이 절차에서는 모든 시스템 이미지에 기본 PAM 정책이 아닌 정책을 구성합니다. 모든 파일을 복사한 후 새 PAM 정책 또는 수정된 PAM 정책을 개별 사용자나 모든 사용자에게 지정할 수 있습니다.
시작하기 전에
새 정책을 구현하는 PAM 구성 파일을 수정 및 테스트합니다.
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
모든 새 PAM 모듈과 새 PAM 구성 파일 및 수정된 PAM 구성 파일을 모든 시스템 이미지에 추가해야 합니다.
디렉토리 설정에 대한 예는 Step 1 in PAM 모듈을 추가하는 방법를 참조하십시오.
예를 들어, /opt/local_pam/ssh-telnet-conf 파일을 모든 시스템 이미지에 추가합니다.
예를 들어, 수정된 /etc/pam.conf 파일 및 모든 수정된 /etc/pam.d/service-name-files를 모든 시스템 이미지에 복사합니다.
# pfedit /etc/security/policy.conf ... # PAM_POLICY= PAM_POLICY=/opt/local_pam/ssh-telnet-conf ...
예를 들어, Example 1–3에 나온 PAM 사용자별 정책 Any 권한 프로파일을 지정합니다.
# pfedit /etc/security/policy.conf ... AUTHS_GRANTED= # PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User ...
# usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill
이 예에서는 ldap PAM 정책을 사용합니다.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
그런 다음 권한 프로파일을 사용자에게 지정합니다.
# usermod -P +"PAM Per-User Policy of LDAP" jill
관리자는 Kerberos 영역에서 telnet을 사용할 수 있는 사용자 수를 제한할 수 있습니다. 이를 위해 관리자는 telnet 서비스를 사용으로 설정하기 전에 기본 ktelnet 구성 파일을 변경한 다음 기본 ktelnet 파일을 pam_policy 디렉토리에 가져다 놓습니다.
먼저 사용자별 ktelnet 파일을 구성합니다.
# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf # pfedit /etc/security/pam_policy/ktelnet-conf ... # Kerberized telnet service # ktelnet auth required pam_unix_cred.so.1 ktelnet auth required pam_krb5.so.1
4440 사용 권한으로 파일을 보호합니다.
# chmod 444 /etc/security/pam_policy/ktelnet-conf # ls -l /etc/security/pam_policy/ktelnet-conf -r--r--r-- 1 root root 228 Nov 27 15:04 ktelnet-conf
그런 다음 pam.d 디렉토리의 ktelnet 파일을 수정합니다.
첫번째 항목은 사용자별 지정을 가능하게 합니다.
두번째 항목은 관리자가 pam_policy=ktelnet을 지정한 경우가 아니면 ktelnet 사용을 거부합니다.
# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig # pfedit /etc/pam.d/ktelnet ... # Denied Kerberized telnet service # auth definitive pam_user_policy.so.1 auth required pam_deny.so.1
관리자가 권한 있는 사용자, 일반 사용자 및 루트 역할로 구성을 테스트합니다. 구성이 전달되면 관리자가 telnet 서비스를 사용으로 설정하고 사용자별 정책을 Kerberos 관리자에게 지정합니다.
# svcadm enable telnet # rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin
관리자가 수정된 파일을 모든 Kerberos 서버에 복사하고 해당 서버에서 telnet을 사용으로 설정합니다.