탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle VM Server for SPARC 2.2 관리 설명서 Oracle VM Server for SPARC (한국어) |
제1부Oracle VM Server for SPARC 2.2 소프트웨어
1. Oracle VM Server for SPARC 소프트웨어 개요
3. Oracle VM Server for SPARC 보안
역할을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법
권한 프로파일을 사용하여 모든 도메인 콘솔에 대한 액세스를 제어하는 방법
역할을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법
권한 프로파일을 사용하여 단일 콘솔에 대한 액세스를 제어하는 방법
제2부선택적 Oracle VM Server for SPARC 소프트웨어
13. Oracle VM Server for SPARC Physical-to-Virtual 변환 도구
14. Oracle VM Server for SPARC Configuration Assistant(Oracle Solaris 10)
15. Oracle VM Server for SPARC Management Information Base 소프트웨어 사용
16. Logical Domains Manager 검색
Logical Domains Manager 패키지는 로컬 RBAC 구성에 두 가지 사전 정의된 RBAC(역할 기반 액세스 제어) 권한 프로파일을 추가합니다. 이러한 권한 프로파일을 사용하여 권한이 없는 사용자에게 다음과 같은 관리 권한을 위임할 수 있습니다.
LDoms Management 프로파일은 사용자가 모든 ldm 하위 명령을 사용할 수 있도록 허용합니다.
LDoms Review 프로파일은 사용자가 모든 목록 관련 ldm 하위 명령을 사용할 수 있도록 허용합니다.
사용자 또는 역할에 이러한 권한 프로파일을 직접 지정할 수 있습니다. 역할에 지정할 경우 해당 역할이 사용자에게 지정됩니다. 이러한 프로파일 중 하나를 사용자에게 직접 지정할 경우 ldm 명령을 사용하여 도메인을 관리하려면 pfexec 명령 또는 프로파일 셸(예: pfbash 또는 pfksh)을 사용해야 합니다. RBAC 구성을 기반으로 사용자 역할 또는 권한 프로파일을 사용할지 여부를 결정하십시오. System Administration Guide: Security Services 또는 Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
다음 방법으로 사용자, 권한 부여, 권한 프로파일 및 역할을 구성할 수 있습니다.
파일을 사용하여 시스템에서 로컬로
이름 지정 서비스(예: LDAP)에서 중앙 집중식으로
Logical Domains Manager를 설치하면 필요한 권한 프로파일이 로컬 파일에 추가됩니다. 이름 지정 서비스에서 프로파일 및 역할을 구성하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. 이 장의 모든 예에서는 RBAC 구성에 로컬 파일이 사용된다고 가정합니다. Logical Domains Manager 패키지를 통해 전달된 권한 부여 및 실행 속성에 대한 개요는 Logical Domains Manager 프로파일 컨텐츠를 참조하십시오.
주의 - usermod 및 rolemod 명령을 사용하여 권한 부여, 권한 프로파일 또는 역할을 추가할 때는 신중해야 합니다.
|
다음 절차에서는 로컬 파일을 사용하여 시스템에서 사용자 권한 프로파일을 관리하는 방법을 보여줍니다. 이름 지정 서비스에서 사용자 프로파일을 관리하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.
LDoms Management 프로파일이 직접 지정된 사용자는 반드시 프로파일 셸을 호출하여 보안 속성이 사용된 ldm 명령을 실행해야 합니다. 자세한 내용은 System Administration Guide: Security Services 또는 Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
Oracle Solaris 10의 경우, System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오. Oracle Solaris 11의 경우, Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
사용자 계정에 LDoms Review 프로파일 또는 LDoms Management 프로파일을 지정할 수 있습니다.
# usermod -P "profile-name" username
다음 명령은 사용자 sam에게 LDoms Management 프로파일을 지정합니다.
# usermod -P "LDoms Management" sam
다음 절차에서는 로컬 파일을 사용하여 역할을 만든 후 사용자에게 해당 역할을 지정하는 방법을 보여줍니다. 이름 지정 서비스에서 역할을 관리하려면 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.
이 절차를 수행할 경우 특정 역할이 지정된 사용자만 해당 역할을 맡을 수 있다는 장점이 있습니다. 역할에 암호가 지정된 경우 역할을 맡을 때 암호가 필요합니다. 이러한 두 가지 보안 계층은 역할이 지정되지 않고 암호가 없는 사용자가 해당 역할을 맡을 수 없도록 합니다.
Oracle Solaris 10의 경우, System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오. Oracle Solaris 11의 경우, Oracle Solaris 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한를 참조하십시오.
# roleadd -P "profile-name" role-name
새 암호를 지정한 다음 확인하라는 메시지가 표시됩니다.
# passwd role-name
# useradd -R role-name username
새 암호를 지정한 다음 확인하라는 메시지가 표시됩니다.
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
예 3-1 역할을 만들어 사용자에게 지정
이 예에서는 ldm_read 역할을 만들어 사용자 user_1에게 지정하고 사용자 user_1로 로그인한 다음 ldm_read 역할을 맡는 방법을 보여줍니다.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)
Logical Domains Manager 패키지는 로컬 /etc/security/prof_attr 파일에 다음과 같은 RBAC 프로파일을 추가합니다.
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
또한 Logical Domains Manager 패키지는 로컬 /etc/security/exec_attr 파일에 LDoms Management 프로파일과 연관된 다음과 같은 실행 속성을 추가합니다.
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
다음 표에서는 명령 실행에 필요한 해당 사용자 권한 부여와 함께 ldm 하위 명령을 나열합니다.
표 3-1 ldm 하위 명령 및 사용자 권한 부여
|