탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1에서 사용자 계정 및 사용자 환경 관리 Oracle Solaris 11.1 Information Library (한국어) |
2. 명령줄 인터페이스를 사용하여 사용자 계정 관리(작업)
이 릴리스에서 새로운 기능 또는 변경된 기능은 다음과 같습니다.
이 릴리스에서 변경된 기능은 다음과 같습니다.
password 명령에 대한 상태 전환 세분화입니다. 이 변경 사항은 잠글 수 있는 사용자 계정과 잠글 수 없는 사용자 계정을 구분합니다. 주요 변경 사항은 LK 및 NL 등록 정보 정의에 영향을 주며 다음과 같습니다.
계정이 잠겨 있습니다. passwd - l 명령이 실행되었거나 인증 실패 수가 허용되는 최대값으로 구성된 횟수에 도달하여 계정이 자동으로 잠겼습니다. policy.conf(4) 및 user_attr(4) 매뉴얼 페이지를 참조하십시오.
계정이 비UNIX 인증에 대해 구성되어 있습니다. passwd -N 명령이 실행되었습니다. 이 릴리스부터 passwd - l 명령을 실행하여 이 상태의 계정을 잠글 수 있으며 passwd - u 명령을 실행하여 잠금 해제할 수 있습니다.
규정된 권한 부여. 그룹, 영역 또는 파일 이름과 같은 특정 객체에 적용하도록 권한 부여를 규정할 수 있습니다. 관리 편집기(pfedit)를 참조하십시오.
로컬 및 LDAP 범위에 대한 권한 프로파일을 관리하도록 profiles 명령이 재작성되었습니다. 이제는 RBAC(역할 기반 액세스 제어) 파일을 직접 편집할 수 없습니다.
이 릴리스에서는 권한 프로파일에 PAM(플러그인할 수 있는 인증 모듈) 정책(pam_policy)을 설정하는 기능이 제공됩니다. pam_policy는 pam_conf(4) 형식 파일에 대한 절대 경로 이름이거나 /etc/security/pam_policy 파일에 있는 pam.conf(4) 형식 파일의 이름이어야 합니다. pam_user_policy(5)를 참조하십시오.
권한 프로파일에서 PAM 정책을 설정하는 것 외에도 useradd 또는 usermod 명령을 사용하여 사용자의 user_attr 항목에서 pam_policy를 직접적으로 설정할 수도 있습니다. 예 2-1을 참조하십시오.
User Security 권한 프로파일에 지정된 사용자 및 역할은 새 사용자 계정을 만들 수 있을 뿐만 아니라 root 역할이 아니어도 자신의 권한 일부를 다른 계정에 위임할 수 있습니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 제III부, 역할, 권한 프로파일 및 권한을 참조하십시오.
Oracle Solaris User Manager GUI(그래픽 사용자 인터페이스)에서 사용자, 역할 및 그룹을 설정하고 관리할 수 있습니다. User Manager GUI는 데스크탑에서 제공되며 Visual Panels 프로젝트에 속합니다. User Manager GUI는 이 릴리스에서 Solaris Management Console GUI 대신 사용됩니다. User Manager GUI로 수행할 수 있는 작업은 기본적으로 CLI를 사용하여 수행할 수 있는 작업과 동일합니다(예: useradd , usermod, userdel, roleadd , rolemod, roledel 명령).
User Manager GUI 사용에 대한 자세한 내용은 3 장User Manager GUI를 사용하여 사용자 계정 관리(작업) 및 온라인 도움말을 참조하십시오.
이 릴리스에서 관리 편집기(pfedit)를 사용하면 시스템 파일을 편집할 수 있습니다. 시스템 관리자에 의해 정의된 경우 이 편집기의 값은 $EDITOR입니다. 편집기가 정의되지 않은 경우 편집기는 기본적으로 vi 명령으로 설정됩니다.
다음과 같이 편집기를 시작합니다.
$ pfedit system-filename
pfedit 명령을 사용하여 시스템 파일을 편집하려면 사용자 또는 사용자의 역할에 사용자가 편집하려는 특정 파일에 대한 solaris.admin.edit/ system-filename 권한이 부여되어 있어야 합니다. 이 auth-sysfilename을 기존 권한 프로파일에 지정하면 SMF(서비스 관리 기능) 명령과 일반 파일 편집이 혼합된 프로시저가 간소화됩니다. 예를 들어, solaris.admin.edit/etc/security/audit_warn 권한이 지정된 경우 audit_warn 파일을 편집할 수 있습니다.
pfedit 명령을 사용하면 /etc 디렉토리, 해당 하위 디렉토리에 있는 대부분의 구성 파일과 GNOME 및 Firefox 파일과 같은 응용 프로그램 구성 파일도 편집할 수 있습니다. pfedit 명령은 시스템의 넓은 부분에 대한 제어 권한을 제공하는 시스템 파일(예: /etc/security/policy.conf 파일)을 편집하는 데 사용할 수 없습니다. 그러한 파일을 편집하려면 root 액세스 권한이 있어야 합니다. pfedit(1M) 매뉴얼 페이지 및 Oracle Solaris 11.1 관리: 보안 서비스의 3 장, 시스템에 대한 액세스 제어(작업)를 참조하십시오.
사용자가 로그인해서 pam_unix_cred 모듈을 사용하여 성공적으로 인증될 때마다 디렉토리가 존재하지 않으면 /var/user/$USER 디렉토리가 명시적으로 만들어집니다. 이 디렉토리를 통해 응용 프로그램은 호스트 시스템에서 특정 사용자와 연관된 지속적인 데이터를 저장할 수 있습니다. /var/user/$USER 디렉토리는 초기 자격 증명 설정 시에, 그리고 su, ssh , rlogin 및 telnet 명령을 사용하여 사용자를 변경하는 보조 인증 시에 만들어집니다. /var/user/$USER 디렉토리는 관리할 필요가 없습니다. 하지만 사용자는 디렉토리가 만들어지는 방법과 해당 기능 및 /var 디렉토리에 표시된다는 점에 주의해야 합니다.
solaris.group.manage 권한이 있는 관리자는 그룹을 만들 수 있습니다. 그룹을 만들 때 시스템은 solaris.group.assign /groupname을 관리자에게 지정하여 관리자에게 해당 그룹에 대한 완전한 제어 권한을 제공합니다. 그런 후 관리자는 해당 그룹을 필요에 따라 수정하거나 삭제할 수 있습니다. 자세한 내용은 groupadd(1M) 및 groupmod (1M) 매뉴얼 페이지를 참조하십시오.
사용자 계정이 실패한 로그인을 강제 적용하도록 구성되지 않은 경우에도 이제는 시스템에서 사용자에게 실패한 인증 횟수를 알릴 수 있습니다. 올바르게 인증하지 못한 사용자에게는 인증 성공 후 아래와 비슷한 메시지가 표시됩니다.
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
이러한 알림을 표시하지 않으려면 ~/.hushlogin 파일을 만듭니다.