이 절차에서는 Trusted Extensions 기능을 추가하기 전에 Oracle Solaris 원격 시스템에서 호스트 기반 인증을 사용으로 설정합니다. 원격 시스템은 Secure Shell 서버입니다.
시작하기 전에
원격 시스템에는 Oracle Solaris가 설치되어 있고 해당 시스템에 액세스할 수 있습니다. root 역할을 가진 사용자여야 합니다.
절차는 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸에 대한 호스트 기반 인증 설정 방법을 참조하십시오.
이 단계를 완료하면 두 시스템에서 root 역할을 맡을 수 있는 사용자 계정을 가지게 됩니다. 계정에는 동일한 UID, GID 및 역할이 지정됩니다. 또한 공개/개인 키 쌍을 생성하고 공개 키를 공유했습니다.
# pfedit /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
이후의 단계는 root 로그인을 특정 시스템 및 사용자로 제한합니다.
# svcadm restart ssh
# cd # pfedit .shosts client-host username
.shosts 파일은 공용/개인 키가 공유되면 client-host 시스템의 username이 서버에서 root 역할을 맡을 수 있도록 설정합니다.
# cp /etc/pam.d/other /etc/pam.d/other.orig
# pfedit /etc/pam.d/other ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote ...
이 정책은 client-host 시스템의 username이 서버에서 역할을 맡을 수 있도록 설정합니다.
# pfedit /etc/pam.d/other # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote # account required pam_unix_account.so.1 #account required pam_tsol_account.so.1 # Enable unlabeled access to TX system account required pam_tsol_account.so.1 allow_unlabeled
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
이 예에서 관리자는 Trusted Extensions 시스템을 사용하여 원격 Trusted Extensions 호스트를 구성합니다. 이를 위해 관리자는 각 시스템에서 tncfg 명령을 사용하여 피어 시스템의 호스트 유형을 정의합니다.
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
관리자가 레이블이 없는 시스템에서 원격 Trusted Extensions 호스트를 구성할 수 있도록 하려면 관리자는 pam.d/other 파일에서 allow_unlabeled 옵션을 그대로 둡니다.