기본 사용자 대체 규칙 설정

sesu 유틸리티를 사용하려면 먼저 데이터베이스에 몇 가지 공통적인 사용자 대체 규칙을 설정하십시오. 이러한 규칙은 알 수 없는 사용자가 권한 있는 사용자 계정으로 대체하지 못하도록 합니다. 하지만 이러한 규칙은 특정 사용자 및 프로세스가 필요한 사용자 대체 작업을 수행할 수 있도록 허용합니다.
capamsc141kr
sesu 유틸리티를 사용하려면 먼저 데이터베이스에 몇 가지 공통적인 사용자 대체 규칙을 설정하십시오. 이러한 규칙은 알 수 없는 사용자가 권한 있는 사용자 계정으로 대체하지 못하도록 합니다. 하지만 이러한 규칙은 특정 사용자 및 프로세스가 필요한 사용자 대체 작업을 수행할 수 있도록 허용합니다.
기본 사용자 대체 규칙을 설정하려면
  1. 다음 특성을 사용하여 root 사용자(USER.root)에 대한 대리 리소스를 만듭니다.
    • 소유자로서
      nobody
    • 기본 액세스
      none
    • 모든 관리자는 모든 권한을 가짐
    이 대리 리소스는 명시적으로 권한 부여되지 않는 한 모든 사용자가 root를 대체하지 못하도록 합니다. 모든 관리자는 root를 대체하도록 명시적으로 권한 부여됩니다.
    참고:
    개별 관리자를 개별적으로 권한 부여하거나 관리자 그룹을 사용하여 모든 관리자를 권한 부여할 수 있습니다.
  2. 다음 특성을 사용하여 root 그룹(GROUP.other)에 대한 대리 리소스를 만듭니다.
    • 소유자로서
      nobody
    • 기본 액세스
      none
    • 모든 관리자는 모든 권한을 가짐
    이 대리 리소스는 명시적으로 권한이 부여된 경우를 제외하고 모든 사용자가 root 그룹을 대체하지 못하게 합니다. 모든 관리자는 root 그룹을 대체할 수 있는 권한이 명시적으로 부여됩니다.
    참고:
    대부분의 UNIX 시스템에서 root 그룹은
    other
    또는
    sys
    입니다.
  3. 다음과 같이 USER._default에 대한 사용자 대체 규칙을 변경합니다.
    • 소유자로서
      nobody
    • 기본 액세스
      none
    • 정의되지 않은 사용자로 대체하도록 root에 권한 부여
    • 정의되지 않은 사용자로 대체하도록 관리자 그룹에 권한 부여
    이렇게 규칙을 변경하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 모든 그룹을 대체하지 못하며, 명시적으로 거부되지 않는 한 root 및 root 그룹에 모든 사용자를 대체할 수 있는 권한이 부여됩니다.
    참고:
    dtlogin과 같은 프로그램이 세션 소유권을 root(uid=0, 기본 X Window 소유자)에서 다른 사용자로 전환하도록 허용하려면 명시적으로 root에 권한을 부여하십시오. 이렇게 하지 않으면
    Privileged Access Manager Server Control
    이 명시적으로 허용되지 않은 모든 사용자 대체 작업을 차단하므로 로그인 시도가 실패합니다.
  4. 다음과 같이 GROUP._default에 대한 그룹 대체 규칙을 변경합니다.
    • 소유자로서
      nobody
    • 기본 액세스
      none
    • 정의되지 않은 그룹을 대체하도록 root에 권한 부여
    • 정의되지 않은 그룹으로 대체하도록 관리자 그룹에 권한 부여
    이렇게 규칙을 변경하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 모든 그룹을 대체하지 못하며, 명시적으로 거부되지 않는 한 root 및 root 그룹에 모든 그룹을 대체할 수 있는 권한이 부여됩니다.
예: selang으로 기본 사용자 대체 규칙 설정
다음 selang 명령을 사용하여 사용자 환경에서 기존 사용자 대체 규칙을 설정합니다.
nr surrogate USER.root defacc(n) own(nobody) auth surrogate USER.root gid(sys_admin_GID) acc(a) nr surrogate GROUP.other defacc(n) own(nobody) auth surrogate GROUP.other gid(sys_admin_GID) acc(a) cr surrogate USER._default defacc(n) own(nobody) cr surrogate GROUP._default defacc(n) own(nobody) auth surrogate USER._default uid(root) acc(a) auth surrogate GROUP._default uid(root) acc(a) auth surrogate USER._default gid(sys_admin_GID) acc(a) auth surrogate GROUP._default gid(sys_admin_GID) acc(a)