범주에 대한 보안 사용 가능

이 주제를 사용하여 IBM® WebSphere® Application Server 보안을 사용 가능하게 하십시오. 기타 모든 보안 설정이 기능하려면 관리 보안을 사용 가능하게 해야 합니다.

이 태스크 정보

WebSphere Application Server는 중요한 데이터를 보호하고 WebSphere Application Server와 네트워크 내 기타 컴포넌트 사이의 통신에 대한 기밀성 및 무결성을 보장하기 위해 암호화를 사용합니다. 또한 웹 서비스 애플리케이션에 대해 특정 보안 제한이 구성되어 있는 경우에도 웹 서비스 보안에서 암호화를 사용합니다.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server는 SDK(Software Development Kit)에서 JSSE(Java™ Secure Sockets Extension) 및 JCE(Java Cryptography Extension) 라이브러리를 사용하여 이 암호화를 수행합니다. SDK는 강력하지만 제한된 법적 정책 파일을 제공합니다. 제한되지 않는 정책 파일은 총체적 암호화를 수행하고 성능을 증진할 수 있도록 합니다.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server는 강력하지만 제한된 관할 정책 파일을 포함하는 SDK 6을 제공합니다. 웹 사이트(IBM 개발자 킷: 보안 정보)에서 제한되지 않은 정책 파일을 다운로드할 수 있습니다.

문제점 방지 문제점 방지: SDK(Software Development Kit)에 대한 업데이트를 포함하는 수정팩은 제한되지 않는 정책 파일 및 cacerts 파일을 겹쳐쓸 수 있습니다. 수정팩을 적용하기 전에 제한되지 않는 정책 파일과 cacerts 파일을 백업하고 수정팩을 적용한 후 해당 파일을 다시 적용하십시오. 이 파일은 {was_install_directory}\java\jre\lib\security 디렉토리에 있습니다. gotcha
중요사항: 사용자의 국가마다 암호화 소프트웨어의 수입, 소유권, 사용 또는 다른 국가로의 재수출에 대한 제한사항이 있을 수 있습니다. 제한되지 않은 정책 파일을 다운로드하거나 사용하기 전에 허용 여부를 결정하려면 암호화 소프트웨어의 수입, 소유권, 사용 및 재수출에 관한 해당 국가의 법률, 규정 및 정책을 확인해야 합니다.
다음 단계를 완료하여 새 정책 파일을 다운로드하고 설치하십시오.
  1. Java SE 6를 클릭하십시오.
  2. 페이지의 아래로 화면이동한 다음 IBM SDK 정책 파일을 클릭하십시오.

    SDK 6 웹 사이트의 제한되지 않은 JCE 정책 파일이 표시됩니다.

  3. 사인인을 클릭하고 IBM.com ID 및 비밀번호를 제공하십시오.
  4. SDK 6에 대한 제한되지 않은 JCE 정책 파일을 선택하고 계속을 클릭하십시오.
  5. 라이센스를 보고 동의함을 클릭하여 계속하십시오.
  6. 지금 다운로드를 클릭하십시오.
  7. 압축된 파일에 패키지된 제한되지 않은 관할 정책 파일을 추출하십시오. 압축된 파일에는 US_export_policy.jar 파일 및 local_policy.jar 파일이 포함되어 있습니다.
  8. [AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server 설치에서 $JAVA_HOME/jre/lib/security 디렉토리로 이동하고 US_export_policy.jarlocal_policy.jar 파일을 백업하십시오.
  9. [z/OS]WebSphere Application Server 설치에서 제품 HFS 읽기/쓰기를 마운트하십시오. $JAVA_HOME/jre/lib/security 디렉토리로 이동하여 US_export_policy.jarlocal_policy.jar 파일을 백업하십시오.
  10. US_export_policy.jarlocal_policy.jar 파일을 IBM.com 웹 사이트에서 다운로드한 두 파일로 바꾸십시오.
  11. [z/OS]제품 HFS를 읽기 전용으로 다시 마운트하십시오.
[z/OS]임베디드 SDK(Software Development Kit)는 무제한 관할 정책 Java 아카이브(JAR) 파일과 함께 제공됩니다. 따라서 웹 사이트에서 이러한 파일을 다운로드하는 대신 해당 국가의 규정에 따라 파일에 기호로 링크할 수 있습니다. 이러한 제한되지 않은 정책 파일은 install_root/java/demo/jce/policy-files/unrestricted/ 디렉토리에 있습니다. 다음 UNIX 기반 명령으로 이 파일에 링크할 수 있습니다.
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the original policy .jar files. Because a backup is
# automatically present in the smpe.home HFS, an explicit
# backup is not needed:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# the symbolic links to the unrestricted policy files:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
데모 디렉토리의 무제한 정책 파일에 대한 기호 링크를 제거하고 원래 파일에 링크하려면 다음 UNIX 기반 명령을 사용하십시오.
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the current policy .jar files. You might want
# to back up the following files:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create 
# symbolic links to the smpe HFS where the original files 
# are kept: 
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

다음 단계를 완료하여 영역에 대한 보안을 사용 가능하게 하십시오.

프로시저

  1. WebSphere Application Server에서 관리 보안을 사용 가능하게 하십시오.

    자세한 정보는 보안 사용 가능의 내용을 참조하십시오. 보안 > 글로벌 보안을 클릭하는 것이 중요합니다. 목록에서 사용 가능 영역 정의를 선택한 다음 현재로 설정을 클릭하십시오. 구성을 저장소에 저장하십시오. 계속하려면 보안 > 글로벌 보안 패널에서 확인을 클릭한 후 발생하는 유효성 검증이 성공적인지 확인하십시오. 유효성 검증이 실패하고 이 단계를 계속하려는 경우, 서버가 시작하지 않을 수 있습니다. 유효성 검증이 성공할 때까지 보안 설정을 재구성하십시오.

  2. 관리 콘솔을 사용하여 새 구성의 사본을 실행 중인 모든 노드 에이전트로 전송하십시오. 노드 에이전트가 보안 사용 가능 구성을 가져오지 못하면 액세스 권한이 부족하여 배치 관리자와 통신할 수 없습니다. 노드 에이전트는 보안이 사용 가능한 상태가 아닙니다. 특정 노드에서 동기화를 강제 실행하려면 관리 콘솔에서 다음 단계를 수행하십시오.
    1. 시스템 관리 > 노드를 클릭하고 모든 노드 옆의 옵션을 선택하십시오. 배치 관리자 노드를 선택할 필요가 없습니다.
    2. 전체 재동기화를 클릭하여 파일 동기화가 발생했는지 확인하십시오. 노드가 이미 동기화되어 있음을 메시지에서 표시할 수 있습니다. 이 메시지는 확인입니다. 일단 동기화가 시작되면 모든 노드에 대해 동기화된 상태가 표시되는지 확인하십시오.
  3. 배치 관리자를 중지하십시오. 명령행이나 서비스에서 배치 관리자를 수동으로 다시 시작해야 합니다. 배치 관리자를 중지하려면 시스템 관리 > 배치 관리자를 클릭한 후 중지를 클릭하십시오. 이 조치는 관리 콘솔에서 로그아웃되어 배치 관리자 프로세스가 중지됩니다.
  4. 배치 관리자 프로세스를 다시 시작하십시오.

    [AIX Solaris HP-UX Linux Windows]배치 관리자 프로세스를 다시 시작하려면 app_server_root/bin 디렉토리를 찾고 startManager.bat 또는 startManager.sh를 입력하십시오. 배치 관리자 초기화가 완료된 후 관리 콘솔로 다시 이동하여 이 태스크를 완료하십시오. 이제 보안이 배치 관리자에서만 사용 가능해집니다. 싱글 사인온(SSO)을 사용 가능하게 한 경우, 웹 주소의 완전한 도메인 이름(예: http://myhost.domain:port_number/ibm/console)을 지정하십시오. 또한 사용자 ID 및 비밀번호를 입력하도록 프롬프트되면 구성된 사용자 레지스트리에서 관리자 ID로 정의한 내용을 입력하십시오.

    [z/OS]배치 관리자 프로세스를 다시 시작하려면 다음 명령을 입력하십시오.
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    단일 행에 이전 명령을 입력해야 합니다. 여기에서는 보기 쉽게 하기 위해 나누어져 있습니다(z/OS® MVS™ 시스템 명령 사용에 대한 자세한 정보는 다음 관련 링크를 참조하십시오). 배치 관리자 초기화가 완료된 후 관리 콘솔로 다시 이동하여 이 타스크를 완료하십시오. 배치 관리자에서만 보안이 사용 가능합니다. 싱글 사인온(SSO)을 사용 가능하게 한 경우, 웹 주소의 완전한 도메인 이름(예: http://myhost.domain:port_number/ibm/console)을 지정하십시오. 또한 사용자 ID 및 비밀번호를 입력하도록 프롬프트되면 구성된 사용자 레지스트리에서 관리자 ID로 입력한 내용을 입력하십시오.
  5. [IBM i]배치 관리자 프로세스를 다시 시작하십시오. 배치 관리자 프로세스를 다시 시작하려면 Qshell 환경을 연 후 app_server_root/bin 디렉토리를 찾으십시오. app_server_root 변수는 app_server_root/bin/ 기본 디렉토리를 참조합니다. Qshell 명령행에서 startManager를 입력하십시오.

    배치 관리자 초기화가 완료된 후 관리 콘솔로 다시 이동하여 이 태스크를 완료하십시오. 이제 보안이 배치 관리자에서만 사용 가능해집니다. 싱글 사인온(SSO)을 사용 가능하게 한 경우, 웹 주소의 완전한 도메인 이름(예: http://myhost.domain:port_number/ibm/console)을 지정하십시오. 또한 사용자 ID 및 비밀번호를 입력하도록 프롬프트되면 구성된 사용자 레지스트리에서 관리자 ID로 정의한 내용을 입력하십시오.

  6. 보안을 사용 가능하게 한 후에 배치 관리자가 시작하지 않는 경우 스크립트를 사용하여 보안을 사용 불가능하게 하고 다시 시작하십시오. DeploymentManager/bin 디렉토리에서 다음 명령을 발행하여 보안을 사용 불가능하게 하십시오.
    ./wsadmin.sh -conntype NONE
    프롬프트에서 securityoff를 입력하십시오.
  7. 모든 노드 에이전트를 다시 시작하여 보안을 사용 가능하게 하십시오. 이 단계를 완료하기 전에 이전 단계에서 배치 관리자를 다시 시작해야 합니다. 노드 에이전트에서 배치 관리자가 보안 사용 가능 상태 이전에 보안 사용 가능 상태인 경우, 배치 관리자가 노드 에이전트 상태에 대해 조회하거나 노드 에이전트 명령을 제공할 수 없습니다. 모든 노드 에이전트를 중지시키려면 다음 단계를 완료하십시오.
    1. 시스템 관리 > 노드 에이전트로 이동하여 모든 노드 에이전트의 옵션을 선택하십시오. 다시 시작을 클릭하십시오. TNODE NAME 노드의 노드 에이전트가 다시 시작되었습니다와 비슷한 메시지가 표시됩니다.
    2. 또는 이전에 애플리케이션 서버를 중지하지 않은 경우, 시스템 관리 > 노드 에이전트를 클릭하고 모든 서버를 다시 시작할 노드 에이전트를 클릭하여 해당 노드의 모든 서버를 다시 시작하십시오. 노드에서 모든 서버 다시 시작을 클릭하십시오. 이 조치는 노드 에이전트 및 시작된 애플리케이션 서버를 다시 시작합니다.
  8. 노드 에이전트가 다시 시작할 수 없으면 구성에 대해 수동 재동기화를 수행하십시오. 이 단계는 실제 노드로 이동 및 클라이언트 syncNode 명령 실행으로 구성됩니다. 이 클라이언트는 배치 관리자에 로그인하며 모든 구성 파일을 노드 에이전트에 복사합니다. 이 조치로 구성에서 보안이 사용 가능해 집니다. 노드 에이전트가 시작되지만 배치 관리자와 통신하지 않고 있는 경우 stopServer 명령을 발행하여 노드 에이전트를 중지하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
파일 이름:tsec_egs.html