|
|
|
작업자, 생산 직원 및 최종 사용자가 슈퍼 사용자만 수행할 수 있는 작업을 수행하는 경우가 있습니다.
기존의 솔루션은 이러한 모든 사용자에게 슈퍼 사용자 암호를 제공하는 것이었지만 이 경우 사이트의 보안이 위협을 받게 됩니다. 암호의 보안을 유지하는 대체 보안 방법을 사용하면 사용자의 일상적인 작업 수행 관련 요청으로 인해 시스템 관리자의 업무량이 늘어납니다.
Surrogate DO(sesudo) 유틸리티로 이 문제를 해결할 수 있습니다. 이 유틸리티로 사용자는 SUDO 클래스에 정의된 동작을 수행할 수 있습니다. SUDO 클래스의 각 레코드에는 스크립트가 포함되고 스크립트를 실행할 수 있는 사용자와 그룹이 지정되며 목적에 따라 필요한 권한이 부여됩니다.
예를 들어, 사용자가 System 역할을 수행하여 "인쇄 스풀러" 서비스를 시작하는 SUDO 리소스를 정의하려면 다음 selang 명령을 입력하십시오.
newres SUDO StartSpooler data("net start spooler")
newres 명령은 StartSpooler를 일부 사용자가 해당 System 권한을 가질 수 있는 보호된 작업으로 정의합니다.
중요! 데이터 속성에서는 전체 절대 경로 이름을 사용하십시오. 상대 경로 이름을 사용하면 보호되지 않은 디렉터리에 있는 트로이 목마 프로그램이 실수로 실행될 수 있습니다.
또한 사용자는 authorize 명령을 사용하여 StartSpooler 작업을 수행할 수 있습니다. 예를 들어, operator1 사용자가 "인쇄 스풀러" 서비스를 시작할 수 있게 하려면 다음 selang 명령을 입력하십시오.
authorize SUDO StartSpooler uid(operator1)
또한 authorize 명령을 사용하여 사용자가 보호된 작업을 수행할 수 없도록 할 수 있습니다. 예를 들어, operator2 사용자가 "인쇄 스풀러" 서비스를 시작하지 못하게 하려면 다음 명령을 입력합니다.
authorize SUDO StartSpooler uid(operator2) access(None)
sesudo 유틸리티를 실행하면 보호된 작업이 수행됩니다. 예를 들어, operator1 사용자는 다음 명령을 사용하여 "인쇄 스풀러" 서비스를 시작합니다.
sesudo -do StartSpooler
sesudo 유틸리티는 처음에는 사용자가 SUDO 작업을 수행할 수 있는 권한이 있는지 여부를 확인한 다음 사용자가 리소스에 대한 권한이 있는 경우 리소스에 정의되어 있는 명령 스크립트를 실행합니다. 위의 예제에서 sesudo는 operator1이 StartSpooler 작업을 수행할 수 있는 권한이 있는지 확인한 후 System 자격 증명으로 "net start spooler" 명령을 호출합니다.
참고: sesudo 유틸리티에 대한 자세한 내용은 참조 안내서를 참조하십시오.
| Copyright © 2012 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |