Oracle® Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

사이트별 PAM 구성 파일을 만드는 방법

기본 구성에서는 sshtelnet 항목 서비스를 other 서비스 이름에서 처리합니다. 이 절차에 나오는 PAM 구성 파일은 sshtelnet에 대한 요구 사항을 변경합니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. 새 PAM 정책 구성 파일을 만듭니다.

    pfedit 명령을 사용하여 파일을 만든 다음 /opt와 같은 사이트 구성 디렉토리에 가져다 놓습니다. /etc/security/pam_policy 디렉토리에 저장해도 됩니다.

    주 -  /etc/security/pam_policy 디렉토리에 있는 기존 파일은 수정하지 마십시오.

    파일에 설명 주석을 포함합니다.

    # pfedit /opt/local_pam/ssh-telnet-conf
#
# PAM configuration which uses UNIX authentication for console logins,
# (see pam.d/login), and LDAP for SSH keyboard-interactive logins
# This stack explicitly denies telnet logins.
#
sshd-kbdint  auth requisite          pam_authtok_get.so.1
sshd-kbdint  auth binding            pam_unix_auth.so.1 server_policy
sshd-kbdint  auth required           pam_unix_cred.so.1
sshd-kbdint  auth required           pam_ldap.so.1
#
telnet	auth     requisite    pam_deny.so.1
telnet	account  requisite    pam_deny.so.1
telnet	session  requisite    pam_deny.so.1
telnet	password requisite    pam_deny.so.1
  2. 파일을 보호합니다.

    root 소유권과 444 사용 권한으로 파일을 보호합니다.

    # ls -l /opt/local_pam

total 5
-r--r--r--   1 root         4570 Jun 21 12:08 ssh-telnet-conf
  3. 정책을 지정합니다.

    수정된 PAM 정책을 지정하는 방법을 참조하십시오.

예 1-1  수정된 PAM 스택을 사용하여 암호화된 홈 디렉토리 만들기

기본적으로 zfs_pam_key 모듈은 /etc/security/pam_policy/unix 파일에 없습니다. 이 예에서는 관리자가 unix 버전 PAM 사용자별 정책을 만든 다음 새 버전을 사용하여 해당 홈 디렉토리가 암호화되는 사용자를 만듭니다.

# cp /etc/security/pam_policy/unix /opt/local_pam/unix-encrypt
# pfedit /opt/local_pam/unix-encrypt.conf
...
other   auth required           pam_unix_auth.so.1
other   auth required           pam_unix_cred.so.1
## pam_zfs_key auto-creates an encrypted home directory
##
other auth required           pam_zfs_key.so.1 create

관리자가 사용자를 추가할 때 이 정책 파일을 사용합니다. 암호화는 파일 시스템에 추가할 수 없습니다. 따라서 파일 시스템을 만들 때 암호화를 설정한 상태에서 만들어야 합니다. 자세한 내용은 zfs_encrypt(1M)을 참조하십시오.

관리자가 사용자를 만들고 암호를 지정합니다.

# useradd -K pam_policy=/opt/local_pam/unix-encrypt.conf jill
# passwd jill
New Password: xxxxxxxx
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for jill

그런 다음 해당 사용자로 로그인하여 암호화된 홈 디렉토리를 만듭니다.

# su - jill
Password: xxxxxxxx
Creating home directory with encryption=on.
Your login password will be used as the wrapping key.
Oracle Corporation      SunOS 5.11      11.2    July 2014

# logout

ZFS 서비스 모듈에 대한 옵션은 pam_zfs_key(5) 매뉴얼 페이지를 참조하십시오.

마지막으로, 새 홈 디렉토리가 암호화된 파일 시스템인지 확인합니다.

# mount -p | grep ~jill
rpool/export/home/jill - /export/home/jill zfs - no
rw,devices,setuid,nonbmand,exec,rstchown,xattr,atime
# zfs get encryption,keysource rpool/export/home/jill
NAME                   PROPERTY    VALUE              SOURCE
rpool/export/home/jill  encryption  on                 local
rpool/export/home/jill  keysource   passphrase,prompt  local
Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음