탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
기본 Trusted Extensions 시스템을 만드는 방법
가상 네트워크 인터페이스를 레이블이 있는 영역에 추가하는 방법
Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법
각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법
Trusted Extensions의 역할 및 사용자 만들기
Trusted Extensions에서 보안 관리자 역할을 만드는 방법
Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법
Trusted Extensions 역할이 작동하는지 확인하는 방법
사용자가 레이블이 있는 영역에 로그인할 수 있도록 설정하는 방법
Trusted Extensions에서 중앙 홈 디렉토리 만들기
Trusted Extensions에서 홈 디렉토리 서버를 만드는 방법
사용자가 각 NFS 서버에 로그인하여 모든 레이블에서 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
각 서버에서 자동 마운트를 구성하여 사용자가 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법
Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법
시스템에서 Trusted Extensions를 제거하는 방법
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions 구성을 사용자 정의하려면 다음 작업 맵의 절차를 수행하십시오. 기본 구성을 설치하려면 레이블이 있는 영역 만들기로 이동하십시오.
|
인코딩 파일은 통신하는 Trusted Extensions 호스트와 호환되어야 합니다.
주 - Trusted Extensions는 기본 label_encodings 파일을 설치합니다. 이 기본 파일은 데모용으로 유용합니다. 그러나 이 파일을 사용하지 않는 것이 좋습니다. 기본 파일을 사용하려면 이 절차를 건너뜁니다.
인코딩 파일에 대해 잘 알고 있는 경우 다음 절차를 사용할 수 있습니다.
인코딩 파일에 익숙하지 않은 경우 Trusted Extensions Label Administration 에서 요구 사항, 절차 및 예를 참조하십시오.
주의 - 계속하려면 레이블을 반드시 설치해야 합니다. 그렇지 않으면 구성에 실패합니다. |
시작하기 전에
사용자는 보안 관리자입니다. 보안 관리자는 label_encodings 파일의 편집, 확인 및 유지 관리를 담당합니다. label_encodings 파일을 편집하려면 파일 자체가 쓰기 가능한지 확인합니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오.
label_encodings 파일을 편집하려면 root 역할을 가진 사용자여야 합니다.
이동식 매체에서 복사하려면 Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법을 참조하십시오.
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
명령에서 오류를 보고하는 경우 계속하려면 먼저 오류를 해결해야 합니다. 자세한 내용은 Trusted Extensions Label Administration의 3 장, Creating a Label Encodings File (Tasks)를 참조하십시오.
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings
주의 - 계속하려면 label_encodings 파일이 인코딩 확인 테스트를 통과해야 합니다. |
예 4-1 명령줄에서 label_encodings 구문 검사
이 예에서는 관리자가 명령줄을 사용하여 여러 label_encodings 파일을 테스트합니다.
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2
관리 과정에서 label_encodings2 파일을 사용하도록 결정하면 관리자는 파일의 구문 분석을 실행합니다.
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ...
관리자는 기록을 위해 구문 분석 복사본을 인쇄한 후 해당 파일을 /etc/security/tsol 디렉토리로 이동합니다.
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.10 label_encodings
마지막으로 관리자는 label_encodings 파일이 회사 파일인지 확인합니다.
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010
다음 순서
레이블이 있는 영역을 만들기 전에 시스템을 재부트해야 합니다.
주의 - txzonemgr 스크립트는 IPv6 주소 구문을 지원하지 않습니다. 따라서 tncfg 명령을 사용하여 IPv6 호스트를 Trusted Extensions 네트워크에 추가합니다. 예는 신뢰할 수 있는 네트워크 폴백 메커니즘 및 예 16-11을 참조하십시오. |
CIPSO 옵션에는 패킷의 IPv6 Option Type(IPv6 옵션 유형) 필드에서 사용하는 IANA(Internet Assigned Numbers Authority) 번호가 없습니다. 이 절차에서 설정한 항목은 IANA에서 이 옵션에 대한 번호를 할당할 때까지 로컬 네트워크에서 사용할 번호를 제공합니다. 이 번호가 정의되지 않으면 Trusted Extensions는 IPv6 네트워킹을 사용하지 않습니다.
Trusted Extensions에서 IPv6 네트워크를 사용하려면 /etc/system 파일에 항목을 추가해야 합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
set ip:ip6opt_ls = 0x0a
일반 오류
부트 중에 오류 메시지가 표시되면 IPv6 구성이 잘못된 것입니다.
항목의 철자가 올바른지 확인합니다.
/etc/system 파일에 올바른 항목을 추가한 후에 시스템을 다시 부트했는지 확인합니다.
현재 IPv6가 사용으로 설정된 Oracle Solaris 시스템에 Trusted Extensions를 추가할 때 IP 항목을 /etc/system에 추가하지 않으면 다음과 같은 오류 메시지가 표시됩니다. t_optmgmt: System error: Cannot assign requested address time-stamp
다음 순서
레이블이 있는 영역을 만들기 전에 시스템을 재부트해야 합니다.
Trusted Extensions로 구성된 시스템 간의 모든 통신은 단일 CIPSO DOI(Domain of Interpretation)의 레이블 지정 규칙에 따라야 합니다. 각 메시지에서 사용되는 DOI는 CIPSO IP Option 헤더에서 정수로 식별됩니다. 기본적으로 Trusted Extensions에서 DOI는 1입니다.
사이트에서 DOI 1을 사용하지 않는 경우 모든 보안 템플리트에서 doi 값을 수정해야 합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
# tncfg -t cipso set doi=n # tncfg -t admin_low set doi=n
주 - 모든 보안 템플리트에서 DOI 값을 지정해야 합니다.
참조
다음 순서
LDAP를 사용하려는 경우 5 장Trusted Extensions에 대해 LDAP 구성(작업) 을 참조하십시오. 레이블이 있는 영역을 만들기 전에 LDAP를 구성해야 합니다.
그렇지 않은 경우 레이블이 있는 영역 만들기를 계속 진행하십시오.