탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
신뢰할 수 있는 네트워크에 연결할 수 있는 호스트 제한(작업)
신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 Trusted Extensions 네트워크를 디버깅하는 데 도움이 되는 작업을 설명합니다.
|
시스템이 다른 호스트와 예상한 대로 통신하지 않을 경우 이 절차를 사용합니다.
시작하기 전에
전역 영역에서 네트워크 속성 값을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이 이러한 값을 확인할 수 있습니다.
Labeled Zone Manager(레이블이 있는 영역 관리자) GUI 또는 ipadm 명령을 사용하여 시스템의 인터페이스를 표시할 수 있습니다.
# txzonemgr &
Configure Network Interfaces(네트워크 인터페이스 구성)를 선택하고 영역에 대한 Status(상태) 열의 값이 Up(작동 중)인지 확인합니다.
# ipadm show-addr ... ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/_a dhcp down 10.131.132.133/23 net0:0/_a dhcp down 10.131.132.175/23
net0 인터페이스의 값이 ok이어야 합니다. ipadm 명령에 대한 자세한 내용은 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
통신 중이 아닌 두 호스트를 디버깅하려면 Trusted Extensions 및 Oracle Solaris 디버깅 도구를 사용합니다. 예를 들어, snoop 및 netstat와 같은 Oracle Solaris 네트워크 디버깅 명령을 사용할 수 있습니다. 자세한 내용은 snoop(1M) 및 netstat(1M) 매뉴얼 페이지를 참조하십시오. Trusted Extensions에 대한 특정 명령은 부록 DTrusted Extensions 매뉴얼 페이지 목록을 참조하십시오.
레이블이 있는 영역에 대한 연결 문제는 영역 관리(작업 맵)를 참조하십시오.
NFS 마운트 디버깅은 Trusted Extensions에서 마운트 실패 문제를 해결하는 방법을 참조하십시오.
시작하기 전에
전역 영역에서 네트워크 속성 값을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 또는 시스템 관리자 역할이 이러한 값을 확인할 수 있습니다. root 역할만 파일을 편집할 수 있습니다.
# svccfg -s name-service/switch listprop config config/value_authorization astring solaris.smf.value.name-service.switch config/default astring ldap ... config/tnrhtp astring "files ldap" config/tnrhdb astring "files ldap"
# svccfg -s name-service/switch setprop config/tnrhtp="files ldap" # svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
# svcadm restart name-service/switch
명령줄을 사용하여 네트워크 정보가 올바른지 확인합니다. 각 호스트에 대한 지정 사항이 네트워크의 다른 호스트에 대한 지정 사항과 일치하는지 확인합니다. 원하는 보기에 따라 tncfg 명령, tninfo 명령 또는 txzonemgr GUI를 사용합니다.
tninfo -t 명령은 레이블을 문자열 및 16진수 형식으로 표시합니다.
$ tninfo -t template-name template: template-name host_type: one of cipso or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
tncfg -t 명령은 레이블을 문자열 형식으로 표시하고 지정된 호스트를 나열합니다.
$ tncfg -t template info name=<template-name> host_type=<one of cipso or unlabeled> doi=1 min_label=<minimum-label> max_label=<maximum-label> host=127.0.0.1/32 /** Localhost **/ host=192.168.1.2/32 /** LDAP server **/ host=192.168.1.22/32 /** Gateway to LDAP server **/ host=192.168.113.0/24 /** Additional network **/ host=192.168.113.100/25 /** Additional network **/ host=2001:a08:3903:200::0/56/** Additional network **/
tninfo -h 명령은 지정된 호스트의 IP 주소 및 지정된 보안 템플리트의 이름을 표시합니다.
$ tninfo -h hostname IP Address: IP-address Template: template-name
tncfg get host= 명령은 지정된 호스트를 정의하는 보안 템플리트의 이름을 표시합니다.
$ tncfg get host=hostname|IP-address[/prefix] template-name
tncfg -z 명령은 행당 하나의 MLP를 나열합니다.
$ tncfg -z zone-name info [mlp_private | mlp_shared] mlp_private=<port/protocol-that-is-specific-to-this-zone-only> mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>
tninfo -m 명령은 첫번째 행에 개인 MLP를 나열하고, 두번째 행에 공유 MLP를 나열합니다. MLP는 세미콜론으로 구분됩니다.
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
MLP의 GUI 표시는 txzonemgr 명령을 사용합니다. 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 선택합니다.
예를 들어, 다음 출력은 템플리트 이름 internal_cipso가 정의되지 않았음을 나타냅니다.
# tnchkdb checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... tnchkdb: unknown template name: internal_cipso at line 49 tnchkdb: unknown template name: internal_cipso at line 50 tnchkdb: unknown template name: internal_cipso at line 51 checking /etc/security/tsol/tnzonecfg ...
오류는 internal_cipso 보안 템플리트를 만들고 지정하는 데 tncfg 및 txzonemgr 명령이 사용되지 않았음을 나타냅니다.
복구하려면 tnrhdb 파일을 원본 파일로 바꾼 다음 tncfg 명령을 사용하여 보안 템플리트를 만들고 지정합니다.
부팅 시 캐시는 데이터베이스 정보로 채워집니다. SMF 서비스 name-service/switch는 커널을 채우는 데 로컬 또는 LDAP 데이터베이스가 사용되는지 결정합니다.
$ route get [ip] -secattr sl=label,doi=integer
자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.
$ snoop -v
-v 옵션은 레이블 정보를 포함한 패킷 헤더의 세부 사항을 표시합니다. 이 명령은 많은 세부 사항을 제공하므로 명령이 검사하는 패킷을 제한하는 것이 좋습니다. 자세한 내용은 snoop(1M) 매뉴얼 페이지를 참조하십시오.
$ netstat -aR
-aR 옵션은 소켓에 대한 확장 보안 속성을 표시합니다.
$ netstat -rR
-rR 옵션은 경로 지정 테이블 항목을 표시합니다. 자세한 내용은 netstat(1M) 매뉴얼 페이지를 참조하십시오.
LDAP 서버에서 클라이언트 항목을 잘못 구성하면 클라이언트가 서버와 통신하지 못할 수 있습니다. 마찬가지로 클라이언트에서 파일을 잘못 구성해도 통신에 방해가 될 수 있습니다. 클라이언트와 서버 간 통신 문제를 디버깅할 때 다음 항목과 파일을 확인하십시오.
시작하기 전에
LDAP 클라이언트의 전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
# tncfg get host=LDAP-server # tncfg get host=gateway-to-LDAP-server
# tninfo -h LDAP-server # tninfo -h gateway-to-LDAP-server
# route get LDAP-server
템플리트 지정이 올바르지 않은 경우 호스트를 올바른 템플리트에 추가합니다.
시스템, 시스템의 레이블이 있는 영역에 대한 인터페이스, LDAP 서버에 대한 게이트웨이 및 LDAP 서버가 파일에 나열되어야 합니다. 추가 항목이 있을 수도 있습니다.
중복된 항목을 찾습니다. 다른 시스템의 레이블이 있는 영역인 항목을 제거합니다. 예를 들어, Lserver가 LDAP 서버의 이름이고 LServer-zones가 레이블이 있는 영역에 대한 공유 인터페이스인 경우 /etc/hosts 파일에서 LServer-zones를 제거합니다.
# svccfg -s dns/client listprop config config application config/value_authorization astring solaris.smf.value.name-service.dns.switch config/nameserver astring 192.168.8.25 192.168.122.7
# svccfg -s dns/client setprop config/search = astring: example1.domain.com # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35 # svccfg -s dns/client:default refresh # svccfg -s dns/client:default validate # svcadm enable dns/client # svcadm refresh name-service/switch # nslookup some-system Server: 192.168.135.35 Address: 192.168.135.35#53 Name: some-system.example1.domain.com Address: 10.138.8.22 Name: some-system.example1.domain.com Address: 10.138.8.23
다음 출력에서 tnrhdb 및 tnrhtp 항목은 나열되지 않았습니다. 따라서 이러한 데이터베이스는 기본값인 files ldap 이름 지정 서비스를 순서대로 사용하는 것입니다.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
# zoneadm list zone1 zone2 , , , # zoneadm -z zone1 halt # zoneadm -z zone2 halt . . . # reboot
대신 txzonemgr GUI를 사용하여 레이블이 있는 영역을 정지할 수도 있습니다.