원격 Trusted Extensions 시스템의 원격 관리 사용

이 절차에서는 Trusted Extensions 기능을 추가하기 전에 Oracle Solaris 원격 시스템에서 호스트 기반 인증을 사용으로 설정합니다. 원격 시스템은 Secure Shell 서버입니다.

시작하기 전에

원격 시스템에는 Oracle Solaris가 설치되어 있고 해당 시스템에 액세스할 수 있습니다. root 역할을 가진 사용자여야 합니다.

1. 두 시스템에서 호스트 기반 인증을 사용으로 설정합니다.

   절차는 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸에 대한 호스트 기반 인증 설정 방법을 참조하십시오.

   ---

   주 -  cat 명령을 사용하지 마십시오. Secure Shell 연결을 통해 공개 키를 복사하여 붙여 넣습니다. Secure Shell 클라이언트가 Oracle Solaris 시스템이 아닌 경우 Secure Shell 클라이언트를 호스트 기반 인증으로 구성하기 위한 해당 플랫폼의 지침을 따르십시오.

   ---

   이 단계를 완료하면 두 시스템에서 root 역할을 맡을 수 있는 사용자 계정을 가지게 됩니다. 계정에는 동일한 UID, GID 및 역할이 지정됩니다. 또한 공개/개인 키 쌍을 생성하고 공개 키를 공유했습니다.

2. Secure Shell 서버에서 ssh 정책을 완화하여 root가 원격으로 로그인하도록 사용으로 설정합니다.

   # pfedit /etc/ssh/sshd_config
   ## Permit remote login by root
   PermitRootLogin yes

   이후의 단계는 root 로그인을 특정 시스템 및 사용자로 제한합니다.

   ---

   주 - 관리자가 root 역할을 맡게 되므로 원격 root 로그인을 막는 로그인 정책을 완화할 필요가 없습니다.

   ---

3. Secure Shell 서버에서 ssh 서비스를 다시 시작합니다.

   # svcadm restart ssh

4. Secure Shell 서버의 root 홈 디렉토리에서 호스트 기반 인증을 위한 호스트 및 사용자를 지정합니다.

   # cd
   # pfedit .shosts
   client-host username

   .shosts 파일은 공용/개인 키가 공유되면 client-host 시스템의 username이 서버에서 root 역할을 맡을 수 있도록 설정합니다.

5. Secure Shell 서버에서 두 가지 PAM 정책을 완화합니다.
   1. /etc/pam.d/other를 /etc/pam.d/other.orig에 복사합니다.

      # cp /etc/pam.d/other /etc/pam.d/other.orig

   2. pam_roles 항목을 수정하여 역할의 원격 로그인을 허용합니다.

      # pfedit /etc/pam.d/other
      ...
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      ...

      이 정책은 client-host 시스템의 username이 서버에서 역할을 맡을 수 있도록 설정합니다.

   3. pam_tsol_account 항목을 수정하여 레이블이 없는 호스트가 Trusted Extensions 원격 시스템에 연결할 수 있도록 합니다.

      # pfedit /etc/pam.d/other
      # Default definition for Account management
      # Used when service name is not explicitly mentioned for account management
      # ...
      #account requisite    pam_roles.so.1
      # Enable remote role assumption
      account requisite    pam_roles.so.1   allow_remote
      #
      account required     pam_unix_account.so.1
      #account required     pam_tsol_account.so.1
      # Enable unlabeled access to TX system
      account required     pam_tsol_account.so.1  allow_unlabeled

6. 구성을 테스트합니다.
   1. 원격 시스템에서 새 터미널을 엽니다.
   2. client-host에서 username이 소유한 창에서 원격 시스템의 root 역할을 맡습니다.

      % ssh -l root remote-system

7. 구성 작동을 확인한 후 원격 시스템에서 Trusted Extensions를 사용으로 설정하고 재부트합니다.

   # svcadm enable -s labeld
   # /usr/sbin/reboot

이 예에서 관리자는 Trusted Extensions 시스템을 사용하여 원격 Trusted Extensions 호스트를 구성합니다. 이를 위해 관리자는 각 시스템에서 tncfg 명령을 사용하여 피어 시스템의 호스트 유형을 정의합니다.

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host

client-host # tncfg -t cipso add host=192.168.1.22 Remote system

관리자가 레이블이 없는 시스템에서 원격 Trusted Extensions 호스트를 구성할 수 있도록 하려면 관리자는 pam.d/other 파일에서 allow_unlabeled 옵션을 그대로 둡니다.