Trusted Extensions에서 보안 관리자 역할을 만드는 방법

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

1. 역할을 만들려면 roleadd 명령을 사용합니다.

   명령에 대한 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오.

   ---

   주 - ARMOR 역할을 사용하려면 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 역할 만들기 절에서 ARMOR 예제를 참조하십시오.

   ---

   다음 정보에 따라 작업을 수행합니다.

   • 역할 이름 – secadmin

   • -c Local Security Officer

     고유의 정보를 제공하지 마십시오.

   • –m home-directory

   • –u role-UID

   • –S repository

   • –K key=value

     Information Security 및 User Security 권한 프로파일을 지정합니다.

     ---

     주 - 모든 관리 역할에 대해 레이블 범위의 관리 레이블을 사용하고, 관리 명령의 사용을 감사하며, lock_after_retries=no를 설정하고, 암호 만료 날짜는 설정하지 않습니다.

     ---

   # roleadd -c "Local Security Officer" -m \
   -u 110 -K profiles="Information Security,User Security" -S files \
   -K lock_after_retries=no -K audit_flags=cusa:no secadmin

2. 역할에 대한 초기 암호를 제공합니다.

   # passwd -r files secadmin
   New Password: xxxxxxxx 
   Re-enter new Password: xxxxxxxx
   passwd: password successfully changed for secadmin
   #

   6자 이상의 영숫자로 구성된 암호를 지정합니다. 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.

3. 다른 역할을 만들 때 보안 관리자 역할을 기준으로 사용합니다.

   사용 가능한 역할은 다음과 같습니다.

   • admin 역할 – System Administrator 권한 프로파일

   • oper 역할 – Operator 권한 프로파일

첫번째 시스템을 로컬 보안 관리자 역할로 구성한 후 관리자는 LDAP 저장소에서 보안 관리자 역할을 만듭니다. 이 시나리오에서 LDAP 클라이언트는 LDAP에서 정의된 보안 관리자 역할로 관리할 수 있습니다.

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=cusa:no secadmin

관리자는 역할에 대한 초기 암호를 제공합니다.

# passwd -r ldap secadmin
New Password: xxxxxxxx 
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for secadmin
#

다음 단계

로컬 역할을 로컬 사용자에게 지정하려면 Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법을 참조하십시오.