이 태스크 정보
Liberty 서버에 대한
아웃바운드 CSIv2 전송 계층의 클라이언트 인증서 인증은 기본적으로 사용되지 않습니다.
transportLayer를 구성하여 사용할 SSL 구성을 지정할 수 있습니다.
클라이언트 인증서 인증을 지원하거나 이를 필요로 하는 SSL 요소를 구성할 수 있습니다. 다운스트림 서버로 보낸 인증서는 다운스트림 서버 사용자
레지스트리에 대해 인증되며 인증서의 ID는 속성 계층의 ID 어설션이나 인증 계층의 인증 토큰처럼 CSIv2 요청으로 보낸 다른 인증 양식이 없는 경우에만
사용됩니다.
클라이언트 인증서 인증이 사용되는 경우 이 서버가 SSL을 지원하는지 확인하십시오.
- server.xml 파일에서 appSecurity-2.0 및 ejbRemote-3.2 기능을 추가하십시오.
<featureManager>
<feature>appSecurity-2.0</feature>
<feature>ejbRemote-3.2</feature>
</featureManager>
다음 예는 server.xml 파일에서 지정할 필요가 없는 기본 구성입니다.
<orb id="defaultOrb">
<serverPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
<transportLayer/>
</layers>
</serverPolicy.csiv2>
<clientPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.csiv2>
</orb>
- Liberty에 SSL 통신 사용에 설명된 대로 SSL 지원을 구성하십시오.
- 선택사항: clientAuthentication 또는 clientAuthenticationSupported를 사용하는 SSL 요소를 구성하십시오. 예를 들면 다음과 같습니다.
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthentication="true" />
또는
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
선택사항: 아웃바운드 전송 계층 구성에서 사용하는 SSL 구성을 변경해야
하는 경우 다음과 같이 server.xml 파일에서 <orb>
요소를 추가하거나 기존 요소에 transportLayer 요소를 추가하여
SSL 구성을 변경할 수 있습니다. 예제의 샘플 값을 사용자 값으로 대체하십시오. <orb id="defaultOrb">
<clientPolicy.csiv2>
<layers>
<transportLayer sslRef="defaultSSLConfig"/>
</layers>
</clientPolicy.csiv2>
</orb>
SSL 구성에서 아웃바운드 옵션을 구성할 수도 있습니다. 전송 계층에
sslRef가 설정되어 있지 않은 경우 CSIv2는 SSL 구성 아웃바운드 기본값을 사용합니다. SSL
아웃바운드 기본값에 대한 자세한 정보는 아웃바운드 CSIv2 속성 계층 구성을 참조하십시오.
SSL 구성에 아웃바운드 SSL 필터를 설정할 수도 있습니다. 아웃바운드 SSL 필터는
아웃바운드 연결의 호스트 및/또는 포트를 통해 사용할 SSL 구성을 판별합니다. 아웃바운드
SSL 필터에 대한 자세한 정보는 SSL 구성을 위한 아웃바운드 필터의 내용을 참조하십시오.
- 다운스트림 서버가 이 서버에서 보낸 클라이언트 인증서를 신뢰하는지 확인하십시오.
- 클라이언트 인증에 사용되는 클라이언트 인증서가 다운스트림 서버 사용자 레지스트리의 사용자 ID에 맵핑되는지 확인하십시오.
- 기본 레지스트리의 경우, 사용자 ID는 인증서의 식별 이름(DN)에서 공통된
이름(CN)입니다.
- LDAP(Lightweight Directory Access Protocol) 레지스트리의 경우, 클라이언트
인증서의 DN은 LDAP 레지스트리에 있어야 합니다.
참고: - clientAuthentication 속성이
<ssl> 요소에서 true로 설정된 경우, 클라이언트는
클라이언트 인증서 인증을 요구하거나 이를 지원하는 서버로만 클라이언트 인증서를 보냅니다.
- clientAuthenticationSupported 속성이
<ssl> 요소에서 true로 설정된 경우, 클라이언트는
다운스트림 서버가 사용하는 <ssl> 요소 구성을 기반으로 클라이언트 인증서를 전송하는지 여부를 선택할 수 있습니다.
- clientAuthentication 및
clientAuthenticationSupported 속성이 <ssl> 요소에서
설정되지 않은 경우, 클라이언트의 역할을 수행하는 서버는 클라이언트 인증서 인증에서 사용되지 않습니다.
계층 생략은 해당 계층에 대해 기본값을 사용합니다. attributeLayer와 authenticationLayer 요소에 대한 자세한 정보는
아웃바운드 CSIv2 속성 계층 구성 및
아웃바운드 CSIv2 인증 계층 구성을 참조하십시오.