보안

Liberty 보안은 Servlet 3.0 스펙에 따라 웹 자원에 대한 보호를 제공하며, ejbLite 3.1 스펙에 따라 EJB 자원에 대한 보호를 제공합니다. Liberty 보안은 REST 커넥터 사용 시에 JMX 연결에 대한 보호도 제공합니다.

다음 다이어그램은 보호된 웹 자원 액세스 시 관계된 일반 보안 프로세스를 표시합니다. 보안 프로세스가 작동하게 하려면 적절한 보안 기능과 인증과 권한 부여에 필요한 구성을 구성해야 합니다.

그림 1. 웹 자원에 대한 일반 보안 플로우 WebSecurity
Collaborator는 인증과 권한 부여 서비스를 사용하여 웹 컨테이너의 웹 자원에 대한
액세스를 인증하고 권한 부여합니다.
  1. HTTP 클라이언트는 WebContainer에서 웹 자원을 요청합니다.
  2. WebContainer는 보안 검사를 WebSecurity Collaborator에 위임합니다.
  3. WebSecurity Collaborator는 사용자에게 신임 정보를 입력하고(없는 경우) 인증 서비스를 사용하여 사용자를 인증하라는 프롬프트를 표시합니다.
  4. 인증 서비스는 인증이 성공한 경우 주제를 인증, 작성, 리턴합니다. 그렇지 않으면 인증 서비스가 인증 실패에 대한 예외를 보고합니다.
  5. WebSecurity Collaborator는 인증 서비스를 사용하여 사용자 인증 검사를 수행합니다.
  6. 권한 부여 서비스는 권한 결과를 WebSecurity Collaborator에 리턴합니다.
  7. WebSecurity Collaborator는 사용자에게 권한이 부여되었는지 여부와 관련한 보안 검사 결과를 리턴합니다.
  8. WebContainer는 요청된 자원을 제공하거나 거부합니다.

빠른 시작

quickStartSecurity 요소에서, Liberty의 단일 사용자 보안 환경을 구성할 수 있습니다. quickStartSecurity 요소 사용 시의 보안 워크플로우 작동 방식은 보안의 빠른 개요의 내용을 참조하고, 샘플 태스크에 대해서는 Liberty에서 보안 시작하기의 내용을 참조하십시오.

인증

인증은 사용자의 ID를 확인합니다. 가장 공통된 양식의 인증은 사용자 이름과 비밀번호로, 그 예로 웹 애플리케이션의 양식 로그인 또는 기본 인증을 통하는 방법이 있습니다. 사용자가 인증되면, 요청 소스가 런타임에 Subject 오브젝트로 표시됩니다. 이 프로세스는 자원에 대해 구성된 권한 규칙을 기반으로 사용자가 자원에 액세스하는 경우 액세스 제어 검사 수행과 관련됩니다. 추가 개념은 인증을 참조하고 자세한 태스크는 Liberty에서 사용자 인증의 내용을 참조하십시오.

권한 부여

권한 부여는 시스템 내의 자원에 대한 액세스 권한을 사용자에게 부여할지 여부를 결정합니다. Java™ EE 모델은 주제, 자원, 역할을 사용하여 허용될 수 있는 것과 허용될 수 없는 것을 판별합니다. 이 프로세스는 사용자 신임 정보(예: 사용자 ID와 비밀번호, 인증서, 토큰) 검사 및 인증된 사용자를 기반으로 하는 주제 작성과 관련됩니다. 추가 개념은 권한 부여을 참조하고 자세한 태스크는 Liberty에서 자원에 대한 액세스 권한 부여의 내용을 참조하십시오.

SSL(Secure Socket Layer)

SSL은 전송 레벨 보안을 제공합니다. 자세한 태스크는 Liberty에 SSL 통신 사용의 내용을 참조하십시오.

싱글 사인온(SSO)

SSO를 사용하여 사용자에게 여러 번 로그인하도록 프롬프트를 표시하지 않고 애플리케이션에 액세스할 수 있습니다. 세부사항은 SSO의 개념을 참조하고 자세한 태스크는 Liberty에서 LTPA 쿠키를 사용하여 SSO 구성 사용자 정의의 내용을 참조하십시오.

웹 보안 관련 특성

애플리케이션에 대한 클라이언트 인증서 인증 및 SSO와 같이 웹 보안의 일부로 구성할 수 있는 여러 구성 특성이 있습니다. 사용 가능한 속성은 Liberty에서 LTPA 쿠키를 사용하여 SSO 구성 사용자 정의Web Service Security의 내용을 참조하고 일부 예제는 Liberty에서 웹 보안 관련 특성 구성의 내용을 참조하십시오.

보안 공용 API

Liberty에는 보안 기능을 구현하는 데 사용할 수 있는 공용 API가 포함되어 있습니다. Liberty의 보안 공용 API는 WebSphere® Application Server Traditional 보안 공용 API의 서브세트입니다. 기본 클래스는 WSSecurityHelper, WSSubject, RegistryHelper입니다. 이 클래스에는 WebSphere Application Server Traditional 버전에서 사용 가능한 메소드의 서브세트가 포함되어 있습니다. 새 클래스 WebSecurityHelper도 있습니다. 보안 공용 API의 내용을 참조하십시오.

각 Liberty API에 대한 Java API 문서는 IBM Knowledge Center의 프로그래밍 인터페이스(API) 절에 자세히 설명되어 있고 ${wlp.install.dir}/dev 디렉토리의 javadoc 서브디렉토리 중 하나에 별도의 .zip 파일로도 사용 가능합니다.

일부 예제는 Liberty 보안 인프라에 대한 확장기능 개발의 내용을 참조하십시오.

관리 보안

관리 보안은 원격 JMX 클라이언트를 사용하여 Liberty를 관리할 수 있음을 의미합니다. REST 커넥터를 사용하여 원격 연결을 보안하려면, JMX를 사용하여 Liberty에 연결의 내용을 참조하십시오. Liberty의 JMX Java 클라이언트 개발에 설명된 대로 사용자 자신의 JMX 클라이언트 애플리케이션을 개발할 수도 있습니다.

인증 별명

인증 데이터 별명은 데이터베이스 연결을 위한 보안 지원을 제공합니다. Liberty에 대한 인증 별명 구성을 확인하십시오.

구성 예제 및 샘플

WASdev.net 웹 사이트에는 Liberty의 애플리케이션을 위한 보안을 구성할 때 참조할 수 있는 여러 보안 구성 예가 있습니다.

보안 호환성 및 차이점

WebSphere Application Server Traditional 및 Liberty 간의 주요 보안 기능 차이점에 관해 파악할 수 있습니다. WebSphere Application Server Traditional 및 Liberty 간의 구성 차이점: 보안을 확인하십시오.

LDAP(Lightweight Directory Access Protocol) 구성

서버 구성에 추가할 LDAP 사용자 레지스트리 항목을 선택한 후 LDAP 사용자 레지스트리 세부사항 패널이 지원되는 LDAP 서버 유형의 목록을 표시합니다. 지원되는 LDAP 서버 유형을 선택하면 선택된 LDAP 서버 유형과 연관된 LDAP 필터가 자동으로 미리 채워지지 않습니다.

지원되는 각 LDAP 서버 유형은 기본 필터 세트가 정의되어 있습니다. LDAP 사용자 레지스트리 항목과 서버 유형이 추가된 후, LDAP 사용자 레지스트리 구성을 선택하고 다음의 필수 LDAP 필터를 추가하여 연관된 LDAP 필터를 구성할 수 있습니다.
  • Active Directory LDAP 필터
  • 사용자 정의 LDAP 필터
  • Domino® LDAP 필터
  • eDirectory LDAP 필터
  • IBM® Directory Server LDAP 필터
  • iPlanet LDAP 필터
  • Netscape LDAP 필터
  • SecureWay LDAP 필터
LDAP 필터 중 하나를 선택하면 필터 유형에 대한 기본값이 표시됩니다.
  • 사용자 필터
  • 그룹 필터
  • 사용자 ID 맵
  • 그룹 ID 맵
  • 그룹 멤버 ID 맵
기본 필터를 사용하는 경우 server.xml 파일이 필터 정보로 업데이트되지 않습니다. 필터 중 하나를 변경하는 경우 변경된 필터 유형만 server.xml에서 업데이트됩니다.
참고: 찾아보기 단추를 사용하여 참조 ID를 지정하거나 선택하지 않으면, 선택된 LDAP 서버 유형과 연관된 기본 필터가 사용됩니다.

또는 서버 구성에 LDAP 필터를 추가할 수 있습니다. 이 특정 필터 구성을 LDAP 사용자 레지스트리 구성과 연관시키기 위해서는 특정 필터 구성에 참조를 연관시키기 위해 ID를 지정해야 합니다. 이 LDAP 필터 구성 방법을 사용하는 경우, 참조 ID가 LDAP 사용자 레지스트리 세부사항 패널(관련 LDAP 필터 유형 아래의 찾아보기 단추를 사용하여 찾음)에서 선택됩니다.

Eclipse 기반 개발자 도구를 사용하여 LDAP를 구성 중인 경우, wlp/templates/config/ldapRegistry.xml의 샘플에 대해 저장된 구성을 확인하십시오.

자세한 정보는 Liberty에서 LDAP 사용자 레지스트리 구성의 내용을 참조하십시오.

문제점 해결

문제점 해결 정보를 사용하여 Liberty 사용 시에 보안 관련 문제점을 해결할 수 있습니다. 보안 문제점 해결LDAP 문제점 해결의 내용을 참조하십시오.

분산 플랫폼용

도구

Liberty용 Eclipse 기반 개발자 도구를 사용하여 보안을 구성합니다. 개발 도구를 사용하여 Liberty 구성 편집을 확인하십시오. 도구 및 보안 구성에 관한 특정 정보는 개발자 도구를 사용하여 Liberty에서 TAI 구성개발자 도구를 사용하여 Liberty에서 JAAS 구성에서 사용 가능합니다.


주제의 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=cwlp_sec
파일 이름: cwlp_sec.html