Trusted Extensions의 역할 및 사용자 만들기

Trusted Extensions의 역할 만들기는 Oracle Solaris의 역할 만들기와 동일합니다. 하지만 평가된 구성의 경우 보안 관리자 역할이 필요합니다.

작업	설명	수행 방법
Security Administrator(보안 관리자) 역할을 만듭니다.	보안 관련 작업을 처리할 역할을 만듭니다.	Trusted Extensions에서 보안 관리자 역할을 만드는 방법
시스템 관리자 역할을 만듭니다.	보안과 관련 없는 시스템 관리 작업을 처리할 역할을 만듭니다.	시스템 관리자 역할을 만드는 방법
관리자 역할을 수락할 사용자를 만듭니다.	역할을 수락할 수 있는 한 명 이상의 사용자를 만듭니다.	Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법
역할이 해당 작업을 수행할 수 있는지 확인합니다.	역할을 테스트합니다.	Trusted Extensions 역할이 작동하는지 확인하는 방법
레이블이 있는 영역에 사용자가 로그인할 수 있게 합니다.	일반 사용자가 로그인할 수 있도록 `zones` 서비스를 시작합니다.	사용자가 레이블이 있는 영역에 로그인할 수 있도록 설정하는 방법

Trusted Extensions에서 보안 관리자 역할을 만드는 방법

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

역할을 만들려면 roleadd 명령을 사용합니다.
명령에 대한 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오.

다음 정보에 따라 작업을 수행합니다.
- Role name(역할 이름) – secadmin
- -c Local Security Officer
  
  고유의 정보를 제공하지 마십시오.
- -m home-directory
- -u role-UID
- -S repository
- -K key=value
  
  Information Security 및 User Security 권한 프로파일을 지정합니다.
  
  주 - 모든 관리 역할에 대해 레이블 범위의 관리 레이블을 사용하고, pfexec 명령 사용을 감사하며, lock_after_retries=no를 설정하고, 암호 만료 날짜는 설정하지 않습니다.
```
# roleadd -c "Local Security Officer" -m \
-u 110 -K profiles="Information Security,User Security" -S files \
-K lock_after_retries=no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
```
역할에 대한 초기 암호를 제공합니다.
```
# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#
```
6자 이상의 영숫자로 구성된 암호를 지정합니다. 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.
다른 역할을 만들 때 보안 관리자 역할을 기준으로 사용합니다.
사용 가능한 역할은 다음과 같습니다.
- admin 역할 – System Administrator 권한 프로파일
- oper 역할 – Operator 권한 프로파일

예 4-4 LDAP에서 보안 관리자 역할 만들기

첫 번째 시스템을 로컬 보안 관리자 역할로 구성한 후 관리자는 LDAP 저장소에서 보안 관리자 역할을 만듭니다. 이 시나리오에서 LDAP 클라이언트는 LDAP에서 정의된 보안 관리자 역할로 관리할 수 있습니다.

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=lo,ex:no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

관리자는 역할에 대한 초기 암호를 제공합니다.

# passwd -r ldap secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

다음 순서

로컬 역할을 로컬 사용자에게 지정하려면 Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법을 참조하십시오.

시스템 관리자 역할을 만드는 방법

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

System Administrator 권한 프로파일을 역할에 지정합니다.

# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\
-K profiles="System Administrator" -K lock_after_retries=no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin

역할에 대한 초기 암호를 제공합니다.

# passwd -r files sysadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for sysadmin
#

Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법

사이트 보안 정책에 따라 둘 이상의 관리 역할을 수락할 수 있는 사용자를 만들도록 선택할 수 있습니다.

보안 사용자를 만드는 경우 시스템 관리자 역할에서 사용자를 만든 후 초기 암호를 지정하고, 보안 관리자 역할에서 역할과 같은 보안 관련 속성을 지정합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다. 또는 책임 구분이 적용된 경우 보안 관리자 및 시스템 관리자의 고유 역할을 맡을 수 있는 사용자가 존재하고 이 절차에서 해당하는 단계를 수행해야 합니다.

사용자를 만듭니다.
root 역할 또는 시스템 관리자 역할이 이 단계를 수행합니다.
주석에 고유 정보를 추가하지 마십시오.
```
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
```
사용자를 만든 후 사용자의 보안 속성을 수정합니다.
root 역할 또는 보안 관리자 역할이 이 단계를 수행합니다.

주 - 역할을 맡을 수 있는 사용자에 대해 계정 잠금을 해제하고 암호 만료 날짜를 설정하지 않습니다. pfexec 명령 사용을 감사합니다.
```
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
-K audit_flags=lo,ex:no jdoe
```
주 - idletime 및 idlecmd에 대한 값은 사용자가 역할을 맡을 경우 계속 유효합니다. 자세한 내용은 Trusted Extensions의 policy.conf 파일 기본값을 참조하십시오.
6자 이상의 영숫자로 구성된 암호를 지정합니다.
```
# passwd jdoe
New Password: Type password
Re-enter new Password:Retype password
```
주 - 초기 설정 팀은 암호를 선택할 때 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 추측하기 어려운 암호를 선택해야 합니다.
사용자에게 역할을 지정합니다.
root 역할 또는 보안 관리자 역할이 이 단계를 수행합니다.
```
# usermod -R oper jdoe
```
사용자 환경을 사용자 정의합니다.
1. Convenient Authorizations(편리한 권한 부여)를 할당합니다.
  사이트 보안 정책을 확인한 후 첫 번째 사용자에게 Convenient Authorizations(편리한 권한 부여) 권한 프로필을 부여할 수 있습니다. 이 프로파일을 가진 사용자는 장치 할당, PostScript 파일 인쇄, 레이블 없이 인쇄, 원격 로그인 및 시스템 종료를 수행할 수 있습니다. 프로파일을 만들려면 편리한 인증을 위해 권한 프로파일을 만드는 방법을 참조하십시오.
2. 사용자 초기화 파일을 사용자 정의합니다.
  보안을 위한 사용자 환경 사용자 정의(작업 맵)를 참조하십시오.
3. 다중 레벨 복사본을 만들고 파일을 연결합니다.
  다중 레벨 시스템에서는 다른 레이블에 복사하거나 연결할 사용자 초기화 파일을 나열하는 파일을 사용하여 사용자와 역할을 설정할 수 있습니다. 자세한 내용은 .copy_files 및 .link_files 파일을 참조하십시오.

예 4-5 useradd 명령을 사용하여 로컬 사용자 만들기

이 예에서 root 역할은 보안 관리자 역할을 맡을 수 있는 로컬 사용자를 만듭니다. 자세한 내용은 useradd(1M) 및 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.

이 사용자는 기본 레이블 범위보다 넓은 레이블 범위를 가지게 됩니다. 따라서 root 역할은 16진수 형식의 사용자 최소 레이블 및 클리어런스 레이블을 결정합니다.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

다음으로 root 역할은 표 1-2를 참조한 후에 사용자를 만듭니다. 관리자는 사용자의 홈 디렉토리를 기본값인 /export/home 대신 /export/home1에 둡니다.

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \
-K idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

그런 다음 root 역할은 초기 암호를 제공합니다.

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

마지막으로 root 역할은 사용자 정의에 보안 관리자 역할을 추가합니다. 역할은 Trusted Extensions에서 보안 관리자 역할을 만드는 방법에서 만들었습니다.

# usermod -R secadmin jandoe

Trusted Extensions 역할이 작동하는지 확인하는 방법

각 역할을 확인하려면 역할을 수락합니다. 그런 다음 해당 역할만 수행할 수 있는 작업을 수행하고 해당 역할이 수행할 수 없는 작업을 시도합니다.

시작하기 전에

DNS 또는 라우팅을 구성한 경우 역할을 만들고 다시 부트한 후에 작동 여부를 확인해야 합니다.

각 역할에 대해 역할을 수락할 수 있는 사용자로 로그인합니다.
역할을 맡습니다.
다음 신뢰할 수 있는 스트라이프에서 사용자 이름은 tester입니다.
1. 신뢰할 수 있는 스트라이프에서 사용자 이름을 누릅니다.
2. 사용자에게 할당된 역할 목록에서 역할을 선택합니다.
역할을 테스트합니다.
사용자 등록 정보를 변경하는 데 필요한 권한 부여는 passwd(1) 매뉴얼 페이지를 참조하십시오.
- 시스템 관리자 역할은 사용자를 만들고 사용자의 로그인 셸과 같이 solaris.user.manage 권한 부여가 필요한 사용자 등록 정보를 수정할 수 있어야 합니다. 시스템 관리자 역할은 solaris.account.setpolicy 권한 부여가 필요한 사용자 등록 정보를 변경할 수 없어야 합니다.
- 보안 관리자 역할은 solaris.account.setpolicy 권한 부여가 필요한 사용자 등록 정보를 변경할 수 있어야 합니다. 보안 관리자는 사용자를 만들거나 사용자의 로그인 셸을 변경할 수 없어야 합니다.

사용자가 레이블이 있는 영역에 로그인할 수 있도록 설정하는 방법

시스템이 재부트되면 장치와 기본 저장소 간의 연결을 다시 설정해야 합니다.

시작하기 전에

레이블이 있는 영역을 한 개 이상 만들었습니다. 시스템을 구성한 후 재부트했습니다. root 역할을 맡을 수 있습니다.

로그인하고 root 역할을 맡습니다.

영역 서비스의 상태를 확인합니다.

# svcs zones
STATE          STIME    FMRI
offline        -        svc:/system/zones:default

서비스를 다시 시작합니다.

# svcadm restart svc:/system/zones:default

로그아웃합니다.
이제 일반 사용자가 로그인할 수 있습니다. 세션이 레이블이 있는 영역에 있습니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어)