Trusted Extensions에서 장치 권한 부여 사용자 정의(작업 맵)

다음 작업 맵에서는 사이트에서 장치 권한 부여를 변경하는 절차를 설명합니다.

새 장치 권한 부여를 만드는 방법

장치에 권한 부여가 필요하지 않은 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 권한 부여가 필요한 경우에는 기본적으로 권한이 부여된 사용자만 장치를 사용할 수 있습니다.

할당 가능한 장치에 대한 모든 액세스를 거부하려면 예 21-1을 참조하십시오. 새 권한 부여를 만들고 사용하려면 예 21-3을 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

1. (옵션) 각 새 장치 권한 부여에 대한 도움말 파일을 만듭니다.

   도움말 파일은 HTML 형식입니다. 이름 지정 규약은 AuthName.html(예: DeviceAllocateCD.html)입니다.

2. 장치 권한 부여를 만듭니다.

   $ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name

3. 적절한 권한 프로파일에 새 권한 부여를 추가합니다.

   $ profiles rights-profile
   profiles:rights-profile > add auths="authorization-name"...

4. 프로파일을 사용자와 역할에 지정합니다.

   # usermod -P "rights-profile" username
   # rolemod -P "rights-profile" rolename

5. 권한 부여를 사용하여 선택한 장치에 대한 액세스를 제한합니다.

   Device Manager(장치 할당 관리자)에서 필수 권한 부여 목록에 새 권한 부여를 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법을 참조하십시오.

예 21-2 세분화된 장치 권한 부여 만들기

이 예에서는 NewCo의 보안 관리자가 회사를 위한 세분화된 장치 권한 부여를 만들어야 합니다.

먼저 관리자는 다음 도움말 파일을 만듭니다.

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

그런 다음 관리자는 템플리트 도움말 파일을 만듭니다. 이 파일을 복사하고 수정하여 다른 도움말 파일을 만들 수 있습니다.

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html 
-->
<HEAD>
        <TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the 
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account 
is a security violation.
<p>
</BODY>
</HTML>

도움말 파일을 만든 후 관리자는 auths 명령을 사용하여 각 장치 권한 부여를 만듭니다. 권한 부여는 회사 전체에서 사용되므로 관리자는 권한 부여를 LDAP 저장소에 둡니다. 이 명령에는 도움말 파일의 경로 이름이 포함됩니다.

관리자는 두 개의 장치 권한 부여와 Newco 권한 부여 헤더를 만듭니다.

• 한 권한 부여는 사용자에게 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 권한을 부여합니다.

  # auths add -S ldap -t "Allocate CD or DVD" \
  -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

• 다른 권한 부여는 사용자에게 USB 장치를 할당할 수 있는 권한을 부여합니다.

  # auths add -S ldap -t "Allocate USB" \
  -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

• Newco 권한 부여 헤더는 모든 Newco 권한 부여를 식별합니다.

  # auths add -S ldap -t "Newco Auth Header" \
  -h /docs/helps/Newco.html com.newco

예 21-3 신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 장치 권한 부여 만들기 및 지정

기본적으로 Allocate Devices(장치 할당) 권한 부여를 통해 신뢰할 수 있는 경로와 그 외부에서 할당을 사용으로 설정합니다.

다음 예의 사이트 보안 정책에서는 원격 CD-ROM 및 DVD 할당 제한을 요구합니다. 보안 관리자는 com.newco.dev.allocate.cdvd.local 권한 부여를 만듭니다. 이 권한 부여는 신뢰할 수 있는 경로를 사용하여 할당되는 CD-ROM 및 DVD 드라이브용입니다. com.newco.dev.allocate.cdvd.remote 권한 부여는 신뢰할 수 있는 경로 외부에서 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 일부 사용자용입니다.

보안 관리자는 도움말 파일을 만든 후 장치 권한 부여를 auth_attr 데이터베이스에 추가하고 권한 부여를 장치에 추가한 다음 권한 부여를 권한 프로파일에 넣습니다. root 역할은 장치를 할당할 수 있는 사용자에게 프로파일을 지정합니다.

• 다음 명령은 장치 권한 부여를 auth_attr 데이터베이스에 추가합니다.

  $ auths add -S ldap -t "Allocate Local DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDLocal.html \
  com.newco.dev.allocate.cdvd.local
  $ auths add -S ldap -t "Allocate Remote DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDRemote.html \
  com.newco.dev.allocate.cdvd.remote

• 다음은 Device Manager(장치 관리자) 지정을 보여줍니다.

  CD-ROM 드라이브의 로컬 할당은 신뢰할 수 있는 경로로 보호됩니다.

  Device Name: cdrom_0
  For Allocations From: Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.newco.dev.allocate.cdvd.local

  원격 할당은 신뢰할 수 있는 경로로 보호되지 않으므로 원격 사용자는 신뢰할 수 있어야 합니다. 마지막 단계로 관리자는 원격 할당 권한을 두 역할에만 부여합니다.

  Device Name: cdrom_0
  For Allocations From: Non-Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.newco.dev.allocate.cdvd.remote

• 다음 명령은 이러한 권한 부여에 대한 Newco 권한 프로파일을 만들고 권한 부여를 프로파일에 추가합니다.

  $ profiles -S ldap "Remote Allocator"
  profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
  profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
  profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
  profiles:Remote Allocator > end
  profiles:Remote Allocator > exit

  $ profiles -S ldap "Local Only Allocator"
  profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
  profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
  profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
  profiles:Local Only Allocator > end
  profiles:Local Only Allocator > exit

• 다음 명령은 권한이 부여된 사용자에게 권한 프로파일을 지정합니다. root 역할은 프로파일을 지정합니다. 이 사이트에서 역할에만 주변 장치를 원격으로 할당할 수 있는 권한이 부여됩니다.

  # usermod -P "Local Only Allocator" jdoe
  # usermod -P "Local Only Allocator" kdoe

  # rolemod -P "Remote Allocator" secadmin
  # rolemod -P "Remote Allocator" sysadmin

Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법

시작하기 전에

보안 관리자 역할이나 장치 속성 구성 권한 부여를 포함하는 역할을 가진 사용자여야 합니다. 새 장치 권한 부여를 만드는 방법에 설명된 대로 사이트별 권한 부여를 만들어 놓아야 합니다.

1. Trusted Extensions에서 장치를 구성하는 방법 절차를 따릅니다.
   1. 새 권한 부여로 보호해야 하는 장치를 선택합니다.
   2. Administration(장치 관리) 버튼을 누릅니다.
   3. Authorizations(권한 부여) 버튼을 누릅니다.

      새 권한 부여가 Not Required(필수 아님) 목록에 표시됩니다.

   4. 새 권한 부여를 Required(필수) 권한 부여 목록에 추가합니다.
2. 변경 사항을 저장하려면 OK(확인)를 누릅니다.

장치 권한 부여를 지정하는 방법

Allocate Device(장치 할당) 권한 부여를 통해 사용자는 장치를 할당할 수 있습니다. Allocate Device(장치 할당) 권한 부여와 Revoke or Reclaim Device(장치 해지 또는 재생 이용) 권한 부여는 관리 역할에 적합합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

기존 프로파일이 적당하지 않은 경우 보안 관리자는 새 프로파일을 만들 수 있습니다. 예는 편리한 권한 부여를 위해 권한 프로파일을 만드는 방법을 참조하십시오.

• Allocate Device(장치 할당) 권한 부여가 포함된 권한 프로파일을 사용자에게 할당합니다.

  단계별 절차는 Oracle Solaris 11.1 관리: 보안 서비스의 사용자의 보안 속성을 변경하는 방법을 참조하십시오.

  다음 권한 프로파일을 통해 역할이 장치를 할당할 수 있습니다.

  • All Authorizations

  • 장치 관리

  • Media Backup

  • Object Label Management

  • Software Installation

  다음 권한 프로파일을 통해 역할이 장치를 해지하거나 재생 이용할 수 있습니다.

  • All Authorizations

  • 장치 관리

  다음 권한 프로파일을 통해 역할이 장치를 만들거나 구성할 수 있습니다.

  • All Authorizations

  • Device Security

  예 21-2에서는 권한 부여를 지정하는 방법을 보여줍니다.