로컬 운영 체제 레지스트리 구성

이 단계를 사용하여 로컬 운영 체제 레지스트리를 구성하십시오..

시작하기 전에

로컬 운영 체제 사용자 레지스트리에 대한 자세한 정보는 로컬 운영 체제 레지스트리의 내용을 참조하십시오. 이 단계에서는 WebSphere 애플리케이션 서버가 설치되어 있는 로컬 운영 체제 사용자 레지스트리에 따라 보안을 설정합니다.

[AIX Solaris HP-UX Linux Windows]보안 목적으로 WebSphere 애플리케이션 서버에서는 Windows 운영 체제 레지스트리, AIX®, Solaris 및 여러 버전의 Linux 운영 체제 구현을 제공 및 지원합니다. 제품 프로세스(서버)에서 사용자 및 기타 보안 관련 태스크(예: 사용자 또는 그룹 정보 가져오기)를 인증하기 위해 각 운영 체제 API(Application Programming Interface)를 호출합니다. 이 API에 대한 액세스는 권한이 있는 사용자로 제한됩니다. 이 권한은 운영 체제에 따라 다르며 이 주제에서 나중에 설명합니다.

[z/OS]로컬 운영 체제 레지스트리를 선택한 경우 시작된 태스크 ID가 서버 ID로 선택됩니다. 그에 따라 서버를 구성하는 데 사용자 ID 및 비밀번호가 필요하지 않습니다.

[z/OS]중요사항: 시작된 각 태스크(예: 제어기, 하위(servant) 또는 디먼)가 서로 다른 ID를 가질 수 있습니다. 다른 자원 권한을 각각에 부여해야 하기 때문에 제어기와 하위(servant)에 다른 사용자 ID를 제공해야 합니다. z/OS 프로파일 관리 도구는 이러한 ID를 설정합니다.
[Windows][AIX Solaris HP-UX Linux Windows]다음 문제를 고려하십시오.
  • 서버 ID는 제품이 설치된 Windows 시스템 이름과 달라야 합니다. 예를 들어 Windows 시스템 이름이 vicky이고 보안 서버 ID가 vickyy인 경우 Windows 시스템은 사용자 vicky에 관한 정보(예: 그룹 정보)를 가져올 때 실패합니다.
  • WebSphere 애플리케이션 서버는 시스템이 Windows 시스템 도메인의 멤버인지 동적으로 판별합니다.
  • WebSphere 애플리케이션 서버에서는 Windows의 신뢰 도메인을 지원하지 않습니다.
  • 시스템이 Windows 도메인의 멤버일 경우, 도메인 사용자 레지스트리와 시스템의 로컬 사용자 레지스트리 모두 인증 및 보안 역할 맵핑에 참여합니다.
  • Windows 도메인 사용자 ID를 사용하여 WebSphere Application Server를 설치 및 실행하는 경우 ID에는 다음 권한이 있어야 합니다.
    • 도메인 제어기의 도메인 관리 그룹의 구성원
    • 도메인 제어기의 도메인 보안 정책에서 운영 체제의 일부로 역할 수행 권한이 있습니다.
    • 로컬 시스템의 로컬 보안 정책에서 운영 체제의 일부로 역할 수행 권한이 있습니다.
    • 서버가 서비스로서 실행되는 경우, 로컬 시스템에서 서비스로서 로그온 권한이 있습니다.
  • 도메인 사용자 레지스트리는 시스템의 로컬 사용자 레지스트리보다 우선하며, 같은 비밀번호를 가진 사용자가 사용자 레지스트리 모두에 있을 경우 원하지 않는 함축을 가질 수 있습니다.
  • 제품 프로세스를 실행하는 사용자는 사용자 및 그룹 정보를 인증 또는 수집하는 Windows 운영 체제 API를 호출하는 데 관리운영 체제의 일부로 역할 수행 권한이 필요합니다. 이 프로세스에는 이 권한이 제공하는 특별한 권한이 필요합니다. 이 예의 사용자는 보안 서버 ID와 동일하지 않을 수 있습니다.(레지스트리의 유효한 사용자여야 한다는 점이 요구사항입니다.) 이 사용자는 시스템에 로그인한 사용자이거나(명령행을 사용하여 제품 프로세스를 시작하는 경우) 서비스를 사용하여 제품 프로세스를 시작하는 경우에는 서비스 분할창의 로그온 사용자입니다.
[AIX Solaris HP-UX Linux Windows]다음 사항을 고려하십시오.
  • [AIX HP-UX Solaris][Linux]제품 프로세스를 실행 중인 사용자는 루트 권한이 있어야 합니다. 이 권한은 운영 체제 API를 호출하여 인증하거나 사용자 및 그룹 정보를 수집하는 데 필요합니다. 이 프로세스에는 루트 권한이 제공하는 특수 권한이 필요합니다. 이 사용자는 보안 서버 ID와 동일하지 않을 수 있습니다.(레지스트리의 유효한 사용자여야 한다는 점이 요구사항입니다.) 이 사용자는 시스템에 로그인하여 제품 프로세스를 실행 중입니다.
  • [AIX HP-UX Solaris]관리 보안을 사용 가능하게 하는 사용자는 로컬 운영 체제 레지스트리를 사용하는 경우 루트 권한을 가지고 있어야 합니다. 그렇지 않으면 실패한 유효성 검증 오류가 표시됩니다.
  • [Linux]시스템에 비밀번호 음영 파일을 가지고 있어야 합니다.

이 태스크 정보

[z/OS]WebSphere 애플리케이션 서버의 사용자 레지스트리를 설정하면 SAF(System Authorization Facility)는 사용자 레지스트리와 함께 작업하여 애플리케이션이 서버에서 실행되도록 권한을 부여합니다. SAF 기능에 대한 자세한 정보는 SAF(System Authorization Facility) 사용자 레지스트리의 내용을 참조하십시오. 로컬 OS 사용자 레지스트리 및 SAF 구성과 연관되어 있는 추가 특성을 구성하려면 다음 단계를 완료하십시오.

[z/OS]중요사항: z/OS 플랫폼 및 z/OS가 아닌 플랫폼 노드를 둘 다 포함하는 혼합 셀 환경이 있을 경우 로컬 운영 체제는 유효한 사용자 계정 저장소가 아닙니다.

[AIX Solaris HP-UX Linux Windows][IBM i]다음 단계는 처음으로 보안을 설정할 때 이 태스크를 최초로 수행하는 데 필요합니다.

프로시저

  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 로컬 운영 체제를 선택하고 구성을 클릭하십시오.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]1차 관리 사용자 이름 필드에 유효한 사용자 이름을 입력하십시오. 이 값은 레지스트리에 정의된 관리 권한이 있는 사용자의 이름입니다. 이 사용자 이름은 관리 콘솔을 액세스하기 위해 사용되거나 또는 wsadmin에 의해 사용됩니다.
  4. [z/OS]SAF 권한이 사용 가능하지 않으면 1차 관리 사용자 이름 필드에 유효한 사용자 이름을 입력하십시오. 이 값은 레지스트리에 정의된 관리 권한이 있는 사용자의 이름입니다. 이 사용자 이름은 관리 콘솔을 액세스하기 위해 사용되거나 또는 wsadmin에 의해 사용됩니다.
  5. 옵션: [z/OS]기본 권한 사용 시 WebSphere 애플리케이션 서버가 대소문자를 무시한 권한 검사를 수행할 수 있게 하려면 권한 부여 시 대소문자 구분 안 함 옵션을 선택하십시오.
  6. 적용을 클릭하십시오.
  7. [AIX Solaris HP-UX Linux Windows][IBM i]자동 생성 서버 ID 또는 저장소에 저장되는 서버 ID 옵션을 선택하십시오. 저장소에 저장되는 서버 ID 옵션을 선택하는 경우 다음 정보를 입력하십시오.
    서버 사용자 ID 또는 관리 사용자
    2단계에서 선택한 계정의 축약 이름을 지정하십시오.
    서버 사용자 비밀번호
    2단계에서 선택한 계정의 비밀번호를 지정하십시오.
  8. [z/OS]자동 생성 서버 ID 또는 z/OS 시작 태스크에 대한 사용자 ID를 선택하십시오.
  9. [IBM i]1차 관리 사용자 이름 필드에 유효한 사용자 프로파일 이름을 입력하십시오.

    1차 관리 사용자 이름은 서버가 기본 운영 체제에 인증될 때 사용할 사용자 프로파일을 지정합니다. 이 ID는 관리 콘솔을 통해 관리 애플리케이션에 액세스할 수 있는 초기 권한을 가진 사용자이기도 합니다. 관리 사용자 ID는 모든 사용자 레지스트리에 대해 공통적입니다. 관리 ID는 선택된 레지스트리의 멤버이지만 WebSphere 애플리케이션 서버에서 특수 권한을 가집니다. 그러나 관리 ID가 표시하는 레지스트리에서 특수 권한을 가지지는 않습니다. 즉 레지스트리에서 관리 사용자 ID 또는 서버 사용자 ID로 사용할 유효한 사용자 ID를 선택할 수 있습니다.

    1차 관리 사용자 이름 필드의 경우, 이 기준을 충족하는 사용자 프로파일을 지정할 수 있습니다.
    • 사용자 프로파일의 상태는 *ENABLED입니다.
    • 사용자 프로파일에는 유효한 비밀번호가 있습니다.
    • 사용자 프로파일은 그룹 프로파일로 사용되지 않습니다.
      중요사항: 그룹 프로파일은 고유 그룹 ID 번호에 지정되고 일반 사용자 프로파일에는 지정되지 않습니다. DSPUSRPRF 사용자 프로파일 표시 명령을 실행하여 1차 관리 사용자 이름으로 사용할 사용자 프로파일에 정의된 그룹 ID 번호가 있는지 여부를 판별하십시오. 그룹 ID 필드가 *NONE으로 설정되어 있는 경우, 사용자 프로파일을 1차 관리 사용자 이름으로 사용할 수 있습니다.
  10. 옵션: [z/OS]SAF 권한을 사용 가능하게 하고 구성하십시오.
    1. 보안 > 글로벌 보안 > 외부 권한 제공자를 클릭하십시오.
    2. SAF(System Authorization Facility) 권한 옵션을 선택하여 권한 제공자로 SAF를 사용 가능하게 하십시오.
    3. 관련 항목 아래에서 z/OS SAF 권한을 클릭하여 SAF 권한을 구성하십시오. SAF 권한 옵션에 대한 설명을 보려면 z/OS SAF(System Authorization Facility) 권한의 내용을 참조하십시오.
  11. 확인을 클릭하십시오.

    확인 클릭 시 관리 콘솔이 사용자 ID 및 비밀번호의 유효성을 검증하지 않습니다. 유효성 검증은 글로벌 보안 분할창에서 확인 또는 적용을 클릭한 경우에만 수행됩니다. 먼저 사용자 계정 저장소 섹션에서 사용 가능 영역 정의로 로컬 운영 체제를 선택했는지 확인하고 현재로 설정을 클릭하십시오. 보안이 이미 사용 가능하고 이 분할창의 사용자 또는 비밀번호 정보를 변경한 경우 글로벌 보안 분할창로 이동하고 확인 또는 적용을 클릭하여 변경사항의 유효성을 검증하십시오. 변경사항의 유효성이 검증되지 않은 경우 서버를 시작하지 못할 수 있습니다.

    중요사항: 기타 사용자에게 관리 기능을 수행할 수 있는 권한을 부여할 때까지는 지정한 서버 사용자 ID 및 비밀번호를 가진 관리 콘솔에만 액세스할 수 있습니다. 자세한 정보는 관리 역할에 대한 액세스 권한 부여의 내용을 참조하십시오.

결과

이 분할창의 변경사항을 적용하려면 모든 제품 서버(배치 관리자, 노드 및 애플리케이션 서버)를 저장, 중지, 시작해야 합니다.서버가 문제점 없이 시작되면 설정이 올바른 것입니다.

이러한 단계를 완료한 후 권한이 부여된 사용자를 식별하는 데 로컬 운영 체제 레지스트리를 사용하도록 WebSphere 애플리케이션 서버를 구성했습니다.

다음에 수행할 작업

보안을 사용 가능하게 하려면 나머지 단계를 완료하십시오. 자세한 정보는 보안 사용 가능의 내용을 참조하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
파일 이름:tsec_localos.html