SPNEGO TAI에서의 싱글 사인온 기능 - 체크리스트(더 이상 사용되지 않음)

WebSphere® Application Server는 WebSphere Application Server에서 보안 자원에 대한 HTTP 요청을 안전하게 협상하고 인증하기 위해 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하는 신뢰 연관 인터셉터(TAI)를 제공합니다. SPNEGO TAI를 배치하고 사용하려면 설치를 검사하고 SPNEGO TAI를 최상으로 구성하는 방법을 결정해야 합니다.

제거된 기능 제거된 기능:

WebSphere 애플리케이션 서버 버전 6.1에서는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 안전하게 처리하고 인증하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 7.0에서 이 기능은 이제 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 대체를 사용할 수 있습니다.

depfeat
LTPA(Lightweight Third Party Authentication)는 WebSphere Application Server의 기본 인증 메커니즘입니다. 그러나 SPNEGO TAI를 구성하기 전에 LTPA을 구성해야 할 수도 있습니다. LTPA는 모든 신뢰 연관 인터셉터에 대한 필수 인증 메커니즘입니다. 보안 > 글로벌 보안 > 인증 메커니즘 및 만료를 클릭하여 LTPA를 구성할 수 있습니다.
참고: SPNEGO TAI를 구성할 때 웹 보안 싱글 사인온(SSO)의 사용 설정은 선택적입니다. 자세한 정보는 웹 사용자 인증을 최소화하기 위해 싱글 사인온 구현의 내용을 참조하십시오.
SPNEGO TAI가 배치되는 방법을 설정하려면 다음 질문에 답하십시오.
  1. HTTP 요청을 인터셉트하기 위한 기준은 무엇입니까?

    SPNEGO TAI 배치가 HTTPHeaderFilter 클래스를 기본값으로 사용하는지 결정해야 합니다. 이 클래스를 사용하지 않는 경우 이 클래스의 정확한 필터 특성을 지정해야 합니다. SPNEGO TAI의 기본 동작은 com.ibm.ws.spnego.HTTPHeaderFilter 클래스를 사용하여 모든 요청을 인터셉트하는 것입니다.

    sample com.ibm.ws.spnego.HTTPHeaderFilter 클래스를 사용하지 않는 경우 com.ibm.wsspi.security.spnego.SpnegoTAIFilter 인터페이스를 구현하는 새 클래스를 정의해야 합니다.

    SPI(Service Provider Programming Interface) SPNEGO TAI(더 이상 사용되지 않음)에 대한 HTTP 요청을 필터링하기을 사용하여 인터셉트되는 HTTP 요청을 추가로 제어하도록 결정할 수 있습니다.

    다음에 대한 설명은SPNEGO TAI 사용자 정의 특성 구성(더 이상 사용되지 않음)의 내용을 참조하십시오.
    • com.ibm.ws.security.spnego.SPN<id>.filterClass
    • com.ibm.ws.security.spnego.SPN<id>.filter
  2. 사용자 ID가 사용되도록 맵핑됩니까? 그렇지 않은 경우 그 이유는 무엇입니까?

    WebSphere Application Server에서는 사용자 ID 맵핑을 위한 사용자 정의 로그인 모듈을 정의하거나 개발할 수 있습니다. 이 맵핑 수행에 대한 추가 세부사항은 Kerberos 클라이언트 프린시펄 이름을 SPNEGO TAI(더 이상 사용되지 않음)의 WebSphere 사용자 레지스트리 ID로 맵핑의 내용을 참조하십시오.

    TAI를 배치하기 전에 SPNEGO TAI ID 맵핑을 수행하기 위해 이 사용자 정의 로그인 모듈을 사용할지 여부를 결정해야 합니다.

  3. SPNEGO 토큰을 처리하기 위해 사용할 암호화 유형은 무엇입니까?
    Microsoft Windows Active Directory는 두 가지 다른 Kerberos 암호화 유형인 RC4-HMAC 및 DES-CBC-MD5를 지원합니다. JGSS(IBM® Java™ Generic Security Service) 라이브러리(및 SPNEGO 라이브러리)는 이러한 암호화 유형을 둘 다 지원합니다.
    제한사항: RC4-HMAC 암호화는 Windows 2003 Server 키 분배 센터(KDC)에서만 지원됩니다.
  4. 신임 정보 위임을 어떻게 처리할 것입니까?

    Kerberos는 신임 정보의 위임을 지원합니다. 클라이언트로부터 Kerberos 신임 정보를 수신하는 서버는 위임된 신임 정보를 사용하여 해당 클라이언트를 다른 서버에 대해 위장할 수 있습니다. SPNEGO TAI 토큰은 Kerberos 신임 정보의 랩핑이므로 SPNEGO 토큰 안에 있는 Kerberos 신임 정보를 수신하는 서버는 해당 Kerberos 신임 정보를 사용하여 원래 사용자를 위장할 수 있습니다. 해당 서버는 적절한 HTTP 권한 헤더 작성을 통해 HTTP를 통한 SPNEGO를 다른 SPNEGO 서버에 대한 SPNEGO 클라이언트로 사용하여 상호 작용할 수 있습니다.

  5. SPNEGO TAI는 단일 또는 다중 도메인 이름 서비스(DNS) 도메인 환경 중 어느 환경에 배치됩니까?

    Windows에서 실행되는 웹 브라우저는 DNS 도메인을 구분합니다. 이러한 웹 브라우저는 대상 호스트 이름이 클라이언트 머신의 DNS 도메인에서 정의된 호스트 이름을 식별하면 SPNEGO 토큰만 전송합니다. 각 DNS 도메인에서의 의사 Kerberos 서비스 프린시펄 이름(SPN) 작성에서 이 구성을 지원하기 위해 HTTP 경로 재지정을 사용할 수 있습니다. WebSphere Application Server가 지원하는 모든 SPN은 Kerberos keytab 파일에 사용 가능한 비밀 키가 있어야 합니다. 여러 DNS 도메인 전체에서 싱글 사인온을 사용으로 설정하기 위해 도메인당 각 SPN에 대해 개별 Kerberos keytab 파일이 생성됩니다. WebSphere Application Server가 사용할 수 있도록 먼저 이러한 개별 Kerberos keytab 파일을 병합해야 합니다.

  6. 애플리케이션 서버가 SPNEGO TAI 특성을 다시 로드하는 빈도는?

    SPNEGO TAI에는 JVM(Java Virtual Machine)을 다시 시작하지 않고도 TAI 특성을 다시 로드할 수 있도록 하는 선택적 특성 다시 로드 기능이 있습니다. 이 다시 로드 기능은 시스템 특성 com.ibm.ws.security.spnego.propertyReloadFilecom.ibm.ws.security.spnego.propertyReloadTimeout으로 제어됩니다. 함께 사용되는 이러한 특성을 통해 특정 기간 후 파일 시스템의 파일에서 SPNEGO TAI 내부 특성을 다시 로드할 수 있습니다. com.ibm.ws.security.spnego.propertyReloadTimeout 속성이 유효한 정수 값으로 설정되고 com.ibm.ws.security.spnego.propertyReloadFile 속성이 파일 시스템의 파일을 가리키는 경우 각 JVM은 제한시간이 만료된 후 파일에서 SPNEGO TAI 특성을 다시 로드합니다. 또한 SPNEGO TAI 특성은 파일의 날짜가 변경되는 경우에만 다시 로드됩니다. 이러한 다시 로드 특성이 설정되지 않은 경우 SPNEGO TAI 특성은 JVM 초기화 시에 WebSphere Application Server 구성 데이터에서 정의되는 SPNEGO TAI 사용자 정의 특성에서 한 번만 로드됩니다. 이러한 다시 로드 특성에 대한 자세한 정보는 SPNEGO TAI JVM 구성 사용자 정의 특성(더 이상 사용되지 않음)의 내용을 참조하십시오.

Windows Active Directory(웹) 관리자, WebSphere Application Server 관리자 및 애플리케이션 팀은 이러한 질문을 검토하고 답하여 SPNEGO TAI에 대한 최상의 배치 및 구성을 판별해야 합니다.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_tai_checklist
파일 이름:rsec_SPNEGO_tai_checklist.html