Trusted Extensions 구성 및 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 7월
 
 

새 장치 권한 부여를 만드는 방법

장치에 권한 부여가 필요하지 않은 경우 기본적으로 모든 사용자가 장치를 사용할 수 있습니다. 권한 부여가 필요한 경우에는 기본적으로 권한이 부여된 사용자만 장치를 사용할 수 있습니다.

할당 가능한 장치에 대한 모든 액세스를 거부하려면 Example 21–1을 참조하십시오. 새 권한 부여를 만들고 사용하려면 Example 21–3을 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

  1. (옵션)각 새 장치 권한 부여에 대한 도움말 파일을 만듭니다.

    도움말 파일은 HTML 형식입니다. 이름 지정 규약은 AuthName.html(예: DeviceAllocateCD.html)입니다.

  2. 장치 권한 부여를 만듭니다. 
    # auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
  3. 적절한 권한 프로파일에 새 권한 부여를 추가합니다. 
    # profiles rights-profile
profiles:rights-profile > add auths="authorization-name"...
  4. 프로파일을 사용자와 역할에 지정합니다. 
    # usermod -P "rights-profile" username
# rolemod -P "rights-profile" rolename
  5. 권한 부여를 사용하여 선택한 장치에 대한 액세스를 제한합니다.

    Device Manager(장치 할당 관리자)에서 필수 권한 부여 목록에 새 권한 부여를 추가합니다. 절차는 Trusted Extensions에서 장치에 사이트별 권한 부여를 추가하는 방법을 참조하십시오.

예 21-2  세분화된 장치 권한 부여 만들기

이 예에서는 NewCo의 보안 관리자가 회사를 위한 세분화된 장치 권한 부여를 만들어야 합니다.

먼저 관리자는 다음 도움말 파일을 만듭니다.

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

그런 다음 관리자는 템플리트 도움말 파일을 만듭니다. 이 파일을 복사하고 수정하여 다른 도움말 파일을 만들 수 있습니다.

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html
-->
<HEAD>
<TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account
is a security violation.
<p>
</BODY>
</HTML>

도움말 파일을 만든 후 관리자는 auths 명령을 사용하여 각 장치 권한 부여를 만듭니다. 권한 부여는 회사 전체에서 사용되므로 관리자는 권한 부여를 LDAP 저장소에 둡니다. 이 명령에는 도움말 파일의 경로 이름이 포함됩니다.

    관리자는 두 개의 장치 권한 부여와 Newco 권한 부여 헤더를 만듭니다.

  • 한 권한 부여는 사용자에게 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 권한을 부여합니다.

    # auths add -S ldap -t "Allocate CD or DVD" \
  -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

  • 다른 권한 부여는 사용자에게 USB 장치를 할당할 수 있는 권한을 부여합니다.

    # auths add -S ldap -t "Allocate USB" \
  -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

  • Newco 권한 부여 헤더는 모든 Newco 권한 부여를 식별합니다.

    # auths add -S ldap -t "Newco Auth Header" \
  -h /docs/helps/Newco.html com.newco
예 21-3  신뢰할 수 있는 경로 및 신뢰할 수 없는 경로 장치 권한 부여 만들기 및 지정

기본적으로 Allocate Devices(장치 할당) 권한 부여를 통해 신뢰할 수 있는 경로와 그 외부에서 할당을 사용으로 설정합니다.

다음 예의 사이트 보안 정책에서는 원격 CD-ROM 및 DVD 할당 제한을 요구합니다. 보안 관리자는 com.newco.dev.allocate.cdvd.local 권한 부여를 만듭니다. 이 권한 부여는 신뢰할 수 있는 경로를 사용하여 할당되는 CD-ROM 및 DVD 드라이브용입니다. com.newco.dev.allocate.cdvd.remote 권한 부여는 신뢰할 수 있는 경로 외부에서 CD-ROM 또는 DVD 드라이브를 할당할 수 있는 일부 사용자용입니다.

    보안 관리자는 도움말 파일을 만든 후 장치 권한 부여를 auth_attr 데이터베이스에 추가하고 권한 부여를 장치에 추가한 다음 권한 부여를 권한 프로파일에 넣습니다. root 역할은 장치를 할당할 수 있는 사용자에게 프로파일을 지정합니다.

  • 다음 명령은 장치 권한 부여를 auth_attr 데이터베이스에 추가합니다.

    # auths add -S ldap -t "Allocate Local DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDLocal.html \
  com.newco.dev.allocate.cdvd.local
# auths add -S ldap -t "Allocate Remote DVD or CD" \
  -h /docs/helps/NewcoDevAllocateCDVDRemote.html \
  com.newco.dev.allocate.cdvd.remote

  • 다음은 Device Manager(장치 관리자) 지정을 보여줍니다.

    CD-ROM 드라이브의 로컬 할당은 신뢰할 수 있는 경로로 보호됩니다.

    Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.local

    원격 할당은 신뢰할 수 있는 경로로 보호되지 않으므로 원격 사용자는 신뢰할 수 있어야 합니다. 마지막 단계로 관리자는 원격 할당 권한을 두 역할에만 부여합니다.

    Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.remote

  • 다음 명령은 이러한 권한 부여에 대한 Newco 권한 프로파일을 만들고 권한 부여를 프로파일에 추가합니다.

    # profiles -S ldap "Remote Allocator"
profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
profiles:Remote Allocator > end
profiles:Remote Allocator > exit
    # profiles -S ldap "Local Only Allocator"
profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
profiles:Local Only Allocator > end
profiles:Local Only Allocator > exit

  • 다음 명령은 권한이 부여된 사용자에게 권한 프로파일을 지정합니다. root 역할은 프로파일을 지정합니다. 이 사이트에서 역할에만 주변 장치를 원격으로 할당할 수 있는 권한이 부여됩니다.

    # usermod -P "Local Only Allocator" jdoe
# usermod -P "Local Only Allocator" kdoe
    # rolemod -P "Remote Allocator" secadmin
# rolemod -P "Remote Allocator" sysadmin
Copyright © 1992, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음