JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Trusted Extensions 구성 및 관리     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부Trusted Extensions의 초기 구성

1.  Trusted Extensions의보안 계획

2.  Trusted Extensions용 로드맵 구성

3.  Oracle Solaris에 Trusted Extensions 기능 추가(작업)

4.  Trusted Extensions 구성(작업)

Trusted Extensions의 전역 영역 설정

레이블 인코딩 파일을 확인하고 설치하는 방법

Trusted Extensions에서 IPv6 CIPSO 네트워크를 구성하는 방법

DOI(Domain of Interpretation)를 구성하는 방법

레이블이 있는 영역 만들기

기본 Trusted Extensions 시스템을 만드는 방법

레이블이 있는 영역을 대화식으로 만드는 방법

두 영역 작업 공간에 레이블을 지정하는 방법

ProductShort;에서 네트워크 인터페이스 구성

모든 영역에서 단일 IP 주소를 공유하는 방법

레이블이 있는 영역에 IP 인스턴스를 추가하는 방법

가상 네트워크 인터페이스를 레이블이 있는 영역에 추가하는 방법

Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법

각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법

Trusted Extensions의 역할 및 사용자 만들기

Trusted Extensions에서 보안 관리자 역할을 만드는 방법

시스템 관리자 역할을 만드는 방법

Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법

Trusted Extensions 역할이 작동하는지 확인하는 방법

사용자가 레이블이 있는 영역에 로그인할 수 있도록 설정하는 방법

Trusted Extensions에서 중앙 홈 디렉토리 만들기

Trusted Extensions에서 홈 디렉토리 서버를 만드는 방법

사용자가 각 NFS 서버에 로그인하여 모든 레이블에서 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법

각 서버에서 자동 마운트를 구성하여 사용자가 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법

Trusted Extensions 구성 문제 해결

데스크탑 패널을 화면 하단으로 이동하는 방법

추가 Trusted Extensions 구성 작업

보조 레이블이 있는 영역을 만드는 방법

다중 레벨 데이터 세트를 만들고 공유하는 방법

Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법

Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법

시스템에서 Trusted Extensions를 제거하는 방법

5.  Trusted Extensions에 대해 LDAP 구성(작업)

제2부Trusted Extensions 관리

6.  Trusted Extensions 관리 개념

7.  Trusted Extensions 관리 도구

8.  Trusted Extensions 시스템의 보안 요구 사항(개요)

9.  Trusted Extensions에서 일반 작업 수행

10.  Trusted Extensions의 사용자, 권한 및 역할(개요)

11.  Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)

12.  Trusted Extensions에서 원격 관리(작업)

13.  Trusted Extensions에서 영역 관리

14.  Trusted Extensions에서 파일 관리 및 마운트

15.  신뢰할 수 있는 네트워킹(개요)

16.  Trusted Extensions에서 네트워크 관리(작업)

17.  Trusted Extensions 및 LDAP(개요)

18.  Trusted Extensions의 다중 레벨 메일(개요)

19.  레이블이 있는 인쇄 관리(작업)

20.  Trusted Extensions의 장치(개요)

21.  Trusted Extensions에 대한 장치 관리(작업)

22.  Trusted Extensions 감사(개요)

23.  Trusted Extensions에서 소프트웨어 관리

A.  사이트 보안 정책

보안 정책 생성 및 관리

사이트 보안 정책 및 Trusted Extensions

컴퓨터 보안 권장 사항

물리적 보안 권장 사항

담당자 보안 권한 사항

일반 보안 위반

추가 보안 참조

B.  Trusted Extensions 구성 점검 목록

Trusted Extensions 구성 점검 목록

C.  Trusted Extensions 관리에 대한 빠른 참조

Trusted Extensions의 관리 인터페이스

Trusted Extensions에서 확장된 Oracle Solaris 인터페이스

Trusted Extensions의 강화된 보안 기본값

Trusted Extensions의 제한된 옵션

D.  Trusted Extensions 매뉴얼 페이지 목록

Trusted Extensions 매뉴얼 페이지(사전순)

Trusted Extensions에서 수정된 Oracle Solaris 매뉴얼 페이지

용어집

색인

ProductShort;에서 네트워크 인터페이스 구성

Trusted Extensions 시스템에는 비트맵 디스플레이가 직접 연결된 데스크탑(랩탑 또는 워크스테이션 등)을 실행하는 데 네트워크가 필요하지 않습니다. 하지만 다른 시스템과 통신하려면 네트워크 구성이 필요합니다. txzonemgr GUI를 사용하여 레이블이 있는 영역 및 전역 영역에서 다른 시스템에 연결하도록 쉽게 구성할 수 있습니다. 레이블이 있는 영역에 대한 구성 옵션 설명은 레이블이 있는 영역에 액세스를 참조하십시오. 다음 작업 맵에서는 네트워크 구성 작업에 대한 설명과 해당 링크를 제공합니다.

작업
설명
수행 방법
일반 사용자에 대한 기본 시스템을 구성합니다.
시스템에 하나의 IP 주소가 있고 all-zones 인터페이스를 사용하여 레이블이 있는 영역과 전역 영역 간에 통신합니다. 원격 시스템과 통신에도 동일한 IP 주소가 사용됩니다.
IP 주소를 전역 영역에 추가합니다.
시스템에 하나 이상의 IP 주소가 있고 전역 영역의 배타적 IP 주소를 사용하여 개인 서브넷에 접근합니다. 레이블이 있는 영역은 이 서브넷에 접근할 수 없습니다.
영역이 IP 스택을 공유하는 모든 영역에 IP 주소를 지정합니다.
시스템에 둘 이상의 IP 주소가 있습니다. 가장 단순한 사례의 경우 영역이 하나의 물리적 인터페이스를 공유합니다.
all-zones 인터페이스를 영역당 IP 인스턴스에 추가합니다.
시스템은 원격 공격으로부터 보호되는 권한이 있는 서비스를 레이블이 있는 영역에 제공할 수 있습니다.
IP 스택이 배타적인 모든 영역에 IP 주소를 지정합니다.
전역 영역을 포함하여 모든 영역에 하나의 IP 주소가 지정됩니다. 각 레이블이 있는 영역에 대해 VNIC가 만들어집니다.
영역을 원격 영역에 연결합니다.
이 작업에서는 레이블이 있는 영역 및 전역 영역의 네트워크 인터페이스가 동일한 레이블에서 원격 시스템에 접근할 수 있도록 구성합니다.
영역마다 별도의 nscd 데몬을 실행합니다.
각 서브넷에 고유의 이름 서버가 있는 환경에서 이 작업은 영역마다 하나의 nscd 데몬을 구성합니다.

모든 영역에서 단일 IP 주소를 공유하는 방법

이 절차에서는 시스템의 모든 영역에서 하나의 IP 주소(전역 영역의 IP 주소)를 사용하여 동일하게 레이블이 지정된 다른 영역이나 호스트에 접근할 수 있도록 합니다. 이 구성은 기본값입니다. 네트워크 인터페이스를 다르게 구성하고 시스템을 기본 네트워크 구성으로 되돌리려는 경우 이 절차를 완료해야 합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다.

  1. txzonemgr 명령을 옵션 없이 실행합니다.
    # txzonemgr &

    영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI에 대한 자세한 내용은 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오.

  2. 전역 영역을 두 번 누릅니다.
  3. Configure Network Interfaces(네트워크 인터페이스 구성)를 두 번 누릅니다.

    인터페이스 목록이 표시됩니다. 다음 특성을 가지는 인터페이스를 찾습니다.

    • phys 유형

    • 호스트 이름의 IP 주소

    • up 상태

  4. 호스트 이름에 해당하는 인터페이스를 선택합니다.
  5. 명령 목록에서 Share with Shared-IP Zones(공유 IP 영역과 공유)를 선택합니다.

    모든 영역은 이 공유 IP 주소를 사용하여 자신의 레이블에서 원격 시스템과 통신할 수 있습니다.

  6. 영역 명령 목록으로 돌아가려면 Cancel(취소)을 누릅니다.

다음 순서

시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.

레이블이 있는 영역에 IP 인스턴스를 추가하는 방법

공유 IP 스택 및 영역별 주소를 사용하고 레이블이 있는 영역을 네트워크에서 다른 시스템의 레이블이 있는 영역에 연결하려는 경우 이 절차가 필요합니다.

이 절차에서는 하나 이상의 레이블이 있는 영역에 대해 하나의 IP 인스턴스, 즉 영역별 주소를 만듭니다. 레이블이 있는 영역은 자신의 영역별 주소를 사용하여 네트워크에서 동일하게 레이블이 지정된 영역과 통신합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다.

영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 구성하려는 레이블이 있는 영역은 정지되어야 합니다.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 IP 인스턴스를 추가할 레이블이 있는 영역을 두 번 누릅니다.
  2. Configure Network Interfaces(네트워크 인터페이스 구성)를 두 번 누릅니다.

    구성 옵션 목록이 표시됩니다.

  3. Add an IP instance(IP 인스턴스 추가)를 선택합니다.
  4. 시스템에 둘 이상의 IP 주소가 있을 경우 원하는 인터페이스가 있는 항목을 선택합니다.
  5. 이 레이블이 있는 영역의 경우 IP 주소와 접두어 수를 제공합니다.

    예를 들어, 192.168.1.2/24를 입력합니다. 접두어 수를 추가하지 않을 경우 넷마스크를 물어봅니다. 이 예에 해당하는 넷마스크는 255.255.255.0입니다.

  6. 확인을 누릅니다.
  7. 기본 라우터를 추가하려면 방금 추가한 항목을 두 번 누릅니다.

    프롬프트에서 라우터의 IP 주소를 입력하고 OK(확인)를 누릅니다.


    주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거한 다음 IP 인스턴스를 다시 만듭니다.


  8. 영역 명령 목록으로 돌아가려면 Cancel(취소)을 누릅니다.

다음 순서

시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.

가상 네트워크 인터페이스를 레이블이 있는 영역에 추가하는 방법

배타적 IP 스택 및 영역별 주소를 사용하고 레이블이 있는 영역을 네트워크에서 다른 시스템의 레이블이 있는 영역에 연결하려는 경우 이 절차가 필요합니다.

이 절차에서는 VNIC를 만들고 레이블이 있는 영역에 지정합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다.

영역 목록이 Labeled Zone Manager(레이블이 있는 영역 관리자)에 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 구성하려는 레이블이 있는 영역은 정지되어야 합니다.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 가상 인터페이스를 추가할 레이블이 있는 영역을 두 번 누릅니다.
  2. Configure Network Interfaces(네트워크 인터페이스 구성)를 두 번 누릅니다.

    구성 옵션 목록이 표시됩니다.

  3. Add a virtual interface(VNIC, 가상 인터페이스 추가)를 두 번 누릅니다.

    시스템에 하나 이상의 VNIC 카드가 있을 경우 하나 이상의 선택 항목이 표시됩니다. 원하는 인터페이스가 있는 항목을 선택합니다.

  4. 호스트 이름을 지정하거나 IP 주소와 접두어 수를 지정합니다.

    예를 들어, 192.168.1.2/24를 입력합니다. 접두어 수를 추가하지 않을 경우 넷마스크를 물어봅니다. 이 예에 해당하는 넷마스크는 255.255.255.0입니다.

  5. 기본 라우터를 추가하려면 방금 추가한 항목을 두 번 누릅니다.

    프롬프트에서 라우터의 IP 주소를 입력하고 OK(확인)를 누릅니다.


    주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거한 다음 VNIC를 다시 만듭니다.


  6. 영역 명령 목록으로 돌아가려면 Cancel(취소)을 누릅니다.

    VNIC 항목이 표시됩니다. 시스템이 internal_0과 같이 zonename _n 이름을 지정합니다.

다음 순서

시스템의 외부 네트워크를 구성하려면 Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법으로 이동합니다.

Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법

이 절차에서는 Trusted Extensions 시스템이 연결할 수 있는 원격 호스트를 추가하여 Trusted Extensions 네트워크를 정의합니다.

시작하기 전에

Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 전역 영역에서 root 역할을 가진 사용자입니다.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 전역 영역을 두 번 누릅니다.
  2. Add Multilevel Access to Remote Host(원격 호스트에 다중 레벨 액세스 추가)를 선택합니다.
    1. 다른 Trusted Extensions 시스템의 IP 주소를 입력합니다.
    2. 다른 Trusted Extensions 시스템에서 해당하는 명령을 실행합니다.
  3. 영역 명령 목록으로 돌아가려면 Cancel(취소)을 누릅니다.
  4. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역을 두 번 누릅니다.
  5. Add Access to Remote Host(원격 호스트에 액세스 추가)를 선택합니다.
    1. 다른 Trusted Extensions 시스템에서 동일하게 레이블이 지정된 영역의 IP 주소를 입력합니다.
    2. 다른 Trusted Extensions 시스템의 영역에서 해당하는 명령을 실행합니다.

참조

각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법

이 절차에서는 각 레이블이 있는 영역에 별도의 이름 서비스 데몬(nscd )을 구성합니다. 이 구성에서는 각 영역이 해당 영역 레이블에서 실행되는 하위 네트워크에 연결되고 하위 네트워크에는 해당 레이블에 대한 고유 이름 지정 서버가 있는 환경을 지원합니다. 레이블이 있는 영역에서 해당 레이블의 사용자 계정이 필요한 패키지를 설치하려는 경우 영역별로 별개의 이름 서비스를 구성할 수 있습니다. 배경 정보는 레이블이 있는 영역으로 제한된 응용 프로그램Trusted Extensions에서 사용자를 만들기 전에 결정할 사항을 참조하십시오.

시작하기 전에

Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 레이블이 있는 영역을 대화식으로 만드는 방법을 참조하십시오. 전역 영역에서 root 역할을 가진 사용자입니다.

  1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Configure per-zone name service(영역별 이름 서비스 구성)를 선택하고 OK(확인)를 누릅니다.

    주 - 이 옵션은 초기 시스템 구성 중 한 번 사용됩니다.


  2. 각 영역의 nscd 서비스를 구성합니다.

    자세한 내용은 nscd(1M) 매뉴얼 페이지를 참조하십시오.

  3. 시스템을 재부트합니다.
    # /usr/sbin/reboot

    재부트 후 단계 1에서 레이블이 있는 영역 관리자를 실행할 root 역할을 맡은 사용자 계정이 각 영역에 구성됩니다. 레이블이 있는 영역과 관련된 다른 계정은 영역에 수동으로 추가해야 합니다.


    주 - LDAP 저장소에 저장된 계정은 전역 영역에서 계속 관리됩니다.


  4. 모든 영역에 대해 경로와 이름 서비스 데몬을 확인합니다.
    1. Zone Console(영역 콘솔)에서 nscd 서비스를 나열합니다.
      zone-name # svcs -x name-service/cache
      svc:/system/name-service/cache:default (name service cache)
       State: online since September 10, 2012  10:10:12 AM PDT
         See: nscd(1M)
         See: /var/svc/log/system-name-service-cache:default.log
      Impact: None.
    2. 하위 네트워크에 대한 경로를 확인합니다.
      zone-name # netstat -rn

예 4-3 각 레이블이 있는 영역에서 이름 서비스 캐시 제거

영역당 하나의 이름 서비스 데몬을 테스트한 후 시스템 관리자는 레이블이 있는 영역에서 이름 서비스 데몬을 제거하고 전역 영역에서만 데몬을 실행하기로 결정합니다. 시스템을 기본 이름 서비스 구성으로 되돌리기 위해 관리자는 txzonemgr GUI를 열고 전역 영역을 선택한 후 Unconfigure per-zone name service(영역별 이름 서비스 구성 해제)를 선택하고 OK(확인)를 누릅니다. 이렇게 하면 레이블이 있는 모든 영역에서 nscd 데몬이 제거됩니다. 그런 다음 관리자는 시스템을 재부트합니다.

다음 순서

각 영역에 대해 사용자 및 역할 계정을 구성할 때 세 가지 옵션이 있습니다.

각 레이블이 있는 영역에서 이름 서비스 데몬을 별도로 구성하면 모든 사용자가 암호를 가지게 됩니다. 사용자는 자신을 인증함으로써 자신의 기본 레이블에 해당하는 영역을 포함하여 레이블이 있는 영역에 대한 액세스 권한을 얻어야 합니다. 또한 관리자가 각 영역에서 로컬로 계정을 만들거나 영역이 LDAP 클라이언트인 LDAP 디렉토리에 계정이 있어야 합니다.

전역 영역의 계정이 Labeled Zone Manager(레이블이 있는 영역 관리자) txzonemgr를 실행하는 특수한 경우 계정 정보가 레이블이 있는 영역에 복사되므로 적어도 해당 계정은 각 영역에 로그인할 수 있습니다. 기본적으로 이 계정은 초기 사용자 계정입니다.