Kerberos 인증 설정
이 페이지에서 애플리케이션 서버에 대한 인증 메커니즘으로 Kerberos를 구성 및 확인할 수 있습니다.
구성에 대한 필수 정보를 입력하여 적용한 경우, 서버 프린시펄 이름이 서버 이름, 영역 이름 및 호스트 이름으로부터 작성되며 Kerberos 서비스에 대한 인증을 자동으로 확인하는 데 사용됩니다.
Kerberos가 구성되면 1차 인증 메커니즘이 됩니다. 애플리케이션 세부사항 패널에서 자원 참조 링크에 액세스하여 자원에 대한 JavaBeans(EJB) 인증을 구성하십시오.
이 관리 콘솔 페이지를 보려면 Kerberos 구성을 클릭하십시오.
을 클릭하십시오. 인증에서org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure, unspecified at GSSAPI level minor string: Cannot get credential for principal service WAS/test@AUSTIN.IBM.COM예외 예제에서, 완전한 호스트 이름이 지정되어 있지 않으므로 이로 인해 장애가 발생합니다. 이 장애에서, 일반적으로 시스템의 호스트 이름은 DNS(Domain Name Server) 대신 /etc/hosts 파일에서 얻습니다. UNIX 또는 Linux 시스템에서, DNS 이전에 호스트 파일을 사용하도록 /etc/nsswitch.conf 파일의 "hosts": 행이 구성되어 있는 경우, 호스트 파일에 완전한 호스트 이름이 아닌 시스템의 항목이 포함되어 있으면 Kerberos 구성에 실패합니다.
Kerberos 영역 이름
Kerberos 영역의 이름을 지정합니다. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 예를 들어, 일반적으로 도메인 이름이 test.austin.ibm.com인 시스템의 Kerberos 영역 이름은 AUSTIN.IBM.COM입니다.
영역 이름을 사용하는 컴포넌트에는 두 가지가 있습니다. IBM® JGSS(Java™ Generic Security Service) 컴포넌트는 krb5.conf 파일에서 영역 이름을 확보합니다. 또한 WebSphere® Application Server는 일반적으로 JGSS가 사용하는 영역 이름과 동일한 영역 이름을 유지보수합니다. Kerberos 영역 이름 필드를 공백으로 두면, WebSphere Application Server가 JGSS로부터 영역 이름을 상속합니다.
WebSphere Application Server가 다른 영역 이름을 사용하려 할 수도 있으며, Kerberos 영역 이름 필드를 사용하여 영역 이름을 변경할 수 있습니다. 하지만 관리 콘솔에서 영역 이름을 변경하면 WebSphere Application Server 영역 이름만 변경됩니다.
Information | 값 |
---|---|
데이터 유형: | String |
Kerberos 서비스 이름
Kerberos 서비스 프린시펄은 규칙에 따라 기본, 인스턴스 및 Kerberos 영역 이름의 세 부분으로 나뉩니다. Kerberos 서비스 프린시펄 이름의 형식은 service/<fully qualified hostname>@KERBEROS_REALM.service_name입니다. 서비스 이름은 Kerberos 서비스 프린시펄 이름의 첫 번째 파트입니다. 예를 들어 WAS/test.austin.ibm.com@AUSTIN.IBM.COM에서 서비스 이름은 WAS입니다.
Information | 값 |
---|---|
데이터 유형: | String |
전체 경로를 포함하는 Kerberos 구성 파일
Kerberos 구성 파일(krb5.conf 또는 krb5.ini)에는 원하는 영역의 KDC(Key Distribution Center)를 포함하여 클라이언트 구성 정보가 들어 있습니다. krb5.conf 파일은 Windows 운영 체제를 제외한 krb5.ini 파일을 사용하는 모든 플랫폼에 사용됩니다.
Information | 값 |
---|---|
데이터 유형: | String |
전체 경로를 포함한 Kerberos 키 탭 파일 이름
전체 경로를 포함한 Kerberos 키 탭 파일 이름을 지정합니다. 찾아보기를 클릭하여 찾을 수 있습니다. 이 필드를 비워두면 Kerberos 구성 파일에 지정된 키 탭 파일 이름이 사용됩니다.
Information | 값 |
---|---|
데이터 유형: | String |
프린시펄 이름에서 Kerberos 영역 제거
Kerberos가 Kerberos 영역 이름 앞에 추가되는 @부터 프린시펄 사용자 이름의 접미부를 제거하는지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 기본값은 true입니다.
Information | 값 |
---|---|
기본값: | 사용 가능 |
Kerberos 신임 위임 사용
Kerberos 인증을 통해 Kerberos 위임 신임이 주제에 저장되는지 여부를 지정합니다.
이 옵션을 사용하면 애플리케이션이 저장된 신임을 검색할 수 있으며, Kerberos 클라이언트의 신임을 통해 추가 Kerberos 인증 시 다른 애플리케이션 다운스트림에 해당 신임을 전파할 수 있습니다.
이 매개변수가 boolean: no이며 런타임이 클라이언트 GSS 위임 신임을 추출할 수 없으면 경고 메시지가 로깅됩니다.
Information | 값 |
---|---|
기본값: | 사용 가능 |
![[z/OS]](../images/ngzos.gif)
Kerberos 프린시펄 이름을 SAF ID에 맵핑
내장 맵핑 모듈을 사용하여 z/OS®에서 Kerberos 프린시펄 이름을 SAF에 맵핑할지 여부를 지정합니다. 이 옵션은 활성 사용자 레지스트리가 로컬 OS인 경우에만 적용됩니다.
![[z/OS]](../images/ngzos.gif)
![[z/OS]](../images/ngzos.gif)
- SAF ID에 Kerberos 프린시펄을 맵핑하는 데 SAF 프로파일을 사용하지 않음
- 맵핑이 필요하지 않도록 Kerberos 프린시펄 이름이 이미 SAF 사용자와 일치하는 경우 또는
JAAS(Java Authentication and Authorization Service) 로그인 모듈이 맵핑을 수행하도록
구성된 경우 이 옵션을 선택하십시오.참고: 이 단추는 활성 사용자 레지스트리가 로컬 OS이고 플랫폼이 z/OS인 경우에만 표시됩니다.
- SAF 사용자 프로파일의 KERB 세그먼트를 사용하십시오.
- Kerberos 프린시펄을 SAF 사용자에게 맵핑하려면 이 옵션을 선택하십시오. 여기서 Kerberos 프린시펄은
해당 SAF 사용자의 KERB 세그먼트에 지정되어 있습니다. 선택하면, 보안 사용자 정의 특성 com.ibm.websphere.security.krb.useBuiltInMappingToSAF가
true로 설정됩니다.참고: 이 단추는 활성 사용자 레지스트리가 로컬 OS이고 플랫폼이 z/OS인 경우에만 표시됩니다.이 옵션은 프린시펄 이름에서 Kerberos 영역 제거 필드의 설정에 관계없이 맵핑 시 전체 Kerberos 프린시펄 이름 및 Kerberos 영역을 사용합니다.
- 분배된 ID 맵핑에 SAF 제품의 RACMAP 프로파일 사용
- Kerberos 프린시펄을 SAF 사용자에게 맵핑하려면 이 옵션을 선택하십시오. 여기서 Kerberos 프린시펄 및
Kerberos 영역은 SAF 제품의 RACMAP 프로파일에 지정되어 있습니다. 이 옵션을 선택하려면 SAF
제품이 분배된 ID 맵핑을 지원해야 합니다. 선택하면, 보안 사용자 정의 특성 com.ibm.websphere.security.krb.useRACMAPMappingToSAF가
true로 설정됩니다.참고: 이 단추는 활성 사용자 레지스트리가 로컬 OS이고 셀이 혼합 버전이 아니며 z/OS 보안 제품이 SAF ID 맵핑을 지원하는 경우(RACF®의 경우, 이는 z/OS 버전이 1.11 이상임을 의미함)에만 표시됩니다. 이 옵션은 프린시펄 이름에서 Kerberos 영역 제거 필드의 설정에 관계없이 맵핑 시 전체 Kerberos 프린시펄 이름 및 Kerberos 영역을 사용합니다.