수정된 PAM 정책을 지정하는 방법

이 절차에서는 모든 시스템 이미지에 기본 PAM 정책이 아닌 정책을 구성합니다. 모든 파일을 복사한 후 새 PAM 정책 또는 수정된 PAM 정책을 개별 사용자나 모든 사용자에게 지정할 수 있습니다.

시작하기 전에

새 정책을 구현하는 PAM 구성 파일을 수정 및 테스트합니다.

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 기본 PAM 파일이 아닌 PAM 파일을 모든 시스템 이미지에 추가합니다.

   모든 새 PAM 모듈과 새 PAM 구성 파일 및 수정된 PAM 구성 파일을 모든 시스템 이미지에 추가해야 합니다.

   1. 먼저 모든 새 PAM 모듈을 모든 시스템 이미지에 추가합니다.
      1. 32비트 PAM 모듈을 해당 아키텍처 디렉토리에 추가합니다.
      2. 64비트 PAM 모듈을 해당 아키텍처 디렉토리에 추가합니다.

      디렉토리 설정에 대한 예는 Step 1 in PAM 모듈을 추가하는 방법를 참조하십시오.

   2. 그 다음에는 모든 새 PAM 구성 파일을 모든 시스템 이미지에 추가합니다.

      예를 들어, /opt/local_pam/ssh-telnet-conf 파일을 모든 시스템 이미지에 추가합니다.

   3. 그런 다음 모든 수정된 PAM 구성 파일을 모든 시스템 이미지에 추가합니다.

      예를 들어, 수정된 /etc/pam.conf 파일 및 모든 수정된 /etc/pam.d/service-name-files를 모든 시스템 이미지에 복사합니다.

2. 기본 PAM 정책이 아닌 PM 정책을 모든 사용자에게 지정합니다.
   1. 다음 방법 중 하나로 policy.conf 파일을 수정합니다.
      • PAM 구성 파일을 policy.conf 파일의 PAM_POLICY 키워드에 추가합니다.

        # pfedit /etc/security/policy.conf
        ...
        # PAM_POLICY=
        PAM_POLICY=/opt/local_pam/ssh-telnet-conf
        ...

      • 권한 프로파일을 policy.conf 파일의 PROFS_GRANTED 키워드에 추가합니다.

        예를 들어, Example 1–3에 나온 PAM 사용자별 정책 Any 권한 프로파일을 지정합니다.

        # pfedit /etc/security/policy.conf
        ...
        AUTHS_GRANTED=
        # PROFS_GRANTED=Basic Solaris User
        PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User
        ...

   2. 수정된 policy.conf 파일을 모든 시스템 이미지에 복사합니다.
3. 기본 PAM 정책이 아닌 PAM 정책을 개별 사용자에게 지정하려는 경우에는 사용자에게 직접 정책을 지정하거나 사용자에게 지정된 권한 프로파일에 정책을 추가합니다.
   • 개별 사용자에게 직접 PAM 정책을 지정합니다.

     # usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill

   • PAM 정책을 권한 프로파일에 포함하고 프로파일을 개별 사용자에게 지정합니다.

     이 예에서는 ldap PAM 정책을 사용합니다.

     # profiles -p "PAM Per-User Policy of LDAP" \
     'set desc="Profile which sets pam_policy=ldap";
     set pam_policy=ldap; exit;'

     그런 다음 권한 프로파일을 사용자에게 지정합니다.

     # usermod -P +"PAM Per-User Policy of LDAP" jill

예 1-4  선택한 사용자로 ktelnet PAM 스택 제한

관리자는 Kerberos 영역에서 telnet을 사용할 수 있는 사용자 수를 제한할 수 있습니다. 이를 위해 관리자는 telnet 서비스를 사용으로 설정하기 전에 기본 ktelnet 구성 파일을 변경한 다음 기본 ktelnet 파일을 pam_policy 디렉토리에 가져다 놓습니다.

먼저 사용자별 ktelnet 파일을 구성합니다.

# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf
# pfedit /etc/security/pam_policy/ktelnet-conf
...
# Kerberized telnet service
#
ktelnet  auth required           pam_unix_cred.so.1
ktelnet  auth required           pam_krb5.so.1

4440 사용 권한으로 파일을 보호합니다.

# chmod 444 /etc/security/pam_policy/ktelnet-conf
# ls -l /etc/security/pam_policy/ktelnet-conf
-r--r--r--   1 root     root         228 Nov 27 15:04 ktelnet-conf

그런 다음 pam.d 디렉토리의 ktelnet 파일을 수정합니다.

• 첫번째 항목은 사용자별 지정을 가능하게 합니다.

• 두번째 항목은 관리자가 pam_policy=ktelnet을 지정한 경우가 아니면 ktelnet 사용을 거부합니다.

# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig
                # pfedit /etc/pam.d/ktelnet
...
# Denied Kerberized telnet service
#
auth definitive         pam_user_policy.so.1
auth required           pam_deny.so.1

관리자가 권한 있는 사용자, 일반 사용자 및 루트 역할로 구성을 테스트합니다. 구성이 전달되면 관리자가 telnet 서비스를 사용으로 설정하고 사용자별 정책을 Kerberos 관리자에게 지정합니다.

# svcadm enable telnet
# rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin

관리자가 수정된 파일을 모든 Kerberos 서버에 복사하고 해당 서버에서 telnet을 사용으로 설정합니다.