영역 관리(작업 맵)

다음 작업 맵에서는 Trusted Extensions에 특정한 영역 관리 작업을 설명합니다. 또한 이 맵은 Oracle Solaris 시스템과 Trusted Extensions에서 수행되는 공통 절차를 알려줍니다.

작업	설명	수행 방법
모든 영역을 봅니다.	모든 레이블에서 현재 영역의 지배를 받는 영역을 봅니다.	준비 또는 실행 중인 영역을 표시하는 방법
마운트된 디렉토리를 봅니다.	모든 레이블에서 현재 레이블의 지배를 받는 디렉토리를 봅니다.	마운트된 파일의 레이블을 표시하는 방법
일반 사용자가 `/etc` 파일을 볼 수 있게 합니다.	루프백에서는 레이블이 있는 영역에 기본적으로 표시되지 않는 디렉토리 또는 파일을 전역 영역에서 마운트합니다.	레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법
일반 사용자가 상위 레이블에서 하위 레벨 홈 디렉토리를 보지 못하게 합니다.	기본적으로 하위 레벨 디렉토리는 상위 레벨 영역에서 표시됩니다. 한 하위 레벨 영역의 마운트를 사용 안함으로 설정하면 하위 레벨 영역의 모든 마운트가 사용 안함으로 설정됩니다.	하위 레벨 파일의 마운트를 사용 안함으로 설정하는 방법
파일에서 레이블을 변경할 수 있도록 영역을 구성합니다.	레이블이 있는 영역은 제한된 권한을 가집니다. 기본적으로 레이블이 있는 영역에는 권한 부여된 사용자가 파일 레이블을 변경하게 할 수 있는 권한이 없습니다. 영역 구성을 수정하여 권한을 추가합니다.	레이블이 있는 영역에서 파일의 레이블을 변경할 수 있게 설정하는 방법
레이블이 있는 영역의 내부 또는 외부로 파일이나 디렉토리를 이동합니다.	파일이나 디렉토리의 레이블을 변경하여 해당 보안 레벨을 변경합니다.	Trusted Extensions User’s Guide의 How to Move Files Between Labels in Trusted CDE
ZFS 데이터 세트를 레이블이 있는 영역에 연결하고 공유합니다.	레이블이 있는 영역에서 읽기/쓰기 권한으로 ZFS 데이터 세트를 마운트하고 상위 영역과 읽기 전용으로 공유합니다.	레이블이 있는 영역에서 ZFS 데이터 세트를 공유하는 방법
새 영역을 구성합니다.	이 시스템에서 영역의 레이블을 지정하는 데 현재 사용되고 있지 않은 레이블에서 영역을 만듭니다.	Trusted Extensions Configuration Guide의 Name and Label the Zone을 참조하십시오. 그런 다음 초기 설치 팀에서 다른 영역을 만드는 데 사용한 절차를 따릅니다. 작업 단계는 Trusted Extensions Configuration Guide의 Creating Labeled Zones를 참조하십시오.
응용 프로그램에 대한 다중 레벨 포트를 만듭니다.	다중 레벨 포트는 레이블이 있는 영역에 대한 다중 레벨 피드를 필요로 하는 프로그램에 유용합니다.	`udp`를 통해 NFSv3에 대한 다중 레벨 포트를 구성하는 방법 영역에 대한 다중 레벨 포트를 만드는 방법
NFS 마운트 및 액세스 문제를 해결합니다.	마운트 및 영역에 대한 일반 액세스 문제를 디버깅합니다.	Trusted Extensions에서 마운트 실패 문제를 해결하는 방법
레이블이 있는 영역을 제거합니다.	레이블이 있는 영역을 시스템에서 완전히 제거합니다.	System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 How to Remove a Non-Global Zone

준비 또는 실행 중인 영역을 표시하는 방법

이 절차에서는 현재 영역과 현재 영역에서 지배하는 모든 영역의 레이블을 표시하는 셸 스크립트를 만듭니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

신뢰할 수 있는 편집기를 사용하여 getzonelabels 스크립트를 만듭니다.
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
스크립트에 경로 이름(예: /usr/local/scripts/getzonelabels)을 제공합니다.

다음 내용을 추가하고 파일을 저장합니다.

#!/bin/sh
#
echo "NAME\t\tSTATUS\t\tLABEL"
echo "====\t\t======\t\t====="
myzone=`zonename`
for i in `/usr/sbin/zoneadm list -p` ; do
        zone=`echo $i | cut -d ":" -f2`
        status=`echo $i | cut -d ":" -f3`
        path=`echo $i | cut -d ":" -f4`
        if [ $zone != global ]; then
                if [ $myzone = global ]; then
                        path=$path/root/tmp
                else
                        path=$path/export/home
                fi
        fi
        label=`/usr/bin/getlabel -s $path |cut -d ":" -f2-9`
        if [ `echo $zone|wc -m` -lt 8 ]; then
                echo "$zone\t\t$status\t$label"
        else
                echo "$zone\t$status\t$label"
        fi
done

전역 영역에서 스크립트를 테스트합니다.

# getzonelabels
NAME            STATUS          LABEL
====            ======          =====
global          running         ADMIN_HIGH
needtoknow      running         CONFIDENTIAL : NEED TO KNOW
restricted      ready           CONFIDENTIAL : RESTRICTED
internal        running         CONFIDENTIAL : INTERNAL
public          running         PUBLIC

스크립트를 전역 영역에서 실행하면 준비되거나 실행 중인 모든 영역의 레이블이 표시됩니다. 다음은 기본 label_encodings 파일에서 만든 영역에 대한 전역 영역 출력입니다.

예 10-1 준비 또는 실행 중인 모든 영역의 레이블 표시

다음 예에서는 internal 영역에서 getzonelabels 스크립트를 실행합니다.

# getzonelabels
NAME            STATUS          LABEL
====            ======          =====
internal        running         CONFIDENTIAL : INTERNAL
public          running         PUBLIC

마운트된 파일의 레이블을 표시하는 방법

이 절차에서는 현재 영역의 마운트된 파일 시스템을 표시하는 셸 스크립트를 만듭니다. 이 스크립트를 전역 영역에서 실행하면 모든 영역의 마운트된 모든 파일 시스템의 레이블이 표시됩니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

신뢰할 수 있는 편집기를 사용하여 getmounts 스크립트를 만듭니다.
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
스크립트에 경로 이름(예: /usr/local/scripts/getmounts)을 제공합니다.

다음 내용을 추가하고 파일을 저장합니다.

#!/bin/sh
#
for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
        /usr/bin/getlabel $i
done

전역 영역에서 스크립트를 테스트합니다.

# /usr/local/scripts/getmounts
/:      ADMIN_LOW
/dev:   ADMIN_LOW
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/zone/restricted/export/home:   CONFIDENTIAL : RESTRICTED
/proc:  ADMIN_LOW
/system/contract:       ADMIN_LOW
/etc/svc/volatile:      ADMIN_LOW
/etc/mnttab:    ADMIN_LOW
/dev/fd:        ADMIN_LOW
/tmp:           ADMIN_LOW
/var/run:       ADMIN_LOW
/zone/public/export/home:  PUBLIC
/root:          ADMIN_LOW

예 10-2 restricted 영역의 파일 시스템 레이블 표시

일반 사용자가 레이블이 있는 영역에서 getmounts 스크립트를 실행하면 해당 영역에 마운트된 모든 파일 시스템의 레이블이 표시됩니다. 시스템에서 기본 label_encodings 파일의 모든 레이블에 대해 영역을 만든 경우 restricted 영역에서 다음 내용이 출력됩니다.

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/gfaden:   CONFIDENTIAL : RESTRICTED

레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법

이 절차에서는 지정된 레이블이 있는 영역의 사용자가 전역 영역에서 기본적으로 내보내지 않는 파일을 볼 수 있도록 설정합니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
파일이나 디렉토리를 루프백 마운트합니다.
예를 들어, 일반 사용자가 /etc 디렉토리에서 파일을 볼 수 있도록 허용합니다.
```
# zonecfg -z zone-name
 add filesystem
 set special=/etc/filename
 set directory=/etc/filename
 set type=lofs
 add options [ro,nodevices,nosetuid]
 end
 exit
```
주 - 시스템에서 사용되지 않는 파일은 루프백 마운트해도 효과가 없습니다. 예를 들어, 레이블이 있는 영역의 /etc/dfs/dfstab 파일은 Trusted Extensions 소프트웨어에서 확인되지 않습니다. 자세한 내용은 레이블이 있는 영역에서 파일 공유를 참조하십시오.
영역을 시작합니다.
```
# zoneadm -z zone-name boot
```

예 10-3 /etc/passwd 파일 루프백 마운트

이 예에서 보안 관리자는 테스터와 프로그래머가 로컬 암호가 설정되었는지 확인할 수 있도록 합니다. sandbox 영역이 중지된 후 passwd 파일을 루프백 마운트하도록 구성됩니다. 그런 다음 영역이 다시 시작됩니다.

# zoneadm -z sandbox halt
# zonecfg -z sandbox
 add filesystem
    set special=/etc/passwd
    set directory=/etc/passwd
    set type=lofs
    add options [ro,nodevices,nosetuid]
 end
 exit
# zoneadm -z sandbox boot

하위 레벨 파일의 마운트를 사용 안함으로 설정하는 방법

기본적으로 사용자는 하위 레벨 파일을 볼 수 있습니다. 특정 영역에서 모든 하위 레벨 파일을 보지 못하도록 net_mac_aware 권한을 제거합니다. net_mac_aware 권한에 대한 자세한 내용은 privileges(5) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
하위 레벨 파일을 보지 못하도록 영역을 구성합니다.
영역에서 net_mac_aware 권한을 제거합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,!net_mac_aware
 exit
```
영역을 다시 시작합니다.
```
# zoneadm -z zone-name boot
```

예 10-4 사용자가 하위 레벨 파일을 보지 못하도록 금지

이 예에서 보안 관리자는 특정 시스템의 사용자가 혼돈을 일으키지 않게 하려고 합니다. 그 결과, 사용자는 자신이 작업 중인 레이블의 파일만 볼 수 있습니다. 따라서 보안 관리자는 모든 하위 레벨 파일 보기를 금지합니다. 이 시스템에서 사용자는 PUBLIC 레이블에서 작업 중인 경우가 아니면 공개적으로 사용 가능한 파일을 볼 수 없습니다. 또한 영역 레이블의 파일만 NFS 마운트할 수 있습니다.

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z internal boot

PUBLIC은 최하위 레이블이므로 보안 관리자는 PUBLIC 영역에 대해 명령을 실행하지 않습니다.

레이블이 있는 영역에서 ZFS 데이터 세트를 공유하는 방법

이 절차에서는 레이블이 있는 영역에서 읽기/쓰기 권한으로 ZFS 데이터 세트를 마운트합니다. 모든 명령은 전역 영역에서 실행되므로 전역 영역 관리자는 레이블이 있는 영역에 대한 ZFS 데이터 세트 추가를 제어합니다.

데이터 세트를 공유하려면 최소한 레이블이 있는 영역이 ready 상태에 있어야 합니다. 영역이 running 상태일 수 있습니다.

시작하기 전에

데이터 세트로 영역을 구성하려면 영역을 중지합니다.

ZFS 데이터 세트를 만듭니다.
```
# zfs create datasetdir/subdir
```
데이터 세트의 이름에 디렉토리(예: zone/data)가 포함될 수 있습니다.
전역 영역에서 레이블이 있는 영역을 중지합니다.
```
# zoneadm -z labeled-zone-name halt
```
데이터 세트의 마운트 지점을 설정합니다.
```
# zfs set mountpoint=legacy datasetdir/subdir
```
ZFS mountpoint 등록 정보를 설정하면 마운트 지점이 레이블이 있는 영역과 일치하는 경우 마운트 지점의 레이블이 설정됩니다.
데이터 세트를 영역에 파일 시스템으로 추가합니다.
```
# zonecfg -z labeled-zone-name
# zonecfg:labeled-zone-name> add fs
# zonecfg:labeled-zone-name:dataset> set dir=/subdir
# zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
# zonecfg:labeled-zone-name:dataset> set type=zfs
# zonecfg:labeled-zone-name:dataset> end
# zonecfg:labeled-zone-name> exit
```
데이터 세트를 파일 시스템으로 추가하면 dfstab 파일이 해석되기 전에 데이터 세트가 영역의 /data에 마운트됩니다. 이 단계를 수행하면 영역이 부팅되기 전에 데이터 세트가 마운트되지 않습니다. 즉, 영역이 부트되고, 데이터 세트가 마운트된 다음 dfstab 파일이 해석됩니다.
데이터 세트를 공유합니다.
/zone/labeled-zone-name/etc/dfs/dfstab 파일에 데이터 세트 파일 시스템에 대한 항목을 추가합니다. 또한 이 항목은 /subdir 경로 이름을 사용합니다.
```
share  -F nfs  -d "dataset-comment"  /subdir
```
레이블이 있는 영역을 부트합니다.
```
# zoneadm -z labeled-zone-name boot
```
영역이 부팅되면 데이터 세트가 labeled-zone-name 영역 레이블을 사용하여 labeled-zone-name 영역에서 읽기/쓰기 마운트 지점으로 자동으로 마운트됩니다.

예 10-5 레이블이 있는 영역에서 ZFS 데이터 세트 공유 및 마운트

이 예에서 관리자는 ZFS 데이터 세트를 needtoknow 영역에 추가하여 공유합니다. zone/data 데이터 세트는 /mnt 마운트 지점에 지정되어 있습니다. restricted 영역의 사용자는 이 데이터 세트를 볼 수 있습니다.

먼저 관리자가 영역을 중지합니다.

# zoneadm -z needtoknow halt

데이터 세트가 다른 마운트 지점에 지정되어 있으므로 관리자는 이전 지정을 제거한 다음 새 마운트 지점을 설정합니다.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

그런 다음 zonecfg 대화형 인터페이스에서 관리자는 데이터 세트를 needtoknow 영역에 명시적으로 추가합니다.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

관리자는 데이터 세트를 공유하도록 /zone/needtoknow/etc/dfs/dfstab 파일을 수정한 다음 needtoknow 영역을 부트합니다.

## Global zone dfstab file for needtoknow zone
share  -F nfs  -d "App Data on ZFS"  /data

# zoneadm -z needtoknow boot

이제 데이터 세트를 액세스할 수 있습니다.

needtoknow 영역을 지배하는 restricted 영역의 사용자는 /data 디렉토리로 변경하여 마운트된 데이터 세트를 볼 수 있습니다. 또한 전역 영역의 관점에서 마운트된 데이터 세트의 전체 경로를 사용합니다. 이 예에서 machine1은 레이블이 있는 영역을 포함하는 시스템의 호스트 이름입니다. 관리자가 호스트 이름을 공유되지 않는 IP 주소에 지정했습니다.

# cd /net/machine1/zone/needtoknow/root/data

일반 오류

상위 레이블에서 데이터 세트에 연결할 때 not found(찾을 수 없음) 또는 No such file or directory(해당 파일 또는 디렉토리 없음) 오류가 표시되는 경우 관리자는 svcadm restart autofs 명령을 실행하여 자동 마운트 서비스를 다시 시작해야 합니다.

레이블이 있는 영역에서 파일의 레이블을 변경할 수 있게 설정하는 방법

이 절차를 수행해야 사용자가 파일의 레이블을 바꿀 수 있습니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

구성을 변경할 영역을 중지합니다.
```
# zoneadm -z zone-name halt
```
레이블을 바꿀 수 있게 영역을 구성합니다.
영역에 적절한 권한을 추가합니다. 창 권한을 사용하면 끌어서 놓기 및 잘라내기/붙여넣기 작업을 수행할 수 있습니다.
- 다운그레이드를 사용으로 설정하려면 영역에 file_downgrade_sl 권한을 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,file_downgrade_sl
 exit
```
- 업그레이드를 사용으로 설정하려면 영역에 sys_trans_label 및 file_upgrade_sl 권한을 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,sys_trans_label,file_upgrade_sl
 exit
```
- 업그레이드와 다운그레이드를 모두 사용으로 설정하려면 세 권한을 영역에 모두 추가합니다.
```
# zonecfg -z zone-name
 set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
 win_mac_write,win_selection,sys_trans_label,file_downgrade_sl,
 file_upgrade_sl
 exit
```
영역을 다시 시작합니다.
```
# zoneadm -z zone-name boot
```
레이블 바꾸기를 허용하는 사용자 및 프로세스 요구 사항은 setflabel(3TSOL) 매뉴얼 페이지를 참조하십시오. 파일 레이블을 바꿀 수 있게 사용자를 권한 부여하려면 사용자가 데이터의 보안 레벨을 변경할 수 있게 하는 방법을 참조하십시오.

예 10-6 internal 영역에서 업그레이드 사용

이 예에서 보안 관리자는 시스템의 권한이 부여된 사용자가 파일을 업그레이드할 수 있게 하려고 합니다. 사용자가 정보를 업그레이드할 수 있게 함으로써 관리자는 높은 보안 레벨로 정보를 보호할 수 있습니다. 전역 영역에서 관리자는 다음 영역 관리 명령을 실행합니다.

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,sys_trans_label,file_upgrade_sl
 exit
# zoneadm -z internal boot

권한이 부여된 사용자는 이제 internal 정보를 internal 영역에서 restricted 영역으로 업그레이드할 수 있습니다.

예 10-7 restricted 영역에서 다운그레이드 사용

이 예에서 보안 관리자는 시스템의 권한이 부여된 사용자가 파일을 다운그레이드할 수 있게 하려고 합니다. 관리자가 영역에 창 권한을 추가하지 않았기 때문에 권한이 부여된 사용자는 File Manager(파일 관리자)를 사용하여 파일의 레이블을 바꿀 수 없습니다. 사용자가 파일의 레이블을 바꾸려면 setlabel 명령을 사용합니다.

사용자가 정보를 다운그레이드할 수 있게 설정하여 관리자는 사용자에게 낮은 보안 레벨로 파일에 액세스할 수 있게 허용합니다. 전역 영역에서 관리자는 다음 영역 관리 명령을 실행합니다.

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,file_downgrade_sl
 exit
# zoneadm -z restricted boot

권한이 부여된 사용자는 이제 setlabel 명령을 사용하여 restricted 정보를 restricted 영역에서 internal 또는 public 영역으로 다운그레이드할 수 있습니다.

`udp`를 통해 NFSv3에 대한 다중 레벨 포트를 구성하는 방법

이 절차는 udp를 통해 NFSv3 하위 읽기(read-down) 마운트를 사용으로 설정하는 데 사용됩니다. Solaris Management Console은 MLP를 추가하는 데 사용됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Solaris Management Console을 시작합니다.
자세한 내용은 Solaris Management Console에서 로컬 시스템을 관리하는 방법을 참조하십시오.
Files(파일) 도구 상자를 선택합니다.
도구 상자 제목에 Scope=Files, Policy=TSOL이 포함됩니다.
영역과 MLP를 구성합니다.
1. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구로 이동합니다.
2. 전역 영역을 두 번 누릅니다.
3. UDP 프로토콜에 대해 다중 레벨 포트를 추가합니다.
  1. Add for the Multilevel Ports for Zone's IP Addresses(영역 IP 주소에 대해 다중 레벨 포트 추가)를 누릅니다.
  2. 포트 번호로 2049를 입력하고 OK(확인)를 누릅니다.
4. OK(확인)를 눌러 설정을 저장합니다.
Solaris Management Console을 닫습니다.

커널을 업데이트합니다.

# tnctl -fz /etc/security/tsol/tnzonecfg

영역에 대한 다중 레벨 포트를 만드는 방법

레이블이 있는 영역에서 실행되는 응용 프로그램에 영역과의 통신을 위한 MLP(다중 레벨 포트)가 필요한 경우 이 절차를 사용합니다. 이 절차에서 웹 프록시는 영역과 통신합니다. Solaris Management Console은 MLP를 추가하는 데 사용됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 레이블이 있는 영역이 존재해야 합니다. 자세한 내용은 Trusted Extensions Configuration Guide의 Creating Labeled Zones를 참조하십시오.

Solaris Management Console을 시작합니다.
자세한 내용은 Solaris Management Console에서 로컬 시스템을 관리하는 방법을 참조하십시오.
Files(파일) 도구 상자를 선택합니다.
도구 상자 제목에 Scope=Files, Policy=TSOL이 포함됩니다.
프록시 호스트와 웹 서비스 호스트를 컴퓨터 목록에 추가합니다.
1. System Configuration(시스템 구성)에서 Computers and Networks(컴퓨터 및 네트워크) 도구로 이동합니다.
2. Computers(컴퓨터) 도구에서 Action(작업) 메뉴를 누르고 Add Computer(컴퓨터 추가)를 선택합니다.
3. 프록시 호스트에 대한 호스트 이름과 IP 주소를 추가합니다.
4. 변경 사항을 저장합니다.
5. 웹 서비스 호스트에 대한 호스트 이름과 IP 주소를 추가합니다.
6. 변경 사항을 저장합니다.
영역과 MLP를 구성합니다.
1. Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구로 이동합니다.
2. 레이블이 있는 영역을 선택합니다.
3. MLP Configuration for Local IP Addresses(로컬 IP 주소에 대한 MLP 구성) 구역에서 적절한 포트/프로토콜 필드를 지정합니다.
4. 변경 사항을 저장합니다.
영역에 대해 다음 단계를 수행하여 템플리트를 사용자 정의합니다.
1. Security Templates(보안 템플리트) 도구로 이동합니다.
  Action(작업) 메뉴를 누르고 Add Template(템플리트 추가)를 선택합니다.
2. 템플리트 이름에 대해 호스트 이름을 사용합니다.
3. Host Type(호스트 유형)으로 CIPSO를 지정합니다.
4. Minimum Label(최소 레이블) 및 Maximum Label(최대 레이블)로 영역의 레이블을 사용합니다.
5. 보안 레이블 세트에 영역 레이블을 지정합니다.
6. Hosts Explicitly Assigned(명시적으로 지정된 호스트) 탭을 선택합니다.
7. Add an Entry(항목 추가) 구역에서 영역에 연결된 IP 주소를 추가합니다.
8. 변경 사항을 저장합니다.
Solaris Management Console을 닫습니다.
영역을 시작합니다.
```
# zoneadm -z zone-name boot
```
전역 영역에서 새 주소에 대한 경로를 추가합니다.
예를 들어, 영역에 공유 IP 주소가 있는 경우 다음을 수행합니다.
```
# route add proxy labeled-zones-IP-address
# route add webservice labeled-zones-IP-address
```

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 관리자 절차 Oracle Solaris 10 1/13 Information Library (한국어)