탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 사용자 설명서 Oracle Solaris 11.1 Information Library (한국어) |
2. Trusted Extensions에 로그인(작업)
3. Trusted Extensions에서 작업(작업)
Trusted Extensions에 표시되는 데스크탑 보안
Trusted Extensions에서 로그아웃하는 방법
Trusted Extensions 매뉴얼 페이지에 액세스하는 방법
다음 보안 관련 작업에는 신뢰할 수 있는 경로가 필요합니다.
Oracle Solaris OS와 달리 Trusted Extensions는 암호 변경을 위한 GUI를 제공합니다. GUI는 암호 작업이 완료될 때까지 포인터를 잡습니다. 포인터를 잡은 프로세스를 중지하려면 예 3-5를 참조하십시오.
암호 메뉴 항목을 선택하려면 신뢰할 수 있는 스트라이프에서 Trusted Path(신뢰할 수 있는 경로)를 누릅니다.
그림 3-3 신뢰할 수 있는 경로 메뉴
주 - 사이트에서 영역별로 별개의 이름 지정 서비스를 실행 중인 경우 Trusted Path(신뢰할 수 있는 경로) 메뉴 항목 Change Workspace Password(작업 공간 암호 변경)가 활성화됩니다.
이 작업은 사용자가 이 사용자 이름에 대한 적합한 사용자임을 확인합니다. 보안상의 이유로, 암호를 입력할 때 암호는 표시되지 않습니다.
주의 - 암호를 입력할 때 커서가 Change Password(암호 변경) 대화 상자에 있고 신뢰할 수 있는 기호가 표시되어 있는지 확인합니다. 커서가 이 대화 상자에 없으면 실수로 다른 사용자가 볼 수 있는 다른 창에 암호를 입력할 수 있습니다. 신뢰할 수 있는 기호가 표시되지 않으면 다른 사람이 암호를 도용하려고 시도했을 수 있습니다. 보안 관리자에게 즉시 문의하십시오. |
주 - Change Password(암호 변경)를 선택했고 사이트에서 로컬 계정을 사용 중인 경우 영역 또는 시스템을 재부트하기 전까지 새 암호가 적용되지 않습니다. 영역을 재부트하려면 사용자에게 Zone Security 권한 프로파일이 지정되어 있어야 합니다. 시스템을 재부트하려면 사용자에게 Maintenance and Repair 권한 프로파일이 지정되어 있어야 합니다. 이러한 프로파일이 사용자에게 지정되지 않은 경우 시스템 관리자에게 연락하여 재부트 일정을 잡으십시오.
예 3-5 암호 프롬프트를 신뢰할 수 있는지 테스트
Sun 키보드가 포함된 x86 시스템에서는 사용자에게 암호를 입력하라는 메시지가 표시됩니다. 마우스 포인터가 확보되어 Password(암호) 대화 상자에 배치됩니다. 프롬프트를 신뢰할 수 있는지 확인하려면 Meta-Stop 키를 동시에 누릅니다. 포인터가 대화 상자에 남아 있으면 암호 프롬프트를 신뢰할 수 있음을 확인할 수 있습니다.
포인터가 대화 상자에 남아 있지 않으면 암호 프롬프트를 신뢰할 수 없음을 확인할 수 있습니다. 그런 다음 관리자에게 연락해야 합니다.
첫번째 로그인 후 후속 로그인 세션에 표시되는 첫번째 작업 공간의 레이블은 레이블 범위 내의 모든 레이블에 대해 설정할 수 있습니다.
사용자가 로그인하는 모든 레이블에 대해 시작 세션 특성을 구성할 수 있습니다.
시작하기 전에
다중 레벨 세션에 로그인해야 합니다.
자세한 내용은 최소 레이블에서 작업 공간 추가 방법을 참조하십시오.
자세한 내용은 Trusted Extensions에서 일부 공통 데스크탑 작업을 수행하는 방법을 참조하십시오.
Allocate Device(장치 할당) 메뉴 항목을 사용하면 독점적으로 사용할 장치를 마운트하여 할당할 수 있습니다. 장치를 할당하지 않은 상태에서 사용하려고 하면 “사용 권한이 거부되었습니다.”라는 오류 메시지가 표시됩니다.
시작하기 전에
사용자는 장치를 할당할 권한이 있어야 합니다.
현재 레이블에서 할당이 허용된 장치가 Available Devices(사용 가능한 장치)에 나타납니다.
audion – 마이크로폰 및 스피커를 나타냅니다.
cdromn – CD-ROM 드라이브를 나타냅니다.
floppyn – 디스켓 드라이브를 나타냅니다.
mag_tapen – 테이프 드라이브(스트리밍)를 나타냅니다.
rmdiskn – 이동식 디스크(예: JAZ 또는 ZIP 드라이브) 또는 USB 핫플러그 가능 매체를 나타냅니다.
다음 대화 상자에는 사용자가 장치 할당 권한이 부여되지 않은 것으로 표시됩니다.
사용할 수 있는 장치(Available Devices) 목록에서 할당된 장치(Allocated Devices) 목록으로 장치를 옮깁니다.
이 단계는 지우기 스크립트를 시작합니다. 지우기 스크립트는 매체에 다른 트랜잭션의 데이터가 남아 있지 않는지 확인합니다.
현재 작업 공간의 레이블이 장치에 적용됩니다. 장치 매체에서 전송되는 모든 데이터는 이 레이블이 지배해야 합니다.
지침은 매체에 올바른 레이블이 있는지 확인합니다. 예를 들어 마이크를 사용할 경우 다음과 같은 지침이 표시됩니다.
그런 다음 장치가 마운트됩니다. 이제 할당된 장치 목록에 해당 장치 이름이 나타납니다. 이 장치는 독점적으로 사용하도록 할당되었습니다.
일반 오류
사용하려는 장치가 목록에 없으면 관리자에게 문의하십시오. 장치가 오류 상태에 있거나 다른 사람이 사용하고 있을 수 있습니다. 또는 장치를 사용할 권한이 없을 수 있습니다.
다른 역할 작업 공간으로 전환하거나 다른 레이블에서 작업 공간으로 전환하면 할당된 장치는 해당 레이블에서 작동할 수 없습니다. 새 레이블에서 장치를 사용하려면 초기 레이블에서 장치를 할당 해제한 다음 새 레이블에서 장치를 할당해야 합니다. Device Manager(장치 관리자)를 다른 레이블의 작업 공간으로 이동하면 올바른 컨텍스트를 반영하도록 Available Devices(사용할 수 있는 장치) 및 Allocated Devices(할당된 장치) 목록이 변경됩니다.
File Browser(파일 브라우저) 창이 표시되지 않으면 창을 수동으로 연 후 루트 디렉토리 /로 이동합니다. 이 디렉토리에서 할당된 장치로 이동하여 해당 내용을 봅니다.
이제 권한이 부여된 다른 사용자가 장치를 사용할 수 있습니다.
Oracle Solaris OS와 달리 Trusted Extensions는 역할을 가정하기 위한 GUI를 제공합니다.
이 작업은 해당 역할을 합법적으로 수락할 수 있음을 확인합니다. 보안상의 이유로, 암호를 입력할 때 암호는 표시되지 않습니다.
주의 - 암호를 입력할 때 커서가 Change Password(암호 변경) 대화 상자에 있고 신뢰할 수 있는 기호가 표시되어 있는지 확인합니다. 커서가 이 대화 상자에 없으면 실수로 다른 사용자가 볼 수 있는 다른 창에 암호를 입력할 수 있습니다. 신뢰할 수 있는 기호가 표시되지 않으면 다른 사람이 암호를 도용하려고 시도했을 수 있습니다. 보안 관리자에게 즉시 문의하십시오. |
역할 암호가 수락되면 현재 작업 공간이 역할 작업 공간이 됩니다. 사용자가 전역 영역에 있습니다. 사용자 역할에서 권한 프로파일로 허용된 작업을 수행할 수 있습니다.
Trusted Extensions에서 작업 공간 레이블을 설정하는 기능은 동일한 다중 레벨 세션 내의 서로 다른 레이블에서 편리하게 작업을 수행할 수 있는 방법을 제공합니다.
이 절차를 사용하여 다른 레이블의 동일한 작업 공간에서 작업을 수행합니다. 다른 레이블에서 작업 공간을 만들려면 최소 레이블에서 작업 공간 추가 방법을 참조하십시오.
시작하기 전에
다중 레벨 세션에 로그인해야 합니다.
작업 공간 패널을 누를 수도 있습니다.
다음 그림에서는 Trusted Path(신뢰할 수 있는 경로) 버튼을 누르는 경우를 보여줍니다.
그림 3-4 레이블 구축기
이 버튼을 누른 다음에는 사용자가 사용자 레이블에서 선택할 수 있습니다. 작업 공간 레이블이 새 레이블로 변경됩니다. 레이블이 색상으로 지정된 시스템에서 새 창은 새 색상으로 표시됩니다.
사이트가 영역당 별개의 이름 지정 서비스를 실행 중인 경우 새 레이블에서 작업 공간에 들어갈 때 사용자에게 암호를 묻는 메시지가 표시됩니다.
Trusted Extensions에서 작업 공간 레이블을 설정하는 기능은 동일한 다중 레벨 세션 내의 서로 다른 레이블에서 편리하게 작업을 수행할 수 있는 방법을 제공합니다. 최소 레이블에서 작업 공간을 추가할 수 있습니다.
현재 작업 공간의 레이블을 변경하려면 작업 공간 레이블을 변경하는 방법을 참조하십시오.
시작하기 전에
다중 레벨 세션에 로그인해야 합니다.
새 작업 공간이 최소 레이블에서 만들어집니다. 또한 이 대화 상자를 사용하여 작업 공간의 이름을 지정할 수 있습니다. 툴팁에 이름이 나타납니다.
작업 공간 패널 위로 마우스를 가져가면 이름이 도구 설명으로 표시됩니다.
자세한 내용은 작업 공간 레이블을 변경하는 방법을 참조하십시오.
시작하기 전에
다중 레벨 세션에 로그인해야 합니다.
사이트가 영역당 별개의 이름 지정 서비스를 실행 중인 경우 새 레이블에서 작업 공간에 들어갈 때 사용자에게 암호를 묻는 메시지가 표시됩니다.
일반 오류
단일 레벨 세션에 로그인한 경우 다른 레이블에서 작업하려면 로그아웃해야 합니다. 그런 다음 원하는 레이블에 로그인합니다. 허용된 경우 다중 레벨 세션에 로그인할 수 있습니다.
창을 다른 레이블의 작업 공간으로 끌면 창이 원래 레이블에 유지됩니다. 해당 창의 모든 작업은 포함된 작업 공간의 레이블이 아닌 창의 레이블에서 수행됩니다. 창을 이동하면 정보를 비교하려는 경우 유용합니다. 또한 작업 공간 사이를 이동하지 않고 다른 레이블에서 응용 프로그램을 사용하려고 할 수도 있습니다.
끌어온 창이 두번째 작업 공간에 나타납니다.
선택한 창은 이제 모든 작업 공간에 표시됩니다.
일반적으로 파일의 레이블은 명확합니다. 그러나 현재 작업 공간보다 하위 레이블에서 파일을 보도록 허용된 경우 파일의 레이블이 명확하지 않을 수 있습니다. 특히 파일의 레이블은 File Browser(파일 브라우저)의 레이블과 다를 수 있습니다.
참고 - 또한 Trusted Path(신뢰할 수 있는 경로) 메뉴에서 Query Label(쿼리 레이블) 메뉴 항목을 사용할 수 있습니다.
Oracle Solaris 시스템에서와 같이 Trusted Extensions에서 창 사이에 데이터를 이동할 수 있습니다. 그러나 데이터는 동일한 레이블에 있어야 합니다. 다른 레이블이 있는 창 사이에 정보를 전송할 경우 해당 정보의 민감도를 업그레이드하거나 다운그레이드합니다.
시작하기 전에
사이트의 보안 정책은 이 전송 유형을 허용해야 하고, 포함된 영역은 레이블 다시 지정을 허용해야 하며, 사용자는 레이블 간에 데이터를 이동할 권한이 있어야 합니다.
따라서 관리자는 다음 작업을 완료해야 합니다.
다중 레벨 세션에 로그인해야 합니다.
자세한 내용은 최소 레이블에서 작업 공간 추가 방법을 참조하십시오.
자세한 내용은 파일의 레이블을 결정하는 방법을 참조하십시오.
자세한 내용은 다른 작업 공간으로 창을 이동하는 방법을 참조하십시오.
Selection Manager Confirmation(선택 관리자 확인) 대화 상자가 표시됩니다.
그림 3-5 선택 관리자 확인 대화 상자
이 대화 상자는 다음과 같습니다.
트랜잭션을 확인해야 하는 이유를 설명합니다.
소스 파일의 레이블과 소유자를 식별합니다.
대상 파일의 레이블과 소유자를 식별합니다.
전송을 위해 선택한 데이터 유형, 대상 파일의 유형 및 데이터 크기(바이트)를 식별합니다. 기본적으로 선택한 데이터는 텍스트 형식으로 표시됩니다.
트랜잭션을 완료할 때까지 남아 있는 시간을 나타냅니다. 시간의 양과 타이머의 사용은 사이트 구성에 따라 결정됩니다.
Trusted Extensions에서 다중 레벨 데이터 세트는 파일 레이블 재지정 작업을 쉽게 해줍니다. 다중 레이블 데이터 세트에 대한 자세한 내용은 Trusted Extensions 구성 및 관리의 파일의 레이블 다시 지정을 위한 다중 레벨 데이터 세트를 참조하십시오.
시작하기 전에
파일의 레이블을 재지정할 수 있는 권한이 있어야 합니다. 한 레이블이 다른 레이블의 우위에 있는 두 개 이상의 레이블로 작업을 수행할 수 있습니다.
다중 레벨 데이터 세트는 레이블이 지정된 영역 하나 이상에 마운트되며, 마운트 이름은 데이터 세트를 마운트하는 모든 영역에서 동일합니다(예: /multi).
레이블 재지정을 허용하려면 관리자가 다음 작업을 완료해야 합니다.
다중 레벨 세션에 로그인해야 합니다.
예를 들어, PUBLIC에서 INTERNAL로 파일을 업그레이드하려면 INTERNAL 레이블에서 작업 영역을 만듭니다.
자세한 내용은 최소 레이블에서 작업 공간 추가 방법을 참조하십시오.
이 예에서 파일 이름은 temppub1입니다.
$ ls /multi/public temppub1
$ setlabel "cnf : internal" /multi/public/temppub1
$ getlabel /multi/public/temppub1 /multi/public/temppub1: "CONFIDENTIAL : INTERNAL USE ONLY"
$ mv /multi/public/temppub1 /multi/internal/temppub1
날짜를 다운그레이드하려면 먼저 파일을 대상 디렉토리로 이동한 후 레이블을 재지정해야 합니다. 자세한 내용은 Trusted Extensions 구성 및 관리의 파일의 레이블 다시 지정을 위한 다중 레벨 데이터 세트를 참조하십시오.
시작하기 전에
파일을 다운그레이드할 수 있는 권한이 있어야 합니다. 관리자는 레이블 지정된 영역 중 하나 이상에 다중 레벨 데이터 세트를 마운트하고, 사용자가 액세스할 수 있는 데이터 세트의 모든 마운트에 대해 표준 이름(예: /multi)을 사용하고, 해당 영역에서 레이블 재지정을 허용했습니다.
따라서 관리자는 다음 작업을 완료해야 합니다.
다중 레벨 세션에 로그인해야 합니다.
예를 들어, internal 작업 영역을 만듭니다.
자세한 내용은 최소 레이블에서 작업 공간 추가 방법을 참조하십시오.
% pfbash $
자세한 내용은 파일의 레이블을 결정하는 방법을 참조하십시오.
주 - 소스 파일이 상위 디렉토리와 동일한 레이블에 있으면 그대로 다운그레이드할 수 없습니다. 파일을 이동해야 합니다. 파일 이동은 권한이 부여된 작업입니다.
$ mv /multi/internal-directory/file /multi/public-directory
$ cd /multi/public-directory $ setlabel public file
$ getlabel /multi/public-directory/file /multi/public-directory/file: PUBLIC
PUBLIC 레이블에서 파일을 편집할 수 있습니다.
예 3-6 디렉토리의 레이블 변경
이 예제에서, 권한이 부여된 사용자가 디렉토리의 레이블을 재지정합니다.
먼저, 사용자가 디렉토리에서 모든 파일을 이동하거나 제거합니다.
$ getlabel /multi/conf /multi/conf: CONFIDENTIAL : NEED TO KNOW $ mv /multi/conf/* /multi/confNTK/temp
그런 후 사용자가 디렉토리의 레이블을 설정하고 새 레이블을 확인합니다.
$ setlabel "Confidential : Internal Use Only" /multi/conf getlabel /multi/conf /multi/conf: "CONFIDENTIAL : INTERNAL USE ONLY"