글로벌 보안 설정

이 페이지를 사용하여 관리 및 기본 애플리케이션 보안 정책을 구성할 수 있습니다. 이 보안 구성은 모든 관리 기능의 보안 정책에 적용되고 사용자 애플리케이션의 기본 보안 정책으로 사용됩니다. 보안 도메인은 사용자 애플리케이션의 보안 정책을 대체하고 사용자 정의하도록 정의할 수 있습니다.

이 관리 콘솔 페이지를 보려면 보안 > 글로벌 보안을 클릭하십시오.

[AIX Solaris HP-UX Linux Windows][IBM i]보안은 애플리케이션의 성능에 영향을 줍니다. 성능 영향은 애플리케이션 워크로드 특성에 따라 다를 수 있습니다. 먼저 애플리케이션에 대해 필요한 보안 레벨을 사용 가능한지 결정한 다음 애플리케이션 성능에 대한 보안의 영향을 측정해야 합니다.

보안이 구성된 후에는 레지스트리 또는 인증 메커니즘 페이지 대한 모든 변경사항의 유효성을 검증해야 합니다. 적용을 클릭하여 사용자 레지스트리 설정의 유효성을 검증하십시오. 구성된 사용자 레지스트리에 대해 서버 ID를 인증하거나 관리 ID를 확인(internalServerID가 사용된 경우)하려는 시도가 수행됩니다. 관리 보안을 사용 가능하게 한 후 사용자 레지스트리 설정 값의 유효성을 검증하면 처음 서버를 다시 시작할 때 문제점을 방지할 수 있습니다.

보안 구성 마법사

기본 관리 및 애플리케이션 보안 설정을 구성할 수 있는 마법사를 실행합니다. 이 프로세스는 관리 태스크 및 애플리케이션을 권한 부여된 사용자로만 제한합니다.

이 마법사를 사용하면 애플리케이션 보안, 자원 또는 J2C(Java™ 2 Connector) 보안 및 사용자 레지스트리를 구성할 수 있습니다. 기존 레지스트리를 구성하고 관리, 애플리케이션 및 자원 보안을 사용 가능하게 할 수 있습니다.

보안 구성 마법사를 사용하여 만든 변경사항을 적용하면 기본적으로 관리 보안이 켜집니다.

보안 구성 보고서

애플리케이션 서버의 현재 보안 설정을 수집 및 표시하는 보고서를 실행합니다. 코어 보안 설정, 관리 사용자 및 그룹, CORBA 이름 지정 규칙 및 쿠키 보호에 대한 정보가 수집됩니다. 여러 보안 도메인이 구성된 경우 보고서에는 각 도메인과 연관된 보안 구성이 표시됩니다.

보고서는 애플리케이션 레벨 보안 정보를 표시하지 않도록 현재 제한되어 있습니다. 또한 보고서는 JMS(Java Message Service) 보안, 버스 보안 또는 웹 서비스 보안에 대한 정보를 표시하지 않습니다.

관리 보안 사용 가능

이 애플리케이션 서버 도메인에 대한 관리 보안이 사용 가능한지 여부를 지정합니다. 관리 보안을 사용하는 경우 사용자는 인증을 받아야 애플리케이션 서버의 관리 제어권을 얻을 수 있습니다.

자세한 정보는 관리 역할 및 관리 인증에 대한 관련 링크를 참조하십시오.

보안을 사용 가능하게 하면 인증 메커니즘 구성을 설정하고 선택된 레지스트리 구성에서 올바른 사용자 ID 및 비밀번호(또는 internalServerID 기능을 사용하는 경우 유효한 관리 ID)를 지정하십시오.

참고: 환경을 관리하는 관리자를 식별하는 사용자 ID(대개 관리 ID라고 함)와 서버 간 통신에 사용되는 서버 ID 간에는 차이점이 있습니다. 내부 서버 ID 기능을 사용하고 있을 때 서버 ID과 비밀번호를 입력할 필요가 없습니다. 하지만 선택적으로 서버 ID 및 비밀번호를 지정할 수 있습니다. 서버 ID 및 비밀번호를 지정하려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 저장소를 선택하고 구성을 클릭하십시오.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]서버 사용자 ID 섹션에 서버 ID 및 비밀번호를 지정하십시오.

[z/OS]사용자 레지스트리가 로컬 OS인 경우, z/OS에서 태스크를 시작했음 옵션만 지정할 수 있습니다.

보안 도메인에서 보안을 사용 가능하게 한 후 서버가 시작되지 않는 등의 문제가 발생하는 경우, 셀의 모든 파일을 이 노드에서 다시 동기화하십시오. 파일을 다시 동기화하려면 노드에서 다음 명령을 실행하십시오. syncNode -username your_userid -password your_password. 이 명령은 배치 관리자에 연결되고 모든 파일을 다시 동기화합니다.

[IBM i][z/OS]관리 보안을 사용 가능하게 한 후 서버가 다시 시작되지 않는 경우, 보안을 사용 불가능하게 할 수 있습니다. app_server_root/bin 디렉토리에서 wsadmin -conntype NONE 명령을 실행하십시오. wsadmin> 프롬프트에서 securityoff를 입력한 다음 exit를 입력하여 명령 프롬프트로 리턴하십시오. 관리 콘솔을 통해 보안을 사용 불가능하게 하고 서버를 다시 시작하여 부정확한 설정이 있는지 확인하십시오.

[z/OS]로컬 OS 사용자 레지스트리 사용자: 활성 사용자 레지스트리로 로컬 OS를 선택하는 경우, 사용자 레지스트리 구성에 비밀번호를 제공할 필요가 없습니다.

Information
기본값: 사용 가능

애플리케이션 보안 사용 가능

사용자 환경에서 애플리케이션에 대한 보안을 사용 가능하게 합니다. 이 유형의 보안은 인증하는 애플리케이션 사용자에 대한 애플리케이션 분리 및 요구사항을 제공합니다.

WebSphere Application Server의 이전 릴리스에서는 사용자가 글로벌 보안이 가능하도록 설정한 경우 관리 보안과 애플리케이션 보안 둘 다 가능했습니다. WebSphere Application Server 버전 6.1에서는 이전 글로벌 보안 표기가 관리 보안 및 애플리케이션 보안으로 분할되어 각각 별도로 사용 가능하도록 설정할 수 있습니다.

이 분할의 결과로, WebSphere Application Server 클라이언트는 대상 서버에서의 애플리케이션 보안 사용 불가능 여부를 알아야 합니다. 관리 보안은 기본적으로 사용 가능합니다. 기본적으로 애플리케이션 보안은 사용 불가능합니다. 애플리케이션 보안이 사용 가능하도록 하려면 관리 보안을 사용 가능하도록 설정해야 합니다. 애플리케이션 보안은 관리 보안이 사용되는 경우에만 적용됩니다.

Information
기본값: 사용 불가능

Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한

Java 2 보안 권한 검사의 사용 가능 또는 사용 불가능 여부를 지정합니다. 기본적으로 로컬 자원에 대한 액세스는 제한되지 않습니다. 애플리케이션 보안이 사용되는 경우에도 Java 2 보안을 사용하지 않도록 선택할 수 있습니다.

Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한 옵션을 사용할 수 있고 기본 정책에 부여된 것보다 많은 Java 2 보안 권한이 애플리케이션에 필요한 경우, 애플리케이션의 app.policy 파일 또는 was.policy 파일에 필수 권한이 부여되어야 애플리케이션이 올바르게 실행됩니다. AccessControl 예외는 모든 필수 권한이 없는 애플리케이션에 의해 생성됩니다. Java 2 보안에 대한 자세한 정보는 관련 링크를 참조하십시오.

Information
기본값: 사용 불가능

애플리케이션에 사용자 정의 사용 권한이 허용되는 경우 경고

애플리케이션 배치 및 애플리케이션 시작 시 보안 실행 시간이 경고 옵션을 발행하도록 지정합니다(애플리케이션에 사용자 정의 권한이 부여되는 경우). 사용자 정의 권한은 Java API 권한이 아니라 사용자 애플리케이션에 의해 정의된 권한입니다. Java API 권한은 java.*javax.* 패키지의 권한입니다.

애플리케이션 서버는 정책 파일 관리 지원을 제공합니다. 이 제품에서는 많은 정책 파일을 제공하며, 이 파일 중 일부는 정적이고 일부는 동적입니다. 동적 정책은 특정 유형의 자원에 대한 권한 템플리트입니다. 코드 기본이 정의되지 않았으며 동적 정책 템플리트에 사용된 관련 코드 기본이 없습니다. 실제 기본 코드는 구성 및 런타임 데이터에서 동적으로 작성됩니다. filter.policy 파일에는 애플리케이션이 J2EE 1.4 스펙에 따르지 않게 할 사용 권한의 목록이 들어 있습니다. 권한에 대한 자세한 정보는 Java 2 보안 정책 파일에 대한 관련 링크를 참조하십시오.

중요사항: Java 2 보안을 사용하여 로컬 자원에 대한 액세스 제한 옵션이 사용 가능으로 설정되어 있어야 이 옵션을 사용 가능으로 설정할 수 있습니다.
Information
기본값: 사용 불가능

자원 인증 데이터에 대한 액세스 제한

민감한 JCA(Java Connector Architecture) 맵핑 인증 데이터에 대한 애플리케이션 액세스를 제한하려면 이 옵션을 사용하십시오.

다음 두 조건이 모두 true인 경우에 이 옵션을 사용 가능으로 설정하십시오.
  • Java 2 보안이 강제 실행되었습니다.
  • 애플리케이션 코드에 EAR(Enterprise Application Archive) 파일에 있는 was.policy 파일에서 accessRuntimeClasses WebSphereRuntimePermission 권한이 부여되었습니다. 예를 들어 was.policy 파일에 다음 행이 있는 경우 애플리케이션 코드에 권한이 부여됩니다.
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

자원 인증 데이터에 대한 액세스 제한 옵션은 WSPrincipalMappingLoginModule 구현의 기본 프린시펄 맵핑에 세분화된 Java 2 보안 권한 검사를 추가합니다. Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한자원 인증 데이터에 대한 액세스 제한 옵션이 사용되는 경우, JAAS(Java Authentication and Authorization Service) 로그인에서 직접 WSPrincipalMappingLoginModule 구현을 사용하는 J2EE(Java 2 Platform, Enterprise Edition) 애플리케이션에 명시적인 권한을 부여해야 합니다.

Information
기본값: 사용 불가능

현재 영역 정의

활성 사용자 저장소의 현재 설정을 지정합니다.

이 필드는 읽기 전용입니다.

사용 가능한 영역 정의

사용 가능한 사용자 계정 저장소를 지정합니다.

드롭 다운 목록에 표시되는 선택사항은 다음과 같습니다.
  • 로컬 운영 체제
  • 독립형 LDAP 레지스트리
  • 독립형 사용자 정의 레지스트리
[AIX Solaris HP-UX Linux Windows][z/OS]

현재로 설정

구성된 후 사용자 저장소 사용 가능

다음 사용자 저장소 중 하나에 대한 설정을 구성할 수 있습니다.
연합 저장소
여러 저장소의 프로파일을 단일 영역으로 관리하도록 이 설정을 지정하십시오. 영역은 다음과 같은 위치의 ID로 구성될 수 있습니다.
  • 시스템에 내장된 파일 기반 저장소
  • 하나 이상의 외부 저장소
  • 내장 파일 기반 저장소 및 하나 이상의 외부 저장소 모두
참고: 관리자 권한이 있는 사용자만 연합 저장소 구성을 볼 수 있습니다.
로컬 운영 체제

[z/OS]구성된 RACF®(Resource Access Control Facility) 또는 SAF(System Authorization Facility) 준수 보안 서버를 애플리케이션 서버 사용자 레지스트리로 사용하려면 이 설정을 지정하십시오.

[AIX Solaris HP-UX Linux Windows][IBM i]UNIX 플랫폼에서 비루트로 실행 중이거나 다중 노드에 있는 경우에는 localOS를 사용할 수 없습니다.

[AIX Solaris HP-UX Linux Windows]로컬 운영 체제 레지스트리는 도메인 제어기 또는 단일 시스템에 상주하는 WebSphere Application Server, Network Deployment 셀을 사용하는 경우에만 유효합니다. 후자의 경우 셀에 있는 여러 노드를 여러 시스템에 분산할 수 없습니다. 로컬 OS 사용자 레지스트리를 사용하는 이 구성이 유효하지 않기 때문입니다.

독립형 LDAP 레지스트리

사용자 및 그룹이 외부 LDAP 디렉토리에 상주할 때 독립형 LDAP 레지스트리 설정을 사용하려면 이 설정을 지정하십시오. 보안이 사용되는 경우 이러한 특성이 변경되면 보안 > 글로벌 보안 페이지로 이동한 후 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.

참고: 여러 LDAP 서버가 지원되기 때문에 이 설정이 하나의 LDAP 레지스트리를 의미하지는 않습니다.
독립형 사용자 정의 레지스트리
com.ibm.websphere.security.UserRegistry 인터페이스를 구현하는 독립형 사용자 정의 레지스트리를 구현하려면 이 설정을 지정하십시오. 보안이 사용되는 경우 이러한 특성이 변경되면 글로벌 보안 페이지로 이동한 후 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.
Information
기본값: 사용 불가능

구성...

글로벌 보안 설정을 구성하려면 선택하십시오.

웹 및 SIP 보안

인증 아래에서 웹 및 SIP 보안을 펼쳐서 다음에 대한 링크를 보십시오.

  • 일반 설정
  • 싱글 사인온(SSO)
  • SPNEGO 웹 인증
  • 신뢰 연관

일반 설정

웹 인증 설정을 지정하려면 선택하십시오.

싱글 사인온(SSO)

싱글 사인온(SSO)에 대한 구성 값을 지정하려면 선택하십시오.

SSO 지원을 통해 웹 사용자는 WebSphere Application Server 자원(예: HTML, JSP(JavaServer Pages) 파일, 서블릿, 엔터프라이즈 Bean) 및 Lotus® Domino® 자원 둘 다에 액세스할 때 한 번만 인증받을 수 있습니다.

SPNEGO 웹 인증

SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)는 웹 클라이언트와 서버가 통신을 허용하는 데 사용되는 웹 인증 프로토콜을 조정하는 방법을 제공합니다.

신뢰 연관

신뢰 연관에 대한 설정을 지정하려면 선택하십시오. 신뢰 연관은 역방향 프록시 서버를 애플리케이션 서버에 연결하는 데 사용됩니다.

글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.

참고: SPNEGO 인증에 TAI(신뢰 연관 인터셉터) 사용은 더 이상 지원되지 않습니다. SPNEGO 웹 인증 페이지에서는 이제 훨씬 더 쉽게 SPNEGO를 구성할 수 있습니다.

RMI/IIOP 보안

인증 아래에서 RMI/IIOP 보안을 펼쳐 다음 링크를 보십시오.

  • CSIv2 인바운드 통신
  • CSIv2 아웃바운드 통신

CSIv2 인바운드 통신

OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 이 서버가 승인한 연결에 대한 전송 설정값과 수신한 요청에 대한 인증 설정값을 지정하려면 선택하십시오.

인증 기능에는 동시에 사용할 수 있는 다음과 같은 세 가지 인증 계층이 포함됩니다.
  • CSIv2 속성 계층. 속성 계층은 이미 인증된 업스트림 서버의 ID인 ID 토큰을 포함할 수 있습니다. ID 계층이 최고의 우선순위를 가지며 다음이 위의 메시지 계층이고, 그 다음이 전송 계층 순입니다. 클라이언트가 세 개 모두를 전송한 경우 ID 계층만 사용됩니다. SSL 클라이언트 인증을 ID로 사용하는 유일한 방법은 SSL 클라이언트 인증이 요청 시 표시되는 유일한 정보일 경우 뿐입니다. 클라이언트는 네임스페이스에서 IOR을 픽업하고 태그 컴포넌트의 값을 읽어 서버의 보안 요구사항을 판별합니다.
  • CSIv2 전송 계층. 가장 낮은 계층인 전송 계층은 SSL(Secure Socket Layer) 클라이언트 인증을 ID로 포함할 수 있습니다.
  • [IBM i][AIX Solaris HP-UX Linux Windows]CSIv2 메시지 계층. 메시지 계층은 사용자 ID 및 비밀번호 또는 만기된 인증 토큰을 포함할 수 있습니다.

CSIv2 아웃바운드 통신

OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 서버에서 시작한 연결에 대한 전송 설정값과 서버가 수신한 요청에 대한 인증 설정값을 지정하려면 선택하십시오.

인증 기능에는 동시에 사용할 수 있는 다음과 같은 세 가지 인증 계층이 포함됩니다.
  • CSIv2 속성 계층. 속성 계층은 이미 인증된 업스트림 서버의 ID인 ID 토큰을 포함할 수 있습니다. ID 계층이 최고의 우선순위를 가지며 다음이 위의 메시지 계층이고, 그 다음이 전송 계층 순입니다. 클라이언트가 세 개 모두를 전송한 경우 ID 계층만 사용됩니다. SSL 클라이언트 인증을 ID로 사용하는 유일한 방법은 SSL 클라이언트 인증이 요청 시 표시되는 유일한 정보일 경우 뿐입니다. 클라이언트는 네임스페이스에서 IOR을 픽업하고 태그 컴포넌트의 값을 읽어 서버의 보안 요구사항을 판별합니다.
  • CSIv2 전송 계층. 가장 낮은 계층인 전송 계층은 SSL(Secure Socket Layer) 클라이언트 인증을 ID로 포함할 수 있습니다.
  • [IBM i][AIX Solaris HP-UX Linux Windows]CSIv2 메시지 계층. 메시지 계층은 사용자 ID 및 비밀번호 또는 만기된 인증 토큰을 포함할 수 있습니다.

Java 인증 및 권한 부여 서비스

인증 아래에서 JAAS(Java Authentication and Authorization Service)를 펼쳐서 다음에 대한 링크를 보십시오.

  • 애플리케이션 로그인
  • 시스템 로그인
  • J2C 인증 데이터

애플리케이션 로그인

JAAS에서 사용하는 기본 로그인 구성을 정의하려면 선택하십시오.

ClientContainer, DefaultPrincipalMapping 및 WSLogin 로그인 구성은 다른 애플리케이션에서 사용할 수 있으므로 제거하지 마십시오. 이러한 구성을 제거하는 경우, 다른 애플리케이션이 실패할 수 있습니다.

시스템 로그인

인증 메커니즘, 프린시펄 맵핑 및 신임 맵핑을 포함하여 시스템 자원에서 사용하는 JAAS 로그인 구성을 정의하려면 선택하십시오.

J2C 인증 데이터

JAAS(Java Authentication and Authorization Service) J2C(Java 2 Connector) 인증 데이터의 설정을 지정하려면 선택하십시오.

글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.

LTPA

애플리케이션 서버가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택하십시오.

서버 간에 교환되는 인증 정보 암호화에는 LTPA(Lightweight Third-Party Authentication) 메커니즘이 포함됩니다.

Kerberos 및 LTPA

애플리케이션 서버가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택하십시오.

서버 간에 교환되는 인증 정보 암호화에는 Kerberos 메커니즘이 포함됩니다.
참고: 이 옵션을 선택하려면 Kerberos를 구성해야 합니다.

Kerberos 구성

애플리케이션 서버가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택하십시오.

서버 간에 교환되는 인증 정보 암호화에는 LTPA 메커니즘의 KRB5가 포함됩니다.

인증 캐시 설정

인증 캐시 설정을 설정하려면 선택하십시오.

JASPI(Java Authentication SPI) 사용 가능

JASPI(Java Authentication SPI) 인증을 사용하려면 선택하십시오.

그런 다음 제공자를 클릭하여 글로벌 보안 구성에서 JASPI 인증 제공자 및 연관된 인증 모듈을 작성하거나 편집할 수 있습니다.

영역 규정 사용자 이름 사용

메소드(예: getUserPrincipal() 메소드)에서 리턴되는 사용자 이름이 해당 메소드가 상주하는 보안 영역으로 규정되도록 지정합니다.

보안 도메인

보안 도메인 링크에서 사용자 애플리케이션에 대한 추가 보안 구성을 구성하십시오.

예를 들어 사용자 애플리케이션 세트에 글로벌 레벨로 사용된 것과 다른 사용자 레지스트리를 사용하려는 경우 사용자 레지스트리에 보안 구성을 작성하고 이를 애플리케이션 세트와 연관시킬 수 있습니다. 이러한 추가 보안 구성은 여러 범위(셀, 클러스터/서버, SIBuses)와 연관시킬 수 있습니다. 보안 구성이 범위와 연관되면 범위에 있는 모든 사용자 애플리케이션이 이 보안 구성을 사용합니다. 자세한 정보는 다중 보안 도메인에 대해 읽어보십시오.

각각의 보안 속성에 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.

외부 권한 제공자

기본 권한 구성 또는 외부 권한 제공자를 사용할지 여부를 지정하려면 선택하십시오.

외부 제공자는 JACC(Java Authorization Contract for Container) 사양을 기반으로 하여 Java EE(Java Platform, Enterprise Edition) 인증을 처리해야 합니다. 외부 보안 제공자를 JACC 권한 제공자로 구성한 경우 외에는 인증 제공자 페이지의 설정을 수정하지 마십시오.

사용자 정의 특성

데이터의 이름-값 쌍을 지정하려면 선택하십시오. 여기서 이름은 특성 키이고 값은 문자열입니다.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_secureadminappinfra
파일 이름:usec_secureadminappinfra.html