레지스트리 또는 저장소 선택

사용자 레지스트리에 있는 사용자 및 그룹에 대한 정보입니다. WebSphere® Application Server에서 사용자 레지스트리는 사용자를 인증하고, 사용자 및 그룹 정보를 검색하여 인증 및 권한을 포함한 보안 관련 기능을 수행합니다.

시작하기 전에

참고: 프로파일 작성 중 설치하는 동안이나 사후 설치 중에 관리 보안이 기본적으로 사용됩니다. 파일 기반 연합 사용자 저장소는 활성 사용자 레지스트리로 구성됩니다. 다른 사용자 레지스트리를 사용할 것인지를 결정하십시오.

사용자 레지스트리나 저장소를 구성하기 전에 사용할 사용자 레지스트리 또는 저장소를 결정하십시오. 셀에서는 하나의 활성 기본 레지스트리를 구성할 수 있습니다.

이 태스크 정보

WebSphere Application Server는 로컬 운영 체제 레지스트리, 독립형 LDAP(Lightweight Directory Access Protocol) 레지스트리, 독립형 사용자 정의 레지스트리 및 연합 저장소를 포함한 다양한 유형의 레지스트리 및 저장소를 지원하는 구현을 제공합니다.

WebSphere Application Server에서 사용자 레지스트리 또는 저장소(예: 연합 저장소)는 사용자를 인증하고, 사용자 및 그룹 정보를 검색하여 인증 및 권한을 포함한 보안 관련 기능을 수행합니다.

WebSphere Application Server에서 사용자 레지스트리 또는 저장소는 다음 용도로 사용됩니다.
  • 기본 인증, ID 어설션 또는 클라이언트 인증서를 사용하여 사용자 인증
  • 사용자 및 그룹을 보안 역할로 맵핑하는 것과 같은 보안 관련 관리 기능을 수행하기 위해 사용자 및 그룹에 대한 정보 검색

[z/OS]WebSphere Application Server는 다중 운영 체제 또는 운영 환경 기반의 사용자 레지스트리(예: z/OS® SAF 레지스트리) 및 대부분의 주요 LDAP(Lightweight Directory Access Protocol) 기반 레지스트리를 지원하는 기능으로 설계되었습니다. 사용자 정의 LDAP 기능을 사용하면 올바른 구성 정보(예: 사용자 및 그룹 필터)을 설정하여 LDAP 서버를 지원할 수 있습니다. 그러나 이러한 지원은 테스트할 수 없는 많은 가능성이 존재하므로 사용자 정의 LDAP 서버로 확장되지 않습니다.

[z/OS]올바른 레지스트리 또는 저장소를 구성하는 것은 애플리케이션 역할에 사용자 및 그룹을 지정하기 위한 전제조건입니다. 기본적으로 사용자 레지스트리 또는 저장소가 구성되지 않은 경우에는 로컬 운영 체제 SAF 기반 레지스트리가 사용됩니다. 로컬 운영 체제가 아닌 사용자 레지스트리 또는 저장소를 선택한 경우 사용자 레지스트리 또는 저장소를 먼저 구성해야 합니다. 사용자 레지스트리 또는 저장소 구성은 일반적으로 관리 보안을 사용 가능하게 하여 서버를 다시 시작한 다음 모든 애플리케이션에 대해 사용자 및 그룹을 역할에 지정하는 과정의 일부로 수행됩니다.

로컬 운영 체제, LDAP 및 연합 저장소 레지스트리 외에, WebSphere Application Server는 사용자 정의 레지스트리 기능을 사용하여 모든 레지스트리를 지원하는 플러그인도 제공합니다. 사용자 정의 레지스트리 기능은 WebSphere Application Server의 보안 구성 분할창을 통해 사용할 수 없게 된 사용자 레지스트리를 구성할 수 있도록 합니다.

올바른 레지스트리 또는 저장소를 구성하는 것은 애플리케이션 역할에 사용자 및 그룹을 지정하기 위한 전제조건입니다. 사용자 레지스트리 또는 저장소가 구성되지 않았을 때는 로컬 운영 체제 레지스트리가 기본적으로 사용됩니다. 사용자 레지스트리 선택이 로컬 운영 체제 레지스트리가 아닌 경우, 보안을 사용 가능하게 하는 조치의 일부로 정상적으로 완료된 레지스트리 또는 저장소를 우선 구성하고, 서버를 다시 시작한 후 사용자와 그룹을 모든 애플리케이션의 역할로 지정해야 합니다.

WebSphere Application Server는 다음 유형의 사용자 레지스트리를 지원합니다.
  • 연합 저장소
  • 로컬 운영 체제([z/OS]예: SAF 기반)
    제한사항: 로컬 운영 체제 레지스트리에 투명한 LDAP 서버를 구성하고 LDAP를 사용하여 해당하는 로컬 운영 체제에서 사용자 인증이 발생하도록 지정하는 것은 지원되지 않습니다.
  • 독립형 LDAP(Lightweight Directory Access Protocol) 레지스트리
  • 독립형 사용자 정의 레지스트리
UserRegistry 인터페이스는 사용자 정의 레지스트리 및 사용자 계정 저장소에 대한 연합 저장소 옵션을 모두 구현합니다. 인터페이스는 일부 다른 형식(예: 데이터베이스)에 현재의 사용자 및 그룹 정보가 있는 상황에 매우 도움이 되며 로컬 운영 체제 또는 LDAP 레지스트리로 이동될 수 없습니다. 이러한 경우에는 WebSphere Application Server에서 모든 보안 관련 조작에 대해 기존 레지스트리를 사용할 수 있도록 UserRegistry 인터페이스를 구현할 수 있습니다. 사용자 정의 레지스트리 구현 프로세스는 소프트웨어 구현의 결과이며, 이 구현은 해당 조작에 대해 WebSphere Application Server 자원 관리에 의존하지 않습니다. 예를 들어 애플리케이션 서버 데이터 소스 구성을 사용할 수 없는 경우 일반적으로 데이터베이스 연결을 호출하여 코드 내에서 동작을 직접 지시해야 합니다.
참고: WebSphere Application Server가 UserRegistry 인터페이스를 사용하여 사용자 레지스트리 프록시를 구현했습니다. 그러나 리턴값은 인터페이스와 다소 다릅니다. 예를 들어 getUniqueUserId는 영역 이름이 줄 바꿈된 고유 ID를 리턴합니다. 다음 예와 같이 getUserSecurityName으로 전달할 리턴값을 사용할 수 없습니다.
		// Retrieves the default InitialContext for this server.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

		// Retrieves the local UserRegistry object.
		com.ibm.websphere.security.UserRegistry reg = 
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");				

// Retrieves the registry uniqueID based on the userName that is specified
     // in the NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Strip the realm name and get real uniqueID
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Retrieves the security name from the user registry based on the uniqueID.
		String securityName = reg.getUserSecurityName(uid);
이 구문 분석 기능을 위해 SPI(Service Provider Interface)를 사용할 수 있습니다.
애플리케이션이 사용자 및 그룹에 지정된 후 사용자 레지스트리를 변경해야 할 경우, RunAs 역할을 포함하여 애플리케이션의 모든 사용자 및 그룹을 삭제하고 관리 콘솔을 통하거나 wsadmin 스크립트를 사용하여 레지스트리를 변경한 후 다시 지정하십시오. Jacl을 사용하는 다음 wsadmin 명령은 모든 애플리케이션에서 모든 사용자 및 그룹을 제거합니다.
$AdminApp deleteUserAndGroupEntries yourAppName
여기서 yourAppName은 애플리케이션의 이름입니다. 이전 애플리케이션을 백업하는 것은 이 조작을 수행하기 전에 권고됩니다. 하지만 다음 두 조건이 모두 true인 경우 사용자 및 그룹 정보를 삭제하지 않고도 레지스트리를 전환할 수 있습니다.
  • 모든 애플리케이션에서 모든 사용자 및 그룹 이름(RunAs 역할 사용자의 비밀번호 포함)이 두 사용자 레지스트리에서 모두 일치합니다.
  • 애플리케이션 바인딩 파일에는 사용자 또는 그룹 이름이 동일해도 사용자 레지스트리마다 고유한 액세스 ID가 들어 있지 않습니다.

기본적으로 애플리케이션에서는 바인딩 파일에 액세스 ID를 포함하지 않습니다. 이 ID는 애플리케이션이 시작될 때 생성됩니다. 그러나 성능 향상을 위해 이전 릴리스에서 기존 애플리케이션을 마이그레이션시킨 경우나 애플리케이션에 대한 액세스 ID를 추가하기 위해 wsadmin 스크립트를 사용한 경우, 기존 사용자와 그룹 정보를 제거하고 새로운 사용자 레지스트리를 구성한 후에 정보를 추가해야 합니다.

액세스 ID 업데이트에 대한 자세한 정보는 AdminApp 오브젝트에 대한 명령에서 updateAccess ID 주제를 참조하십시오.

주의: WebSphere Application Server는 다양한 운영 체제의 여러 사용자 레지스트리 및 저장소를 지원합니다. 사용자 인증 프로세스 중 영숫자가 아닌 문자를 사용자 이름 또는 비밀번호에 사용할 수 있습니다. 이러한 영숫자가 아닌 문자 사용에 대한 제한은 기본 운영 체제 및 사용자 레지스트리 유형 모두에 따라 달라집니다. 지원되지 않는 영숫자가 아닌 문자에 대한 자세한 정보는 운영 체제 및 사용자 레지스트리 또는 저장소 문서를 참조하십시오.
[AIX]예를 들어, 다음과 같은 문자는 사용자 이름 값에서 사용할 수 없습니다.
  • ˋ
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • 공백 문자

지원되지 않는, 영숫자가 아닌 문자에 대한 포괄적인 목록은 IBM AIX 운영 체제 문서를 참조하십시오.

[HP-UX]예를 들어 다음 문자는 사용자 이름 값에서 지원되지 않습니다.
  • ˋ
  • :
  • "
  • /
  • 공백 문자

다음 단계 중 하나를 수행하여 사용자 레지스트리를 구성하십시오.

프로시저

다음에 수행할 작업

  1. 보안을 사용 가능하게 하는 경우, 나머지 단계를 완료해야 합니다. 글로벌 보안 분할창에서 사용자 계정 저장소가 적절한 레지스트리 또는 저장소로 설정되었는지 확인하십시오. 마지막 단계로, 글로벌 보안 분할창에서 적용을 클릭하여 사용자 ID 및 비밀번호의 유효성을 검증하십시오. 모든 WebSphere Application Server를 저장, 중지 및 시작하십시오.
  2. 사용자 레지스트리 분할창에서 변경사항을 적용하려면 글로벌 보안 분할창에서 적용을 클릭하여 변경사항의 유효성을 검증해야 합니다. 유효성 검증 후 구성을 저장하고 모든 WebSphere Application Server(셀, 노드 및 모든 애플리케이션 서버 포함)를 중지한 후 시작하십시오. WebSphere Application Server 프로세스 간의 불일치를 피하려면 모든 프로세스를 실행 중일 때 레지스트리 또는 저장소 변경을 완료해야 합니다. 프로세스 중 하나가 다운된 경우, 강제 동기화를 수행하여 나중에 시작할 수 있는지 확인하십시오.

    서버가 문제없이 시작되면 설정이 올바른 것입니다.

  3. [z/OS]로컬 운영 체제를 통해 레지스트리 또는 저장소로 SAF(System Authorization Facility)를 선택할 경우 바인딩 파일의 값은 RunAs 역할 사용자에 대한 사용자 ID 및 비밀번호(또는 비밀번호 문구)를 제외하고 무시됩니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
파일 이름:tsec_useregistry.html