정책 종속성
목차
cminder140kr
목차
고급 정책 관리를 사용하면 정책이 배포 또는 배포 취소되는 순서를 적용할 수 있습니다.
정책 종속성을 사용하면 하나 이상의 다른 정책에 종속되어 있으며 필수 정책이 모두 배포될 때까지는 배포할 수 없는 정책을 정의할 수 있습니다. 마찬가지로 의존적인 정책이 하나 이상 배포되어 있는 경우에는 필수 구성 요소 정책을 배포 취소할 수 없습니다.
정책을 만들거나 수정할 때 정책 종속성을 정의합니다.
정책 확인
정책 확인이 활성화되면
Privileged Access Manager Server Control
은 정책을 배포하기 전에 정책에 오류가 없는지 검사합니다. Privileged Access Manager Server Control
이 정책 배포 스크립트에서 오류를 발견하면 이 정책 스크립트는 끝점에서 실행되지 않습니다. 이렇게 하면 오류 있는 정책이 배포되지 않고 끝점에서 스크립트 오류를 추적할 수 있게 됩니다. 정책 확인은 기본적으로 비활성화되어 있습니다.정책 확인이 활성화되어 있지 않을 때 오류 있는 정책이 배포되는 경우 다른 명령의 오류에도 불구하고 일부 정책 명령이 여전히 실행될 수 있습니다.
참고:
정책 확인 과정에서는 Privileged Access Manager Server Control
데이터베이스 명령(AC 환경의 selang 명령)만 검사합니다. 정책 확인은 네이티브, 구성, 정책 모델 환경에서 명령을 검사하지 않습니다. 정책에 AC 환경의 명령과 다른 환경의 명령이 모두 포함되어 있으면 정책 확인은 AC 환경의 명령만 검사합니다.참고:
정책 확인 과정에서 배포 취소 스크립트는 검사할 수 없습니다.정책 확인 작동 방법
정책 확인 기능은 끝점에 실제로 정책을 배포하기 전에 오류가 없는지 확인합니다.
참고:
정책 확인은 기본적으로 활성화되어 있지 않습니다.다음 프로세스는 정책 확인의 작동 방법을 설명한 것입니다.
- 사용자가 호스트 또는 호스트 그룹에 정책을 할당합니다.
- 각 끝점에서Privileged Access Manager Server Control엔터프라이즈 관리가 정책을 확인합니다.
- 다음 중한 가지결과가 나타납니다.
- 정책에 오류가 없으면Privileged Access Manager Server Control엔터프라이즈 관리가 정책을 끝점에 배포합니다.끝점은 정책 상태가배포됨인 DMS를 업데이트합니다.
- 정책 스크립트에 오류가 있으면Privileged Access Manager Server Control엔터프라이즈 관리는 정책을 끝점에 배포하지않습니다.끝점은 정책 상태가실행되지 않음인 DMS를 업데이트합니다. DMS는 또한 스크립트 오류가 있는 정책에 해당하는 각 배포 작업의 상태를실패로 업데이트합니다.참고:Privileged Access Manager Server Control엔터프라이즈 관리의 배포 감사 기능을 사용하여 오류가 있는 스크립트를 확인할 수 있습니다.
정책 확인 활성화
정책 확인은 끝점에서 정책이 실제로 배포되기 전에 정책이 오류 없이 배포될 수 있도록 합니다.
참고:
정책 확인을 활성화하려면 policyfetcher 섹션의 policy_verification 구성 설정 값을 1로 설정하십시오.참고:
정책 확인이 활성화됩니다.변수를 정의하는 정책 만들기
변수를 정의하는 정책을 만들어 배포하면 동일한 변수를 여러 끝점에서 정의할 수 있습니다.
변수를 정의하는 정책을 만들려면
- 변수를 정의하는 selang 배포 명령을 사용하여 스크립트 파일을 만듭니다. 다음 selang 명령을 사용하여 각 변수를 정의합니다.editres ACVAR ("variable_name") value("variable_value")(선택 사항) 변수를 사용하는 selang 명령을 스크립트 파일에 추가합니다.참고:정책의 이후 규칙에서 변수를 참조하려면 정책의 각 변수를 정의하십시오. 변수를 참조할 때 "<!variable>" 형식을 사용하십시오.
- 정책을 DMS에 저장합니다.
예: 변수를 정의하는 정책 만들기
이 예에서 다음 정책은 값이 /opt/jboss이고 이름이 jboss_home인 변수를 정의하고, 사용자 Mark가 JBoss를 통해 액세스하는 /opt 디렉터리에 있는 모든 리소스에 액세스하도록 허용하는 규칙을 만듭니다.
editres ACVAR ("jboss_home") value("/opt/jboss") authorize FILE /opt/* uid(Mark) access(all) via(pgm("<!jboss_home>/jboss"))
끝점이 정책을 컴파일할 때 다음과 같은 규칙을 만듭니다.
authorize FILE /opt/* uid(Mark) access(all) via(pgm(/opt/jboss/jboss))
예: 여러 변수 값을 정의하는 정책 만들기
다음 정책은 이름이 jboss_home인 변수를 정의합니다. 이 정책은 값이 C:\JBoss이며, C:\Program Files\JBoss 값을 jboss_home 변수에 추가하고, 액세스 규칙을 만듭니다.
editres ACVAR ("jboss_home") value("C:\JBoss") editres ACVAR ("jboss_home") value+("C:\Program Files\JBoss") editres FILE ("<!jboss_home>\bin") defacc(none) audit(a)
끝점이 정책을 컴파일할 때 다음과 같은 규칙을 만듭니다.
editres FILE ("C:\JBoss\bin") defacc(none) audit(a) editres FILE ("C:\Program Files\JBoss\bin") defacc(none) audit(a)
예: 변수를 사용하여 동일한 정책을 Windows 및 UNIX 끝점에 배포
다음 예는 운영 체제에서 JBoss 설치 위치가 다른 경우에도 변수를 사용하여 동일한 JBoss 정책을 Windows 및 UNIX 끝점에 배포하는 방법을 설명합니다. 이 예는 각 운영 체제에서 JBoss 설치 위치를 정의하는 두 개의 jboss_home 변수를 정의합니다.
- 각 운영 체제의 JBoss 설치 위치를 정의하는 두 개의 jboss_home 변수를 정의합니다.
- Windows에서 JBoss 설치 위치를 정의하는 정책을 만들어 Windows 끝점에 배포합니다.editres ACVAR ("jboss_home") value("C:\JBoss")
- UNIX에서 JBoss 설치 위치를 정의하는 정책을 만들어 UNIX 끝점에 배포합니다.editres ACVAR ("jboss_home") value("/opt/jboss")
- JBoss 설치 위치를 보호하기 위해 jboss_home 변수를 사용하는 정책을 만들어 Windows 및 UNIX 끝점에 배포합니다.editres FILE "<!jboss_home>" defacc(none) audit(all) When a Windows endpoint compiles the policy it creates the following rule:editres FILE "C:\JBoss" defacc(none) audit(all)When a UNIX endpoint compiles the policy it creates the following rule:editres FILE "/opt/jboss" defacc(none) audit(all)editres FILE "<!jboss_home>" defacc(none) audit(all)
- Windows 끝점이 이 정책을 컴파일할 때 다음 규칙을 만듭니다.editres FILE "C:\JBoss" defacc(none) audit(all)
- UNIX 끝점이 이 정책을 컴파일할 때 다음 규칙을 만듭니다.editres FILE "/opt/jboss" defacc(none) audit(all)
정책과 연관된 규칙 보기
DMS에 정책이 저장되면 각 정책 버전에 대한 배포 및 배포 취소 스크립트에서 규칙을 볼 수 있습니다.
정책과 연관된 규칙을 보려면
- Privileged Access Manager Server Control엔터프라이즈 관리에서 "정책 관리", "정책" 하위 탭을 차례로 클릭하고 왼쪽에 있는 작업 메뉴에서 "정책" 트리를 확장합니다.정책 작업이 나타납니다.
- "정책 보기"를 클릭합니다."정책 보기: 정책 검색" 화면이 나타납니다.
- 검색 범위를 정의하고 "검색"을 클릭합니다.정의한 검색 범위와 일치하는 정책 목록이 나타납니다.
- 보려는 정책을 선택한 다음 "선택"을 클릭합니다."정책 보기:policyName" 페이지가 나타납니다. 다양한 탭에서 정책 이름 및 설명, 최신 버전의 배포 및 배포 취소 스크립트, 이 정책에 대해 존재하는 모든 정책 버전 목록, 모든 정책 종속성, 정책 작성 및 업데이트 이벤트에 대한 일반적인 정보를 비롯한 정책 속성을 볼 수 있습니다.
- "버전 기록" 탭을 누릅니다.정책 버전 목록이 나타나고 각 버전에는 배포 및 배포 취소 스크립트 링크가 포함되어 있습니다.
- 다음 중 하나를 수행합니다.
- "배포 스크립트" 링크를 클릭합니다.배포 스크립트가 포함된 팝업 창이 나타납니다.
- "배포 취소 스크립트" 링크를 클릭합니다.배포 취소 스크립트가 포함된 팝업 창이 나타납니다.
참고:
또한 policydeploy 유틸리티를 사용하여 이 작업을 수행할 수도 있습니다. policydeploy 유틸리티에 대한 자세한 내용은 참조 안내서
를 참조하십시오.정책 가져오기
정책을 가져올 때
Privileged Access Manager Server Control
엔터프라이즈 관리는 로컬 Privileged Access Manager Server Control
데이터베이스 또는 PMDB에서 selang 규칙을 내보내 DMS에 이 규칙을 포함하는 정책을 만들어 저장합니다. 이렇게 하면 한 끝점을 보호하는 규칙을 여러 끝점을 보호할 수 있는 정책으로 변환할 수 있으므로 PMDB를 고급 정책 관리로 마이그레이션하는 데 도움이 됩니다.참고:
규칙을 내보내는 끝점 또는 PMDB는 Privileged Access Manager Server Control
r12.0 이상이 설치된 호스트에 있어야 합니다. 이전 Privileged Access Manager Server Control
버전에서 정책을 가져오려면 우선 끝점을 업그레이드하십시오.정책을 가져오려면
- Privileged Access Manager Server Control엔터프라이즈 관리에서 다음을 수행합니다.
- "정책 관리"를 클릭합니다.
- "정책" 하위 탭을 클릭합니다.
- 작업 메뉴에서 왼쪽에 있는 "정책" 트리를 확장합니다.사용 가능한 작업 목록에 "정책 가져오기" 작업이 나타납니다.
- "정책 가져오기"를 클릭합니다."호스트 로그인" 페이지가 나타납니다.
- 사용자 이름, 암호, 규칙을 내보낼 원본 PMDB 또는 호스트의 이름을 입력한 다음 "로그인"을 클릭합니다.참고:master_pmdb@example과 같이PMDBname@host형식으로 PMDB 이름을 지정하십시오."일반" 작업 단계에 "정책 가져오기 프로세스" 마법사가 나타납니다.
- 다음 필드를 완성하고 "다음"을 클릭합니다.
- Name정책 이름을 정의합니다. 이 이름은 DMS 및 엔터프라이즈 환경에서 고유해야 합니다. DMS의 경우 이 사항이 강제 적용되며, 엔터프라이즈 환경의 경우 강제 적용되지는 않지만 동일한 이름의 정책이 이미 있으면 정책을 호스트에 배포할 수 없습니다.
- 설명(선택 사항) 정책의 비즈니스 설명(자유 텍스트)을 정의합니다. 이 필드를 사용하여 이 정책의 목적과 정책을 식별하는 데 도움을 주는 기타 정보를 기록하십시오.
- 정책 클래스내보내 정책에 포함할 규칙이 있는 클래스를 지정합니다. 선택 목록 열에 클래스를 지정하지 않으면 모든 클래스를 내보내 정책에 포함합니다.
- 종속된 클래스 내보내기선택 목록 열에 지정하는 클래스에 종속된 모든 클래스를 내보내도록 지정합니다. 이 옵션을 선택하지 않으면Privileged Access Manager Server Control은 선택 목록 열에 지정하는 클래스만 내보냅니다.
- 내보낸 규칙을 검토하고 필요한 경우 이 규칙을 수정한 후 "다음"을 클릭합니다."요약" 단계가 나타납니다.
- "마침"을 클릭합니다.정책이 만들어집니다.