보안 소프트웨어를 사용한 인증

RACF에서는 인증서를 인증하고 연관된 사용자 ID를 리턴하기 위해 몇 가지 검사를 수행합니다. 다른 보안 제품에서는 다르게 수행될 수 있습니다. 인증(조회 모드)을 수행하는 데 사용된 initACEE 함수에 대한 자세한 정보는 보안 제품 문서를 참조하십시오.
  1. RACF에서 DIGTCERT 클래스에 인증서가 정의되어 있는지 확인합니다. 정의되어 있는 경우 인증서가 RACF 데이터베이스에 추가되면 해당 인증서와 연관된 사용자 ID가 리턴됩니다.
    다음 예제에서와 같이 인증서가 RACDCERT 명령을 통해 RACF에 정의됩니다.
    RACDCERT ID(userid) ADD(dsn) TRUST WITHLABEL('label')
  2. 인증서가 정의되지 않은 경우 RACF에서 DIGTNMAP 및/또는 DIGTCRIT 클래스에 일치하는 인증서 이름 필터가 정의되어 있는지 확인합니다. 정의되어 있는 경우 가장 정확하게 일치하는 필터와 연관된 사용자 ID가 리턴됩니다.
    주: 이러한 필터는 모든 인증서를 단일 사용자 ID로 맵핑하므로 System z용 Developer에서 사용되는 인증서에 대한 이름 필터를 사용하지 않는 것이 좋습니다. 그 결과 모든 System z용 Developer 사용자가 동일한 사용자 ID로 로그온됩니다.
  3. 일치하는 이름 필터가 없는 경우 RACF에서 HostIdMappings 인증서 확장을 찾고 임베디드 사용자 ID와 호스트 이름 쌍을 추출합니다. 확장을 찾고 유효성을 검증한 경우 RACF에서 HostIdMappings 확장 내에 정의된 사용자 ID를 리턴합니다.
    다음과 같은 조건이 모두 참인 경우 사용자 ID와 호스트 이름 쌍이 올바른 것입니다.
    • 이 인증서를 서명하는 데 사용된 CA 인증서가 DIGTCERT 클래스에서 HIGHTRUST로 표시됩니다.
    • 확장에 저장된 사용자 ID의 길이가 올바릅니다(1자 - 8자).
    • RSE 디먼에 지정된 사용자 ID에 SERVAUTH 클래스의 IRR.HOST.hostname 프로파일에 대한 READ 이상의 권한이 있습니다. 여기서, hostname은 확장에 저장된 호스트 이름입니다. 일반적으로 이 이름은 CDFMVS08.RALEIGH.IBM.COM과 같은 도메인 이름입니다.
    ASN.1 구문에서 HostIdMappings 확장의 정의는 다음과 같습니다.
    id-ce-hostIdMappings OBJECT IDENTIFIER::= {1 3 18 0 2 18 1}
    HostIdMappings::= SET OF HostIdMapping
    HostIdMapping::= SEQUENCE{
       hostName        IMPLICIT[1] IA5String,
       subjectId         IMPLICIT[2] IA5String,
       proofOfIdPossession IdProof OPTIONAL
     }
     IdProof::= SEQUENCE{
       secret        OCTET STRING,
       encryptionAlgorithm OBJECT IDENTIFIER
     }
    주: HostIdMappings 확장이 포함되어 있는 인증서의 유효 기간이 시작된 후에 대상 사용자 ID가 작성된 경우 HostIdMappings 확장이 적용되지 않습니다. 따라서 특히 HostIdMappings 확장이 포함된 인증서의 사용자 ID를 작성하는 경우 인증서 요청을 제출하기 전에 사용자 ID를 작성해야 합니다.

X.509 인증서, RACF에서 해당 인증서를 관리하는 방법 및 인증서 이름 필터를 정의하는 방법에 대한 자세한 정보는 Security Server RACF Security Administrator's Guide(SA22-7683)를 참조하십시오. RACDCERT 명령에 대한 자세한 정보는 Security Server RACF Command Language Reference(SA22-7687)를 참조하십시오.