UNIX용 끝점 관리 안내서 › 파일 및 프로그램 보호 › Native UNIX 보안 동기화

Native UNIX 보안 동기화

CA Access Control 권한은 기본 UNIX 권한보다 더 복잡하지만 사용자가 가진 기본 UNIX 권한을 CA Access Control 권한으로 동기화할 수 있습니다. 즉, 사용 권한을 일치시킬 수 있습니다. 하지만 동기화에는 다음과 같은 몇 가지 한계가 있습니다.

• 동기화를 수행하면 되돌릴 수 없습니다. 일단 동기화가 적용되면 새로 호출된 모든 CA Access Control 인증 명령을 제어할 수 있지만 기존 액세스 규칙에는 적용되지 않습니다.
• CA Access Control에서 사용자가 부여한 사용 권한은 UNIX로 전달되지만 UNIX에서 부여한 사용 권한은 CA Access Control로 전달되지 않습니다.
• UNIX 자체 사용 권한 시스템의 제한 사항 때문에 UNIX에서는 단순한 CA Access Control 권한 형식을 두 개 이상 채택하지 못할 수 없습니다. ACL(액세스 제어 목록) 기능이 있는 UNIX 버전의 경우에도 CA Access Control ACL의 복잡성을 모두 반영하지 못할 수 있습니다.

CA Access Control로 동기화할 수 있는 ACL이 있는 UNIX 플랫폼은 Sun Solaris, HP-UX 및 Tru64입니다.

해당 ACL이 없는 경우에도 기존 UNIX rwx 권한을 가능한 범위까지 CA Access Control 권한으로 동기화할 수 있습니다.

동기화는 authorize 명령의 UNIX 옵션과 seos.ini 파일 SyncUnixFilePerms 토큰의 조합으로 제어됩니다.

• UNIX 옵션을 포함하면 CA Access Control뿐만 아니라 UNIX의 구현에 대해서도 authorize 명령이 호출됩니다. 이 명령은 이전에 사용 권한이 없었던 UNIX 사용 권한도 부여할 수 있습니다.

  UNIX 옵션을 사용하지 않으면 selang 명령이 UNIX 보안에 적용되지 않습니다. 또한 UNIX에서 금지 사항을 유지하면 CA Access Control 권한이 적용되지 않습니다. 따라서 selang에서 UNIX 제한을 해결할 수 있는 유일한 방법은 authorize 명령의 UNIX 옵션을 사용하는 것입니다.

• authorize 명령에서 UNIX 옵션은 SyncUnixFilePerms 토큰이 seos.ini 파일의 [seos] 섹션에 올바르게 설정된 경우에만 작동합니다. 이 토큰에 허용된 값은 다음과 같습니다.
  • no는 액세스 제어 목록(ACL) 허용 권한을 동기화하지 않는다는 의미입니다. 이것이 기본값입니다.
  • warn은 ACL 사용 권한을 동기화하지 않지만 CA Access Control 사용 권한과 기본 UNIX 사용 권한이 충돌하면 경고 메시지를 표시하도록 지정합니다.
  • traditional은 CA Access Control ACL에 따라 그룹의 rwx 권한을 조정하도록 지정하며 개별 사용자의 사용 권한은 UNIX에 복사되지 않습니다.
  • acl은 CA Access Control ACL에 따라 UNIX ACL을 조정하도록 지정합니다.
  • force는 CA Access Control defaccess 사용 권한에 따라 UNIX 전체 액세스 특성을 조정하도록 지정합니다.

  SyncUnixFilePerms 토큰 값의 변경 사항은 seosd 데몬을 다시 시작한 후에만 적용됩니다.

추가 정보:

HP-UX 제한 사항

Sun Solaris 제한 사항