JAX-RPC를 사용하여 서버 또는 셀 레벨에서 메시지 확실성을 보호할 토큰 생성기 구성

해당 바인딩이 애플리케이션 레벨에서 정의되지 않은 경우, 서버 또는 셀 레벨의 토큰 생성기를 사용하여 토큰 생성기에 대한 정보를 지정합니다. 서명 정보와 암호화 정보가 토큰 생성기 정보를 공유할 수 있으며, 이것이 가능하도록 해당 정보 모두가 동일한 레벨에 정의되어 있는 것입니다.

시작하기 전에

생성기에 대해 제공하는 키 저장소/별명 정보 및 다른 목적으로 사용되는 이용자에 대해 제공하는 키 저장소/별명 정보를 이해하고 있어야 합니다. 주요 차이는 X.509 콜백 핸들러에 대한 별명에 적용됩니다.

암호화 생성기와 연관되어 사용되는 경우 생성기에 제공되는 별명을 사용하여 메시지를 암호화하기 위해 공개 키를 검색합니다. 비밀번호는 필요하지 않습니다. 암호화 생성기와 연관된 콜백 핸들러에서 입력된 별명에 비밀번호 없이 액세스할 수 있어야 합니다. 이는 키 저장소에서 연관된 개인 키 정보가 별명에 없음을 의미합니다. 서명 생성기와 연관되어 사용되는 경우 생성기에 제공되는 별명을 사용하여 메시지에 서명하기 위해 개인 키를 검색합니다. 비밀번호가 필요합니다.

이 태스크 정보

WebSphere® 애플리케이션 서버는 바인딩을 위한 기본값을 제공합니다. 프로덕션 환경에 맞게 기본값을 수정해야 합니다.

서버 레벨 및 셀 레벨에서 토큰 생성기를 구성할 수 있습니다. 다음 단계에서는 첫 번째 단계를 사용하여 서버 레벨 기본 바인딩에 액세스하고 두 번째 단계를 사용하여 셀 레벨 바인딩에 액세스하십시오.

프로시저

  1. 서버 레벨의 기본 바인딩에 액세스하십시오.
    1. 서버 > 서버 유형 > WebSphere Application Sever > server_name을 클릭하십시오.
    2. 보안 아래에서 JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
      혼합 버전 환경 혼합 버전 환경: WebSphere Application Sever 버전 6.1 이전을 사용하는 서버가 있는 혼합 노드 셀에서 웹 서비스: 웹 서비스 보안의 기본 바인딩을 클릭하십시오.mixv
  2. 보안 > 웹 서비스를 클릭하여 셀 레벨에서 기본 바인딩에 액세스하십시오.
  3. 기본 생성기 바인딩 아래에서 토큰 생성기를 클릭하십시오.
  4. 새로 작성을 클릭하여 토큰 생성기 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 생성기 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 토큰 생성기 이름 필드에 토큰 생성기 구성의 고유 이름을 입력하십시오. 예를 들어 sig_tgen을 지정할 수 있습니다. 이 필드는 토큰 생성기 요소의 이름을 지정합니다.
  5. 토큰 생성기 클래스 이름 필드에 클래스 이름을 지정하십시오. JAAS(Java™ Authentication and Authorization Service) 로그인 모듈 구현은 생성기 측에서 보안 토큰을 작성하기 위해 사용됩니다.
    제한사항: com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 인터페이스는 JAX-WS 웹 서비스에서 사용되지 않습니다. JAX-RPC 웹 서비스를 사용하는 경우 이 인터페이스는 계속 유효합니다.

    토큰 생성기 클래스 이름은 토큰 이용자 클래스 이름과 유사해야 합니다. 예를 들어 애플리케이션이 X.509 인증 토큰 이용자를 필수로 하는 경우, 토큰 이용자 분할창에 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 클래스 이름을 지정하고 이 필드에 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 클래스 이름을 지정할 수 있습니다. WebSphere 애플리케이션 서버는 다음 기본 토큰 생성기 클래스 구현을 제공합니다.

    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    이 구현은 사용자 이름 토큰을 생성합니다.
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    이 구현은 X.509 인증 토큰을 생성합니다.
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    이 구현은 LTPA(Lightweight Third Party Authentication) 토큰을 생성합니다.
  6. 인증 경로 옵션을 선택하십시오. 인증 경로가 CRL과 함께 PKCS#7으로 랩핑된 보안 토큰을 생성하는 데 사용하는 CRL(Certificate Revocation List)을 지정합니다. WebSphere 애플리케이션 서버는 다음 인증 경로 옵션을 제공합니다.
    없음
    보안 토큰을 생성하는 데 CRL을 사용하지 않는 경우, 이 옵션을 선택하십시오. 토큰 생성기가 PKCS#7 토큰 유형을 사용하지 않는 경우, 이 옵션을 선택해야 합니다.
    전용 서명 정보
    CRL이 보안 토큰에 랩핑된 경우, 전용 서명 정보를 선택하고 인증 저장소 필드에서 콜렉션 인증 저장 이름을 선택하십시오. 인증 저장소 필드가 이미 정의된 콜렉션 인증 저장의 이름을 표시합니다.

    셀 레벨에서 콜렉션 인증 저장을 정의하려면 서버 또는 셀 레벨에서 콜렉션 인증 구성의 내용을 참조하십시오.

  7. Nonce 추가 옵션을 선택하여 토큰 생성기의 사용자 이름 토큰에 있는 Nonce를 포함하십시오. Nonce는 사용자 이름 토큰의 반복적 무단 침입을 중지하기 위해 메시지에 임베디드된 고유한 암호화 숫자입니다. 토큰 생성기의 사용자 이름 토큰을 지정하는 경우, Nonce 추가 옵션이 사용 가능합니다.
  8. 시간소인 추가 옵션을 선택하여 토큰 생성기의 사용자 이름 토큰에 있는 시간소인을 포함하십시오.
  9. 로컬 이름 필드에 값 유형 로컬 이름을 지정하십시오. 이 항목은 키 ID가 참조하는 보안 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 이 속성은 키 ID가 키 정보 유형으로 선택된 경우에 유효합니다. 키 정보 유형을 지정하려면 서버 또는 셀 레벨에서 생성기 바인딩에 대한 키 정보 구성의 내용을 참조하십시오. WebSphere 애플리케이션 서버는 다음 사전 정의된 X.509 인증 토큰 구성을 제공합니다.
    X.509 인증 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath의 X.509 인증
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7의 CRL 및 X.509 인증 목록
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    LTPA의 경우, 값 유형 로컬 이름은 LTPA입니다. 로컬 이름에 LTPA를 입력하는 경우, 값 유형 URI 필드에도 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI(uniform resource identifier) 값을 지정해야 합니다.
    LTPA 버전 2
    LTPA 버전 2의 경우, 값 유형 로컬 이름은 LTPAv2입니다. 로컬 이름에 LTPAv2를 입력하는 경우, 값 유형 URI 필드에도 http://www.ibm.com/websphere/appserver/tokentype URI(Uniform Resource Identifier) 값을 지정해야 합니다.
    LTPA_PROPAGATION
    LTPA 토큰 전파의 경우 값 유형 로컬 이름은 LTPA_PROPAGATION입니다. 로컬 이름에 LTPA_PROPAGATION을 입력하는 경우, 값 유형 URI 필드에도 http://www.ibm.com/websphere/appserver/tokentype URI 값을 지정해야 합니다.
    예를 들어 X.509 인증 토큰을 지정한 경우, 로컬 이름에 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3을 사용할 수 있습니다.
  10. URI필드에 값 유형 URI를 지정하십시오. 이 항목은 키 ID가 참조하는 보안 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다. 이 속성은 키 ID가 기본 생성기에 대한 키 정보 분할창의 키 정보 유형으로 선택된 경우 유효합니다. X.509 인증 토큰이 지정되면, 네임스페이스 URI를 지정하지 않아야 합니다. 다른 토큰이 지정되면, 값 유형의 네임스페이스 URI를 지정해야 합니다.
  11. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.
  12. 토큰 생성기 구성의 이름을 클릭하십시오.
  13. 추가 특성 아래에서 콜백 핸들러를 클릭하여 콜백 핸들러 특성을 구성하십시오. 콜백 핸들러는 SOAP 메시지 내의 웹 서비스 보안 헤더에 삽입된 보안 토큰을 획득하는 방법을 지정합니다. 토큰 획득은 보안 토큰을 확보하는 JAAS(Java Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler 인터페이스를 사용하는 플러그 가능한 프레임워크입니다.
    1. 콜백 핸들러 클래스 이름 필드에 콜백 핸들러 클래스 구현을 지정하십시오. 이 속성은 보안 토큰 프레임워크을 플러그인하는 데 사용되는 콜백 핸들러 클래스 구현의 이름을 지정합니다. 지정된 콜백 핸들러 클래스는 javax.security.auth.callback.CallbackHandler 클래스를 구현해야 합니다. WebSphere 애플리케이션 서버는 다음 기본 콜백 핸들러 구현을 제공합니다.
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      이 콜백 핸들러가 로그인 프롬프트를 사용하여 사용자 이름 및 비밀번호 정보를 수집합니다. 그러나 이 분할창에서 사용자 이름과 비밀번호를 지정한 경우 프롬프트가 표시되지 않으며 WebSphere 애플리케이션 서버가 사용자 이름과 비밀번호를 토큰 생성기에 리턴합니다. Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트에만 이 구현을 사용하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      이 콜백 핸들러가 프롬프트를 발행하지 않으며 분할창에 지정되어 있는 경우, 사용자 이름과 비밀번호를 리턴합니다. 웹 서비스가 클라이언트 역할을 하는 경우, 이 콜백 핸들러를 사용할 수 있습니다.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      이 콜백 핸들러가 표준 입력 프롬프트를 사용하여 사용자 이름과 비밀번호를 수집합니다. 그러나 사용자 이름과 비밀번호가 이 분할창의 기본 인증 섹션에 지정된 경우 WebSphere 애플리케이션 서버가 프롬프트를 발행하지 않지만 사용자 이름과 비밀번호를 토큰 생성기에 리턴합니다. Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트에만 이 구현을 사용하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      이 콜백 핸들러를 사용하여 Run As 호출 Subject에서 LTPA(Lightweight Third Party Authentication) 보안 토큰을 확보합니다. 이 토큰은 2진 보안 토큰으로서 SOAP 메시지 내의 웹 서비스 보안 헤더에 삽입됩니다. 그러나 사용자 이름과 비밀번호가 이 분할창의 기본 인증 섹션에 지정된 경우 WebSphere 애플리케이션 서버가 LTPA 보안 토큰을 확보하기 위해 사용자 이름과 비밀번호를 인증합니다. Subject로 실행에서 보안 토큰을 확보하지 않고 이 방법으로 보안 토큰을 확보합니다. 웹 서비스가 애플리케이션 서버에서 클라이언트 역할을 하는 경우에만 이 콜백 핸들러를 사용하십시오. Java EE 애플리케이션 클라이언트에서 이 콜백 핸들러를 사용하지 않도록 권장합니다.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      이 콜백 핸들러는 2진 보안 토큰으로서 SOAP 메시지 내의 웹 서비스 보안 헤더에 삽입된 X.509 인증을 작성하는 데 사용됩니다. 키 저장소 파일 및 키 정의는 이 콜백 핸들러에 필수입니다.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      이 콜백 핸들러는 PKCS#7 형식으로 인코딩된 X.509 인증을 작성하는 데 사용됩니다. 인증은 2진 보안 토큰으로서 SOAP 메시지에 있는 웹 서비스 보안 헤더에 삽입됩니다. 키 저장소 파일은 이 콜백 핸들러에 필수입니다. 콜렉션 인증 저장에 인증 취소 목록(CRL)을 지정해야 합니다. CRL이 PKCS#7 포맷으로 X.509 인증과 인코딩됩니다. 콜렉션 인증 저장 구성에 대한 자세한 정보는 서버 또는 셀 레벨에서 콜렉션 인증 구성의 내용을 참조하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      이 콜백 핸들러는 PkiPath 형식으로 인코딩된 X.509 인증을 작성하는 데 사용됩니다. 인증은 2진 보안 토큰으로서 SOAP 메시지 내의 웹 서비스 보안 헤더에 삽입됩니다. 키 저장소 파일은 이 콜백 핸들러에 필수입니다. 콜백 핸들러가 CRL을 지원하지 않습니다. 따라서 콜렉션 인증 저장소가 필요하지 않거나 사용되지 않습니다.

      X.509 인증 토큰의 경우, com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 구현을 지정할 수도 있습니다.

    2. 옵션: ID 어설션 사용 옵션을 선택하십시오. IBM® 확장 배치 디스크립터에 ID 어설션이 정의되어 있는 경우 이 옵션을 선택하십시오. 이 옵션은 초기 전송자의 ID만이 필수이며 SOAP 메시지 내의 웹 서비스 보안 헤더에 삽입됨을 표시합니다. 예를 들어 WebSphere 애플리케이션 서버가 사용자 이름 토큰 생성기에 대한 원래 호출자의 사용자 이름만 전송합니다. X.509 토큰 생성기의 경우, 애플리케이션 서버는 원래 서명자 인증만 전송합니다.
    3. 옵션: RunAs ID 사용 옵션을 선택하십시오. 다음 조건이 충족될 경우에 이 옵션을 선택하십시오.
      • IBM 확장 배치 디스크립터에 ID 어설션이 정의되어 있습니다.
      • 다운스트림 호출에 ID 어설션의 초기 호출자 ID 대신 ID로 실행을 사용하고자 합니다.
    4. 옵션: 사용자 ID비밀번호 필드에 기본 인증 사용자 ID 및 비밀번호를 지정하십시오. 이 항목은 콜백 핸들러 구현의 생성자에 전달된 사용자 이름과 비밀번호를 지정합니다. WebSphere 애플리케이션 서버가 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 지정하는 경우, 기본 인증 사용자 ID와 비밀번호가 사용됩니다.
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. 옵션: 키 저장소 비밀번호 및 경로를 지정하십시오. 토큰을 생성하는 데 키 또는 인증이 사용되는 경우, 키 저장소 및 관련 정보가 필수입니다. 예를 들어 WebSphere 애플리케이션 서버가 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 선택한 경우, 키 저장소 정보가 필수입니다.
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      키 저장소 파일에는 공용 및 개인 키, 루트 CA(Certificate Authority) 인증, 중간 CA 인증 등이 포함됩니다. 키 저장소 파일에서 검색되는 키는 메시지 또는 메시지 파트를 암호화 및 복호화 또는 서명 및 유효성 검증하는 데 사용합니다. 키 저장소 파일에서 키를 검색하려면 키 저장소 비밀번호, 키 저장소 경로 및 키 저장소 유형을 지정해야 합니다.

  14. 유형 필드에서 키 저장소 유형을 선택하십시오. WebSphere 애플리케이션 서버는 다음 옵션을 제공합니다.
    JKS
    JCE(Java Cryptography Extension)를 사용하고 있지 않고 키 저장소 파일이 JKS(Java Keystore) 형식을 사용하는 경우에 이 옵션을 사용하십시오.
    JCEKS
    JCE(Java Cryptography Extension)를 사용하고 있는 경우 이 옵션을 사용하십시오.
    [z/OS]JCERACFKS
    [z/OS]인증이 SAF 키 링(z/OS®에만 해당)에 저장되는 경우 JCERACFKS를 사용하십시오.
    PKCS11KS(PKCS11)
    키 저장소 파일이 PKCS#11 파일 형식을 사용하는 경우에 이 형식을 사용하십시오. 이 형식을 사용하는 키 저장소는 암호화 하드웨어에 RSA 키를 포함하거나 암호화 하드웨어를 사용하는 키를 암호화하여 키를 보호할 수 있습니다.
    PKCS12KS(PKCS12)
    키 저장소 파일이 PKCS#12 파일 형식을 사용하는 경우에 이 옵션을 사용하십시오.
  15. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.
  16. 토큰 생성기 구성의 이름을 클릭하십시오.
  17. 추가 특성 아래에서 콜백 핸들러 > 를 클릭하십시오.
  18. 새로 작성을 클릭하여 키 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 키 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 키 이름 필드에 키 구성의 고유 이름을 입력하십시오. 이 이름은 키 저장소 파일 내에 저장된 키 오브젝트의 이름을 나타냅니다.
  19. 키 별명 필드에 키 오브젝트의 별명을 지정하십시오. 별명은 Key Locator가 키 저장소에서 키 오브젝트를 검색할 때 사용됩니다.
  20. 키 비밀번호 필드에 키와 연관된 비밀번호를 지정하십시오.
  21. 확인저장을 클릭하여 구성을 저장하십시오.

결과

서버 또는 셀 레벨에서 토큰 생성기를 구성했습니다.

다음에 수행할 작업

유사한 토큰 이용자 구성을 지정해야 합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
파일 이름:twbs_configtokengensvrcell.html