'IPSec'에 해당되는 글 5건

  1. 2009.10.07 VPN with PopTop PPTPD
  2. 2009.05.29 Solaris 10 8/07 릴리스의 새로운 기능
  3. 2009.05.11 Internet Security Association and Key Management Protocol (1)
2009. 10. 7. 19:00

VPN with PopTop PPTPD

  이 문서는 안녕 리눅스에서 PopTop 의 PPTPD 를 이용하여 VPN 을 구축하는 것을 설명한
  다. 이 문서는 안녕 리눅스에서 사용하기 위함이므로,  안녕 리눅스 이외의 배포본에서
  구축을 할 경우, 이 문서에서 생략이 된 부분이 많음을 인식해야 한다. (안녕 리눅스에
  서는 기본으로 지원이 되게 되어있는 부분은 생략하였음을 미리 밝힌다.)

  이 문서외에 OpenVPN 을 이용한 VPN 구성 문서가 바로 출판될 예정이니, 둘의 장단점이
  분명한 만큼 두 문서를 비교해 본 후에, 어떤 방식으로 할지를 선택하는 것을 권장한다.

  PPTP 는 Point to Point Tunneling Protocol 을 의미하며, LAN 환경이 구축되기 이전의
  모뎀 사용시에 사용하던 PPP (Point To Point Protocol) 을 이용을 한다. PPTP 는 마이
  크로 소프트에 의해서 VPN (Virtual Private Network) 을 구현하기 위해 창안된 프로토
  콜이다.

  PPTP 를 사용하기 전에 참고해야 할 사항으로는 다음을 명심해야 한다.

  1. PopTop 의 PPTPD 는 클라이언트에 DHCP 정보를 넘겨 주지 않는다. 그러므로, PPTPD
     에서 지정한 DNS 는 클라이언트에서 사용이 되지 못한다. 즉, 이런 구조가 필요하다
     면 다른 VPN package 를 이용해야 한다.

     대신 windows 의 경우, PPTP 설정의 등록 정보에서 DNS 를 강제 기입할 수 있다.

  2. Password 가 노출이 되기 쉽기 때문에 (관리자가 쉽게 알 수 있다.)  클라이언트 입
     장에서는 최대한 VPN 계정만을 위한 암호를 사용해야 한다. 물론 Windows 의 인증을
     이용하기 위해 radius 나 tacas 를 이용할 경우에는 예외이다. 다만, 이 문서에서는
     radius 나 tacas 까지 사용하는 법을 기술하지는 않는다. 이 부분은 DIY 하도록! 검
     색하면 문서는 수두룩 하다.


  PPTP 는 보통 PPTP VPN 과 L2PT IPSec VPN 2가지로 운영을 할 수 있으나 여기서는 일단
  PPTP VPN 만 다룬다. IPSec 은 키를 만들어서 배포해야 하는 등 좀 귀찮은 이슈가 있다.

  PPTPD 를 운영하기 전에 일단 몇가지 용어를 알아 두는 것이 좋다.  이 용어에 대한 설
  명에 대하여 정확한 설명은 포기하겠다. 영문 문서 읽는 것도 괴롭고.. 그냥 필자가 이
  해한 간단한 설명에 만족을 하도록 한다.

  만약 더 깊이 알고 싶다면 http://www.networkpark.com/60 의 문서를 참고 하기 바란다.
  상당히 잘 정리가 되어 있다.

  PPTP 는 PPP 의 여러 인증 장치를 이용을 하는데, 여기서는 PAP 과 MS-CHAP2 를 이용하
  는 방법에 대해서만 논하도록 한다.
  다음은 PPTPD 가 지원을 하는 프로토콜들이다.

  1. PAP

     암호 인증 프로토콜 ((Password Authentication Protocol) 을 의미한다. PAP 인증파
     일의 암호 부분을 "" (지정하지 않으면) 로 지정하면 System Account 의 password를
     이용하여 인증을 한다. 단, 패킷이 암호화가 되지 않아 Sniffing 에 취약하다.

  2. MS-CAHP2

     아.. 어렵다. 그냥 암호화 모델이라고 생각하자. 위의 링크를 참조하도록 한다.

  위의 두가지 방법을 차이는 암호화를 하느냐 마느냐의 차이 외에도,  시스템 계정을 그
  대로 이용을 할 수 있느냐 없느냐의 차이가 있다.  CHAP 은 시스템 계정을 이용할 수가
  없다.

  또한, 위의 암호화의 의미는 인증단계만 의미하며, PPTP 는 패킷에 특정 헤더를 추가하
  여 패킷을 캡슐화 하는 것이라 이 상태에서는 전송되는 모든 데이터가 암호화가 되었다
  고 할 수 없다. 그래서 MPPE 라는 것을 사용을 한다. MPPE 는 이 전송 데이터들을 암호
  화 해주는 역할을 한다. MPPE 는 PAP 환경에서는 사용을 할 수 없다.

  PPTP 를 이용한 VPN 구성 시에 PAP/MS-CHAP/MPPE 이 3가지 용어가 자주 나오니 잘 기억
  하도록 한다. 또한, PAP 을 이용할 것인지 MS-CHAP2 를 이용할 것인지에 대해서, 현 시
  점에서 결정을 하도록 해야 한다.


  1. 필요 패키지

     일단, 안녕 리눅스로 PPTPd 를 이용하여 VPN 서버를 구축하는 것은 1.3 부터 공식지
     원을 하며, 다음의 패키지들이 필요하다.

     ppp
     pptp
     kernel MPPE module

     PAP 방식으로 구축을 할 경우에는 kernel MPPE module 이 필요하지 않다.

     일단 다음의 명령으로 패키지들을 설치하도록 하자.


 Hanterm - pkgadd -u pptpd
 [oops@main dir]$ pkgadd -u pptpd
   pptpd           : 
     ==> 의존성 패키지 ppp 성공
     ==> pptpd Update 성공
 [oops@main dir]$ 

    ppp가 이미 설치가 되어 있는 경우라면 무조건 삭제를 하고 pkgadd 로 재설치를 하도
    록 하는 것을 권장한다. 2.4.4 의 경우 필자의 미스로 잘못 배포한 부분이 있었으며, 
    2.4.3 의 경우 릴리즈 버전이 "-10" 미만일 경우엔 예외 사항에 대한 버그 패치가 포
    함이 되어 있지를 않기 때문에 pkgadd 명령으로 한번 재설치 해 주는 것을 권장한다.

    MS-CHAP2 를 사용할 경우에는 커널 버전도 확인을 해야 한다.

    현재 안녕 리눅스 1.3 의 기본 커널의 버전은 2.4.34-7 이다. 이 커널에는 MPPE가 포
    함이 되어있지 않다. MS-CHAP2 을 이용하여 전송패킷을 암호화를 하기 위해서는 MPPE
    가 필요하기 때문에 2.4.34-8 이상으로 업데이트를 해야 한다.


 Hanterm - pkgkernel -i
 [oops@main dir]$ pkgkernel -i
   * 커널 데이터베이스 정보

   kernel          => 42:2.4.34-7
   kernel-PIII     => 42:2.4.34-7
   kernel-PIV      => 42:2.4.34-7
   kernel-bigmem   => 42:2.4.34-7
   kernel-BOOT     => 42:2.4.34-7
   kernel-source   => 42:2.4.34-7

   주의  : pkgkernel -i 커널패키지이름 명령을 이용하면
           지원 가능한 커널 버전을 확인할 수 있습니다

   * 현재 설치되어 있는 커널 정보

   kernel          => 41:2.4.34-6
   kernel-PIV      => 43:2.4.34-7 boot

 [oops@main dir]$ 

    pkgernel -i 명령을 실행하면 현재의 커널 상태가 나온다.  상단은 현재 안녕 리눅스
    에서 제공하는 current kernel 의 버전이며,  하단에는 현재 시스템에 설치되어 있는
    커널의 정보가 출력이 된다.

    커런트 커널이 2.4.34-8 이상이고, 현재 설치된 커널이 2.4.34-8 보다 낮을 경우에는
    pkgkernel 명령을 이용하여 업데이트 한 후에, lilo 를 등록하고 리부팅 하도록 한다.

    위와 같이 커런트 커널의 정보가 2.4.34-7 로 나오고 설치되어 있는 커널이 2.4.34-8
    보다 낮으면 다음의 명령으로 업데이트를 하도록 한다.


 Hanterm - pkgkernel kernel-43:2.4.34-8
 [oops@main dir]$ pkgkernel kernel-43:2.4.34-8
   pkgkernel kernel
   kernel          : 성공

 [oops@main dir]$ 

    커널의 경우, CPU type 에 따라 여러가지 패키지를 지원을 하니 꼭 pkgkernel 문서를
    참고하여 자신의 시스템에 알맞은 커널을 설치하기 바란다.


  2. PPTPD 설정

    PPTPD 의 설정 파일은 /etc/pptpd.conf 이다.  PPTPD 의 설정은 다음과 같이 하는 것
    으로 끝이다.


 Hanterm - cat /etc/pptpd.conf
 [oops@main dir]$ cat /etc/pptpd.conf

   option /etc/ppp/options.pptpd
   logwtmp
   localip 192.168.70.1
   remoteip 192.168.70.2-254

 [oops@main dir]$ 

    위와 같이 네줄이면 충분하다. 다만 localip 와 remote ip 는 좀 고민을 해야 한다.

    만약 VPN 서버가 위치한 네트워크가 L3 layer 를 제어할수 있는 환경 이라면 일단 사
    용 하지 않는 별도의 subnet 을 이용하도록 한다. 즉 클라이언트의 PC 에서도 사용하
    지 않고 서버가 있는 네트워크의 subnet 도 피하도록 한다. 대충 위의 IP pool 을 그
    대로 사용해도 무방할 것이다. 다음 L3 switch 에서 지정한 subnet에 대하여 routing
    table 을 추가해 주어야 VPN 내부의 서버들과 통신이 가능하다.

    무슨 말인지 못알아 먹겠는 사람들도 있을 것이다. 필자가 또 이런 분들을 배려를 잘
    하는 것이 자랑중에 하나이다. (필자 역시 하면서 못알아 먹어서 힘들었다.)

    PPTP 를 이용하여 L2 layer 에 끼이면 이런 과정이 필요없다. 일단 가정을 좀 하도록
    하자. 서버 측의 network 이 211.111.111.0/24 의 C Class 를 사용 한다고 가정 한다
    면, 일단 VPN 에서 사용할 즉 다른 시스템이 사용을 하면 되지 않을 IP pool 을 정해
    야 한다. 255 개의 IP 중에서 211.111.111.240 ~ 254 까지 15개의 IP 를 VPN 에 할당
    을 한다고 가정을 한다면 211.111.111.240 의 VPN 서버측의 PPP IP 로 할당을 하고,
    나머지는 클라이언트에 할당 하도록 설정을 한다. (14 개의 클라이언트가 붙을 수 있
    다는 의미가 된다.)


 Hanterm - cat /etc/pptpd.conf
 [oops@main dir]$ cat /etc/pptpd.conf

   option /etc/ppp/options.pptpd
   logwtmp
   localip 211.111.111.240
   remoteip 211.111.111.241-254

 [oops@main dir]$ 

  3. PPP 설정 (PAP 설정)

    PPP 설정은 pptpd.conf 의 option 지시자에 설정한 파일을 사용을 한다. 기본으로는
    /etc/ppp/options.pptpd 를 이용한다. (위에서 이렇게 지정하기도 했다.)

    PPP 설정은 위에서 인증 방식을 결정을 하라고 했듯이 PAP 방식과 MS-CHAPv2 방식이
    틀리기 때문에 MS-CHAPv2 를 선택했다면 5번 섹션으로 SKIP 하기 바란다.

    PAP 방식은 다음과 같이 설정을 하도록 한다.


 Hanterm - cat /etc/ppp/options.pptpd
 [oops@main dir]$ cat /etc/ppp/options.pptp

   name pptpd
   auth
   login
   +pap
   refuse-eap
   refuse-chap
   refuse-mschap

   #ms-dns 172.16.1.1
   #ms-wins 10.0.0.3

   proxyarp
   lock
   nobsdcomp
   novj
   novjccomp
   nologfd

 [oops@main dir]$ 

    ms-dns 와 ms-win 은 클라이언트의 PPP device 에서 사용할 DNS 와 WINS 서버를 지정
    을 하는 옵션이지만 PPTPD 가 DHCP 옵션을 넘겨주지 않기 때문에 지정해 봤자 소용이
    없다. 그러니 그냥 무시하고 넘어가라.

    다음은 PAP 에서 사용할 인증 파일을 설정한다.


 Hanterm - cat /etc/ppp/pap-secrets
 [oops@main dir]$ cat pap-secrets 
   # Secrets for authentication using PAP
   # client        server  secret                  IP addresses
   *               pptpd   ""                      *

 [oops@main dir]$ 

    PAP secrets 파일은 PAP 인증을 할 유저와 암호를 기록하는 파일이다. 암호는 당연히
    PLAIN TEXT (평문) 으로 기입해야 한다. 형식은 한 줄에 한 유저의 정보를 기입을 하
    며, 유저이름/데몬이름/암호/접근IP 와 같이 4개의 섹션을 가진다. 예를 들면,

    oops       pptpd      abcdefg      211.233.222.43

    과 같이 기록을 하였다면,  211.233.222.43 에서만 oops 유저로 abcdefg 라는 암호를
    이용하여 로그인이 가능하다는 의미이다. 모든이라는 의미로 "*" 를 사용할 수 있다.

    만약 시스템 계정의 정보를 이용하려면, 암호 부분을 "" 로 지정을 하면 /etc/passwd
    나 /etc/shadow 에 있는 정보를 PAM 을 이용하여 인증을 하게 된다. 즉,


 Hanterm - cat /etc/ppp/pap-secrets
 [oops@main dir]$ cat pap-secrets 
   # Secrets for authentication using PAP
   # client        server  secret                  IP addresses
   *               *       ""                      *

 [oops@main dir]$ 

    과 같이 pap-secrets 파일에 기록을 한다면, 모든 인증을 PAM 을 통해서 하라는 의미
    가 된다.

    여기 까지 하면 서버측에서의 설정은 다 했다. PAP 을 사용 할 것이고, MS-CHAPv2 에
    대하여 관심이 없다면 5번 섹션으로 넘어 가도록 한다.


  4. PPP 설정 (MS-CHAPv2 설정)

    이 섹션은 MS-CHAPv2 에 대한 부분이다. PAP 을 이용하려한다면 다음 섹션으로 SKIP
    하도록 한다.

    MS-CHAPv2 를 사용할 경우, options.pptp 를 다음과 같이 설정을 한다.


 Hanterm - cat /etc/ppp/options.pptpd
 [oops@main dir]$ cat /etc/ppp/options.pptp

   name pptpd
   refuse-eap
   refuse-pap
   refuse-chap
   refuse-mschap
   require-mschap-v2
   require-mppe-128
   mppe-mtu-increased 46

   #ms-dns 172.16.1.1
   #ms-wins 10.0.0.3

   proxyarp
   lock
   nobsdcomp
   novj
   novjccomp
   nologfd

 [oops@main dir]$ 

    MS-CHAPv2 를 사용할 경우에 한가지 이슈가 있다. MTU 에 문제가 발생을 하여 다음과
    같은 에러가 발생을 하면서 패킷에 DROP 이 되거나, VPN 을 통하여 외부의 웹 페이지
    에 접근을 할 때, black hole router 때문에 해당 페이지가 열리지 않는 문제가 발생
    을 할 수 있다.


 Hanterm
 [oops@main dir]$ 
   mppe_decompress[1]: osize too small! (have: 1400 need: 1404)

 [oops@main dir]$ 

    대부분의 문서에서 이런 경우 MPPE 옵션을 제거하라고 하거나, 또는 Windows 의 레지
    스트리에서 MTU 값을 수정하라고 권고를 하고 있다. Windows 의 레지스트리를 수정하
    라고 권고하는 측에서는 이를 MPPE kernel module 의 버그라고 하지만,  뚜렷하게 어
    디가 잘못이 되었고 어디를 수정해야 하는지에 대한 언급은 없고 막연하게 모듈이 잘
    못하고 있다는 식의 접근만 있을 뿐이다. 그래서 안녕 리눅스에서는

    mppe-mtu-increased

    라는 옵션을 사용할 수 있도록 패치를 하였고, MPPE 에 ppp0 디바이스에 기본으로 설
    정이 되는 MTU 값 1436 (기본은 1400 인데, MPPE 사용시에 붙는 4byte 를 제거하도록
    코드가 되어 있다.) 값을 조정할 수 있도록 하는 옵션이다. 위의 설정은 기본 MTU 에
    서 46 을 더하도록 하는 것이다. (대략 1442 정도에서 안정적으로 작동하는 듯 싶다.)

    다음은 CHAP 에서 사용할 인증 파일을 설정한다.


 Hanterm - cat /etc/ppp/chap-secrets
 [oops@main dir]$ cat chap-secrets 
   # Secrets for authentication using CHAP
   # client        server  secret                  IP addresses
   *               pptpd   password                *

 [oops@main dir]$ 

    CHAP secrets 파일은 PAP 인증을 할 유저와 암호를 기록하는 파일이다.  암호는 당연
    히 PLAIN TEXT (평문) 으로 기입해야 한다. 형식은 한 줄에 한 유저의 정보를 기입을
    하며, 유저이름/데몬이름/암호/접근IP 와 같이 4개의 섹션을 가진다. 예를 들면,

    oops       pptpd      abcdefg      211.233.222.43

    과 같이 기록을 하였다면,  211.233.222.43 에서만 oops 유저로 abcdefg 라는 암호를
    이용하여 로그인이 가능하다는 의미이다. 모든이라는 의미로 "*" 를 사용할 수 있다.

    데몬이름은, options.pptpd 의 name 옵션의 값을 지정하면 된다.  (또는 * 로 지정을
    해도 된다.)

    여기까지만 설명을 한다면,  VPN 클라이언트를 사용할 사람들이 관리자를 믿을 수 있
    느냐의 문제에 닥칠 수도 있다. 즉 신뢰성의 문제가 발생할 수 있는데, 보통 MS-CHAP
    을 사용하는 경우는 대부분 radius 나 tacas 를 통하여 Windows 의 Active Directory
    의 인증을 이용하는 경우가 많다. 즉, 이 모델들을 사용을 하는 경우라면,  관리자도
    알 길이 없다.


  5. 데몬 구동

    데몬을 구동하기 전에 해 줘야 할 일이 하나 있다. ppp device 와 기존의 ethenet 간
    의 패킷 교환을 위하여 커널 파라미터 값을 수정해 줘야 한다.


 Hanterm - sysctl -w "net.ipv4.ip_forward=1"
 [oops@main dir]$ sysctl -w "net.ipv4.ip_forward=1"
 [oops@main dir]$ 

    안녕 리눅스에서는 이 값이 디폴트로 0 으로 설정이 되어 있다. 부팅 시 마다 반영을
    하고 싶다면 /etc/sysctl.conf 에서 이 값을 1로 수정을 해 두면 된다.

    다음 pptpd 를 시작을 한다.


 Hanterm - /etc/init.d/pptpd start
 [oops@main dir]$ /etc/init.d/pptpd start
   Starting pptpd:                                     [  확인  ]
 [oops@main dir]$ 

    여기까지 작업을 했다면 서버측에서의 준비는 모두 끝이 난다.


  6. 방화벽 설정

    안녕 리눅스는 기본으로 oops-firewall 이 구동이 된다.  /etc/oops-firewall/ 에 있
    는 filter.conf 의 TCP_ALLOWPORT 에 1723 을 추가해 준 후에 방화벽을 재구동 한다.

    또, 사내 방화벽이 별도로 존재할 경우, GRE protocol 에 대해서 막혀 있는지 확인을
    해 보는 것이 좋다. 요즘 방화벽들은 TCP뿐 아니라 모든 프로토콜을 제어하는 경우가
    많기 때문에 이 부분을 확인하는 것이 좋다.


  7. 클라이언트 설정

    PPTP client 는 Windows 2000 부터는 기본 내장이 되어 있다.  2000 이전의 Windows
    OS 에서는 따로 설치를 해 주어야 한다.

    여기서는 Windows XP 를 기준으로 하며, 다른 버전에서는 검색을 하면 쉽게 찾을 수
    있으며, 하단의 주의사항만 잘 인지를 하고 있으면 된다.

    1. 먼저 제어판의 "네트워크 연결"을 실행한다.

    2. "네트워크 연결"의 상단 메뉴에서 "파일 > 새 연결"을 선택한후 다음 화면으로
       넘어 간다.

    3. 두번째 화면에서 "회사 네트워크에 연결"을 선택하고 다음으로 넘어간다.

       네트워크 연결 형식
           무엇을 하시겠습니까?
       ---------------------------------------------------------------------------
           [ ] 인터넷에 연결(C)
               blah blah
           [x] 회사 네트워크에 연결(O)
               blah blah
           [ ] 홈 네트워크 또는 소규모 네트워크 설정(S)
               blah blah
           [ ] 고급 연결 설정
               blah blah

    4. "가상 사설망 연결" 을 선택하고 다음으로 넘어간다.

       네트워크 연결
         회사 네트워크에 어떻게 연결하시겠습니까?
       ---------------------------------------------------------------------------
           다음 연결 만들기

           [ ] 전화 접속 연결(D)
               blah blah
           [x] 가상 사설망 연결(V)
               blah blah

    5. 접속 이름을 지정한다. 지정한 이름으로 ICON 이 생성이 된다. 다음으로 넘어간다.

       연결 이름
         회사 연결에 대한 이름을 지정하십시오.
       ---------------------------------------------------------------------------
           다음 상자에 이 연결에 대한 이름을 입력하십시오.

           회사 이름(A)

           [ My VPN                                                     ]

           예를 들어, 회사 이름이나 연결하려는 서버 이름을 입력할 수 있습니다.


    6. 인터넷에 기본으로 연결이 되어 있다면 "초기 연결을 사용 안 함" 을 선택한다.

       공용 네트워크
         Windows에서 먼저 공용 네트워크가 연결되어 있는지 확인할 수 있습니다.
       ---------------------------------------------------------------------------
           가상 연결을 만들기 전에, 인터넷 또는 다른 공용 네트워크에 먼저 연결하도
           록 초기 연결을 설정할 수 있습니다.

           [x] 초기 연결을 사용 안함(D)
           [ ] 자동으로 다음 초기 연결 사용(A)
               [ blah blah                                                ]

    7. VPN 서버의 주소를 넣어 준다.

       VPN 서버 선택
         VPN 서버의 이름 또는 주소가 무엇입니까?
       ---------------------------------------------------------------------------
           연결하려는 컴퓨터의 호스트 이름이나 인터넷 프로토콜(IP) 주소를 입력하십
           시오.

           호스트 이름 또는 IP 주소(예, micro$oft.com 또는 157.54.0.1)(H)
           [ myvpn.domain.com                                                ]


    8. 여기까지 하면 기본적인 접속 설정이 끝났다.

    기본 설정이 끝났으면 인증에 관련된 설정을 해 주어야 한다. 생성된 ICON을 더블 클
    릭 하면 접속 인증 창이 뜨게 된다. 여기에서 하단 버튼 중 "속성"을 선택한다.

    속성의 보안 tab 을 클릭한 후에 인증 방식에 따라 설정을 해 주어야 한다.  다음 섹
    션에서 각 경우에 따라 계속 설명하겠다.


  8. PAP 클라이언트 설정

    보안탭에서 "고급 설정(사용자 지정)"을 선택하고, 우측의 "설정(S)"을 클릭한다.

      보안 옵션
        [ ] 일반 설정(권장)(T)

          다음으로 내 신분을 확인(V):
             [ ######################################################### ]
          [#] 자동으로 Windows 로그온 이름 및 암호(도메인이 있으면 도메인도) 사용(U)
          [#] 데이터 암호화 필요 (없으면 연결 끊기)

        [x] 고급 설정(사용자 지정)(D)
          이 설정을 사용하려면 보안 프로토콜에 대한 지식이
          필요 합니다.                                         [  설정  ]

    다음 "부호화되지 않은 암호(PAP)"를 선택한 후에 "확인"을 누른다.

      데이터 암호화(D)
      [ 선택적 암호화 사용(암호화 없이도 연결)               ]

        로그온 보안
          [ ] 확장 할 수 있는 인증 프로토콜(EAP) 사용(E)
                              [                                            ]

          [x] 다음 프로토콜을 허용(P)
              [x] 부호화 되지 않은 암호(PAP)(U)
              [ ] Shiva 암호 인증 프로토콜(SPAP)(S)
              [x] Challenge Handshake 인증 프로토콜(CHAP)(C)
              [x] Microsoft CHAP(MS-CHAP)(M)
                 blah blah
              [x] Microsoft CHAP 버전 2(MS-CHAP v2)(I)
              -------------------------------------------------------------------
              [ ] MS-CHAP 기반 프로토콜에 대해 내 Windows 로그온 이름 및 암호
                  (도메인이 있으면 도메인도)를 자동으로 사용(F)


    데이터가 암호화 되지 않는다는 경고가 뜨겠지만 우리는 당연히 암호화되지 않는것을
    알고 있으니 대충 넘어간다.

                                네트워크  연결
       --------------------------------------------------------------------------
       선택한 프로토콜은 PAP,SPAP 및/또는 CHAP를 포함합니다. 이 중 한 개로 협상
       하면 데이터가 암호화되지 않습니다. 이 설정을 유지하겠습니까?


    설정 창을 종료 시키고, 유저와 암호를 넣어 접속을 하면 된다.

    pap-secrets 를 어떻게 설정 했느냐에 따라 유저/암호는 달라질 것이니, 위의 PAP 설
    정 부분을 다시 잘 읽어 보기를 바란다.


  9. MS-CHAPv2 클라이언트 설정

    보안탭에서 "일반 설정(권장)(T)"을 선택한다. require-mppe-128 를 설정한 경우에는
    일반 설정에 서브 옵션에서

     [x] 일반 설정(권장)(T)

       다음으로 내 신분을 확인(V):
          [보안 처리된 암호 필요                                             ]
       [ ] 자동으로 Windows 로그온 이름 및 암호(도메인이 있으면 도메인도) 사용(U)
       [x] 데이터 암호화 필요 (없으면 연결 끊기)


    로 설정을 한다. require-mppe-128 을 설정하지 않은 경우에는 가장 밑의 "데이터 암
    호화 필요"를 선택하지 않는다.


  10. Gateway 설정

    네트워킹 탭에서 "인터넷 프로토콜(TCP/IP)" 의 속성을 선택하고 하단의 고급을 선택
    한다.

    기존 윈도우의 gateway 를 유지하면서 VPN 망에 접속을 하고 싶다면, 

      [ ] 원격 네트워크에 기본 게이트웨이 사용(U)

    의 체크를 지우면 된다. 체크가 되면 모든 연결이 VPN을 통해서 외부로 나가게 된다.
    물론 서버의 설정에 따라 외부로 못나갈 수도 있다. (능력에 달렸다 ^^)


  여기까지 VPN For PopTop PPTPD 문서를 마친다. 클라이언트 설정에 이미지를 추가할 수
  있었다면 좀 더 깔끔했겠지만.. 귀찮음을 이해하기 바란다.
 
출처 : http://annyung.oops.org

Trackback 0 Comment 0
2009. 5. 29. 23:44

Solaris 10 8/07 릴리스의 새로운 기능

시스템 관리 기능 향상

Solaris 10 8/07 릴리스에는 다음과 같은 시스템 관리 기능과 향상된 기능이 추가되었습니다.

이름 서비스 스위치 향상된 기능

nss(name service switch) 및 nscd(Name Switch Cache Daemon)(1M)가 더욱 향상되어 새로운 기능을 제공합니다. 향상된 기능은 다음과 같습니다.

  • nscd(1M) 캐싱 및 업데이트된 프레임워크 내 연결 관리 기능 향상.

  • 이름 지정 서비스 시 사용자별로 액세스 제어되는 이름 서비스 조회. 업데이트된 스위치 프레임워크는 Microsoft Active Directory에서 사용된 인증 모델과 호환되는 방식으로 SASL/GSS/ Kerberos를 사용하여 이러한 유형의 조회에 대한 지원을 추가합 니다.

  • 향후 putXbyY 인터페이스를 추가할 수 있는 프레임워크.

각 사용자별 조회에 대한 자세한 내용은 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오.

iostat 개선 사항

iostat 명령의 -Y 옵션은 Solaris I/O 다중 경로 지정을 사용하는 시스템에 새로운 성능 정보를 제공합니다.

자세한 내용은 iostat(1M) 매뉴얼 페이지를 참조하십시오.

Solaris 시스템 등록

이번 릴리스부터 다음 방법 중 하나를 통해 Solaris OS를 등록할 수 있습니다.

  • Basic Registration 1.1 - Sun Connection에서 호스팅하는 배치 아키텍처 또는 Update Manager를 사용하려는 경우 이 방법을 사용합니다.

  • Solaris Registration - 이미 등록한 시스템의 인벤토리를 유지하기 위해 Sun Connection을 사용하려는 경우 이 방법을 사용합니다.

Basic Registration 1.1은 Solaris 10 6/06 릴리스에서 처음 소개된 시스템 관리 기능입니다. Basic Registration을 사용하면 등록 프로필과 ID를 만들어 Update Manager용 Solaris 10 소프트웨어 등록을 자동화할 수 있습니다. Update Manager는 Sun Connection에서 사용되는 단일 시스템 업데이트 클라이언트입니다. Sun Connection은 이전에 Sun Update Connection System Edition이었습니다. 시스템을 재부트할 때 Basic Registration 마법사가 나타납니다. Basic Registration 1.1 기능에 대한 자세한 내용은 Basic Registration 1.1을 참조하십시오. Sun Connection의 제품 포트폴리오 및 마법사 등록 방법에 대한 자세한 내용은 Sun Connection Information Hub(http://www.sun.com/bigadmin/hubs/connection/)를 참조하십시오.

Solaris Registration을 사용하면 Sun Online Account 사용자 이름과 암호를 제공하여 한 개 이상의 Solaris 소프트웨어 인스턴스를 동시에 등록할 수 있습니다. 등록하려면 https://sunconnection.sun.com으로 이동합니다.

Sun Service Tag

Sun Service Tag는 Sun 시스템, 소프트웨어, 서비스 등을 자동으로 검색하여 빠르고 쉽게 등록할 수 있도록 설계된 제품 식별자입니다. 서비스 태그는 태그 지정된 각 자산을 고유하게 식별하며, 서비스 태그가 있으면 자산 정보를 표준 XML 형식으로 로컬 네트워크상에서 공유할 수 있습니다.

서비스 태그는 SMF(Service Management Facility) 및 SMF generic_open.xml 프로필의 일부로 활성화됩니다. SMF generic_limited_net.xml 프로필을 선택하면 서비스 태그가 비활성화됩니다.

SMF에 대한 자세한 내용은 System Administration Guide: Basic Administration을 참조하십시오. 서비스 태그, 수집한 정보 유형 및 자동 등록에 대한 자세한 내용은 BigAdmin의 Sun Connection(http://www.sun.com/bigadmin/hubs/connection/tasks/register.jsp)을 참조하십시오.

MPxIO 경로 지정

MPxIO 경로 지정 기능에는 SCSI 명령이 LU에 지정된 경로를 거쳐 전달되도록 MPxIO LU에 명령을 내리는 메커니즘이 포함됩니다. 이 기능을 제공하기 위해 새 IOCTL 명령인 MP_SEND_SCSI_CMD가 추가되어 기존 scsi_vhci IOCTL 인터페이스를 통해 참조됩니다. 이러한 새 IOCTL 명령에 대한 액세스를 제공하는 다중 경로 관리 라이브러리(MP-API)에 확장자를 도입함으로써 네트워크 관리자가 특정 경로로 진단 명령을 실행할 수 있습니다.

raidctl

raidctl은 여러 RAID 제어기를 사용하여 RAID 구성 작업을 수행할 수 있는 유틸리티입니다. raidctl 기능은 제어기, 볼륨 및 물리적 디스크 등 RAID 구성 요소에 대한 자세한 정보를 포함합니다. raidctl 유틸리티를 사용하면 RAID 시스템을 보다 자세히 추적할 수 있으므로 다양한 RAID 제어기에 대한 전문 지식이 없어도 됩니다.

자세한 내용은 다음을 참조하십시오.

zoneadm 명령에 대한 브랜드 전용 처리기

zoneadm(1M) 명령이 BrandZ(Branded Zone)에서 특정 zoneadm 작동의 유효성 검사를 수행하는 외부 프로그램을 호출하도록 수정되었습니다. 이 검사는 지정된 zoneadm 하위 명령이 실행되기 전에 수행됩니다. 단, 해당 브랜드 구성 파일인 /usr/lib/brand/<brand_name>/config.xml을 사용하여 zoneadm(1M)에 대한 외부 브랜드 전용 처리 프로그램을 지정해야 합니다. 외부 프로그램은 브랜드 구성 파일에서 <verify_adm> 태그를 사용하여 지정합니다.

새 BrandZ 유형을 사용하고 zoneadm(1M) 하위 명령에 대한 브랜드 전용 처리기를 나열하려면 config.xml 파일에 다음 행을 추가합니다.


<verify_adm><absolute path to external program> %z %* %*</verify_adm>

이 행에서 %z는 영역 이름이고 첫 번째 %*zoneadm 하위 명령이며 두 번째 %*는 하위 명령의 인수입니다.

이 기능은 지정된 BrandZ에서 일부 zoneadm 작동이 지원되지 않을 경우 유용합니다. 브랜드 전용 처리기는 지원되지 않는 zoneadm 명령을 정상적으로 실패 처리하는 수단을 제공합니다.

지정한 처리 프로그램이 모든 zoneadm (1M) 하위 명령을 인식하는지 확인하십시오.

x86: 차세대 AMD Opteron 프로세서를 위한 오류 관리

오류 관리 기능은 AMD (TM) Opteron 및 Athlon 64 Rev F 프로세서를 사용하는 시스템의 CPU 및 메모리를 위한 오류 처리 및 오류 관리 지원을 제공합니다. 이러한 프로세서는 Sun Fire X2200 M2 및 Ultra 20 M2와 같은 Sun의 “M2” 제품에 사용됩니다. Solaris 10 8/07 이전 릴리스에서는 Opteron 및 Athlon 64 revisions B ~ E 프로세서에 대한 오류 관리가 지원되었습니다.

오류 관리 지원은 기본적으로 활성화됩니다. 오류 관리 서비스는 수정 가능한 CPU 및 메모리 오류를 검색하면, 진단 엔진을 통해 해당 원격 데이터가 분석되고, 가능한 경우마다 오류 및 장애가 수정됩니다. 시스템에서 오류를 수정할 수 없는 경우 확장 원격 데이터는 시스템 관리자에게 많은 도움이 됩니다.

자세한 내용은 http://www.opensolaris.org/os/community/fm/을 참조하십시오.

x86: x64 시스템에서 PCI Express에 대한 예측적 자가 치유

이 릴리스부터 Solaris OS에는 시스템에서 감지한 하드웨어 오류를 자동으로 캡처하고 진단하기 위한 예측적 자가 치유 기능 집합이 포함됩니다.

Solaris Fault Manager는 x64 하드웨어의 오류를 자동으로 진단합니다. 진단 메시지는 fmd 데몬에 의해 보고됩니다.

Solaris의 오류 관리에 대한 자세한 내용은 다음을 참조하십시오.

x86: stmsboot 포팅

이 릴리스부터 stmsboot 유틸리티가 x86 시스템에 포팅됩니다. stmsboot는 광채널 장치용 MPxIO를 활성화 또는 비활성화하는 유틸리티입니다. 이 stmsboot 유틸리티는 이미 SPARC 시스템에 존재합니다.

이 유틸리티를 사용하면 MPxIO를 자동으로 활성화하거나 비활성화할 수 있습니다. 이전에는 수동으로 MPxIO를 활성화 또는 비활성화해야 했고 특히 SAN 시스템 부트의 경우 어려움이 따랐습니다.

자세한 내용은 다음을 참조하십시오.

  • stmsboot(1M) 매뉴얼 페이지

  • http://docs.sun.comSolaris Fibre Channel Storage Configuration and Multipathing Support Guide에서 Enabling or Disabling Multipathing on x86 Based Systems 단원

x86: SATA 모듈에서 FPDMA READ/WRITE QUEUED 동시 수행

이 릴리스부터 동시 FPDMA READ/WRITE QUEUED 명령이 지원됩니다. 특정 작업 부하 조건에서 Solaris marvell88sx 드라이버를 사용하여 I/O 작업을 수행할 경우 성능이 상당히 향상됩니다. 작업 부하 조건이 다를 경우에는 성능 향상의 혜택이 적습니다. 또한 SATA 사양의 이 옵션을 지원하는 드라이브의 경우 여러 작업 부하 환경에서 성능이 상당히 향상됩니다.

x86: 태그 지정된 큐 작업

태그 지정 큐 작업은 SATA 디스크가 헤드 움직임과 성능을 최적화할 수 있게 합니다.

설치 기능 강화

Solaris 10 8/07 릴리스에는 다음과 같은 설치 기능과 향상된 기능이 추가되었습니다.

설치 도중 NFSv4 도메인 이름 구성 가능

Solaris OS 설치 도중 NFS 버전 4 도메인을 정의할 수 있습니다. Solaris 10 8/07 이전 릴리스에서는 설치 후 처음으로 시스템을 재부트할 때 NFS 도메인 이름이 정의되었습니다.

NFSv4 도메인 이름 기능은 OS 설치에 다음과 같이 영향을 줍니다.

  • sysidtool 명령은 향상된 sysidnfs4 프로그램을 포함합니다. sysidnfs4 프로그램은 이제 설치 과정 도중에 실행되어 NFSv4 도메인이 네트워크에 대해 구성되었는지 여부를 확인합니다.

    대화식 설치 도중 OS에서 자동으로 가져온 기본 NFSv4 도메인 이름이 사용자에게 제공되며, 사용자는 이 기본 이름을 허용할 수 있습니다. 또는 사용자가 다른 NFSv4 도메인을 지정할 수도 있습니다.

    자세한 내용은 sysidtool(1M)sysidnfs4(1M) 매뉴얼 페이지를 참조하십시오.

  • Solaris JumpStartTM 설치 시에는 sysidcfg 파일에 새 키워드가 제공됩니다. 사용자는 새 키워드인 nfs4_domain을 사용하여 NFSv4 도메인에 대한 값을 할당할 수 있습니다.

    이러한 새 키워드에 대한 자세한 내용은 sysidcfg(4) 매뉴얼 페이지를 참조하십시오. 이 매뉴얼 페이지에는 새로운 nfs4_domain 키워드의 사용 방법 예도 제공됩니다.

    NFSv4 도메인 이름 구성에 대한 자세한 내용은 System Administration Guide: Network Services를 참조하십시오.

Solaris Live Upgrade

이 릴리스부터 Solaris Live Upgrade는 다음과 같은 향상된 기능을 갖추었습니다.

  • Solaris Live Upgrade를 사용하여 시스템에 비전역 영역을 설치하면 Solaris OS를 업그레이드할 수 있습니다.

  • 다른 Solaris Live Upgrade 패키지인 SUNWlurSUNWluu와 함께 새 패키지인 SUNWlucfg를 설치해야 합니다.

    이 세 가지 패키지는 Solaris Live Upgrade를 사용하여 업그레이드하는 데 필요한 소프트웨어를 구성합니다. 이들 패키지는 기존 소프트웨어, 새 기능, 버그 수정 등을 포함합니다. Solaris Live Upgrade를 사용하기 전에 이러한 패키지를 시스템에 설치하지 않으면 대상 릴리스로 업그레이드할 수 없습니다.

비전역 영역이 시스템에 설치된 경우 업그레이드에 대한 자세한 내용은 Solaris 10 설치 설명서: Solaris Live Upgrade 및 업그레이드 계획을 참조하십시오.

비전역 영역이 설치된 경우 Solaris OS 업그레이드

Solaris 10 8/07 릴리스부터 비전역 영역이 설치된 경우 Solaris 10 8/07 이전 릴리스에서 발견된 대부분의 제약이 없이 Solaris OS를 업그레이드할 수 있습니다.


주 –

Solaris Flash 아카이브에 대해서만 유일하게 업그레이드 제한 사항이 있습니다. Solaris Flash 아카이브를 사용하여 설치하는 경우 비전역 영역이 포함된 아카이브가 시스템에 제대로 설치되지 않습니다.


비전역 영역이 설치된 시스템에 다음과 같은 변경 사항이 적용됩니다.

  • Solaris 대화식 설치 프로그램의 경우 CD 및 DVD를 사용하여 비전역 영역이 설치된 시스템을 업그레이드하거나 패치할 수 있습니다. 또는 CD나 DVD용으로 네트워크 설치 이미지를 사용할 수도 있습니다. 이전에는 DVD만을 사용하여 업그레이드할 수 있었습니다. 업그레이드 또는 패치에 소요되는 시간은 설치된 비전역 영역의 수에 따라 크게 늘어날 수 있습니다.

  • 자동 JumpStart 설치의 경우, 업그레이드 또는 패치에 적용되는 모든 키워드를 사용하여 업그레이드하거나 패치할 수 있습니다. Solaris 10 8/07 이전 릴리스에서는 제한적인 개수의 키워드만 사용할 수 있었습니다. 업그레이드 또는 패치에 소요되는 시간은 설치된 비전역 영역의 수에 따라 크게 늘어날 수 있습니다.

  • Solaris Live Upgrade를 사용하여 비전역 영역이 포함된 시스템을 업그레이드하거나 패치할 수 있습니다. 비전역 영역이 포함된 시스템을 사용하는 경우 업그레이드 또는 패치 추가 프로그램으로 Solaris Live Upgrade를 사용하는 것이 좋습니다. 다른 업그레이드 프로그램은 업그레이드를 완료하는 데 필요한 시간이 설치된 비전역 영역의 수에 따라 연속적으로 증가하므로 업그레이드에 상당한 시간이 걸릴 수 있습니다. Solaris Live Upgrade를 사용하여 시스템을 패치하면 단일 사용자 모드로 전환할 필요가 없으므로 시스템 가동 시간을 최대화할 수 있습니다.

    비전역 영역이 설치된 시스템에 다음과 같은 변경 사항이 적용됩니다.

    • 새 패키지인 SUNWlucfg는 다른 Solaris Live Upgrade 패키지인 SUNWlurSUNWluu와 함께 설치해야 합니다. 이 패키지는 비전역 영역이 설치된 시스템뿐만 아니라 모든 시스템에 필요합니다.

      Solaris Live Upgrade를 사용하여 업그레이드하기 위해 필요한 소프트웨어는 이 세 가지 패키지로 구성되어 있으며 이들 패키지는 기존 소프트웨어, 새 기능, 버그 수정 등을 포함합니다. Solaris Live Upgrade를 사용하기 전에 이러한 패키지를 시스템에 설치하지 않으면 대상 릴리스로 업그레이드할 수 없습니다.

    • 현재 실행 중인 부트 환경에서 새 부트 환경을 생성하는 기능은 한 가지 예외 이외에는 별다른 변화가 없습니다. 비전역 영역의 공유 파일 시스템에 대한 대상 디스크 슬라이스를 지정할 수 있습니다.

      -m 옵션의 인수에 새 옵션 필드인 zonename이 제공됩니다. 이 zonename 필드를 사용하여 새로운 부트 환경을 생성하고 별도의 파일 시스템을 포함하는 영역을 지정할 수 있습니다. 이 인수는 새 부트 환경의 별도의 슬라이스에 비전역 영역의 별도 파일 시스템을 배치합니다.

    • lumount 명령을 사용하면 비전역 영역에서 비활성 부트 환경에 있는 해당 파일 시스템에 액세스할 수 있습니다. 전역 영역 관리자가 lumount 명령을 사용하여 비활성 부트 환경을 마운트하는 경우 이 부트 환경은 비전역 영역에 대해서도 마운트됩니다.

    • lufslist 명령으로 파일 시스템을 나열하는 기능이 전역 영역 및 비전역 영역 모두에 대한 파일 시스템 목록을 표시하도록 개선되었습니다.

Trusted Extensions로 구성된 Solaris 시스템은 레이블 있는 영역을 업그레이드하는 데 추가 단계가 필요합니다. 이러한 절차에 대한 자세한 내용은 Solaris 10 8/07 릴리스 노트Installation Enhancements 아래에서 Upgrading a Trusted Extensions System That is Configured with Labeled Zones를 참조하십시오.

키보드 구성 자동화

이 릴리스부터는 sysidkdb 도구가 USB 언어 및 해당 키보드 레이아웃을 구성합니다.

sysidkdb 도구를 사용하면 다음과 같은 절차가 수행됩니다.

  • 키보드가 자동으로 식별되는 경우 설치하는 동안 키보드 언어 및 레이아웃이 자동으로 구성됩니다.

  • 키보드가 자동으로 식별되지 않는 경우에는 설치 중 sysidkdb 도구에서 키보드 레이아웃 지원 목록을 제공하며 이 목록을 통해 키보드 구성 레이아웃을 선택할 수 있습니다.

이전에는 설치 시 USB 키보드에서 자동 식별 값을 1로 가정했습니다. 따라서 자동으로 식별되지 않는 모든 키보드는 SPARC에 설치할 때 항상 영어(미국) 키보드로 구성되었습니다.


주 –

PS/2 키보드는 자동으로 식별되지 않으므로 설치하는 동안 키보드 레이아웃을 선택해야 합니다.


JumpStart 사양: 자동으로 식별되지 않는 키보드를 사용할 경우 JumpStart를 설치하는 동안 키보드 언어 선택 메시지를 표시하지 않으려면 sysidkdb 파일에서 키보드 언어를 선택합니다. JumpStart 설치의 경우 기본값은 영어(미국) 키보드 레이아웃입니다. 다른 언어 및 키보드 레이아웃을 선택하려면 sysidkdb 파일에서 키보드 키워드를 설정합니다.

자세한 내용은 Solaris 10 설치 설명서: 네트워크 기반 설치를 참조하십시오.

지연 활성화 패치

119254-42 및 119255-42 패치부터, 패치 설치 유틸리티인 patchaddpatchrm이 수정되어 특정 패치 제공 기능이 처리되는 방식이 변경되었습니다. 이 수정 사항은 모든 Solaris 10 릴리스에 해당 패치를 설치할 때 적용됩니다. 이러한 “지연 활성화” 패치는 기능 패치가 제공하는 광범위한 변경 사항을 보다 잘 처리합니다.

일부 패치만이 지연 활성화 패치로 지정됩니다. 일반적으로 지연 활성화 패치는 Solaris 10 3/05 이후 Solaris 10 릴리스(예: Solaris 10 8/07 릴리스)와 연관된 커널 패치입니다. pkginfo 파일에 SUNW_PATCH_SAFEMODE 변수가 설정되어 있는 경우 패치가 지연 활성화 패치로 지정됩니다. 지연 활성화 패치로 지정되지 않은 패치는 이전과 마찬가지로 계속 설치됩니다. 예를 들면, 커널 패치 118833-36 (SPARC) 및 118855-36 (x86) 등과 같이 이전에 릴리스된 패치는 설치 시 지연 활성화 패치 유틸리티를 사용하지 않습니다.

이전에는 이러한 커널 패치에 복잡한 패치 스크립트가 필요했습니다. 이 스크립트는 패치가 제공하는 개체와 실행 중인 시스템(활성 파티션) 사이의 비일관성으로 인해 활성 파티션에서의 패치 설치 프로세스 도중 발생할 수 있는 문제를 방지하기 위해 필요했습니다. 이제 지연 활성화 패치는 실행 중인 시스템의 안정성을 보장하기 위해 루프백 파일 시스템(lofs)을 사용합니다. 실행 중인 시스템에 패치가 적용되면 lofs는 패치 프로세스 중 안정성을 유지합니다. 이러한 대용량 커널 패치는 적용하기 위해 재부트가 필요했었지만, 이제는 재부트를 수행하면 lofs에 의해 변경된 사항이 활성화됩니다. 패치 README는 재부트가 필요한 패치가 어느 것인지에 대한 정보를 제공합니다.

비전역 영역을 실행하거나 lofs를 비활성화했을 경우 지연 활성화 패치를 설치하거나 제거할 때 다음 사항을 고려하십시오.

  • 이 패치 작업을 수행하려면 모든 비전역 영역이 중지 상태여야 합니다. 패치를 적용하려면 먼저 비전역 영역을 중지해야 합니다.

  • 지연 활성화 패치가 안전하게 완료되려면 루프백 파일 시스템(lofs)이 있어야 합니다. Sun Cluster 3.1 또는 Sun Cluster 3.2가 실행 중인 시스템에는 대체로 lofs가 사용되지 않으며, 이는 lofs가 활성화될 때 HA-NFS 기능이 제한되기 때문입니다. 그러므로 지연 활성화 패치를 설치하기 전에 다음 단계를 실행하여 루프백 파일 시스템을 다시 활성화해야 합니다.

    1. /etc/system 파일에 있는 다음 행을 제거하거나 주석으로 표시합니다.


      exclude:lofs.
    2. 시스템을 다시 부트합니다.

    3. 패치를 설치합니다.

    4. 패치 설치 작업을 완료한 후 /etc/system 파일에서 해당 행을 복원하거나 주석 표시를 삭제합니다.

    5. 정상적인 작업을 재개하도록 시스템을 다시 부트합니다.


주 –

패치 작업은 Solaris Live Upgrade를 사용하여 관리하는 것이 좋습니다. Solaris Live Upgrade는 실행 중인 시스템에 패치를 적용할 때 발생하는 문제를 방지합니다. Solaris Live Upgrade는 문제 발생 시 폴백 기능을 제공함으로써 패치 작업과 연관된 중단 시간을 단축하고 위험을 최소화합니다. Solaris 10 설치 설명서: Solaris Live Upgrade 및 업그레이드 계획을 참조하십시오.


네트워킹 향상

Solaris 10 8/07 릴리스에 다음 네트워킹 기능 및 향상이 추가되었습니다.

IPsec 터널 개선

Solaris에서는 RFC 2401에 따라 IPsec 터널 모드를 구현합니다. ipsecconf(1M)의 새로운 키워드 "tunnel"을 사용하여 각 터널 인터페이스마다 내부 패킷 선택기를 지정할 수 있습니다. IKEPF_KEY는 2단계/빠른 모드에 대한 터널 모드 ID를 처리합니다. 다른 IPsec 구현과 상호 운용성이 크게 향상되었습니다.

자세한 내용은 System Administration Guide: IP ServicesTransport and Tunnel Modes in IPsec을 참조하십시오.

패킷 필터 후크

패킷 필터 후크의 기능에는 다음과 같은 중요한 기능들이 포함되어 있습니다.

  • STREAMS 모듈 접근 방식과 비교하여 향상된 성능

  • 영역 간 패킷 가로채기 기능

패킷 필터 후크 기능은 커널 내부의 새 API의 일부입니다. 개발자는 API를 사용하여 커널 내부에서 IP 작업을 하거나 패킷을 가로챌 수 있습니다.

SMF의 라우팅 관리 개선

이 릴리스부터는 routeadm(1M)이 SMF 기반 라우팅 데몬 서비스를 관리할 수 있도록 개선되었습니다. 또한 다음 명령에 대한 서비스 변환이 제공됩니다.

결과적으로 svcadmsvccfg와 같은 표준 SMF 명령을 통해 이러한 서비스를 관리할 수 있으며 SMF에서 제공하는 재시작 기능을 사용할 수 있습니다.

Quagga Software Routing Suite

Quagga Software Routing Suite는 OSPF 및 BGP 등의 IETF 라우팅 프로토콜 세트를 Solaris에 제공하므로, SMF 'routeadm'으로 관리할 수 있는 동적 라우팅을 통해 Solaris의 가용성을 극대화하여 배치할 수 있습니다.

Quagga는 이전에 Solaris에 포함되었던 GNU Zebra 소프트웨어의 개발자 커뮤니티로서 다양한 업데이트와 몇 가지 새 기능을 제공합니다. 자세한 내용은 /etc/quagga/README.Solaris를 참조하십시오.

DHCPv6 클라이언트

이번 릴리스부터 Solaris OS에서 RFC 3315에 설명된 대로 IPv6용 동적 호스트 구성 프로토콜(DHCPv6)을 지원합니다. DHCPv6을 사용하면 Solaris에서 수동으로 구성하지 않고 로컬 DHCP 서버에서 IPv6 주소를 자동으로 가져올 수 있습니다.

자세한 내용은 다음 매뉴얼 페이지를 참조하십시오.

단일 호스트 파일

이 릴리스부터 Solaris OS는 두 개의 분리된 호스트 파일을 사용하지 않습니다. 대신 /etc/inet/hosts라는 하나의 호스트 파일에 IPv4 및 IPv6 모두에 대한 항목이 포함됩니다. Solaris 시스템 관리자는 항상 동기화되는 두 개의 호스트 파일에 IPv4 항목을 관리할 필요가 없습니다. 역방향 호환성을 위해 /etc/inet/ipnodes 파일은 /etc/inet/hosts에 대한 동일한 이름의 심볼릭 링크로 대체됩니다.

자세한 내용은 hosts(4)ipnodes(4) 매뉴얼 페이지를 참조하십시오.

LSO(Large Send Offload)

LSO(Large Send Offload)는 하드웨어 오프로드 기술입니다. LSO는 NIC 하드웨어에 대한 TCP 세그멘테이션을 오프로드하여 CPU의 작업 로드를 줄임으로써 네트워크 성능을 향상시킵니다. LSO는 CPU 스레드가 느리거나 CPU 자원이 부족한 시스템에 대해 10Gb 네트워크를 사용할 경우에 유용합니다. 이 기능은 Solaris TCP/IP 스택에 기본 LSC 프레임워크를 통합하여 LSO를 지원하는 모든 NIC에 LSO 기능을 활성화하도록 합니다.

x86: 점보 프레임을 지원하도록 업데이트된 nge 드라이버

이 릴리스부터 nge 드라이버가 점보 프레임을 지원하도록 업데이트되었습니다. nge 드라이버의 기본 MTU가 9KB로 늘어나 시스템 성능이 향상되고 CPU 사용량은 현저하게 줄어듭니다.

자세한 내용은 nge(7D) 매뉴얼 페이지를 참조하십시오.

설치 도중 NFSv4 도메인 이름 구성 가능

이 기능에 대한 자세한 내용은 설치 도중 NFSv4 도메인 이름 구성 가능을 참조하십시오.

보안 개선 내용

다음과 같은 보안 기능 및 향상이 Solaris 10 8/07 릴리스에 추가되었습니다.

Solaris 키 관리 프레임워크

Solaris 키 관리 프레임워크(Key Management Framework, KMF)는 공용 키(public key, PKI) 개체 관리용 도구 및 프로그래밍 인터페이스를 제공합니다. pktool 명령을 사용하면 관리자가 하나의 유틸리티로 키 저장소 nsspkcs11 및 파일 기반 키 저장소의 PKI 개체를 모두 관리할 수 있습니다.

개발자는 API 계층을 통해 사용할 키 저장소 유형을 지정할 수 있으며 KMF 또한 이러한 PKI 기술을 위한 플러그인 모듈을 제공합니다. 이러한 플러그인 모듈을 사용하여 개발자는 지원되는 모든 키 저장소를 사용할 수 있는 새 응용 프로그램을 작성할 수 있습니다.

KMF에는 시스템 전체의 정책 데이터베이스를 제공하는 고유한 기능이 있으며, 이 정책 데이터베이스는 KMF 응용 프로그램에서 키 저장소 유형에 관계없이 사용할 수 있습니다. kmfcfg 명령을 사용하면 관리자는 전역 데이터베이스에 정책 정의를 작성할 수 있습니다. 그런 다음 KMF 응용 프로그램에서 시행할 정책을 선택하여 해당 정책에 따라 모든 후속 KMF 작업을 제한할 수 있습니다. 정책 정의에는 다음에 대한 규칙이 포함됩니다.

  • 검증 수행 전략

  • 키 사용 및 확장 키 사용 요구 사항

  • 트러스트 앵커 정의

  • OCSP 매개 변수

  • CRL DB 매개 변수(예: location)

자세한 내용은 다음을 참조하십시오.

libmd - 메시지 다이제스트 라이브러리

이 릴리스부터 libmd 라이브러리는 경량 API를 사용하여 암호화 해시 알고리즘 MD4, MD5, SHA1뿐만 아니라 SHA256, SHA384, SHA512 등으로 구성된 SHA2를 구현하여 제공합니다. 이 API 및 libmd에서 제공하는 기능에 대한 자세한 내용은 다음 매뉴얼 페이지를 참조하십시오.

Solaris Cryptographic Framework

Solaris Cryptographic Framework 기능은 토큰 장치에서 키 서명을 보호합니다. 또한 elfsign 명령은 서명 및 인증서에 대한 자세한 정보를 표시합니다.

자세한 내용은 elfsign(1) 매뉴얼 페이지를 참조하십시오.

Solaris Data Encryption Supplement

암호화 키트, SUNWcry 및 SUNWcryr 패키지는 기본적으로 Solaris 10 8/07 소프트웨어에 포함되어 있습니다. 이번 제품에서는 Solaris 암호화 프레임워크, Kerberos 및 OpenSSL용의 강력한 암호화 도구가 기본으로 설치되었습니다.

파일 시스템 향상

다음과 같은 파일 시스템 기능 및 향상이 Solaris 10 8/07 릴리스에 추가되었습니다.

iSCSI 대상 장치 지원

이 Solaris 릴리스는 iSCSI 대상 장치(디스크 또는 테이프 장치)에 대한 지원을 제공합니다. Solaris 10 8/07 이전 릴리스는 iSCSI 초기화 프로그램을 지원했습니다. Solaris iSCSI 대상을 설정하면 광채널 HBA 비용을 들이지 않고 기존 광채널 장치를 클라이언트에 연결할 수 있는 이점이 있습니다. 뿐만 아니라 전용 어레이가 있는 시스템에서 ZFS 또는 UFS 파일 시스템을 포함하는 복제 저장소를 내보낼 수 있습니다.

iscsitadm 명령을 사용하여 iSCSI 대상 장치를 설정하고 관리할 수 있습니다. iSCSI 대상으로 선택하는 디스크 장치에 대해 iSCSI 데몬에 대한 백업 저장소 크기와 동일한 ZFS 또는 UFS 파일 시스템을 제공해야 합니다.

대상 장치를 설정한 후, iscsiadm 명령을 사용하여 iSCSI 대상을 식별합니다. 이 명령은 iSCSI 대상 장치를 검색하고 사용합니다.

32비트 Solaris 프로세스를 위한 확장 FILE 공간

확장 FILE 공간 기능은 fopen 라이브러리 명령에 추가 F 모드를 지원합니다. F 모드를 채택하면 255비트 제한을 초과하는 파일을 열 수 있습니다. 이 기능을 통해 개발자는 limit 또는 ulimit 명령을 통해 설정된 한도까지 파일 설명자를 처리하기 위해 fopen 명령을 사용할 수 있습니다.

시스템 자원 향상

다음과 같은 시스템 자원 기능 및 향상이 Solaris 10 8/07 릴리스에 추가되었습니다.

lx BrandZ: Linux 응용 프로그램용 Solaris 컨테이너

Sun의 BrandZ 기술은 비고유 운영 환경을 포함하는 비전역 BrandZ를 생성하는 프레임워크를 제공합니다. BrandZ는 비전역 영역의 단순한 확장으로서 그와 동일한 분리된 보안 환경을 제공하며 모든 브랜드 관리는 현재 영역 구조에 대한 확장을 통해 수행됩니다.

현재 사용 가능한 브랜드는 Linux 응용 프로그램용 Solaris 컨테이너인 lx 브랜드입니다. 이러한 비전역 영역은 Solaris OS를 실행하는 x86 또는 x64 시스템에 Linux 응용 프로그램 환경을 제공합니다.

lx 브랜드에는 비전역 영역에 CentOS 3.5 ~ 3.8 또는 Red Hat Enterprise Linux 3.5 ~ 3.8을 설치하기 위해 필요한 도구가 포함됩니다. 32비트 또는 64비트 모드로 Solaris OS를 실행하는 시스템에서 32비트 Linux 응용 프로그램을 실행할 수 있습니다.

자세한 내용은 System Administration Guide: Solaris Containers-Resource Management and Solaris Zones 의 III부분, Branded Zones를 참조하십시오.

또한 다음 매뉴얼 페이지를 참조하십시오.

컨테이너 생성을 위한 향상된 zonecfg 절차

다양하고 강력한 통합 자원 관리 및 영역 기능을 통해 zonecfg 명령으로 시스템 자원 관리 기능을 보다 손쉽게 활용할 수 있습니다. 지정한 자원 구성은 영역 부트 시 자동으로 생성되며, 자원 관리를 설정하기 위해 수동으로 수행해야 하는 절차가 없습니다.

  • zonecfg 명령을 사용하여 전역 영역에 대한 자원 관리 설정을 구성할 수 있습니다.

  • 영역 전체의 자원 제어는 기본 방법인 전역 등록 정보 이름을 사용하여 설정할 수 있습니다. 다음과 같이 새로운 프로젝트 및 영역 자원 제어도 제공됩니다.

    • zone.max-locked-memory

    • zone.max-msg-ids

    • zone.max-sem-ids

    • zone.max-shm-ids

    • zone.max-shm-memory

    • zone.max-swap - 메모리 제한 자원을 통해 영역에 대한 스왑 제한 기능 제공

    • project.max-locked-memory - project.max-device-locked-memory를 대체함

  • 새로운 일정 계획 클래스 등록 정보를 비롯하여 영역의 기본 스케줄러를 설정하는 방법이 몇 가지 추가되었습니다.

  • 자원 풀 기능이 향상되었습니다. 영역 부트 시 동적으로 생성되는 임시 풀을 추가할 수 있으며, dedicated-CPU 자원을 통해 풀이 구성됩니다.

  • clear 하위 명령을 사용하여 옵션 설정 값을 지울 수 있습니다.

  • rcapd(1M) 기능이 향상되어 전역 영역에 대해 고급 물리적 메모리 제한 기능을 사용할 수 있습니다. 제한은 메모리 제한 자원을 통해 지정합니다.


    주 –

    이 기능을 사용하여 lx BrandZ 및 고유 영역에 대한 물리적 메모리를 제한할 수 있습니다. 자세한 내용은 lx BrandZ: Linux 응용 프로그램용 Solaris 컨테이너를 참조하십시오.


  • RSS(Resident Set Size) 통계 기능이 향상되었습니다. 자원 제한 데몬인 rcapdprstat 명령이 향상되었습니다.

자세한 내용은 다음을 참조하십시오.

IP 인스턴스: 비전역 영역에 대한 LAN 및 VLAN 분리

영역에 전용 IP 인스턴스가 할당되었는지 아니면 전역 영역과 IP 계층 구성 및 상태를 공유하는지에 따라 두 가지 방법으로 IP 네트워킹을 구성할 수 있습니다. IP 유형은 zonecfg 명령을 사용하여 구성합니다.

공유 IP 유형이 기본값입니다. 이러한 영역은 전역 영역과 동일한 VLAN 또는 LAN에 연결되고 IP 계층을 공유합니다. lx BrandZ는 공유 IP 영역으로 구성됩니다. 자세한 내용은 lx BrandZ: Linux 응용 프로그램용 Solaris 컨테이너를 참조하십시오.

전체 IP 수준 기능은 단독 IP 영역에서 사용할 수 있습니다. 영역이 네트워크의 IP 계층에 격리되어야 한다면 해당 영역은 단독 IP를 사용할 수 있습니다. 단독 IP 영역은 여러 VLAN 또는 LAN에 있는 여러 서브넷에서 통신해야 하는 응용 프로그램을 통합하기 위해 사용할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

Solaris 영역 부트 개선 사항

Solaris 영역 부트 향상은 bootreboot의 일부인 부트 인수를 지원합니다. 이번 릴리스에서는 다음 부트 인수가 지원됩니다.

  • -m <smf_options>

  • -i </path/to/init/>

  • -s

부트 인수를 전달할 수 있는 방법은 다음과 같습니다.

  • global# zoneadm -z myzone boot -- -m verbose

  • global# zoneadm -z myzone reboot -- -m verbose

  • myzone# reboot -- -m verbose

또한 zonecfg 명령에 새 bootargs 등록 정보를 사용하여 지속적으로 부트 인수를 지정할 수 있습니다.

zonecfg:myzone> set bootargs="-m verbose"

reboot, zoneadm boot 또는 zoneadm reboot 명령으로 인해 무시되지 않는 한 이 설정은 적용됩니다.

부트 인수 및 bootargs 등록 정보에 대한 자세한 내용은 다음을 참조하십시오.

영역에 대한 시스템 V 자원 제어

비전역 영역 내의 프로세스에 사용되는 시스템 V 자원의 총 양을 제한하기 위해 다음과 같은 영역 전체에 대한 자원 제어가 포함되었습니다.

  • zone.max-shm-memory

  • zone.max-shm-ids

  • zone.max-msg-ids

  • zone.max-sem-ids

자원 제어는 비전역 영역에 대한 zonecfg 명령의 add rctl 자원 등록 정보에서 설정합니다.

전역 영역의 사용을 제한하려면 prctl 명령을 통해 자원 제어를 설정할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

영역 고유 식별자

Solaris 시스템은 영역 설치 시 전역 영역에서 고유한 식별자를 각 비전역 영역에 자동으로 연결합니다. 이 식별자는 zoneadm list -p 명령을 사용하여 전역 영역 및 비전역 영역 모두에서 검색할 수 있습니다. 사용자는 해당 영역 자체를 자산으로 간주하여 영역 고유 식별자를 자산 추적에 이용할 수 있습니다. 또한 이 식별자는 다음 작업에서 영역 식별에 사용할 수도 있습니다.

  • 영역 이동

  • 영역 이름 변경

  • 영역 내용의 삭제를 수반하지 않는 모든 이벤트

자세한 내용은 zoneadm(1M) 매뉴얼 페이지를 참조하십시오.

영역을 “불완전”으로 표시하는 기능

이 릴리스부터 새로운 zoneadm 기능을 사용하여 영역을 “불완전”으로 표시할 수 있습니다. 새로운 기능인 zoneadm 은 영역 내용을 업데이트하는 관리 소프트웨어를 사용하여 치명적이거나 영구적인 영역 장애 상태 기록을 활성화합니다.

자세한 내용은 zoneadm(1M) 매뉴얼 페이지를 참조하십시오.

비전역 영역에서 DTrace 사용

이제는 dtrace_procdtrace_user 권한을 영역에 할당할 때 DTrace를 비전역 영역에 사용할 수 있습니다. DTrace 공급자 및 작업은 영역 범위로만 제한됩니다. dtrace_proc 권한으로는 fasttrappid 공급자를 사용할 수 있고, dtrace_user 권한으로는 'profile' 및 'syscall' 공급자를 사용할 수 있습니다.

zonecfg 명령의 limitpriv 등록 정보를 사용하여 비전역 영역에 제공되는 권한 집합에 이러한 권한을 추가할 수 있습니다.

비전역 영역에 대한 구성 가능한 권한에서는 비전역 영역의 권한에 대한 개요를 제공합니다.

영역 구성, 영역 권한 지정 및 DTrace 유틸리티 사용에 대한 자세한 내용은 다음을 참조하십시오.

데스크탑 도구 향상

Solaris 10 8/07 릴리스에는 다음과 같은 데스크탑 도구 기능과 향상된 기능이 추가되었습니다.

Thunderbird 2.0

Thunderbird 2.0은 Mozilla 커뮤니티에서 개발한 정식 기능의 전자 메일, RSS 및 뉴스 그룹 클라이언트로서, Mozilla 메일 및 뉴스 그룹과 동일한 기능을 제공합니다.

Firefox 2.0 웹 브라우저

Firefox 2.0은 사용자가 작업을 찾아볼 때 검색 및 책갈피 및 방문 기록 등을 활용할 수 있는 혁신적인 사용자 인터페이스를 제공합니다. Firefox 2.0은 탭 검색, RSS 처리, 확장 기능 관리, 보안 및 성능 측면에서 향상되었습니다.

Gaim OTR 플러그인

이번 릴리스부터 OTR(Off-the-Record) 플러그인 기능이 GAIM에 새로 추가되었습니다.

OTR 메시징을 사용하면 다음과 같은 기능을 통해 GAIM 및 지원되는 모든 메신저 서비스에서 비공개로 대화할 수 있습니다.

  • 암호화

  • 인증

  • 부인

  • PFS(Perfect Forward Secrecy)

자세한 내용은 http://www.cypherpunks.ca/otr/ 사이트를 참조하십시오.

x86: RealPlayer에서 XVideo 지원

이번 릴리스부터 RealPlayer에 대한 XVideo 지원을 통해 x86 시스템에서의 비디오 재생 성능이 매우 향상되었습니다.

X11 윈도우화 향상

Solaris 10 8/07 릴리스에는 다음과 같은 X11 윈도우화 기능과 향상된 기능이 추가되었습니다.

dtlogin 언어 선택 진단 기능

현재 CDE의 로그인 화면에는 로켈 이름이 계단식 메뉴 형태로 알아보기 어렵게 나열됩니다. dtlogin 언어 선택 진단 기능은 사용자에게 친숙한 언어로 로그인 목록을 제공합니다. CDE에는 화면당 기본 로그인 언어 이름을 기억하는 기능이 있습니다. SunRay 환경의 경우 X 자원을 사용하여 화면에 로그인 언어가 기억되지 않게 할 수 있습니다.

자세한 내용은 dtlogin 매뉴얼 페이지를 참조하십시오.

X 서버 DTrace 공급자

이번 릴리스부터 X 윈도우 시스템 서버에 X11 클라이언트 연결을 위한 USDT(User-land Statically Defined Tracing) DTrace 공급자가 포함됩니다. X 윈도우 시스템 서버에는 다음이 포함됩니다.

  • Xorg

  • Xsun

  • Xprt

  • Xnest

  • Xvfb

사용 가능한 검사 및 해당 인수, 이들을 사용한 샘플 DTrace 스크립트에 대한 자세한 내용은 http://people.freedesktop.org/~alanc/dtrace/를 참조하십시오.

Xorg X11R7.2 서버 및 드라이버

X11 윈도우 시스템용 Xorg 서버, 관련 그래픽 장치 드라이버 및 입력 장치 드라이버가 X11R7.2 릴리스로 업그레이드되었습니다. X11R7.2 릴리스에는 Xorg 서버 버전 1.2가 포함되어 있습니다. 또한 Xorg용 일반 SPARC 그래픽 장치 드라이버는 아직 없지만 x64 및 SPARC 플랫폼용 Xorg 서버의 64비트 버전이 추가되었습니다.

또한 Xephyr 중첩 X 서버 및 Xorg 버전의 Xvfb가 포함되며 /usr/X11/bin 디렉토리에 설치됩니다. 이 버전의 Xorg는 이제 LBX(Low Bandwidth X) 확장을 지원하지 않습니다. 대역폭이 극도로 제한된 네트워크 연결에서 X 디스플레이가 필요한 사이트의 경우 ssh(1)의 X 터널링 및 압축 기능을 사용하는 것이 좋습니다.

언어 지원 향상

Solaris 10 8/07 릴리스에는 다음과 같은 언어 지원 기능과 향상된 기능이 추가되었습니다.

기존 EMEA 및 중남미 로켈을 일반 로켈 데이터 리포지토리로 마이그레이션

기존 EMEA(유럽, 중동, 아프리카), 중남미 및 오세아니아 로켈에 대한 로켈 데이터가 CLDR(Common Locale Data Repository) 1.3으로 마이그레이션되었습니다. 이로 인해 로켈 데이터 품질이 개선되고 여러 코드 세트에서 로켈 데이터의 일관성이 확보됩니다.

CLDR에 대한 자세한 내용은 http://www.unicode.org/cldr을 참조하십시오.

일본어 글꼴 업데이트

이번 릴리스부터 일본어 HG 글꼴이 JISX0213: 2004와 호환되도록 업데이트되었습니다.

유니코드용 일본어 iconv 모듈 추가

이번 릴리스부터 유니코드와 일본어 코드 세트 간에 다음과 같은 두 가지 유형의 코드 세트 변환이 추가되었습니다.

  • eucJP, PCK(SJIS) 및 ms932 간의 변환에서 iconv는 이제 UTF-8과 더불어 UTF-16, UCS-2, UTF-32, UCS-4를 지원하며 UTF-16BE 및 UTF-16LE 같은 고정 엔디언 변형을 지원합니다.

  • iconv는 Windows에서와 동일한 방식으로 일본어 EUC와 유니코드 간의 변환을 제공하기 위해 코드 세트 이름 eucJP-ms을 지원합니다. 또한 이전에 언급된 모든 유니코드 인코딩 변형이 eucJP-ms와 함께 지원됩니다.

자세한 내용은 iconv_ja(5) 매뉴얼 페이지를 참조하십시오.

입력 방법 전환기 향상 및 EMEA 키보드 레이아웃 에뮬레이션 지원

입력 방법 전환 응용 프로그램 gnome-im-switcher-applet은 독립 실행형 GTK+ 응용 프로그램 iiim-panel로 대체됩니다. Java DS(Java Desktop System)에 UTF-8 또는 아시아권 로켈로 로그인한 경우 iiim-panel이 자동으로 시작되어 GNOME 패널에 상주합니다. iiim-panel은 공통 데스크탑 환경(Common Desktop Environment,CDE)에서도 실행할 수 있습니다.

IIIMF는 프랑스어, 폴란드어 및 네덜란드어와 같은 EMEA 키보드 레이아웃을 에뮬레이트하는 언어 엔진을 지원합니다.

자세한 내용은 입력 방법 환경 설정 편집기(iiim-properties)의 온라인 도움말을 참조하십시오.

x86: Zero-CountryCode 키보드 레이아웃 지원

이 기능은 새로운 명령 옵션인 kbd -s language를 제공합니다. 이 옵션을 사용하여 커널의 키보드 레이아웃을 구성할 수 있습니다. Zero-CountryCode 키보드 레이아웃 기능은 SPARC 시스템에서 특히 유용합니다. 이전 릴리스에서는 SPARC 시스템에서 "자동으로 식별되지 않는 키보드”가 모두 미국식 레이아웃 키보드로 인식되었습니다.

자세한 내용은 kbd(1) 매뉴얼 페이지를 참조하십시오.

개발자 도구 향상

Solaris 10 8/07 릴리스에는 다음과 같은 개발자 도구 기능과 향상된 기능이 추가되었습니다.

SunVTS 6.4

SunVTSTM(Sun Validation Test Suite)는 Sun x86 및 SPARC 하드웨어를 테스트하고 검증하는 포괄적인 소프트웨어 진단 패키지입니다. SunVTS 소프트웨어는 제어기, 장치 및 플랫폼의 구성 및 적절한 기능을 검증합니다.

SunVTS를 위해 Solaris OS에 이루어진 주요 변경 사항은 다음과 같습니다.

  • xnetlbtestiobustest 테스트가 새로 추가되었습니다. Solaris 10 8/07 이전 릴리스에서는 이 두 테스트를 내부 제조 패키지의 일부로만 사용할 수 있었습니다.

  • SunVTS 메모리 테스트는 THM(Test Hang Mitigation) 라이브러리에 통합되었습니다.

  • nettest에 패킷 크기를 지정할 수 있는 새로운 옵션이 추가되었습니다.

  • bmcenvironment 테스트가 LED 테스트를 지원합니다.

  • netlbtestnxge 드라이버에서 crc 바이트를 수용하도록 변경되었습니다.

  • disktest 기능이 향상되었습니다.

  • 일반 tapetest의 옵션 설정이 개선되었습니다.

  • iobustest가 향상되어 EFI 디스크 지원, 버스 관련 성능 카운터, SIU/NCU 응력, 높은 응력 감수, PCI-E 검색 기능 등을 제공합니다.

이러한 기능 및 테스트에 대한 자세한 내용은 http://www.sun.com/documentation에서 SunVTS 6.4 설명서를 참조하십시오.

드라이버 향상

다음은 Solaris 10 8/07 릴리스에 새로 추가된 드라이버 및 향상된 드라이버 기능입니다.

RDS(Reliable Datagram Sockets)

이번 릴리스부터 소켓에서 InfiniBand 상호 연결을 통해 여러 대상으로 안전하게 메시지를 전송할 수 있게 해주는 RDS(Reliable Datagram Sockets) 프로토콜이 새로 추가되었습니다.

RDS는 새로운 SUNWrds 패키지를 통해 제공됩니다. SUNWrds 패키지는 소켓용의 rds 드라이버와 전송 인터페이스용의 rdsib 드라이버로 구성되어 있습니다.

향상된 USB EHCI 호스트 제어기 드라이버

향상된 USB EHCI 호스트 제어기 드라이버는 USB 2.0 또는 고속 등시성 장치를 위한 등시성 전송을 지원합니다.

자세한 내용은 usb_isoc_request(9S) 매뉴얼 페이지를 참조하십시오.

USCSI LUN 재설정 지원

이 기능은 uscsi 명령을 통해 LUN(logical unit number) 재설정을 지원하기 위한 것으로 uscsi_flags 설정을 USCSI_RESET_LUN으로 설정하는 LUN 재설정 명령을 사용할 수 있습니다.

SATA HBA 프레임워크 및 Marvell 드라이버

이 릴리스부터 READ/WRITE FPDMA QUEUED 명령이 지원됩니다. 특정 작업 부하 조건에서 Marvell 드라이버를 사용하여 I/O 작업을 수행할 경우 상당히 성능이 향상됩니다 작업 부하 조건이 다를 경우에는 성능 향상의 혜택이 적습니다. Sun Branded Hitachi 250GB HDS7225SBSUN250G 드라이브의 경우 대량 쓰기 시 월등해진 성능을 낼 수 있습니다.

또한 SATA 사양의 이 옵션을 지원하는 드라이브의 경우 여러 작업 부하 환경에서 성능이 상당히 향상됩니다.

Compact Flash 지원

CF(Compact Flash)를 지원함에 따라 CF-ATA 어댑터를 통해 CF 카드를 ATA 디스크로 사용할 수 있습니다. 따라서 CF 카드에서 시스템을 시작하고 CF 카드에 데이터를 저장하는 작업을 손쉽게 수행할 수 있습니다.

Compact Flash 지원에 대한 자세한 내용은 ata(7D) 매뉴얼 페이지를 참조하십시오.

USB 통신 장치 클래스의 ACM 드라이버

이번 릴리스부터 usbsacm 드라이버는 USB CDC ACM(Universal Serial Bus Communication Device Class Abstract Control Model) 사양을 준수하는 USB 모뎀을 지원합니다. 휴대폰, PCMCIA 카드 또는 모뎀과 같은 모든 장치에 usbsacm 드라이버를 연결할 수 있습니다. usbsacm 드라이버는 /dev/term/.아래에 term 노드를 생성합니다. 그러면 pppd(1M)를 사용하여 이러한 직렬 포트로 데이터그램을 전송할 수 있습니다.

CardBus 지원

CardBus 지원 기능은 Solaris에 32비트 PC 카드 지원을 제공합니다. 따라서 이제 Solaris에서는 16비트와 32비트 PC 카드를 모두 인식합니다. 자세한 내용은 pcic(7D)cardbus(4) 매뉴얼 페이지를 참조하십시오.

IBM LTO-4 테이프 드라이브 지원

이번 릴리스부터 Solaris OS는 IBM LTO-4 테이프 드라이브를 지원합니다.

HP LTO-4 테이프 드라이브 지원

이번 릴리스부터 Solaris OS는 HP LTO-4 테이프 드라이브를 지원합니다.

NVIDIA 그래픽 가속 드라이버

이 릴리스부터는 NVIDIA Quadro 및 GeForce 카드에 대한 Xorg 및 OpenGL용 그래픽 가속 드라이버가 포함됩니다. 이러한 드라이버에 대한 nvidia-settingsnvidia-xconfig 구성 도구도 제공됩니다.

SPARC: UltraSPARC-T1(Niagara) 시스템용 ntwdt 드라이버

이번 릴리스부터 sun4v 플랫폼에 역방향 호환성을 지원하는 워치독 타이머가 제공되며 이 타이머를 사용자가 프로그래밍할 수 있습니다. 역방향 호환 ntwdt 의사 드라이버가 제공하는 IOCTL을 통해 응용 프로그램 워치독 타이머를 조작할 수 있습니다.

x86: ACPI 열 영역 모니터

Solaris OS용의 초소형 ACPI 열 영역 모니터 의사 드라이버는 ACPI의 열 영역 이벤트를 처리합니다. 열 영역 이벤트는 가장 중요한 열 이벤트입니다. 해당 시스템의 BIOS가 특정 ACPI 메소드를 구현할 경우 이 의사 드라이버가 열 영역 이벤트를 처리합니다.

x86: Adaptec aac 하드웨어 지원

업데이트된 aac 드라이버는 차세대 로켓 칩 기반 Adaptec 하드웨어 RAID 어댑터를 지원합니다. 또한 제어기와 연결된 하드 드라이브를 구성 및 모니터링하는 ASM(Adaptec Storage Management) 유틸리티도 지원합니다.

자세한 내용은 Adaptec 웹 사이트(http://www.adaptec.com/en-US/products/adps/)를 참조하십시오.

x86: ATI IXP400용 Solaris 오디오 드라이버

audioixp 드라이버는 ATI Corporation의 ATI IXP400 Southbridge 칩셋용 Solaris 오디오 드라이버입니다. ATI IXP400 칩셋에는 AC97 오디오 제어기가 내장되어 있습니다. 이 칩셋은 최신 Ferrari4000 모델 등 많은 마더보드 공급업체에 채택되어 널리 사용되고 있습니다. audioixp 드라이버는 SADA(Solaris Audio Driver Architecture) 프레임워크를 준수합니다.

x86: HD(High-Definition) 오디오 드라이버

HD(High-Definition) 오디오 드라이버인 audiohd(7d)가 더 많은 오디오 CODEC을 지원하고 기본적인 오디오 재생 및 녹음 기능을 지원하도록 개선되었습니다. 지원되는 HD(High-Definition) 오디오 코덱은 다음과 같습니다.

  • Realtek ALC260/262/880/882/883/885/888

  • IDT/Sigmatel STAC9200(D)

  • Analog Devices AD1986/1988

x86: SATA AHCI HBA 드라이버

AHCI는 AHCI 사양과 호환되는 SATA 제어기용의 SATA HBA 핫 플러그 지원 드라이버입니다. AHCI 드라이버는 INTEL ICH6 및 VIA vt8251 제어기를 지원하지만 다른 AHCI 호환 제어기에는 사용할 수 없습니다.

자세한 내용은 ahci(7D) 매뉴얼 페이지를 참조하십시오.

시스템 성능 향상

Solaris 10 8/07 릴리스에는 다음과 같은 시스템 성능 기능과 향상된 기능이 추가되었습니다.

SPARC: UltraSPARC T2 PCI Express Interface Unit 성능 카운터 데이터

UltraSPARC T2 시스템 PIU(PCI Express Interface Unit)에 busstat을 사용하여 덤프할 수 있는 성능 카운터가 내장되었습니다. busstat -l 명령의 출력은 해당 시스템에 대한 다음 장치를 표시합니다.

  • imu#

  • mmu#

  • peu#

  • bterr#

위에서 #은 인스턴스 번호입니다.

이 내장 성능 카운터의 주 사용 대상은 Sun 현장 서비스 직원입니다.

해시된 캐시 인덱스 모드 지원

해시된 캐시 인덱스 모드는 UltraSPARC T2 프로세서에서 사용할 수 있는 새로운 하드웨어 기능입니다. 하드웨어에서는 L2 캐시 인덱스를 계산하는 데 주소 비트를 더 많이 사용합니다. 결과적으로 큰 페이지에는 페이지 색이 더 많아집니다.

최적의 성능을 얻기 위해 Solaris 커널은 캐시를 공유하는 모든 스레드에서 사용되는 페이지 색의 개수를 최대화해야 합니다. Solaris 가상 메모리 하위 시스템은 이러한 새 하드웨어 기능을 지원하도록 확장되었습니다. 색 계산을 올바르게 하면 UltraSPARC T2 시스템에서 응용 프로그램의 성능 및 처리량 일관성이 향상됩니다.

다중 레벨 CMT 일정 계획 최적화

다중 레벨 CMT(Chip Multi-Threaded) 일정 계획 최적화 기능은 Solaris 커널에 플랫폼 독립적 메커니즘을 제공합니다. 이 메커니즘은 현재 CMT 프로세서 아키텍처의 CPU와 새로 나온 CMT 프로세서 아키텍처(예: Niagara II)의 CPU 간의 하드웨어 공유 관계와 관련된 다양한 성능을 검색하고 최적화합니다.

또한 커널의 스레드 스케줄러나 디스패처에서 다중 레벨의 CMT 로드 균형 조정 정책을 지원하도록 하여, 다양한 다중 스레드, 다중 코더, 다중 소켓 프로세서 기반 시스템의 시스템 성능을 향상시킵니다.

이 기능에 대한 자세한 내용은 OpenSolaris 성능 커뮤니티 웹 사이트(http://www.opensolaris.org/os/community/performance)를 참조하십시오.

프로세스 수 확장성

프로세스 수 확장 기능을 통해 Solaris OS의 프로세스 수 확장성이 향상됩니다. 현재 모든 UltraSPARC 시스템에는 최대 8192개의 컨텍스트가 지원됩니다. 프로세스 수가 8192개를 초과하면 프로세스 실행을 유지하기 위해 커널에서 컨텍스트를 제거합니다. 프로세스에서 컨텍스트를 제거하는 작업은 다음을 통해 이루어집니다.

  • 프로세스가 실행되는 모든 CPU 상호 호출

  • 프로세스 스레드를 실행 중인 CPU에 대한 컨텍스트 무효화

  • 프로세스 스레드를 실행 중인 모든 CPU의 TLB에서 컨텍스트 비우기

이 절차는 자원 소모량이 매우 클 뿐만 아니라 프로세스 수가 8000개를 초과하면서 더욱 악화됩니다. 프로세스 수 확장 기능은 컨텍스트 관리를 완전히 재설계합니다. 컨텍스트는 전역 기반이 아닌 MMU 단위로 관리되므로 효율적인 TLB 비우기가 가능하고 컨텍스트 관리의 확장성을 향상시킵니다.

프로세스 수 확장 기능은 활성 프로세스가 8000개를 초과하거나 빠른 속도로 프로세스를 생성 및 삭제하는 작업 로드에 대한 처리 능력을 향상시키며, 많은 CPU를 사용하는 시스템에 특히 효과적입니다.

공유 메모리로의 MPSS 확장

공유 메모리에 대한 다중 페이지 크기 지원(multiple page size support, MPSS) 기능은 공유 메모리 매핑 시 대형 페이지를 지원하며 공유 메모리에 대형 페이지를 사용할 수 있는 OOB(Out-of-Box) 정책을 제공합니다. MPSS는 /dev/zerommap(1) 또는 MAP_ANON 플래그를 통해 생성된 공유 메모리 및 System V 공유 메모리에 대해 지원됩니다. 이 기능은 또한 해당 공유 메모리 세그먼트의 페이지 크기를 변경하는 memcntl(2)에 대한 지원을 추가합니다.

MPSS 지원은 /dev/zerommap(1), mmap(MAP_PRIVATE)에 의해 생성된 메모리에 대형 페이지를 사용하는 경우에도 확장되었습니다.

장치 관리 향상

Solaris 10 8/07 릴리스에는 다음과 같은 장치 관리 기능과 향상된 기능이 추가되었습니다.

향상된 st SCSI 예약 기능

이 릴리스부터 st 드라이버는 새로운 예약 메커니즘을 사용합니다. 이 새 메커니즘은 예약을 요청하는 명령이 전송된 경우에만 st 드라이버가 테이프 드라이브를 예약하도록 하며, st 드라이버가 호스트에 예약되어 있어도 동시에 다른 호스트의 쿼리 명령을 처리할 수 있게 합니다.

일부 ISV(Independent Software Vendor)의 백업 소프트웨어 및 미디어 관리 도구는 이러한 향상된 st SCSI 예약 기능을 활용합니다. 이 기능은 백업 도구가 테이프를 읽거나 쓰는 동안에도 관리 도구에서 테이프 라이브러리에 대해 질의 및 탐색을 수행할 수 있게 합니다.

CPU 전원 관리

이 기능은 자동 전원 관리와 독립적으로 CPU 장치 전원을 관리할 수 있는 두 개의 새로운 power.conf 키워드를 도입했습니다. 다음은 새로운 power.conf 키워드입니다.

  • cpupm

    사용법:


    cpupm <behavior>

    여기서 behavior는 enable 또는 disable입니다.

    역방향 호환성의 경우 /etc/power.conf 파일에 cpupm 키워드가 없으면, autopm가 사용 가능하도록 설정되어 있는 경우 CPU의 전원을 관리할 수 있으며 autopm가 사용 불가능하도록 설정되어 있는 경우 CPU의 전원을 관리할 수 없습니다. enable 또는 disableautopm 설정과 독립적입니다.

  • cpu-threshold

    사용법:


    cpu-threshold <threshold>

    이 키워드를 사용하면 전원 관리가 가능한 CPU에 시스템 임계값과 독립적으로 적용되는 임계값을 지정할 수 있습니다.

    CPU 전원 관리가 활성화된 경우 지정된 임계값 시간 동안 CPU가 유휴 상태이면 전원 수준이 한 단계 낮은 수준으로 내려갑니다.

    cpu-threshold가 없는 경우 시스템 임계값이 사용됩니다.

    자세한 내용은 power.conf(4) 매뉴얼 페이지를 참조하십시오.

콘솔 서브시스템 향상

Solaris 10 8/07 릴리스에는 다음과 같은 향상된 콘솔 서브시스템 기능이 추가되었습니다.

코히어런트(Coherent) 콘솔

코히어런트 콘솔 기능은 커널 콘솔 서브시스템 일부를 구현하여 콘솔 출력 렌더링을 용이하게 합니다. 코히어런트 콘솔은 PROM(Programmable Read-Only Memory) 인터페이스를 사용하지 않고 Solaris 커널 메커니즘을 사용하여 콘솔 출력을 렌더링합니다. 따라서 콘솔 렌더링 시 OBP(OnBoot PROM)에 대한 의존도를 줄입니다.

코히어런트 콘솔은 커널에 상주하는 framebuffer 드라이버를 사용하여 콘솔 출력을 생성합니다. 이렇게 생성된 콘솔 출력은 OBP 렌더링을 사용하는 경우보다 더 효율적입니다. 코히어런트 콘솔은 또한 SPARC 콘솔 출력 동안 CPU가 유휴 상태로 되는 것을 방지하며 성능 및 기능을 강화합니다.

예를 들어, 코히어런트 콘솔은 SPARC 콘솔 텍스트 처리량과 스크롤 속도를 높이고 ANSI 색상을 제공합니다.


Trackback 0 Comment 0
2009. 5. 11. 19:07

Internet Security Association and Key Management Protocol

ISAKMP[ Internet security association & key management protocol ]

통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약. IPSEC의 일부로서 RFC 2408에 규정되어 있으며, 구체적으로는 어떠한 인증 알고리듬, 암호화 기술, 암호 키 교환 규약을 사용할 것인지 등의 보안 수단을 상대방에게 알리기 위한 메시지 형식이다. 사용자 데이터그램 프로토콜(UDP) 패킷 형태로 송수신되며, 머리부에서 쿠키라는 이용자 ID를 주고받음으로써 제3자에 의한 서비스 거부(DoS)를 방지하는 규약이다. IPSEC의 인터넷 표준 암호 키 교환 프로토콜인 IKE의 일부로 규정되어 있지만, 전송 계층 보안(TLS) 등 IPSEC 이외의 암호화 기술을 선택, 사용해도 지장이 없다.

1) VPN ?

VPN(Virtual Private Network:가상사설망)이란 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크을 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크이다. 가상사설망은 오직 한 회사만 사용하는 전용회선과 대비되는 개념으로, 누구에게나 개방되어 있는 공중망 상에서 구축되는 논리적인 전용망이라고 할 수 있다.

VPN은 모든 회사들이 개별적으로 회선을 임대하는 것보다 공중망을 공유함으로써 비용은 낮추면서도 전용회선과 거의 동등한 서비스를 제공하려는 것에서부터 출발하였다. 그래서 오늘날 가상사설망을 원하는 회사들은 주로 엑스트라넷(Extranet)이나 넓은 지역에 퍼져있는 지사들 간의 인트라넷(Intranet) 그리고 이동 사용자들의 안전한 원격접속(Secure Remote Access) VPN을 이용한다.

 

2) 기능

Data Confidentiality

데이터 기밀성 (Data Confidentiality)은 네트워크를 통과하는 데이터의 내용을 제3자가 보더라도 알 수 없도록 하며 원래 데이터를 받을 사람만이 알 수 있도록 하는 것이다. 이는 사전에 공유한 키를 사용하여 데이터를 암호화함으로써 가능하다. 그러나 이 방법은 키가 노출될 경우 문제가 심각해지므로 이를 위해 안전한 키의 분배가 필요하다. 이러한 키의 안전한 관리 메커니즘으로 IKE(ISAKMP/OAKLEY) 프로토콜을 사용한다.

 

Data Integrity

데이터 무결성 (Data Integrity)은 네트워크를 통해 전달되는 데이터가 중간에서 변조되지 않았음을 보장한다. 그래서 A B에게 메일을 보냈을 때 중간에 제3자인 C가 메일의 내용을 조금이라도 변조할 경우 원래의 메일을 받게 되는 B는 그 내용이 변조되었음을 알 수 있게 된다. 이것은 VPN이 암호화 및 전자서명(Digital Signature) 방식으로 통신하기 때문이다.

 

Data Origin Authentication

데이터 근원 인증(Data Origin Authentication)은 네트워크를 통해 데이터를 보낸 자가 누구인지 인증하는 것이다. 예를 들어, 원래는 A B에게 메일을 보내는데 중간에 제3자인 C가 자신이 A인 것처럼 속이고 보낸다 하더라도 그 데이터가 A에서 오지 않았음을 확인할 수 있다. 이것이 가능한 이유는 통신을 하고자 하는 당사자들끼리 공유한 키를 다른 제3자가 알지 못한다는 가정을 하였기 때문이다. 따라서 메시지의 근원을 인증 할 수 있다.

 

*접근 통제(Access Control)

접근 통제(Access Control)는 인증된 사용자에 대해서만 접근을 허가하는 서비스이다. VPN은 기본적으로 IPSec 프로토콜을 사용하는데, IPSec을 사용할 경우 게이트웨이간에 사전 협상을 한다. 이 과정에서 VPN 게이트웨이에 설정된 여러 정보들이 통신하는 각 종단과 맞아야 상대방의 요청이 받아 들여지게 된다. 그러므로 사전 공유 정보를 알지 못하는 사람의 접근을 막을 수 있다.



Trackback 0 Comment 1
  1. ISAKMP 2009.05.11 19:36 address edit & del reply

    http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol