5장. polkit을 사용하여 스마트 카드에 대한 액세스 제어
Pins, PIN pads 및 biometrics와 같이 스마트 카드에 내장된 메커니즘으로 방지할 수 없는 가능한 위협과 보다 세분화된 제어를 위해 RHEL은 스마트 카드에 대한 액세스 제어를 제어하기 위해 polkit
프레임워크를 사용합니다.
시스템 관리자는 권한이 없는 사용자 또는 로컬이 아닌 사용자 또는 서비스에 대한 스마트 카드 액세스와 같은 특정 시나리오에 맞게 polkit
을 구성할 수 있습니다.
5.1. polkit을 통한 스마트 카드 액세스 제어
개인 컴퓨터/스마트 카드(PC/SC) 프로토콜은 스마트 카드 및 독자를 컴퓨팅 시스템에 통합하기 위한 표준을 지정합니다. RHEL에서 pcsc-lite
패키지는 PC/SC API를 사용하는 스마트 카드에 대한 미들웨어를 제공합니다. 이 패키지의 일부인 pcscd
(PC/SC Smart Card) 데몬을 사용하면 시스템이 PC/SC 프로토콜을 사용하여 스마트 카드에 액세스할 수 있습니다.
Pins, PIN pads 및 biometrics와 같은 스마트 카드에 내장된 액세스 제어 메커니즘은 가능한 모든 위협을 다루지 않기 때문에 RHEL은 보다 강력한 액세스 제어를 위해 polkit
프레임워크를 사용합니다. polkit
권한 부여 관리자는 권한 있는 작업에 대한 액세스 권한을 부여할 수 있습니다. 디스크에 대한 액세스 권한을 부여하는 것 외에도 polkit
을 사용하여 스마트 카드 보안을 위한 정책을 지정할 수 있습니다. 예를 들어 스마트 카드로 작업을 수행할 수 있는 사용자를 정의할 수 있습니다.
pcsc-lite
패키지를 설치하고 pcscd
데몬을 시작한 후 시스템은 /usr/share/polkit-1/actions/
디렉터리에 정의된 정책을 적용합니다. 기본 시스템 전체 정책은 /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy
파일에 있습니다. polkit 정책 파일은 XML 형식을 사용하며 구문은 polkit(8)
도움말 페이지에 설명되어 있습니다.
polkitd
서비스는 /etc/polkit-1/rules.d/
및 /usr/share/polkit-1/rules.d/
디렉토리를 모니터링하여 이러한 디렉토리에 저장된 규칙 파일의 변경 사항을 모니터링합니다. 파일에는 JavaScript 형식의 권한 부여 규칙이 포함되어 있습니다. 시스템 관리자는 두 디렉토리에 모두 사용자 지정 규칙 파일을 추가할 수 있으며 polkitd
는 파일 이름을 기반으로 하여 사전순으로 읽습니다. 두 파일의 이름이 같은 경우 /etc/polkit-1/rules.d/
의 파일이 먼저 표시됩니다.
SSSD(시스템 보안 서비스 데몬)가 root
로 실행되지 않을 때 스마트 카드 지원을 활성화해야 하는 경우 sssd-polkit-rules
패키지를 설치해야 합니다. 패키지는 SSSD와 polkit
통합을 제공합니다.
추가 리소스
-
시스템의
polkit(8)
,polkitd(8)
,pcscd(8)
매뉴얼 페이지