RBAC를 사용하여 논리적 도메인의 관리 위임

Logical Domains Manager 패키지는 로컬 RBAC 구성에 두 가지 사전 정의된 RBAC(역할 기반 액세스 제어) 권한 프로파일을 추가합니다. 이러한 권한 프로파일을 사용하여 권한이 없는 사용자에게 다음과 같은 관리 권한을 위임할 수 있습니다.

LDoms Management 프로파일은 사용자가 모든 ldm 하위 명령을 사용할 수 있도록 허용합니다.
LDoms Review 프로파일은 사용자가 모든 목록 관련 ldm 하위 명령을 사용할 수 있도록 허용합니다.

사용자 또는 역할에 이러한 권한 프로파일을 직접 지정할 수 있습니다. 역할에 지정할 경우 해당 역할이 사용자에게 지정됩니다. 이러한 프로파일 중 하나를 사용자에게 직접 지정할 경우 ldm 명령을 사용하여 도메인을 관리하려면 pfexec 명령 또는 프로파일 셸(예: pfbash 또는 pfksh)을 사용해야 합니다. RBAC 구성을 기반으로 사용자 역할 또는 권한 프로파일을 사용할지 여부를 결정하십시오. System Administration Guide: Security Services 또는 Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.

다음 방법으로 사용자, 권한 부여, 권한 프로파일 및 역할을 구성할 수 있습니다.

파일을 사용하여 시스템에서 로컬로
이름 지정 서비스(예: LDAP)에서 중앙 집중식으로

Logical Domains Manager를 설치하면 필요한 권한 프로파일이 로컬 파일에 추가됩니다. 이름 지정 서비스에서 프로파일 및 역할을 구성하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. 이 장의 모든 예에서는 RBAC 구성에 로컬 파일이 사용된다고 가정합니다. Logical Domains Manager 패키지를 통해 전달된 권한 부여 및 실행 속성에 대한 개요는 Logical Domains Manager 프로파일 컨텐츠를 참조하십시오.

권한 프로파일 및 역할 사용

주의 - usermod 및 rolemod 명령을 사용하여 권한 부여, 권한 프로파일 또는 역할을 추가할 때는 신중해야 합니다.

Oracle Solaris 10 OS의 경우 usermod 또는 rolemod 명령이 기존 값을 바꿉니다.

값을 바꾸지 않고 추가하려면 기존 값과 새 값 목록을 쉼표로 구분하여 지정하십시오.
Oracle Solaris 11 OS의 경우 추가하는 각 권한 부여에 대해 플러스 기호(+)를 사용하여 값을 추가하십시오.

예를 들어, usermod -A +auth username 명령은 rolemod 명령과 유사하게 사용자 username에게 auth 권한 부여를 허가합니다.

사용자 권한 프로파일 관리

다음 절차에서는 로컬 파일을 사용하여 시스템에서 사용자 권한 프로파일을 관리하는 방법을 보여줍니다. 이름 지정 서비스에서 사용자 프로파일을 관리하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.

사용자에게 권한 프로파일을 지정하는 방법

LDoms Management 프로파일이 직접 지정된 사용자는 반드시 프로파일 셸을 호출하여 보안 속성이 사용된 ldm 명령을 실행해야 합니다. 자세한 내용은 System Administration Guide: Security Services 또는 Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.

관리자, 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.
Oracle Solaris 10의 경우, System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오. Oracle Solaris 11의 경우, Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
로컬 사용자 계정에 관리 프로파일을 지정합니다.
사용자 계정에 LDoms Review 프로파일 또는 LDoms Management 프로파일을 지정할 수 있습니다.
```
# usermod -P "profile-name" username
```
다음 명령은 사용자 sam에게 LDoms Management 프로파일을 지정합니다.
```
# usermod -P "LDoms Management" sam
```

사용자에게 역할 지정

다음 절차에서는 로컬 파일을 사용하여 역할을 만든 후 사용자에게 해당 역할을 지정하는 방법을 보여줍니다. 이름 지정 서비스에서 역할을 관리하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.

이 절차를 수행할 경우 특정 역할이 지정된 사용자만 해당 역할을 맡을 수 있다는 장점이 있습니다. 역할에 암호가 지정된 경우 역할을 맡을 때 암호가 필요합니다. 이러한 두 가지 보안 계층은 역할이 지정되지 않고 암호가 없는 사용자가 해당 역할을 맡을 수 없도록 합니다.

역할을 만들어 사용자에게 지정하는 방법

관리자, 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.
Oracle Solaris 10의 경우, System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오. Oracle Solaris 11의 경우, Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
역할을 만듭니다.
```
# roleadd -P "profile-name" role-name
```
역할에 암호를 지정합니다.
새 암호를 지정한 다음 확인하라는 메시지가 표시됩니다.
```
# passwd role-name
```
사용자에게 역할을 지정합니다.
```
# useradd -R role-name username
```
사용자에게 암호를 지정합니다.
새 암호를 지정한 다음 확인하라는 메시지가 표시됩니다.
```
# passwd username
```
해당 사용자로 로그인하고 필요한 경우 암호를 제공합니다.
```
# su username
```
사용자에게 지정된 역할에 대한 액세스 권한이 있는지 확인합니다.
```
$ id
uid=nn(username) gid=nn(group-name)
$ roles
role-name
```
역할을 맡고 필요한 경우 암호를 제공합니다.
```
$ su role-name
```
사용자가 역할을 맡았는지 확인합니다.
```
$ id
uid=nn(role-name) gid=nn(group-name)
```

예 3-1 역할을 만들어 사용자에게 지정

이 예에서는 ldm_read 역할을 만들어 사용자 user_1에게 지정하고 사용자 user_1로 로그인한 다음 ldm_read 역할을 맡는 방법을 보여줍니다.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Logical Domains Manager 프로파일 컨텐츠

Logical Domains Manager 패키지는 로컬 /etc/security/prof_attr 파일에 다음과 같은 RBAC 프로파일을 추가합니다.

LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

또한 Logical Domains Manager 패키지는 로컬 /etc/security/exec_attr 파일에 LDoms Management 프로파일과 연관된 다음과 같은 실행 속성을 추가합니다.

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

다음 표에서는 명령 실행에 필요한 해당 사용자 권한 부여와 함께 ldm 하위 명령 을 나열합니다.

표 3-1 ldm 하위 명령 및 사용자 권한 부여

ldm 하위 명령¹	사용자 권한 부여
`add-*`	`solaris.ldoms.write`
`bind-domain`	`solaris.ldoms.write`
`list`	`solaris.ldoms.read`
`list-*`	`solaris.ldoms.read`
`panic-domain`	`solaris.ldoms.write`
`remove-*`	`solaris.ldoms.write`
`set-*`	`solaris.ldoms.write`
`start-domain`	`solaris.ldoms.write`
`stop-domain`	`solaris.ldoms.write`
`unbind-domain`	`solaris.ldoms.write`

¹ 추가, 나열, 제거 또는 설정할 수 있는 모든 리소스를 나타냅니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle VM Server for SPARC 2.2 관리 설명서 Oracle VM Server for SPARC (한국어)