탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle VM Server for SPARC 2.2 관리 설명서 Oracle VM Server for SPARC (한국어) |
제1부Oracle VM Server for SPARC 2.2 소프트웨어
1. Oracle VM Server for SPARC 소프트웨어 개요
3. Oracle VM Server for SPARC 보안
Logical Domains Manager 프로파일 컨텐츠
역할을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법
권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법
제2부선택적 Oracle VM Server for SPARC 소프트웨어
13. Oracle VM Server for SPARC Physical-to-Virtual 변환 도구
14. Oracle VM Server for SPARC Configuration Assistant(Oracle Solaris 10)
15. Oracle VM Server for SPARC Management Information Base 소프트웨어 사용
16. Logical Domains Manager 검색
기본적으로 모든 사용자가 모든 도메인 콘솔에 액세스할 수 있습니다. 도메인 콘솔에 대한 액세스를 제어하려면 권한 부여 확인이 수행되도록 vntsd 데몬을 구성하십시오. vntsd 데몬은 vntsd/authorization이라는 SMF(서비스 관리 기능) 등록 정보를 제공합니다. 도메인 콘솔 또는 콘솔 그룹에 대해 사용자 및 역할의 권한 부여 확인이 사용으로 설정되도록 이 등록 정보를 구성할 수 있습니다. 권한 부여 확인을 사용으로 설정하려면 svccfg 명령을 사용하여 이 등록 정보의 값을 true로 설정하십시오. 이 옵션이 사용으로 설정된 상태에서 vntsd는 localhost에서만 연결을 수신하고 수락합니다. vntsd/authorization이 사용으로 설정된 상태에서는 listen_addr 등록 정보가 대체 IP 주소를 지정하는 경우에도 vntsd는 대체 IP 주소를 무시하고 계속 localhost에서만 수신합니다.
주의 - localhost 이외의 다른 호스트를 사용하려면 vntsd 서비스를 구성하지 마십시오. localhost 이외의 다른 호스트를 지정할 경우 더 이상 컨트롤 도메인에서 게스트 도메인 콘솔로의 연결이 제한되지 않습니다. telnet 명령을 사용하여 게스트 도메인에 원격으로 연결할 경우 네트워크를 통해 일반 텍스트로 로그인 자격 증명이 전달됩니다. |
기본적으로 모든 게스트 콘솔에 액세스할 수 있는 권한 부여는 로컬 auth_attr 데이터베이스에서 제공됩니다.
solaris.vntsd.consoles:::Access All LDoms Guest Consoles::
로컬 파일에서 사용자 또는 역할에 필요한 권한 부여를 지정하려면 usermod 명령을 사용하십시오. 이 명령은 필요한 권한 부여를 가진 사용자 또는 역할만 지정된 도메인 콘솔 또는 콘솔 그룹에 액세스할 수 있도록 허용합니다. 이름 지정 서비스에서 사용자 또는 역할에 권한 부여를 지정하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.
모든 도메인 콘솔에 대한 액세스를 제어할 수도 있고, 단일 도메인 콘솔에 대한 액세스를 제어할 수도 있습니다.
모든 도메인 콘솔에 대한 액세스를 제어하려면 역할을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법 및 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법을 참조하십시오.
단일 도메인 콘솔에 대한 액세스를 제어하려면 역할을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법 및 권한 프로파일을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법을 참조하십시오.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
primary# roleadd -A solaris.vntsd.consoles role-name primary# passwd all_cons
primary# usermod -R role-name username
예 3-2 역할을 사용하여 모든 도메인 콘솔에 대한 액세스 제어
먼저 도메인 콘솔에 대한 액세스가 제한되도록 콘솔 권한 부여 확인을 사용으로 설정합니다.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd primary# ldm ls NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active -n-cv- UART 8 16G 0.2% 47m ldg1 active -n--v- 5000 2 1G 0.1% 17h 50m ldg2 active -t---- 5001 4 2G 25% 11s
다음 예에서는 모든 도메인 콘솔에 대한 액세스를 허용하는 solaris.vntsd.consoles 권한 부여를 가진 all_cons 역할을 만드는 방법을 보여줍니다.
primary# roleadd -A solaris.vntsd.consoles all_cons primary# passwd all_cons New Password: Re-enter new Password: passwd: password successfully changed for all_cons
이 명령은 사용자 sam에게 all_cons 역할을 지정합니다.
primary# usermod -R all_cons sam
그러면 사용자 sam이 all_cons 역할을 맡고 모든 콘솔에 액세스할 수 있습니다. 예를 들어, 다음과 같습니다.
$ id uid=700299(sam) gid=1(other) -bash-3.2$ su all_cons Password: $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options .. $ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg2" in group "ldg2" .... Press ~? for control options ..
이 예에서는 권한이 부여되지 않은 사용자 dana가 도메인 콘솔에 액세스하려고 시도할 때 발생하는 오류를 보여줍니다.
$ id uid=702048(dana) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
다음 항목을 포함합니다.
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
LDoms Consoles 프로파일을 추가할 때 기존 프로파일을 지정하려는 경우 신중해야 합니다. 이전 명령은 사용자에게 이미 All 및 Basic Solaris User 프로파일이 있음을 보여줍니다.
primary# usermod -P +"LDoms Consoles" username
$ telnet 0 5000
예 3-3 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스 제어
다음 예에서는 권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법을 보여줍니다.
Oracle Solaris 10: /etc/security/prof_attr 파일에 다음 항목을 추가하여 solaris.vntsd.consoles 권한 부여를 가진 권한 프로파일을 만듭니다.
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
username에 권한 프로파일을 지정합니다.
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
다음 명령은 사용자가 sam이며 All, Basic Solaris User 및 LDoms Consoles 권한 프로파일이 적용되는지 확인하는 방법을 보여줍니다. telnet 명령은 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Oracle Solaris 11: profiles 명령을 사용하여 /etc/security/prof_attr 파일의 solaris.vntsd.consoles 권한 부여를 가진 권한 프로파일을 만듭니다.
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
사용자에게 권한 프로파일을 지정합니다.
primary# usermod -P +"LDoms Consoles" sam
다음 명령은 사용자가 sam이며 All, Basic Solaris User 및 LDoms Consoles 권한 프로파일이 적용되는지 확인하는 방법을 보여줍니다. telnet 명령은 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
권한 부여 이름은 도메인 이름에서 파생되며 solaris.vntsd.console-domain-name 형식입니다.
solaris.vntsd.console-domain-name:::Access domain-name Console::
primary# roleadd -A solaris.vntsd.console-domain-name role-name primary# passwd role-name New Password: Re-enter new Password: passwd: password successfully changed for role-name
primary# usermod -R role-name username
예 3-4 단일 도메인 콘솔에 액세스
이 예에서는 사용자 terry가 ldg1cons 역할을 맡고 ldg1 도메인 콘솔에 액세스하는 방법을 보여줍니다.
먼저 /etc/security/auth_attr 파일에 단일 도메인 ldg1에 대한 권한 부여를 추가합니다.
solaris.vntsd.console-ldg1:::Access ldg1 Console::
그런 다음 해당 도메인 콘솔에 대해서만 액세스를 허용하는 새 권한 부여를 가진 역할을 만듭니다.
primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons primary# passwd ldg1cons New Password: Re-enter new Password: passwd: password successfully changed for ldg1cons
사용자 terry에게 ldg1cons 역할을 지정하고 ldg1cons 역할을 맡은 다음 도메인 콘솔에 액세스합니다.
primary# usermod -R ldg1cons terry primary# su ldg1cons Password: $ id uid=700303(ldg1cons) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
다음에서는 사용자 terry가 ldg2 도메인 콘솔에 액세스할 수 없음을 보여줍니다.
$ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
다음 항목 예에서는 단일 도메인 콘솔에 대한 권한 부여를 추가합니다.
solaris.vntsd.console-domain-name:::Access domain-name Console::
domain-name Console:::Access domain-name Console:auths=solaris.vntsd.console-domain-name
이 항목은 한 행이어야 합니다.
primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'
다음 명령은 사용자에게 프로파일을 지정합니다.
primary# usermod -P "All,Basic Solaris User,domain-name Console" username
All 및 Basic Solaris User 프로파일이 필요합니다.
primary# usermod -P +"domain-name Console" username