장치에 권한 부여가 필요하지 않은 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 권한 부여가 필요한 경우에는 기본적으로 권한이 부여된 사용자만 장치를 사용할 수 있습니다.
할당 가능한 장치에 대한 모든 액세스를 거부하려면 Example 21–1을 참조하십시오. 새 권한 부여를 만들고 사용하려면 Example 21–3을 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
도움말 파일은 HTML 형식입니다. 이름 지정 규약은 AuthName.html(예: DeviceAllocateCD.html)입니다.
# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
# profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Device Manager(장치 할당 관리자)에서 필수 권한 부여 목록에 새 권한 부여를 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법을 참조하십시오.
이 예에서는 NewCo의 보안 관리자가 회사를 위한 세분화된 장치 권한 부여를 만들어야 합니다.
먼저 관리자는 다음 도움말 파일을 만듭니다.
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
그런 다음 관리자는 템플리트 도움말 파일을 만듭니다. 이 파일을 복사하고 수정하여 다른 도움말 파일을 만들 수 있습니다.
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
도움말 파일을 만든 후 관리자는 auths 명령을 사용하여 각 장치 권한 부여를 만듭니다. 권한 부여는 회사 전체에서 사용되므로 관리자는 권한 부여를 LDAP 저장소에 둡니다. 이 명령에는 도움말 파일의 경로 이름이 포함됩니다.
관리자는 두 개의 장치 권한 부여와 Newco 권한 부여 헤더를 만듭니다.
한 권한 부여는 사용자에게 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 권한을 부여합니다.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
다른 권한 부여는 사용자에게 USB 장치를 할당할 수 있는 권한을 부여합니다.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 권한 부여 헤더는 모든 Newco 권한 부여를 식별합니다.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
기본적으로 Allocate Devices(장치 할당) 권한 부여를 통해 신뢰할 수 있는 경로와 그 외부에서 할당을 사용으로 설정합니다.
다음 예의 사이트 보안 정책에서는 원격 CD-ROM 및 DVD 할당 제한을 요구합니다. 보안 관리자는 com.newco.dev.allocate.cdvd.local 권한 부여를 만듭니다. 이 권한 부여는 신뢰할 수 있는 경로를 사용하여 할당되는 CD-ROM 및 DVD 드라이브용입니다. com.newco.dev.allocate.cdvd.remote 권한 부여는 신뢰할 수 있는 경로 외부에서 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 일부 사용자용입니다.
보안 관리자는 도움말 파일을 만든 후 장치 권한 부여를 auth_attr 데이터베이스에 추가하고 권한 부여를 장치에 추가한 다음 권한 부여를 권한 프로파일에 넣습니다. root 역할은 장치를 할당할 수 있는 사용자에게 프로파일을 지정합니다.
다음 명령은 장치 권한 부여를 auth_attr 데이터베이스에 추가합니다.
# auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local # auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
다음은 Device Manager(장치 관리자) 지정을 보여줍니다.
CD-ROM 드라이브의 로컬 할당은 신뢰할 수 있는 경로로 보호됩니다.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
원격 할당은 신뢰할 수 있는 경로로 보호되지 않으므로 원격 사용자는 신뢰할 수 있어야 합니다. 마지막 단계로 관리자는 원격 할당 권한을 두 역할에만 부여합니다.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
다음 명령은 이러한 권한 부여에 대한 Newco 권한 프로파일을 만들고 권한 부여를 프로파일에 추가합니다.
# profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
# profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
다음 명령은 권한이 부여된 사용자에게 권한 프로파일을 지정합니다. root 역할은 프로파일을 지정합니다. 이 사이트에서 역할에만 주변 장치를 원격으로 할당할 수 있는 권한이 부여됩니다.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin