탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
Trusted Extensions의 이름 지정 서비스에 대한 빠른 참조
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
여러 Trusted Extensions 시스템이 있는 보안 도메인에서 사용자, 호스트 및 네트워크 속성의 동일성을 유지하기 위해 대부분의 구성 정보 배포 시 이름 지정 서비스가 사용됩니다. svc:/system/name-service/switch 서비스는 사용되는 이름 지정 서비스를 결정합니다. Trusted Extensions에는 LDAP를 이름 지정 서비스로 사용하는 것이 좋습니다.
LDAP 서버는 Trusted Extensions 및 Oracle Solaris 클라이언트에 대한 LDAP 이름 지정 서비스를 제공할 수 있습니다. 서버에 Trusted Extensions 네트워크 데이터베이스가 포함되어야 하며, Trusted Extensions 클라이언트가 다중 레벨 포트를 통해 해당 서버에 연결되어야 합니다. 보안 관리자는 시스템 구성 중 다중 레벨 포트를 지정합니다.
일반적으로 이 다중 레벨 포트는 전역 영역에서 전역 영역에 대해 구성됩니다. 따라서 레이블이 있는 영역에는 LDAP 디렉토리에 대한 쓰기 권한이 없습니다. 대신 레이블이 있는 영역은 자체 시스템 또는 네트워크의 다른 신뢰할 수 있는 시스템에서 실행 중인 다중 레벨 프록시 서비스를 통해 읽기 요청을 보냅니다. Trusted Extensions에서는 레이블당 하나의 디렉토리 서버로 이루어진 LDAP 구성도 지원합니다. 사용자의 자격 증명이 레이블별로 다른 경우 이러한 구성이 필요합니다.
Trusted Extensions는 LDAP 서버에 두 개의 신뢰할 수 있는 네트워크 데이터베이스, 즉 tnrhdb와 tnrhtp를 추가합니다.
Oracle Solaris에서 LDAP 이름 지정 서비스 사용에 대한 자세한 내용은 Oracle Solaris Administration: Naming and Directory Services의 제III부, LDAP Naming Services를 참조하십시오.
Trusted Extensions에 대한 LDAP 서버 설정은 5 장Trusted Extensions에 대해 LDAP 구성(작업)에 설명되어 있습니다. Trusted Extensions로 구성된 프록시를 사용하여 Trusted Extensions 시스템이 Oracle Solaris LDAP 서버의 클라이언트가 될 수 있습니다.
Trusted Extensions LDAP 서버의 클라이언트 설정은 Trusted Extensions LDAP 클라이언트 만들기에 설명되어 있습니다.
사이트에서 분산 이름 지정 서비스가 사용되지 않는 경우 관리자는 모든 시스템에서 사용자, 시스템 및 네트워크에 대한 구성 정보가 동일한지 확인해야 합니다. 한 시스템에서 정보를 변경하면 모든 시스템에서도 변경되어야 합니다.
로컬로 관리되는 Trusted Extensions 시스템에서 구성 정보는 /etc, /etc/security 및 /etc/security/tsol 디렉토리의 파일과 name-service/switch SMF 서비스의 구성 등록 정보로 유지 관리됩니다.
Trusted Extensions는 Directory Server의 스키마를 확장하여 tnrhdb 및 tnrhtp 데이터베이스를 수용합니다. Trusted Extensions는 ipTnetNumber 및 ipTnetTemplateName이라는 두 개의 새로운 속성과 ipTnetTemplate 및 ipTnetHost라는 두 개의 새로운 객체 클래스를 정의합니다.
속성 정의는 다음과 같습니다.
ipTnetNumber ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber' DESC 'Trusted network host or subnet address' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
ipTnetTemplateName ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName' DESC 'Trusted network template name' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
객체 클래스 정의는 다음과 같습니다.
ipTnetTemplate ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL DESC 'Object class for Trusted network host templates' MUST ( ipTnetTemplateName ) MAY ( SolarisAttrKeyValue ) ) ipTnetHost ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY DESC 'Object class for Trusted network host/subnet address to template mapping' MUST ( ipTnetNumber $ ipTnetTemplateName ) )
LDAP의 cipso 템플리트 정의는 다음과 유사합니다.
ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=organizationalUnit ou=ipTnet ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate ipTnetTemplateName=cipso SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH; ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com objectClass=top objectClass=ipTnetTemplate objectClass=ipTnetHost ipTnetNumber=0.0.0.0 ipTnetTemplateName=internal