 누릅니다.

Trusted Extensions 네트워크를 디버깅하는 방법

통신 중이 아닌 두 호스트를 디버깅하려면 Trusted Extensions 및 Oracle Solaris 디버깅 도구를 사용합니다. 예를 들어, snoopnetstat와 같은 Oracle Solaris 네트워크 디버깅 명령을 사용할 수 있습니다. 자세한 내용은 snoop(1M)netstat(1M) 매뉴얼 페이지를 참조하십시오. Trusted Extensions에 대한 특정 명령은 부록 DTrusted Extensions 매뉴얼 페이지 목록을 참조하십시오.

시작하기 전에

전역 영역에서 네트워크 속성 값을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 또는 시스템 관리자 역할이 이러한 값을 확인할 수 있습니다. root 역할만 파일을 편집할 수 있습니다.

  1. 통신할 수 없는 호스트가 동일한 이름 지정 서비스를 사용 중인지 확인합니다.
    1. 각 시스템에서 name-service/switch SMF 서비스의 Trusted Extensions 데이터베이스에 대한 값을 확인합니다.
      # svccfg -s name-service/switch listprop config
      config/value_authorization  astring  solaris.smf.value.name-service.switch
      config/default              astring  ldap
      ...
      config/tnrhtp               astring  "files ldap"
      config/tnrhdb               astring  "files ldap"
    2. 값이 여러 호스트에서 서로 다른 경우 해당 호스트의 값을 수정합니다.
      # svccfg -s name-service/switch setprop config/tnrhtp="files ldap"
      # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
    3. 그런 다음 해당 호스트에서 이름 지정 서비스 데몬을 다시 시작합니다.
      # svcadm restart name-service/switch
  2. 전송 중 소스, 대상 및 게이트웨이 호스트에 대한 보안 속성을 표시하여 각 호스트가 올바르게 정의되었는지 확인합니다.

    명령줄을 사용하여 네트워크 정보가 올바른지 확인합니다. 각 호스트에 대한 지정 사항이 네트워크의 다른 호스트에 대한 지정 사항과 일치하는지 확인합니다. 원하는 보기에 따라 tncfg 명령, tninfo 명령 또는 txzonemgr GUI를 사용합니다.

    • 템플리트 정의를 표시합니다.

      tninfo -t 명령은 레이블을 문자열 및 16진수 형식으로 표시합니다.

      $ tninfo -t template-name
      template: template-name
      host_type: one of CIPSO or UNLABELED
      doi: 1
      min_sl: minimum-label
      hex: minimum-hex-label
      max_sl: maximum-label
      hex: maximum-hex-label
    • 템플리트 및 여기에 지정된 호스트를 표시합니다.

      tncfg -t 명령은 레이블을 문자열 형식으로 표시하고 지정된 호스트를 나열합니다.

      $ tncfg -t template info
         name=<template-name>
         host_type=<one of cipso or unlabeled>
         doi=1
         min_label=<minimum-label>
         max_label=<maximum-label>
         host=127.0.0.1/32       /** Localhost **/
         host=192.168.1.2/32     /** LDAP server **/
         host=192.168.1.22/32    /** Gateway to LDAP server **/
         host=192.168.113.0/24   /** Additional network **/
         host=192.168.113.100/25      /** Additional network **/
         host=2001:a08:3903:200::0/56/** Additional network **/
    • 특정 호스트에 대한 IP 주소 및 지정된 보안 템플리트를 표시합니다.

      tninfo -h 명령은 지정된 호스트의 IP 주소 및 지정된 보안 템플리트의 이름을 표시합니다.

      $ tninfo -h hostname
      IP Address: IP-address
      Template: template-name

      tncfg get host= 명령은 지정된 호스트를 정의하는 보안 템플리트의 이름을 표시합니다.

      $ tncfg get host=hostname|IP-address[/prefix]
      template-name
    • 영역에 대한 다중 레벨 포트(MLP)를 표시합니다.

      tncfg -z 명령은 행당 하나의 MLP를 나열합니다.

      $ tncfg -z zone-name info [mlp_private | mlp_shared]
      mlp_private=<port/protocol-that-is-specific-to-this-zone-only>
      mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>

      tninfo -m 명령은 첫 번째 행에 개인 MLP를 나열하고, 두 번째 행에 공유 MLP를 나열합니다. MLP는 세미콜론으로 구분됩니다.

      $ tninfo -m zone-name
      private: ports-that-are-specific-to-this-zone-only
      shared: ports-that-the-zone-shares-with-other-zones

      MLP의 GUI 표시는 txzonemgr 명령을 사용합니다. 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 선택합니다.

  3. 잘못된 정보를 수정합니다.
    1. 네트워크 보안 정보를 변경하거나 확인하려면 신뢰할 수 있는 네트워크 관리 명령인 tncfgtxzonemgr을 사용합니다. 데이터베이스의 구문을 확인하려면 tnchkdb 명령을 사용합니다.

      예를 들어, 다음 출력은 템플리트 이름 internal_cipso가 정의되지 않았음을 나타냅니다.

      # tnchkdb
           checking /etc/security/tsol/tnrhtp ...
           checking /etc/security/tsol/tnrhdb ...
      tnchkdb: unknown template name: internal_cipso at line 49
      tnchkdb: unknown template name: internal_cipso at line 50
      tnchkdb: unknown template name: internal_cipso at line 51
           checking /etc/security/tsol/tnzonecfg ...

      오류는 internal_cipso 보안 템플리트를 만들고 지정하는 데 tncfgtxzonemgr 명령이 사용되지 않았음을 나타냅니다.

      복구하려면 tnrhdb 파일을 원본 파일로 바꾼 다음 tncfg 명령을 사용하여 보안 템플리트를 만들고 지정합니다.

    2. 커널 캐시를 지우려면 재부트합니다.

      부팅 시 캐시는 데이터베이스 정보로 채워집니다. SMF 서비스 name-service/switch는 커널을 채우는 데 로컬 또는 LDAP 데이터베이스가 사용되는지 결정합니다.

  4. 전송 정보를 수집하면 디버깅에 도움이 됩니다.
    1. 라우팅 구성을 확인합니다.
      $ route get [ip] -secattr sl=label,doi=integer

      자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.

    2. 패킷의 레이블 정보를 봅니다.
      $ snoop -v

      -v 옵션은 레이블 정보를 포함한 패킷 헤더의 세부 사항을 표시합니다. 이 명령은 많은 세부 사항을 제공하므로 명령이 검사하는 패킷을 제한하는 것이 좋습니다. 자세한 내용은 snoop(1M) 매뉴얼 페이지를 참조하십시오.

    3. 라우팅 테이블 항목 및 소켓의 보안 속성을 봅니다.
      $ netstat -aR

      -aR 옵션은 소켓에 대한 확장 보안 속성을 표시합니다.

      $ netstat -rR

      -rR 옵션은 라우팅 테이블 항목을 표시합니다. 자세한 내용은 netstat(1M) 매뉴얼 페이지를 참조하십시오.

LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법

LDAP 서버에서 클라이언트 항목을 잘못 구성하면 클라이언트가 서버와 통신하지 못할 수 있습니다. 마찬가지로 클라이언트에서 파일을 잘못 구성해도 통신에 방해가 될 수 있습니다. 클라이언트와 서버 간 통신 문제를 디버깅할 때 다음 항목과 파일을 확인하십시오.

시작하기 전에

LDAP 클라이언트의 전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

  1. LDAP 서버에 대한 원격 호스트 템플리트 및 LDAP 서버의 게이트웨이에 대한 원격 호스트 템플리트가 올바른지 확인합니다.
    1. tncfg 또는 tninfo 명령을 사용하여 정보를 봅니다.
      # tncfg get host=LDAP-server
      # tncfg get host=gateway-to-LDAP-server
      # tninfo -h LDAP-server
      # tninfo -h gateway-to-LDAP-server
    2. 서버에 대한 경로를 확인합니다.
      # route get LDAP-server

    템플리트 지정이 올바르지 않은 경우 호스트를 올바른 템플리트에 추가합니다.

  2. /etc/hosts 파일을 확인하고 필요한 경우 수정합니다.

    시스템, 시스템의 레이블이 있는 영역에 대한 인터페이스, LDAP 서버에 대한 게이트웨이 및 LDAP 서버가 파일에 나열되어야 합니다. 추가 항목이 있을 수도 있습니다.

    중복된 항목을 찾습니다. 다른 시스템의 레이블이 있는 영역인 항목을 제거합니다. 예를 들어, Lserver가 LDAP 서버의 이름이고 LServer-zones가 레이블이 있는 영역에 대한 공유 인터페이스인 경우 /etc/hosts 파일에서 LServer-zones를 제거합니다.

  3. DNS를 사용하는 경우 svc:/network/dns/client 서비스의 구성을 확인합니다.
    # svccfg -s dns/client listprop config
    config                       application
    config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
    config/nameserver            astring       192.168.8.25 192.168.122.7
  4. 값을 변경하려면 svccfg 명령을 사용합니다.
    # svccfg -s dns/client setprop config/search = astring: example1.domain.com
    # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
    # svccfg -s dns/client:default refresh
    # svccfg -s dns/client:default validate
    # svcadm enable dns/client
    # svcadm refresh name-service/switch
    # nslookup some-system
    Server:         192.168.135.35
    Address:        192.168.135.35#53
    
    Name:   some-system.example1.domain.com
    Address: 10.138.8.22
    Name:   some-system.example1.domain.com
    Address: 10.138.8.23
  5. name-service/switch 서비스의 tnrhdbtnrhtp 항목이 정확한지 확인합니다.

    다음 출력에서 tnrhdbtnrhtp 항목은 나열되지 않았습니다. 따라서 이러한 데이터베이스는 기본값인 files ldap 이름 지정 서비스를 순서대로 사용하는 것입니다.

    # svccfg -s name-service/switch listprop config
    config                       application
    config/value_authorization   astring       solaris.smf.value.name-service.switch
    config/default               astring       "files ldap"
    config/host                  astring       "files dns"
    config/netgroup              astring       ldap
  6. 클라이언트가 서버에서 올바르게 구성되었는지 확인합니다.
    # ldaplist -l tnrhdb client-IP-address
  7. 레이블이 있는 영역에 대한 인터페이스가 LDAP 서버에서 올바르게 구성되었는지 확인합니다.
    # ldaplist -l tnrhdb client-zone-IP-address
  8. 현재 실행 중인 모든 영역에서 LDAP 서버에 연결할 수 있는지 확인합니다.
    # ldapclient list
    ...
    NS_LDAP_SERVERS= LDAP-server-address
    # zlogin zone-name1 ping LDAP-server-address
    LDAP-server-address is alive
    # zlogin zone-name2 ping LDAP-server-address
    LDAP-server-address is alive
    ...
  9. LDAP를 구성하고 재부팅합니다.
    1. 절차는 Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기를 참조하십시오.
    2. 모든 레이블이 있는 영역에서 LDAP 서버의 클라이언트로 영역을 재설정합니다.
      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...
    3. 모든 영역을 정지하고 재부트합니다.
      # zoneadm list
      zone1
      zone2
      ,
      ,
      ,
      # zoneadm -z zone1 halt
      # zoneadm -z zone2 halt
      .
      .
      .
      # reboot

      대신 txzonemgr GUI를 사용하여 레이블이 있는 영역을 정지할 수도 있습니다.