|
|
|
작업자, 생산 직원 및 최종 사용자가 슈퍼 사용자만 수행할 수 있는 작업을 수행하는 경우가 있습니다. 다음과 같은 작업이 여기에 포함됩니다.
기존의 솔루션은 이러한 모든 사용자에게 슈퍼 사용자 암호를 제공하는 것이었지만 이 경우 사이트의 보안이 위협을 받게 됩니다. 암호의 보안을 유지하는 보안 방법을 사용하면 사용자의 일상적인 작업 수행 관련요청으로 인해 시스템 관리자의 업무량이 늘어납니다.
Surrogate DO(sesudo) 유틸리티로 이 문제를 해결할 수 있습니다. 이 유틸리티로 사용자는 SUDO 클래스에 정의된 동작을 수행할 수 있습니다. SUDO 클래스의 각 레코드에는 스크립트가 포함되고 스크립트를 실행할 수 있는 사용자와 그룹이 지정되며 목적에 따라 필요한 권한이 부여됩니다.
예를 들어, 사용자가 root인 것처럼 CD‑ROM을 마운트하는 SUDO 리소스를 정의하려면 다음 명령을 입력하십시오.
newres SUDO MountCd data('mount /usr/dev/cdrom /cdr') targuid(root)
newres 명령은 MountCd를 일부 사용자가 해당 root 권한을 가질 수 있는 보호된 작업으로 정의합니다. 이 예제에서는 root가 대상 사용자 ID(사용자의 권한을 빌림)임을 보여주는 targuid(root) 매개 변수를 사용합니다. 실제로 이 예에서는 루트가 SUDO 레코드의 기본 대상이기 때문에 매개 변수가 필요하지 않습니다.
중요! 데이터 속성에서는 전체 절대 경로 이름을 사용하십시오. 상대 경로 이름을 사용하면 보호되지 않은 디렉터리에 있는 트로이 목마 프로그램이 실수로 실행될 수 있습니다.
또한 사용자는 authorize 명령을 사용하여 MountCd 작업을 수행할 수 있습니다. 예를 들어 사용자 operator1이 CD‑ROM을 마운트할 수 있도록 하려면 다음 명령을 입력합니다.
authorize SUDO MountCd uid(operator1)
또한 authorize 명령을 사용하여 사용자가 보호된 작업을 수행할 수 없도록 할 수 있습니다. 예를 들어 사용자 operator2가 CD‑ROM을 마운트할 수 없도록 하려면 다음 명령을 입력합니다.
authorize SUDO MountCd uid(operator2) access(None)
sesudo 유틸리티를 실행하면 보호된 작업이 수행됩니다. 예를 들어, operator1 사용자는 다음 명령을 사용하여 CD‑ROM을 마운트합니다.
sesudo MountCd
sesudo 유틸리티는 처음에는 사용자가 SUDO 작업을 수행할 수 있는 권한이 있는지 여부를 확인한 다음 사용자가 리소스에 대한 권한이 있는 경우 리소스에 정의되어 있는 명령 스크립트를 실행합니다. 이 예제의 경우 sesudo는 operator1이 MountCd 작업을 수행할 수 있는지 확인한 후 mount 명령인 /usr/dev/cdrom /cdr을 호출합니다.
실행하기 전에 사용자 암호를 요청하도록 sesudo를 지정하려면 PASSWORD 매개 변수를 포함하는 명령을 사용하여 SUDO 레코드를 정의하거나 수정하십시오. 이 매개 변수를 사용하지 않는 경우 사용자가 명령을 수행할 수 있는 기능은 SUDO 개체에 대한 액세스 규칙을 기반으로만 지정됩니다.
참고: sesudo 유틸리티와 SUDO 레코드 관리(editres 명령)에 대한 자세한 내용은 참조 안내서를 참조하십시오.
| Copyright © 2013 CA. All rights reserved. |
|