제공된 권한 프로파일에 필요한 권한 모음이 없는 경우 권한 프로파일을 만들거나 변경할 수 있습니다. 제한된 권한을 가진 사용자, 새 응용 프로그램 또는 다른 여러 가지 이유로 권한 프로파일을 만들 수 있습니다.
Oracle Solaris에서 제공하는 권한 프로파일은 읽기 전용입니다. 권한 모음이 충분하지 않으면 수정을 위해 제공된 권한 프로파일을 복제할 수 있습니다. 예를 들어, solaris.admin.edit/path-to-system-file 권한 부여를 제공된 권한 프로파일에 추가해야 할 수 있습니다. 배경 정보는 권한 프로파일에 대한 추가 정보를 참조하십시오.
제공된 권한 부여가 권한 있는 응용 프로그램에 코딩된 권한 부여를 포함하지 않는 경우 권한 부여를 만들 수 있습니다. 기존 권한 부여는 변경할 수 없습니다. 배경 정보는 사용자 권한 부여에 대한 추가 정보를 참조하십시오.
시작하기 전에
권한 프로파일을 만들려면 File Security 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한 사용을 참조하십시오.
# profiles -p [-S repository] profile-name
설명에 대한 프롬프트가 표시됩니다.
set desc와 같이 단일 값을 갖는 프로파일 등록 정보에 대해 set 하위 명령을 사용합니다. add cmd와 같이 값이 두 개 이상일 수 있는 등록 정보에 대해 add 하위 명령을 사용합니다.
Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 의 수정된 PAM 정책을 지정하는 방법에서 다음 명령은 사용자 정의 PAM 권한 프로파일을 만듭니다. 이름은 표시 목적으로 줄여서 표시됩니다.
# profiles -p -S LDAP "Site PAM LDAP" profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap" ...LDAP> set pam_policy=ldap ...LDAP> commit ...LDAP> end ...LDAP> exit
이 예에서는 관리자가 LDAP 저장소에 Sun Ray users에 대한 권한 프로파일을 만듭니다. 관리자가 이미 Basic Solaris User 권한 프로파일의 Sun Ray 버전을 만들고 Sun Ray 서버의 policy.conf 파일에서 모든 권한 프로파일을 제거했습니다.
# profiles -p -S LDAP "Sun Ray Users" profiles:Sun Ray Users> set desc="For all users of Sun Rays" ... Ray Users> add profiles="Sun Ray Basic User" ... Ray Users> set defaultpriv="basic,!proc_info" ... Ray Users> set limitpriv="basic,!proc_info" ... Ray Users> end ... Ray Users> exit
관리자가 해당 내용을 확인합니다.
# profiles -p "Sun Ray Users" info
Found profile in LDAP repository.
name=Sun Ray Users
desc=For all users of Sun Rays
defaultpriv=basic,!proc_info,
limitpriv=basic,!proc_info,
profiles=Sun Ray Basic User
예 5-7 권한 있는 명령을 포함하는 권한 프로파일 만들기
이 예에서 보안 관리자는 관리자가 만드는 권한 프로파일의 응용 프로그램에 권한을 추가합니다. 응용 프로그램은 권한 인식형입니다.
# profiles -p SiteApp profiles:SiteApp> set desc="Site application" profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd" profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid" profiles:SiteApp:site-cmd> end profiles:SiteApp> exit
확인을 위해 관리자가 site-cmd를 선택합니다.
# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end" Found profile in files repository. id=/opt/site-app/bin/site-cmd privs=proc_fork,proc_taskid
다음 단계
신뢰할 수 있는 사용자 또는 역할에 권한 프로파일을 지정합니다. 예는 Example 3–10 및 Example 3–19를 참조하십시오.
참조
권한 지정 문제를 해결하려면 권한 지정 문제를 해결하는 방법을 참조하십시오. 배경 정보는 지정된 권한 검색 순서를 참조하십시오.
시작하기 전에
권한 프로파일을 만들거나 변경하려면 File Security 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한 사용을 참조하십시오.
# profiles -p [-S repository] existing-profile-name
기존 권한 프로파일을 새 프로파일에 보충 권한 프로파일로 추가한 후 향상된 기능을 추가합니다. Example 5–8을 참조하십시오.
Example 5–9를 참조하십시오.
이 예에서 관리자는 root 역할이 필수가 아니도록 solaris.admin.edit 권한 부여를 사이트 IPsec Management 관리 프로파일에 추가합니다. 이 권한 프로파일은 /etc/hosts 파일을 수정할 수 있도록 신뢰된 사용자에만 지정됩니다.
관리자가 Network IPsec Management 권한 프로파일을 수정할 수 없는지 확인합니다.
# profiles -p "Network IPsec Management" profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts" Cannot add. Profile cannot be modified
관리자가 Network IPsec Management 프로파일을 포함하는 권한 프로파일을 만듭니다.
# profiles -p "Total IPsec Mgt" ... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts" ... IPsec Mgt> add profiles="Network IPsec Management" ... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts" ... IPsec Mgt> end ... IPsec Mgt> exit
관리자가 해당 내용을 확인합니다.
# profiles -p "Total IPsec Mgt" info
name=Total IPsec Mgt
desc=Network IPsec Mgt plus /etc/hosts
auths=solaris.admin.edit/etc/hosts
profiles=Network IPsec Management
이 예에서는 관리자가 서비스를 사용 및 사용 안함으로 설정하는 기능으로부터 VSCAN 서비스의 등록 정보 관리를 분리합니다.
먼저, 관리자가 Oracle Solaris에서 제공되는 권한 프로파일의 내용을 나열합니다.
# profiles -p "VSCAN Management" info
name=VSCAN Management
desc=Manage the VSCAN service
auths=solaris.smf.manage.vscan,solaris.smf.value.vscan,
solaris.smf.modify.application
help=RtVscanMngmnt.html
그런 다음 서비스를 사용 및 사용 안함으로 설정할 수 있는 권한 프로파일을 만듭니다.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Control" profiles:VSCAN Control> set desc="Start and stop the VSCAN service" ... VSCAN Control> remove auths="solaris.smf.value.vscan" ... VSCAN Control> remove auths="solaris.smf.modify.application" ... VSCAN Control> end ... VSCAN Control> exit
그런 다음 관리자가 서비스의 등록 정보를 변경할 수 있는 권한 프로파일을 만듭니다.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Properties" profiles:VSCAN Properties> set desc="Modify VSCAN service properties" ... VSCAN Properties> remove auths="solaris.smf.manage.vscan" ... VSCAN Properties> end ... VSCAN Properties> exit
관리자가 새 권한 프로파일의 내용을 확인합니다.
# profiles -p "VSCAN Control" info
name=VSCAN Control
desc=Start and stop the VSCAN service
auths=solaris.smf.manage.vscan
# profiles -p "VSCAN Properties" info
name=VSCAN Properties
desc=Modify VSCAN service properties
auths=solaris.smf.value.vscan,solaris.smf.modify.application
다음 단계
신뢰할 수 있는 사용자 또는 역할에 권한 프로파일을 지정합니다. 예는 Example 3–10 및 Example 3–19를 참조하십시오.
참조
권한 지정 문제를 해결하려면 권한 지정 문제를 해결하는 방법을 참조하십시오. 배경 정보는 지정된 권한 검색 순서를 참조하십시오.
시작하기 전에
개발자가 설치 중인 응용 프로그램에 권한 부여를 정의하고 사용했습니다. 자세한 내용은 Developer’s Guide to Oracle Solaris 11 Security 및 Developer’s Guide to Oracle Solaris 11 Security 의 About Authorizations를 참조하십시오.
예를 들어, 사용자가 응용 프로그램에서 데이터를 수정할 수 있도록 권한 부여에 대한 도움말 파일을 만듭니다.
# pfedit /docs/helps/NewcoSiteAppModData.html
<HTML>
-- Copyright 2013 Newco. All rights reserved.
-- NewcoSiteAppModData.html
-->
<HEAD>
<TITLE>NewCo Modify SiteApp Data Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.siteapp.data.modify authorization authorizes you
to modify existing data in the application.
<p>
Only authorized accounts are permitted to modify data.
Use this authorization with care.
<p>
</BODY>
</HTML>
예를 들어, 다음 명령은 로컬 시스템에서 com.newco.siteapp.data.modify 권한 부여를 만듭니다.
# auths add -t "SiteApp Data Modify Authorized" \ -h /docs/helps/NewcoSiteAppModData.html com.newco.siteapp.data.modify
이제 권한 부여를 테스트하고 권한 프로파일에 추가한 다음 프로파일을 역할 또는 사용자에게 지정할 수 있습니다.
이 예에서 관리자는 Example 5–7의 SiteApp 권한 프로파일을 사용하여 com.newco.siteapp.data.modify 권한 부여를 테스트합니다.
# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1
테스트에 성공하면 관리자가 권한 부여를 제거합니다.
# rolemod -A-=com.newco.siteapp.data.modify siteapptester
유지 관리하기 쉽도록 관리자가 Example 5–11의 SiteApp 권한 프로파일에 권한 부여를 추가합니다.
예 5-11 권한 부여를 권한 프로파일에 추가권한 부여가 제대로 작동하는지 테스트한 후 보안 관리자는 기존 권한 프로파일에 com.newco.siteapp.data.modify 권한 부여를 추가합니다. Example 5–7에서는 관리자가 프로파일을 만든 방법을 보여줍니다.
# profiles -p "SiteApp" profiles:SiteApp> add auths="com.newco.siteapp.data.modify" profiles:SiteApp> end profiles:SiteApp> exit
확인을 위해 관리자가 프로파일의 내용을 나열합니다.
# profiles -p SiteApp Found profile in files repository. id=/opt/site-app/bin/site-cmd auths=com.newco.siteapp.data.modify
다음 단계
신뢰할 수 있는 사용자 또는 역할에 권한 프로파일을 지정합니다. 예는 Example 3–10 및 Example 3–19를 참조하십시오.
참조
권한 지정 문제를 해결하려면 권한 지정 문제를 해결하는 방법을 참조하십시오. 배경 정보는 지정된 권한 검색 순서를 참조하십시오.