CSIv2(Common Secure Interoperability Version 2) 아웃바운드 통신 설정

이 페이지에서 서버가 다른 다운스트림 서버에 대한 클라이언트로서 작동할 때 지원하는 기능을 지정할 수 있습니다.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증에서 RMI/IIOP 보안 > CSIv2 아웃바운드 통신을 클릭하십시오.
인증 기능에는 동시에 사용할 수 있는 다음과 같은 세 가지 인증 계층이 포함됩니다.
  • CSIv2 속성 계층. 속성 계층은 이미 인증된 업스트림 서버의 ID인 ID 토큰을 포함할 수 있습니다. ID 계층이 최고의 우선순위를 가지며 다음이 위의 메시지 계층이고, 그 다음이 전송 계층 순입니다. 클라이언트가 세 개 모두를 전송한 경우 ID 계층만 사용됩니다. SSL 클라이언트 인증을 ID로 사용하는 유일한 방법은 SSL 클라이언트 인증이 요청 시 표시되는 유일한 정보일 경우 뿐입니다. 클라이언트는 네임스페이스에서 IOR을 픽업하고 태그 컴포넌트의 값을 읽어 서버의 보안 요구사항을 판별합니다.
  • CSIv2 전송 계층. 가장 낮은 계층인 전송 계층은 SSL(Secure Socket Layer) 클라이언트 인증을 ID로 포함할 수 있습니다.
  • [IBM i][AIX Solaris HP-UX Linux Windows]CSIv2 메시지 계층. 메시지 계층은 사용자 ID 및 비밀번호 또는 만기된 인증 토큰을 포함할 수 있습니다.

보안 속성 전파

로그인 요청 중 보안 속성 전파를 지원하도록 지정합니다. 이 옵션을 선택하면 애플리케이션 서버는 로그인 요청에 대한 추가 정보(예: 사용된 인증 강도) 및 요청자의 ID와 위치를 보관합니다.

이 옵션을 선택하지 않으면 애플리케이션 서버는 다운스트림 서버로 전파할 추가 로그인 정보를 승인하지 않습니다.

정보
기본값: 사용 가능
중요사항: 복제 서비스를 사용할 경우 보안 속성 전파 옵션이 사용 가능한지 확인하십시오.

ID 어설션 사용

ID 어설션이 다운스트림 Enterprise JavaBeans(EJB) 호출 중에 한 서버에서 다른 서버로 ID를 검증하는 방법임을 지정합니다.

이 서버는 업스트림 서버를 신뢰하므로 신뢰하는 ID를 다시 인증하지 않습니다. ID 어설션은 기타 모든 인증 유형보다 우선순위가 높습니다.

ID 어설션은 속성 레이어에서 수행되며 서버에서만 적용됩니다. 서버에서 판별되는 프린시펄은 우선순위 규칙을 기초로 합니다. ID 어설션이 수행되는 경우, ID는 항상 속성 계층에서 파생됩니다. ID 어설션 없이 기본 인증이 사용되는 경우, ID는 항상 메시지 계층에서 파생됩니다. 마지막으로 SSL 클라이언트 인증서 인증이 기본 인증 또는 ID 어설션 없이 수행되는 경우 ID는 전송 레이어에서 파생됩니다.

신뢰된 ID는 엔터프라이즈 Bean에 대한 RunAs 모드로 판별되는 호출 신임입니다. RunAs 모드가 클라이언트인 경우, ID는 클라이언트의 ID입니다. RunAs 모드가 시스템인 경우, 서버 ID가 됩니다. RunAs 모드가 지정됨인 경우 ID는 지정된 ID입니다. 수신 중인 서버는 ID 토큰에서 ID를 수신하며 또한 클라이언트 인증 토큰에 전송 중인 서버 ID를 수신합니다. 수신 서버는 신뢰 서버 ID 항목 상자를 통해 신뢰된 ID로서 전송 서버 ID의 유효성을 검증합니다. 파이프(|)로 분리된 프린시펄 이름의 목록을 입력하십시오(예: serverid1|serverid2|serverid3).

모든 ID 토큰 유형은 활성 사용자 레지스트리의 사용자 ID 필드로 맵핑됩니다. ITTPrincipal ID 토큰의 경우, 이 토큰은 사용자 ID 필드와 하나씩 맵핑됩니다. ITTDistinguishedName ID 토큰의 경우 첫 번째 등호의 값이 사용자 ID 필드에 맵핑됩니다. ITTCertChain ID 토큰의 경우, 첫 번째 등호의 식별 이름 값이 사용자 ID 필드에 맵핑됩니다.

LDAP 사용자 레지스트리에 인증될 때, LDAP 필터는 ITTCertChain 및 ITTDistinguishedName 유형의 ID가 레지스트리에 맵핑되는 방법을 결정합니다. 토큰 유형이 ITTPrincipal인 경우, 프린시펄은 LDAP 레지스트리의 UID 필드에 맵핑됩니다.

정보
기본값: 사용 불가능

서버 신뢰 ID 사용

애플리케이션 서버가 대상 서버와의 신뢰를 설정하는 데 사용하는 서버 ID를 지정합니다. 다음 메소드 중 하나를 사용하여 서버 ID를 전송할 수 있습니다.

  • 서버 비밀번호를 레지스트리 구성에 지정한 경우 서버 ID 및 비밀번호.
  • 내부 서버 ID를 사용할 경우 LTPA(Lightweight Third Party Authentication)의 서버 ID.
WebSphere® Application Server 이외의 애플리케이션 서버와의 상호운영성을 위해 다음 메소드 중 하나를 사용하십시오.
  • 레지스트리에 서버 ID 및 비밀번호를 구성하십시오.
  • 서버 신뢰 ID 옵션을 선택한 후 LTPA 토큰 대신 상호운영 가능 GSSUP(Generic Security Services Username Password) 토큰을 전송할 수 있도록 신뢰 ID 및 비밀번호를 지정하십시오.
정보
기본값: 사용 불가능

대체 신뢰 ID 지정

서버 ID를 전송하는 대신 대상 서버에 전송되는 신뢰된 ID로 대체 사용자를 지정합니다.

이 옵션은 ID 어설션에 권장합니다. 동일한 셀 내에서 전송될 때 ID가 자동으로 신뢰되며 동일한 셀 내의 신뢰된 ID 목록에 존재할 필요가 없습니다. 그러나 해당 ID가 외부 셀의 대상 서버 레지스트리에 존재하고 사용자 ID가 신뢰 ID 목록에 존재해야 하며, 그렇지 않을 경우 신뢰 평가 중 ID가 거부됩니다.

참고: 대체 신뢰 ID를 전송하려면 메시지 계층 인증 절 아래에서 기본 인증을 선택해야 합니다. 기본 인증을 선택하지 않은 경우에는 대신 서버 ID를 선택하십시오.
정보
기본값: 사용 불가능

신뢰 ID

전송 서버에서 수신 서버로 전송되는 신뢰된 ID를 지정하십시오.

이 필드에 ID를 지정할 경우 구성된 사용자 계정 저장소에 대한 패널에서 선택할 수 있습니다. ID를 지정하지 않는 경우 서버 간에 LTPA(Lightweight Third Party Authentication) 토큰이 전송됩니다.

[z/OS]이 서버에 ID 어설션을 수행할 수 있도록 신뢰된 서버 ID의 세미콜론으로 구분되거나(;) 콤마로 구분된(,) 목록을 지정합니다(예: serverid1;serverid2;serverid3 또는 serverid1,serverid2,serverid3).

이 목록을 사용하여 서버가 신뢰되는지 여부를 결정하십시오. 서버가 목록에 있는 경우에도 전송 서버의 ID 토큰을 승인하려면 전송 서버가 수신 서버에서 인증되어야 합니다.

비밀번호

신뢰 ID와 연관된 비밀번호를 지정합니다.

정보
데이터 유형: 텍스트

비밀번호 확인

신뢰 ID와 연관된 비밀번호를 확인합니다.

정보
데이터 유형: 텍스트

메시지 레이어 인증

다음 옵션은 메시지 레이어 인증에 사용 가능합니다.
불필요
선택한 메커니즘을 사용하여 이 서버가 인증을 승인할 수 없도록 지정합니다.
지원됨
이 서버와 통신하는 클라이언트가 선택한 메커니즘을 사용하여 인증할 수 있도록 지정합니다. 그러나 이러한 인증 유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 대신에 익명 또는 클라이언트 인증을 사용합니다.
필수
이 서버와 통신하는 클라이언트가 메소드 요청에 대해 선택한 메커니즘을 사용하여 인증 정보를 반드시 지정하도록 지정합니다.

클라이언트의 서버 인증 도구:

Kerberos, LTPA 또는 기본 인증을 사용하여 클라이언트 대 서버 인증을 지정합니다.

다음 옵션은 클라이언트 대 서버 인증에 대해 사용 가능합니다.
Kerberos(KRB5)
Kerberos를 인증 메커니즘으로 지정하려면 선택하십시오. 먼저 Kerberos 인증 메커니즘을 구성해야 합니다. 자세한 정보는 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성의 내용을 읽어 보십시오.
LTPA
LTPA(Lightweight Third-Party Authentication) 토큰 인증을 구성하고 사용 가능하게 하려면 선택하십시오.
기본 인증
기본 인증은 GSSUP(Generic Security Services Username Password)입니다. 이러한 인증 유형에는 일반적으로 인증을 위한 클라이언트에서 서버로의 사용자 ID 및 비밀번호 전송이 포함됩니다.

기본 인증LTPA를 선택하고 활성 인증 메커니즘이 LTPA인 경우 서버가 사용자 이름, 비밀번호 또는 LTPA 토큰을 통해 다운스트림 서버와 함께합니다.

기본 인증KRB5를 선택하고 활성 인증 메커니즘이 KRB5인 경우 서버는 사용자 이름, 비밀번호, Kerberos 토큰 또는 LTPA 토큰을 통해 다운스트림 서버와 함께합니다.

기본 인증을 선택하지 않으면 서버가 사용자 이름 및 비밀번호를 통해 다운스트림 서버와 함께하지 않습니다.

전송

클라이언트 프로세스가 서버에 연결된 전송 중 하나를 사용하여 서버에 연결되는지 여부를 지정합니다.

서버가 지원하는 아웃바운드 전송으로서 SSL, TCP/IP 또는 모두를 사용하도록 선택할 수 있습니다. TCP/IP를 지정하면 서버가 TCP/IP만 지원하며 다운스트림 서버와의 SSL 연결을 시작할 수 없습니다. SSL 지원을 지정하면, 이 서버가 TCP/IP 또는 SSL 연결을 시작할 수 있습니다. SSL 필수를 지정하면 이 서버가 SSL을 사용하여 다운스트림 서버에 대한 연결을 시작해야 합니다. SSL을 지정하는 경우, 아웃바운드 구성에 사용하려는 SSL 구성 설정 세트를 결정하십시오.

[AIX Solaris HP-UX Linux Windows][IBM i]이 결정이 다운스트림 서버에 대한 아웃바운드 연결에 사용되는 키 파일과 신뢰 파일을 판별합니다.

다음 옵션을 고려하십시오.
TCP/IP
이 옵션을 선택하면, 서버는 다운스트림 서버와의 TCP/IP 연결만 엽니다.
SSL 필수
이 옵션을 선택하면, 서버는 다운스트림 서버와의 SSL 연결을 엽니다.
SSL 지원
이 옵션을 선택하면, 서버 SSL 연결을 지원하는 모든 다운스트림 서버와의 SSL 연결과 SSL 연결을 지원하지 않는 모든 다운스트림 서버와의 TCP/IP 연결을 엽니다.
정보
기본값: SSL 지원
범위: TCP/IP, SSL 필수, SSL 지원

SSL 설정

인바운드 연결을 위해 선택할 사전 정의된 SSL 설정 목록을 지정합니다.

정보
데이터 유형: String
[AIX Solaris HP-UX Linux Windows][IBM i]기본값: DefaultSSLSettings
[z/OS]기본값: DefaultIIOPSSL
범위: SSL 구성 레퍼토리에 구성되는 모든 SSL 설정

클라이언트 인증서 인증

서버와 다운스트림 서버 간의 SSL(Secure Socket Layer) 연결이 작성된 경우, 구성된 키 저장소의 클라이언트 인증서를 사용하여 서버를 인증할지 여부를 지정합니다(다운스트림 서버가 클라이언트 증명 인증을 지원하는 경우).

일반적으로, 클라이언트 인증서 인증은 메시지 계층 인증보다 고성능이지만, 일부 추가 설정 단계가 필요합니다. 이들 추가 단계는 서버가 개인 인증서를 갖고 다운스트림 서버가 이 서버의 서명자 인증을 갖는지 확인하는 것이 포함됩니다.

클라이언트 증명 인증을 선택하면 다음 옵션이 사용 가능합니다.
불필요
이 서버가 다운스트림 서버로 SSL(Secure Sockets Layer) 클라이언트 증명 인증을 시도하지 않도록 지정합니다.
지원됨
이 서버가 다운스트림 서버에 인증할 SSL 클라이언트 인증을 사용할 수 있도록 지정합니다. 그러나 이러한 인증 유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 서버는 대신에 익명 또는 기본 인증을 사용할 수 있습니다.
필수
이 서버가 다운스트림 서버에 인증할 SSL 클라이언트 인증을 사용해야 함을 지정합니다.
정보
기본값: 사용 가능

로그인 구성

인바운드 인증에 사용할 시스템 로그인 구성의 유형을 지정합니다.

보안 > 글로벌 보안을 클릭하여 사용자 정의 로그인 모듈을 추가할 수 있습니다. 인증에서 JAAS(Java Authentication and Authorization Service) > 시스템 로그인을 클릭하십시오.

Stateful 세션

대부분 성능 향상을 위해 사용되는 Stateful 세션을 사용 가능하도록 하려면 이 옵션을 선택하십시오.

클라이언트와 서버 간의 첫 번째 접속은 완전하게 인증되어야 합니다. 반면 유효한 세션인 모든 후속 접속은 보안 정보를 다시 사용합니다. 클라이언트는 컨텍스트 ID를 서버에 전달하고, 이 ID는 세션 조회에 사용됩니다. 컨텍스트 ID 범위는 고유성을 보증하는 연결입니다. 보안 세션이 유효하지 않고 인증 재시도가 사용 가능할 때마다 기본적으로 사용 가능하며 클라이언트측 보안 인터셉터가 클라이언트측 세션을 무효화하고 사용자가 인식하지 못하는 사이에 요청을 다시 제출합니다. 이러한 상황은 세션이 서버에 없는 경우에 발생할 수 있습니다(예를 들어, 서버가 실패하여 조작을 재개함). 이 값이 사용 불가능하게 되면 모든 메소드 호출을 재인증해야 합니다.

CSIv2 세션 캐시 한계 사용 가능

CSIv2 세션 캐시의 크기를 제한할지 여부를 지정합니다.

이 옵션을 사용하는 경우 최대 캐시 크기유휴 세션 제한시간 옵션의 값을 설정해야 합니다. 이 옵션을 사용하지 않으면 CSIv2 세션 캐시에 제한이 없습니다.

애플리케이션 서버의 이전 버전에서는 이 값을 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 사용자 정의 특성으로 설정했을 수 있습니다. 이번 제품 버전에서는 관리 콘솔 패널을 사용하여 이 값을 사용자 정의 특성이 아닌 값으로 설정하는 것이 좋습니다.

정보
기본값: false

최대 캐시 크기

만기된 세션을 캐시에서 삭제하게 되는 세션 캐시의 최대 크기를 지정합니다.

만기된 세션은 유휴 세션 제한시간 필드에 지정된 시간보다 유휴 시간이 긴 세션으로 정의됩니다. 최대 캐시 크기 필드의 값을 지정하면, 100 - 1000개의 항목 값 설정에 대해 고려하십시오.

사용자 환경에서 Kerberos 인증을 사용하고 구성된 KDC(Key Distribution Center)에 대한 짧은 클럭 스큐가 있는 경우 이 필드에 값을 지정하는 것을 고려하십시오. 이때, 짧은 클럭 스큐는 20분 미만입니다. 작은 캐시 크기로 인해 가비지 콜렉션이 너무 자주 실행되어 애플리케이션 서버의 성능에 영향이 미치는 경우에는 이 필드의 값을 늘릴 것을 고려하십시오.

애플리케이션 서버의 이전 버전에서는 이 값을 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 사용자 정의 특성으로 설정했을 수 있습니다. 이번 제품 버전에서는 관리 콘솔 패널을 사용하여 이 값을 사용자 정의 특성이 아닌 값으로 설정하는 것이 좋습니다.

이 필드는 Stateful 세션CSIv2 세션 캐시 한계 사용 가능 옵션을 모두 사용 가능하게 하는 경우에만 적용됩니다.

정보
기본값: 기본적으로 값은 설정되지 않습니다.
범위: 100 - 1000개의 항목

대기 세션 제한시간

이 특성은 CSIv2 세션이 삭제될 때까지 유휴 상태로 있을 수 있는 시간(밀리초)을 지정합니다. CSIv2 세션 캐시 한계 사용 가능 옵션을 선택하고 최대 캐시 크기 필드의 값이 초과되면 세션이 삭제됩니다.

이 제한시간 값은 Stateful 세션CSIv2 세션 캐시 한계 사용 가능 옵션을 모두 사용 가능하게 하는 경우에만 적용됩니다. 사용자 환경에서 Kerberos 인증을 사용하고 구성된 KDC(Key Distribution Center)에 대한 짧은 클럭 스큐가 있는 경우 이 필드의 값을 줄이는 것을 고려하십시오. 이때, 짧은 클럭 스큐는 20분 미만입니다. 클럭 스큐가 작으면 많은 수의 CSIv2 세션이 거부될 수 있습니다. 그러나 유휴 세션 제한시간 필드의 값이 더 작으면 애플리케이션 서버가 거부된 세션을 보다 자주 정리하므로 잠재적으로 자원 부족을 줄일 수 있습니다.

이전 버전의 WebSphere Application Server에서는 이 값을 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 사용자 정의 특성으로 설정했을 수 있습니다. 이번 제품 버전에서는 관리 콘솔 패널을 사용하여 이 값을 사용자 정의 특성이 아닌 값으로 설정하는 것이 좋습니다. 이전에 이 값을 사용자 정의 특성으로 설정한 경우에는 값이 밀리초로 설정되어 이 관리 콘솔 패널에서 초 단위로 변환됩니다. 이 관리 콘솔 패널에서 값(초)을 지정해야 합니다.

정보
기본값: 기본적으로 값은 설정되지 않습니다.
범위: 60 - 86,400초

사용자 정의 아웃바운드 맵핑

사용자 정의 원격 메소드 호출(RMI) 아웃바운드 로그인 모듈을 사용 가능하게 합니다.

사용자 정의 로그인 모듈은 사전 정의된 RMI 아웃바운드 호출보다 먼저 다른 기능을 맵핑하거나 완료합니다.

사용자 정의 아웃바운드 맵핑을 선언하려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증에서 JAAS(Java Authentication and Authorization Service) > 시스템 로그인 > 새로 작성을 클릭하십시오.

신뢰 인증 영역 - 아웃바운드

RMI/IIOP 통신이 다른 영역에서인 경우, 이 링크를 사용하여 아웃바운드 신뢰 영역을 추가할 수 있습니다.

신임 토큰은 신뢰되는 영역으로만 보내집니다. 또한 수신 서버는 인바운드 신뢰 영역 구성을 사용하여 LTPA 토큰의 유효성을 확인해서 이 영역을 신뢰해야 합니다.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_outbound
파일 이름:usec_outbound.html