관리 콘솔(더 이상 사용되지 않음)을 사용하여 SPNEGO TAI 또는 SPENGO 웹 인증의 별명 호스트 이름 사용

인증을 위해 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 신뢰 연관 인터셉터(TAI)를 사용하고 별명 호스트 이름을 Application Server의 호스트 이름으로 사용하고 싶은 경우에는 사용자 정의 특성을 구성하여 별명 호스트 이름을 SPNEGO 싱글 사인온의 실제 호스트 이름으로 해석해야 합니다. 그런 다음 Application Server의 구성을 변경하지 않고 DNS에서 별명 이름을 동적으로 추가하거나 수정할 수 있습니다. 이 사용자 정의 특성을 사용으로 설정하는 경우에는 더 이상 SPNEGO 구성을 통해 별명 호스트 이름을 설정할 필요가 없습니다.

시작하기 전에

이러한 설정이 적용되기 전에 SPNEGO TAI(더 이상 사용되지 않음)를 사용하여 HTTP 요청을 위한 싱글 사인온 작성WebSphere Application Server 구성 및 SPNEGO TAI 사용(더 이상 사용되지 않음)에 설명된 단계를 완료해야 합니다. 이 구성은 작동하는 SPNEGO-TAI 싱글 사인온 환경이 필요합니다.

이 태스크 정보

Application Server는 HTTP 요청이 수신될 때 DNS 검색을 수행하고, 별명 호스트 이름이 이미 SPNEGO 싱글 사인온에 대해 이미 구성된 호스트 이름으로 해석되는 경우에는 Application Server는 이를 계속해서 처리합니다. 일반적으로 별명 호스트 이름을 SPNEGO 계정에 추가할 필요가 없습니다.

프로시저

  1. com.ibm.ws.security.spnego.SPNx.hostName 변수를 위해 실제 호스트 이름을 정의하십시오.
    1. 관리 콘솔에서 글로벌 보안 > 웹 및 SIP 보안 > 신뢰 연관 > 인터셉터 > com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl > 사용자 정의 특성을 클릭하십시오.
    2. com.ibm.ws.security.spnego.SPNx.hostName 변수를 추가하거나 수정하십시오. 예를 들면, 다음과 같습니다.
      Name
      com.ibm.ws.security.spnego.SPNx.hostName
      real_host_name

      이 사용자 정의 특성은 Application Server가 SPNEGO 싱글 사인온의 별명 호스트 이름을 해석할 수 있는 실제 호스트 이름을 지정합니다. 그런 다음 Application Server의 구성을 변경하지 않고 DNS에서 별명 이름을 동적으로 추가하거나 수정할 수 있습니다.

      이 별명 호스트 이름을 선택적으로 정의할 수 있지만 실제 호스트 이름을 정의하는 것만 필수입니다. Application Server는 이 별명 호스트 이름을 HTTP 요청이 수신될 때 실제 호스트 이름으로 해석합니다.

  2. Canonical 지원 플래그를 켜십시오.
    1. 관리 콘솔에서 글로벌 보안 > 사용자 정의 특성을 클릭하십시오.
    2. com.ibm.websphere.security.krb.canonical_host 변수를 추가하거나 수정하고 이를 "true"로 설정하십시오.
      Name
      com.ibm.websphere.security.krb.canonical_host
      true
      이 사용자 정의 특성은 Application Server가 클라이언트를 인증할 때 URL/HTTP 호스트 이름의 표준 양식을 사용하는지 여부를 지정합니다. 이 사용자 정의 특성을 false로 설정하는 경우 Kerberos 티켓은 HTTP 호스트 이름 헤더와 다른 호스트 이름을 포함할 수 있고 Application Server는 다음 메시지를 발행할 수도 있습니다.
      CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest

      이 사용자 정의 특성을 true로 설정하면 이 오류 메시지를 피하고 Application Server가 URL/HTTP 호스트 이름의 표준 양식을 사용하여 인증할 수 있습니다.

  3. 브라우저를 구성하십시오. 클라이언트 머신의 브라우저에서 별명 호스트 이름은 신뢰 호스트로 구성되어야 합니다.
    • Internet Explorer의 경우:
      1. 도구 > 인터넷 옵션을 선택하십시오.
      2. 보안 탭을 선택하십시오.
      3. 로컬 인트라넷 > 사이트 > 고급을 클릭하십시오.
      4. 이 패널에 별명 호스트 이름을 추가하십시오.
    • Mozilla Firefox의 경우:
      1. 주소 표시줄에 About:config를 입력하고 ENTER를 눌러 구성 옵션에 액세스하십시오.
      2. network.negotiate-auth.trusted-uris 환경 설정 이름을 찾고, 환경 설정을 마우스 오른쪽 단추로 클릭하고, 수정을 선택하십시오. 이 환경 설정이 없는 경우에는 패널 내에서 마우스 오른쪽 단추를 클릭하고 새로 작성 > 문자열을 선택하십시오.
      3. 텍스트 상자에 별명 호스트 이름을 추가하고 호스트 이름을 쉼표로 구분하십시오.
  4. 실제 호스트 이르이 keytab 파일에 추가되는지 확인하십시오.
    config: 두 가지 방법으로 keytab 파일을 구성할 수 있습니다.
    • com.ibm.websphere.security.krb.canonical_host가 "true"로 설정되면 Application Server는 실제 호스트 이름이 keytab 파일에 있을 것으로 예상합니다. 별명은 필요하지 않습니다.
    • com.ibm.websphere.security.krb.canonical_host가 false로 설정되고 별명이 정의되면 별명은 keytab 파일에 있어야 합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_alias
파일 이름:tsec_SPNEGO_add_alias.html