연합 저장소에서 파일 기반 저장소에 대한 클라이언트 인증서 로그인 지원 사용

파일 기반 저장소 및 기타 저장소를 포함하는 다중 저장소 구성 또는 단일 기본 파일 기반 저장소로 구성된 영역에서 클라이언트 인증서 로그인에 대한 지원을 사용할 수 있습니다.

시작하기 전에

연합 저장소 구성은 파일 기반 저장소를 포함해야 합니다. 연합 저장소 아래 새 구성에서 단일 기본 파일 기반 저장소 사용 주제를 참조하십시오.

이 태스크 정보

기본 파일 기반 저장소의 기본 구성은 인증서 로그인 요청을 무시하고 빈 검색 결과를 리턴하며 오류를 표시하지 않습니다.

기본 파일 기반 저장소에 대한 클라이언트 인증서 로그인을 사용하려면 다음 단계를 완료하여 사용자 정의 특성을 설정하십시오.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소의 사용 가능한 영역 정의 필드에서 연합 저장소를 선택하고 구성을 클릭합니다. 다중 보안 도메인 환경에서 특정 도메인을 구성하려면 보안 도메인 > domain_name을 클릭합니다. 보안 속성에서 사용자 영역을 확장하고 이 도메인에 대한 사용자 정의를 클릭합니다. 영역 유형을 연합 저장소로 선택한 다음 구성을 클릭합니다.
  3. 관련 항목에서 저장소 관리를 클릭하고 InternalFileRepository 링크를 클릭하십시오.
  4. 파일 기반 저장소에 대한 인증서 로그인을 사용하려면 사용자 정의 특성에서 특성 이름을 certificateMapMode로 입력하십시오. 요구사항에 따라 이 특성에 대해 다음 값 중 하나를 지정하십시오.
    참고: 특성 이름은 대소문자를 구분하지만, 특성 값은 대소문자를 구분하지 않습니다.
    notSupported
    파일 기반 저장소가 인증서 로그인을 지원하지 않음을 사용자에게 알리는 오류가 표시됩니다.
    exactDNMode
    X.509 인증서에서 PrincipalName 값을 저장소의 정확한 식별 이름(DN)에 맵핑하여 로그인을 시도합니다. 일치하는 엔티티를 찾으면 로그인에 성공합니다. 일치하는 엔티티가 없으면 엔티티를 찾을 수 없음을 나타내는 오류가 표시됩니다.
    filterDescriptorMode
    맵핑에 대한 인증서 필터를 사용하여 로그인을 시도합니다. 일치하는 하나의 엔티티를 찾으면 로그인에 성공합니다. 일치하는 엔티티를 둘 이상 찾으면 결과가 모호한 일치이므로 인증에 실패하고 오류가 표시됩니다.

    올바른 값을 지정하지 않으면 파일 어댑터 초기화 중에 오류가 로깅되고 빈 검색 결과가 리턴됩니다.

  5. certificateMapMode 특성 값을 filterDescriptorMode로 설정하면 다른 사용자 정의 특성, certificateFilter로 추가해야 합니다. certificateFilter 사용자 정의 특성은 저장소의 항목에 클라이언트 인증서의 속성을 맵핑하는 필터를 지정합니다.
    참고: 이 단계는 certificateMapMode 특성 값을 notSupported 또는 exactDNMode로 설정한 경우 필요하지 않습니다.
    1. 사용자 정의 특성 아래에서 새로 작성을 클릭하십시오.
    2. 새 행에서 특성 이름을 certificateFilter로 입력하십시오. 이 특성에 대한 값으로 필터 표현식을 지정하십시오.

    이 필터의 구문 또는 구조는 Repository attribute=${Client certificate attribute}입니다(예: uid='${SubjectCN}').

    다음 조건이 파일 저장소의 인증서 필터 구문에 적용됩니다.
    • 등호(=)가 앞에 나오는 필터 스펙의 파트는 파일 기반 저장소에서 PersonAccount의 올바른 특성이어야 합니다.
    • 등호(=)가 뒤에 나오는 필터 스펙의 파트는 클라이언트 인증서에서 공용 속성 중 하나입니다. 이는 달러 기호($)와 여는 괄호 ({)로 시작하고 닫는 괄호(})로 끝나야 합니다.
    • 모든 연합 저장소 문자열 특성의 데이터는 작은따옴표(')로 묶어야 합니다. 예를 들어, 연합 저장소 특성 cn은 문자열입니다. 따라서 이 특성을 사용하는 인증서 필터는 cn='${IssuerCN}'으로 지정됩니다.
    등호(=) 뒤에 나오는 필터 스펙의 파트에서 다음 인증서 속성 값을 사용할 수 있습니다. 이때 문자열의 대소문자가 중요합니다.
    • ${UniqueKey}
    • {PublicKey}
    • {PublicKey}
    • {Issuer<xx>}. 여기서 <xx>는 발행자 식별 이름의 올바른 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 발급자 공통 이름에 ${IssuerCN}을 사용할 수 있습니다.
    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${Subject<xx>} 여기서 <xx>는 주제 식별 이름의 올바른 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 주제 공통 이름으로 ${SubjectCN}을 사용할 수 있습니다.
    • ${Version}
    다음 예제는 파일 저장소의 복잡한 인증서 필터입니다.
    • ((cn='${IssuerCN}') and (mobile=${SerialNumber}) and (seeAlso='${SubjectDN}'))
    • ((employeeNumber=${SerialNumber}) or (seeAlso='${SubjectDN}')

    다음 테이블에 나온 대로, LDAP 저장소 및 파일 저장소에 대한 인증서 필터를 지정하는 데 사용되는 구문 사이의 여러 차이점이 있습니다.

    표 1. LDAP 및 파일 저장소에 대한 인증서 필터 구문 사이의 차이점에 대한 설명
    파일 보관소 인증서 필터 LDAP 저장소 인증서 필터
    중위 표기법을 사용합니다. 전위 표기법을 사용합니다.
    논리 연산자 andor을 사용합니다. 논리 연산자 앰퍼샌드(&) 및 세로 막대(|) 사용
    모든 연합 저장소 문자열 특성의 데이터는 작은따옴표(')로 묶어야 함, 연합 저장소 문자열 특성의 데이터는 작은따옴표(')로 묶지 않아도 됨,
    예:
    cn='${Issuer	CN}' and mobile=${SerialNumber})
    예:
    (& (cn=${IssuerCN}) (mobile=${SerialNumber})) 
  6. 구성 변경사항을 저장하고 변경사항을 적용하려면 WebSphere Application Server를 다시 시작하십시오.

wsadmin 명령을 사용하여 사용자 정의 특성 추가

또는 wsadmin 명령을 사용하여 다음 단계에 나온 대로 사용자 정의 특성을 추가할 수 있습니다.

프로시저

  1. 다음 명령을 입력하여 wsadmin 도구를 시작하십시오.
    wsadmin –conntype none
  2. setIdMgrCustomProperty 명령을 사용하여 사용자 정의 특성을 추가하십시오.
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateMapMode -value mode}
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value filter_expression}

    예를 들어, 다음 명령은 CN이 인증서의 IssureCN 특성에서 지정된 값인 사용자를 검색합니다.

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}'”}

    다음 명령은 CN이 인증서의 IssuerCN 특성에서 지정된 값이고 모바일이 인증서의 SerialNumber 특성과 일치하는 사용자를 검색합니다.

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}' and mobile=${SerialNumber}”}
  3. 구성 변경사항을 저장하십시오.
    $AdminConfig save
  4. 변경사항을 적용하려면 WebSphere Application Server를 다시 시작하십시오.

결과

이 단계를 완료한 후 파일 어댑터 구성의 다음 항목에 나온 대로, 연합 저장소에서 파일 기반 저장소의 인증서 로그인 지원이 사용 가능합니다.
<config:CustomProperties name="certificateMapMode" value="mode"/>
<config:CustomProperties name="certificateFilter" value="filter_expression"/>

인증서 로그인 요청을 승인되면 로그인에 성공합니다. 인증서 로그인 요청을 거부하면 오류가 표시됩니다.

연합 저장소에 파일 저장소만 구성된 경우 인증서 로그인 요청 결과는 다음 테이블에서 설명합니다.

표 2. 파일 저장소만 포함하는 연합 저장소 구성에서 인증서 로그인 결과
파일 저장소 예상 결과
기본 동작(certificateMapMode 사용자 정의 특성이 추가되지 않음) 인증서 로그인 요청이 무시되고, 빈 결과가 리턴되며 오류가 표시되지 않음
인증서 로그인이 지원되지 않음(certificateMapMode 사용자 정의 특성 값이 notSupported임) CertificateMapNotSupportedException 발생
인증서 로그인이 지원되고(certificateMapMode 사용자 정의 특성 값이 exactDNMode 또는 filterDescriptorMode임) 사용자를 찾을 수 없음 EntityNotFoundException 발생
인증서 로그인이 지원되고(certificateMapMode 사용자 정의 특성 값이 exactDNMode임) 인증서에서 PrincipalName과 일치하는 DN의 엔티티를 찾음 인증서 로그인에 성공
인증서 로그인이 지원되고(certificateMapMode 사용자 정의 특성 값이 filterDescriptorMode임) 일치하는 하나의 엔티티를 찾음 인증서 로그인에 성공
인증서 로그인이 지원되고(certificateMapMode 사용자 정의 특성 값이 filterDescriptorMode임) 일치하는 둘 이상의 엔티티를 찾음 CertificateMapFailedException이 발생하고 "다중 프린시펄을 찾음" 오류 메시지가 표시됨

다중 저장소가 연합 저장소에 구성된 경우 최종 로그인 결과는 다른 저장소에서 리턴되는 결과 및 동작에 종속됩니다. 다음 표는 다양한 구성 시나리오에 표시되는 오류의 예제를 포함합니다.

표 3. 파일 및 LDAP 저장소를 포함하는 연합 저장소 구성에서 인증서 로그인 결과
파일 저장소 LDAP 저장소 예상 결과
기본 동작 인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인에 성공
기본 동작 인증서 로그인이 지원되며 사용자를 찾지 못함 PasswordCheckFailedException 발생
인증서 로그인이 지원되지 않음 인증서 로그인이 지원되며 사용자를 찾음 CertificateMapFailedException 발생
인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인이 지원되며 사용자를 찾음 DuplicateLogonIdException 발생
인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인에 성공
인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인에 성공
인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인이 지원되며 사용자를 찾지 못함 PasswordCheckFailedException 발생
표 4. 파일 및 로컬 운영 체제 저장소를 포함하는 연합 저장소 구성에서 인증서 로그인 결과
파일 저장소 로컬 운영 체제 저장소 예상 결과
기본 동작 인증서 로그인이 지원되지 않음 CertificateMapFailedException 발생
인증서 로그인이 지원되지 않음 인증서 로그인이 지원되지 않음 CertificateMapNotSupportedException 발생
인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인이 지원되지 않음 CertificateMapFailedException 발생
인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인이 지원되지 않음 CertificateMapFailedException 발생
기본 동작 인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인에 성공
기본 동작 인증서 로그인이 지원되며 사용자를 찾지 못함 PasswordCheckFailedException 발생
인증서 로그인이 지원되지 않음 인증서 로그인이 지원되며 사용자를 찾음 CertificateMapFailedException 발생
인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인이 지원되며 사용자를 찾음 DuplicateLogonIdException 발생
인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인에 성공
인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인이 지원되며 사용자를 찾음 인증서 로그인에 성공
인증서 로그인이 지원되며 사용자를 찾지 못함 인증서 로그인이 지원되며 사용자를 찾지 못함 PasswordCheckFailedException 발생

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_filebased_cert_login
파일 이름:twim_filebased_cert_login.html