Trusted Extensions에서 장치 권한 부여 사용자 정의(작업 맵)

다음 작업 맵에서는 사이트에서 장치 권한 부여를 변경하는 절차를 설명합니다.

새 장치 권한 부여를 만드는 방법

장치에 권한 부여가 필요하지 않은 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 권한 부여가 필요한 경우에는 기본적으로 권한이 부여된 사용자만 장치를 사용할 수 있습니다.

할당 가능한 장치에 대한 모든 액세스를 거부하려면 예 17-1을 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

1. auth_attr 파일을 편집합니다.

   신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.

2. 새 권한 부여에 대한 머리글을 만듭니다.

   조직의 인터넷 도메인 이름을 역순으로 사용하고 선택적으로 추가 임의 구성 요소(회사 이름 등)를 붙입니다. 점으로 구성 요소를 구분합니다. 머리글 이름은 점으로 끝냅니다.

   domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html

3. 새 권한 부여 항목을 추가합니다.

   한 라인에 하나씩 권한 부여를 추가합니다. 라인은 표시 목적으로 나뉩니다. 권한 부여에는 관리자가 새 권한 부여를 지정할 수 있게 하는 grant 권한 부여가 포함됩니다.

   domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
   help=CompanyGrant.html
   domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
   help=CompanyGrantDevice.html
   domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
   help=CompanyTapeAllocate.html
   domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
   help=CompanyFloppyAllocate.html

4. 파일을 저장하고 편집기를 닫습니다.
5. LDAP을 이름 지정 서비스로 사용하는 경우 Oracle Directory Server Enterprise Edition(디렉토리 서버)에서 auth_attr 항목을 업데이트합니다.

   자세한 내용은 ldapaddent(1M) 매뉴얼 페이지를 참조하십시오.

6. 적절한 권한 프로파일에 새 권한 부여를 추가합니다. 그런 다음 프로파일을 사용자와 역할에 지정합니다.

   Solaris Management Console을 사용합니다. 보안 관리자 역할을 맡고 Oracle Solaris 절차인 System Administration Guide: Security Services의 How to Create or Change a Rights Profile을 따릅니다.

7. 권한 부여를 사용하여 테이프 및 디스켓 드라이브에 대한 액세스를 제한합니다.

   Device Allocation Manager(장치 할당 관리자)에서 필수 권한 부여 목록에 새권한 부여를 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법을 참조하십시오.

예 17-4 세분화된 장치 권한 부여 만들기

NewCo의 보안 관리자는 회사를 위한 세분화된 장치 권한 부여를 만들어야 합니다.

먼저 관리자는 다음 도움말 파일을 작성하여 /usr/lib/help/auths/locale/C 디렉토리에 넣습니다.

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

그런 다음 auth_attr 파일에서 newco.com에 대한 모든 권한 부여의 머리글을 추가하고,

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

권한 부여 항목을 파일에 추가합니다.

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

라인은 표시 목적으로 나뉩니다.

auth_attr 항목이 다음 권한 부여를 만듭니다.

• 모든 NewCo의 권한을 부여할 수 있는 권한 부여

• NewCo의 장치 권한을 부여할 수 있는 권한 부여

• 테이프 드라이브를 할당할 수 있는 권한 부여

• 디스켓 드라이브를 할당할 수 있는 권한 부여

예 17-5 신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 권한 부여 만들기

기본적으로 Allocate Device(장치 할당) 권한 부여를 통해 신뢰할 수 있는 경로와 그 외부에서 할당이 가능합니다.

다음 예의 사이트 보안 정책에서는 원격 CD-ROM 할당 제한을 요구합니다. 보안 관리자는 com.someco.device.cdrom.local 권한 부여를 만듭니다. 이 권한 부여는 신뢰할 수 있는 경로를 사용하여 할당된 CD-ROM 드라이브용입니다. com.someco.device.cdrom.remote 권한 부여는 신뢰할 수 있는 경로 외부에서 CD-ROM 드라이브를 할당할 수 있는 일부 사용자용입니다.

보안 관리자는 도움말 파일을 만든 후 권한 부여를 auth_attr 데이터베이스에 추가하고 권한 부여를 장치에 추가한 다음 권한 부여를 권한 프로파일에 넣습니다. 프로파일은 장치 할당이 허용된 사용자에게 할당됩니다.

• 다음은 auth_attr 데이터베이스 항목입니다.

  com.someco.:::SomeCo Header::help=Someco.html
  com.someco.grant:::Grant All SomeCo Authorizations::
  help=SomecoGrant.html
  com.someco.grant.device:::Grant SomeCo Device Authorizations::
  help=SomecoGrantDevice.html
  com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
  help=SomecoCDAllocateLocal.html
  com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
  help=SomecoCDAllocateRemote.html

• 다음은 Device Allocation Manager(장치 할당 관리자) 할당입니다.

  신뢰할 수 있는 경로를 통해 권한이 부여된 사용자는 로컬 CD-ROM 드라이브를 할당할 때 Device Allocation Manager(장치 할당 관리자)를 사용할 수 있습니다.

  Device Name: cdrom_0
  For Allocations From: Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.local

  신뢰할 수 없는 경로를 통해 사용자는 allocate 명령을 사용하여 원격으로 장치를 할당할 수 있습니다.

  Device Name: cdrom_0
  For Allocations From: Non-Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.remote

• 다음은 권한 프로파일 항목입니다.

  # Local Allocator profile
  com.someco.device.cdrom.local
  
  # Remote Allocator profile
  com.someco.device.cdrom.remote

• 다음은 권한이 부여된 사용자에 대한 권한 프로파일입니다.

  # List of profiles for regular authorized user
  Local Allocator Profile
  ...
  
  # List of profiles for role or authorized user
  Remote Allocator Profile
  ...

Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법

시작하기 전에

보안 관리자 역할이나 장치 속성 구성 권한 부여를 포함하는 역할을 가진 사용자여야 합니다. 새 장치 권한 부여를 만드는 방법에 설명된 대로 사이트별 권한 부여를 만들어 놓아야 합니다.

1. Trusted Extensions에서 장치를 구성하는 방법 절차를 따릅니다.
   1. 새 권한 부여로 보호해야 하는 장치를 선택합니다.
   2. Device Administration(장치 관리) 버튼을 누릅니다.
   3. Authorizations(권한 부여) 버튼을 누릅니다.

      새 권한 부여가 Not Required(필수 아님) 목록에 표시됩니다.

   4. 새 권한 부여를 Required(필수) 권한 부여 목록에 추가합니다.
2. 변경 사항을 저장하려면 OK(확인)를 누릅니다.

장치 권한 부여를 지정하는 방법

Allocate Device(장치 할당) 권한 부여를 통해 사용자는 장치를 할당할 수 있습니다. Allocate Device(장치 할당) 권한 부여와 Revoke or Reclaim Device(장치 해지 또는 재생 이용) 권한 부여는 관리 역할에 적합합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

기존 프로파일이 적당하지 않은 경우 보안 관리자는 새 프로파일을 만들 수 있습니다. 예는 편리한 권한 부여를 위해 권한 프로파일을 만드는 방법을 참조하십시오.

• Allocate Device(장치 할당) 권한 부여가 포함된 권한 프로파일을 사용자에게 할당합니다.

  자세한 내용은 온라인 도움말을 참조하십시오. 단계별 절차는 System Administration Guide: Security Services의 How to Change the RBAC Properties of a User를 참조하십시오.

  다음 권한 프로파일을 통해 역할이 장치를 할당할 수 있습니다.

  • All Authorizations

  • 장치 관리

  • Media Backup

  • Object Label Management

  • Software Installation

  다음 권한 프로파일을 통해 역할이 장치를 해지하거나 재생 이용할 수 있습니다.

  • All Authorizations

  • 장치 관리

  다음 권한 프로파일을 통해 역할이 장치를 만들거나 구성할 수 있습니다.

  • All Authorizations

  • Device Security

예 17-6 새 장치 권한 부여 지정

이 예에서 보안 관리자는 시스템에 대한 새 장치 권한 부여를 구성하고 새 권한 부여가 포함된 권한 프로파일을 신뢰할 수 있는 사용자에게 지정합니다. 보안 관리자는 다음 작업을 수행합니다.

1. 새 장치 권한 부여를 만드는 방법에 설명된 대로 새 장치 권한 부여를 만듭니다.

2. Device Allocation Manager(장치 할당 관리자)에서 새 장치 권한 부여를 테이프 및 디스켓 드라이브에 추가합니다.

3. 새 권한 부여를 NewCo Allocation 권한 프로파일에 넣습니다.

4. 테이프 및 디스켓 드라이브를 할당할 수 있게 권한이 부여된 사용자 및 역할 프로파일에 NewCo Allocation 권한 프로파일을 추가합니다.

이제 권한이 부여된 사용자와 역할이 이 시스템에서 테이프 드라이브와 디스켓 드라이브를 사용할 수 있습니다.