보안

다음 정보는 WebSphere® Application Server에서 보안 개요를 제공합니다.

IBM® WebSphere Application Server는 보안 인프라 및 메커니즘을 제공하여 민감한 J2EE(Java™ 2 Platform, Enterprise Edition) 자원 및 관리 자원을 보호합니다. 또한 엔드 투 엔드 보안 요구사항에 대해 언급합니다.
  • 인증
  • 자원 액세스 제어
  • 데이터 무결성
  • 기밀성
  • 비밀
  • 보안 상호 운용성
IBM WebSphere Application Server 보안은 산업 표준에 근거하며 보안 연결성 및 ESI(Enterprise Information Systems)와의 상호 운용성을 확인하는 다음과 같은 개방 아키텍처가 있습니다.
  • DB2®(Database 2)
  • CICS®
  • [AIX Solaris HP-UX Linux Windows][z/OS]IMS™(Information Management System)
  • MQ Series
  • Lotus® Domino®
  • IBM Directory
WebSphere Application Server는 또한 다음을 포함한 다른 보안 제공자를 지원합니다.
  • [z/OS]IBM z/OS® Security Server RACF®(Resource Access Control Facility)를 포함하는 모든 SAF(System Authorization Facility) 준수 보안 서버
  • WebSEAL을 포함하는역방향 보안 프록시 서버

[z/OS]ID 관리:

[z/OS]WebSphere 애플리케이션 서버 버전 7.x 및 이전 릴리스의 경우:

[z/OS]SAF 보안 기능을 활용하려면 사용자는 z/OS 기반 사용자 ID를 사용하여 자신을 식별해야 합니다. 프린시펄 맵핑 모듈을 사용하여 J2EE ID를 플랫폼 기반 사용자 ID(이 경우, RACF 사용자 ID)로 맵핑할 수 있습니다. SAF EJBROLE 검사를 수행하려면 프린시펄 맵핑을 LDAP 사용자 ID에서 RACF 사용자 ID로 작성해야 합니다. 이는 맵핑 로그인 모듈이 LDAP 레지스트리에 있는 구성된 사용자로부터 z/OS 사용자 ID를 추출할 수 있어야 한다는 것을 의미합니다. (이들 변경사항을 추적하기 위해 SMF 감사(SAF 사용)를 사용할 수 있습니다.)

[z/OS]WebSphere Application Server 버전 8.0 이상의 새로운 기능:

[z/OS]분산 ID 맵핑을 위한 두 가지 선택사항이 있습니다.
  • JAAS 맵핑 모듈을 사용하여 J2EE ID를 SAF ID로 맵핑하십시오.
  • 특정 버전의 SAF를 필요로 하는 SAF에서 분배된 ID 맵핑 기능을 사용하십시오. WebSphere에서 구성해야 하는 JAAS 맵핑 모듈은 없습니다. 이 경우, 사용자 ID는 분산 사용자 ID를 사용하여 사용자를 식별합니다(예: LDAP 레지스트리의 사용자 ID). z/OS 보안 관리자가 RACMAP SAF 프로파일을 사용하여 맵핑을 핸들링합니다. 이 옵션은 분산 사용자 ID 및 SAF ID로 감사 레코드에 로그인할 수 있도록 하여 SMF 감사 기능을 향상시킵니다. 자세한 정보는 SAF를 사용하는 분산 ID 맵핑에 대해 읽어보십시오.

산업 표준 기반

IBM WebSphere Application Server는 J2EE 스펙에 따른 웹 자원, 웹 서비스 엔드포인트 및 Enterprise JavaBeans 보안을 위해 통일된 정책 기반 및 권한 기반 모델을 제공합니다. 특히, WebSphere Application Server는 Java EE 6 스펙을 준수하며 J2EE Compatibility Test Suite를 통과했습니다.

WebSphere Application Server 보안은 운영 체제 플랫폼, JVM(Java Virtual Machine) 및 Java 2 보안에 빌드된 레이어 아키텍처입니다. 이 보안 모델에서는 다음을 비롯하여 풍부한 보안 기술들을 사용합니다.
  • 세분화된 정책 기반 및 권한 기반 액세스 제어를 시스템 자원에 제공하는 Java 2 보안 모델
  • SAS(Secure Authentication Services) 보안 프로토콜 이외에, CSIv2(Common Secure Interoperability Version 2) 보안 프로토콜. 두 프로토콜 모두 이전 WebSphere Application Server 릴리스에서 지원합니다. CSIv2는 J2EE 1.4 스펙의 중요한 파트로서 여러 벤더의 애플리케이션 서버 간 상호 운용성 및 엔터프라이즈 CORBA 서비스에 필수적입니다.
    [AIX Solaris HP-UX Linux Windows][IBM i][z/OS]중요사항: SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.
  • Java 애플리케이션, 서블릿 및 엔터프라이즈 Bean에 대한 JAAS(Java Authentication and Authorization Service) 프로그래밍 모델
  • 엔터프라이즈 정보 시스템에 대한 액세스를 지원하는, 자원 어댑터에 플러그인하는 J2EE 커넥터 아키텍처

보안 소켓 통신, 메시지 암호화 및 데이터 암호화를 지원하는 표준 보안 모델 및 인터페이스는 JSSE(Java Secure Socket Extension) 및 JCE(Java Cryptographic Extension)입니다.

개방형 아키텍처 패러다임

An Server는 멀티플 티어(multiple-tier) 엔터프라이즈 컴퓨팅 프레임워크의 중요한 파트 역할을 수행합니다. IBM WebSphere Application Server는 개방형 아키텍처 패러다임을 채택하며 엔터프라이즈 소프트웨어 컴포넌트와 통합할 수 있는 많은 플러그인 지점을 제공합니다. 플러그인 지점은 항상 표준 J2EE 스펙을 기반으로 합니다.

개방형 아키텍처 패러다임

진한 파란색 음영이 있는 배경은 WebSphere Application Server버전 9.0 및 기타 비즈니스 애플리케이션 컴포넌트 간의 경계를 표시합니다.

[AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server는 인증 메커니즘으로 SWAM(Simple WebSphere Authentication Mechanism), LTPA(Lightweight Third Party Authentication) 및 Kerberos를 제공합니다. 하나의 사용자 레지스트리 구현만 WebSphere Application Server 보안 도메인의 활성 사용자 레지스트리로 구성할 수 있습니다. WebSphere Application Server는 사용자 레지스트리 구현(UNIX, Windows 및 IBM i 로컬 OS와 LDAP(Lightweight Directory Access Protocol))을 제공합니다. 파일 기반 및 JDBC(Java Database Connectivity) 기반 사용자 레지스트리 참조 구현도 제공합니다. 이 제품은 융통성있는 인증 메커니즘 및 사용자 레지스트리의 조합을 지원합니다. SWAM은 구성하기 편리하며 단일 애플리케이션 서버 환경에 유용합니다. ID 어설션이 사용 가능할 경우 분산 환경에서 SWAM을 사용할 수 있습니다. ID 어설션 기능은 CSIv2 보안 프로토콜에서만 사용할 수 있습니다.
참고: SWAM은 WebSphere Application Server에서 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.

[AIX Solaris HP-UX Linux Windows][IBM i]LTPA 인증 메커니즘은 모든 플랫폼 보안용으로 설계되었습니다. 다운스트림 서버는 보안 토큰의 유효성을 검증할 수 있습니다. 또한 반전 보안 프록시 서버 및 싱글 사인온(SSO)의 신뢰 연관 관계 설정도 지원하는데, 이 설정은 뒤에서 설명합니다. LTPA와 LDAP 또는 사용자 정의 사용자 레지스트리 인터페이스의 조합 외에, 버전 6.x 이상에서는 LocalOS 사용자 레지스트리 인터페이스와 함께 LTPA를 지원합니다. 이와 같은 새로운 구성은 다중 애플리케이션 서버의 단일 노드에 매우 유용합니다. 이러한 구성은 로컬 OS 사용자 레지스트리 구현이 중앙집중화된 사용자 레지스트리(예: Windows 도메인 제어기)인 경우이거나, 다중 노드에서 일관된 상태로 유지될 수 있는 경우 분산 환경에 적용될 수 있습니다.

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]WebSphere Application Server는 J2EE 커넥터 아키텍처를 지원하고 컨테이너 관리 인증을 제공합니다. 또한 인증된 사용자 신임을 지정된 EIS(Enterprise Information Systems) 보안 도메인용 비밀번호 신임에 맵핑하는 기본 J2C(Java 2 Connector) 프린시펄 및 신임 맵핑 모듈을 제공합니다. 맵핑 모듈은 Java 2 커넥터 및 JAAS 스펙에 따라 특별히 설계된 JAAS 로그인 모듈입니다. 기타 맵핑 로그인 모듈을 플러그인할 수 있습니다.

[z/OS]

사용자 레지스트리 및 액세스 제어

사용자 레지스트리에 있는 사용자 및 그룹에 대한 정보입니다. WebSphere Application Server에서 사용자 레지스트리는 사용자를 인증하고, 사용자 및 그룹 정보를 검색하여 인증 및 권한을 포함한 보안 관련 기능을 수행합니다.

WebSphere Application Server는 다음 사용자 레지스트리 구현을 제공합니다.
  • 로컬 OS(SAF 기반)
  • LDAP
  • 연합 저장소

로컬 OS, LDAP 및 연합 저장소 레지스트리 외에, WebSphere Application Server는 사용자 정의 레지스트리 기능(사용자 정의 사용자 레지스트리라고도 함)을 사용하여 모든 레지스트리를 지원하는 플러그인도 제공합니다.

WebSphere Application Server의 로컬 OS 레지스트리 구현을 선택하면, WebSphere 환경의 SAF(Security Access Facility)를 직접 사용하여 z/OS Security Server의 기능(예: RACF(Resource Access Control Facility))을 통합할 수 있습니다. 로컬 OS 이외의 레지스트리를 구성한 경우 두 가지 옵션으로 z/OS Security Server 기능을 이용할 수도 있습니다. 적절한 시스템 로그인 구성에 플러그 가능 JAAS 맵핑 모듈(WebSphere 애플리케이션 서버 for z/OS 제공 JAAS 로그인 모듈이 뒤에 따름)을 구성할 수 있습니다. WebSphere 애플리케이션 서버 버전 8.5에서는 분산 ID 맵핑 기능을 사용할 수도 있습니다.

자세한 정보는 레지스트리 또는 저장소 선택의 내용을 참조하십시오.

WebSphere Application Server 구성: WebSphere Application Server버전 9.0 for z/OS로 기존 비z/OS 애플리케이션을 z/OS 특정 기능(예: SAF(System Authorization Facility) 및 RACF)과 통합할 수 있습니다. 이렇게 하면 비z/OS 플랫폼 및 WebSphere Application Server for z/OS에 대한 레지스트리를 단일화할 수 있습니다. 예를 들어 다음과 같습니다.

표 1. WebSphere Application Server 레지스트리 구성 예제.

다음 테이블에서는 WebSphere Application Server 레지스트리 구성 예제를 보여줍니다.

애플리케이션 서버 구성 레지스트리 유형 권한 메소드 이점
WebSphere Application Server LDAP WebSphere 바인딩 및 외부 보안 제공자(예: Tivoli® Access Manager) 공유 레지스트리(이기종 플랫폼 간)
WebSphere Application Server for z/OS RACF WebSphere 바인딩 및 RACF EJBROLE 집중된 액세스 및 감사 기능(버전 4,0에서 실행하는 서버 포함 가능)
WebSphere Application Server 혼합 환경 LDAP 또는 사용자 정의 WebSphere 바인딩, 외부 보안 제공자 및 RACF EJBROLE 공유 레지스트리, 집중된 액세스 및 감사 기능
다음은 이전의 표에 설명된 내용을 표시하는 그림입니다.
  • WebSphere Application Server 네트워크 레지스트리 구성 네트워크 레지스트리 구성
  • WebSphere Application Server for z/OS 네트워크 레지스트리 구성:z/OS 네트워크 레지스트리 구성
  • z/OS 보안 확장자가 있는 WebSphere Application Server 네트워크 레지스트리 z/OS 보안 확장자가 있는
네트워크 레지스트리

인증 메커니즘

WebSphere Application Server에서는 다음 인증 메커니즘이 지원됩니다.
  • LTPA(Lightweight Third Party Authentication)

    LTAP(Lightweight Third Party Authentication)는 인증된 사용자에 대한 보안 토큰을 생성합니다. 이는 싱글 사인온(SSO) 도메인 내에서 동일한 또는 다른 서버로 후속 호출 시 인증된 사용자를 표현하는 데 사용할 수 있습니다.

  • Kerberos

    인증 메커니즘으로서 Kerberos에 대한 보안 지원이 WebSphere Application Server의 이 릴리스에 추가되었습니다. Kerberos는 완성도 높고, 유연하며, 개방형의 보안이 우수한 네트워크 인증 프로토콜입니다. Kerberos에는 인증, 상호 인증, 메시지 무결성 및 기밀성, 위임 기능이 포함되어 있습니다.

  • SWAM(Simple WebSphere Authentication Mechanism)
    SWAM은 구성이 단순하고 단일 애플리케이션 서버 환경에 유용하지만 각 요청에 대해 사용자 ID 및 비밀번호 인증을 강요합니다.
    참고: SWAM은 WebSphere Application Server에서 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.

IIOP 인증 프로토콜

IIOP 인증 프로토콜은 Java Client에서 WebSphere Application Server for z/OS로, 또는 J2EE 애플리케이션 서버 간의 요청을 인증하는 데 사용되는 메커니즘을 가리킵니다. 전략적 프로토콜로 고려되는 CSIv2(Common Secure Interoperability Version 2)는 WebSphere Application Server for z/OS 버전 6.x 이상에서 구현됩니다.

[z/OS]

WebSphere Application Server for z/OS 커넥터 보안

WebSphere Application Server는 J2EE 커넥터 아키텍처를 지원하고 컨테이너 관리 인증을 제공합니다. 또한 인증된 사용자 신임을 지정된 EIS(Enterprise Information System) 보안 도메인용 비밀번호 신임에 맵핑하는 기본 J2C 프린시펄 및 신임 맵핑 모듈을 제공합니다. EIS 시스템이 WebSphere Application Server와 동일한 보안 도메인에 있으면 z/OS 특정 커넥터도 지원됩니다. 이런 경우에는 J2EE 요청에 사용되는 인증된 신임이 EIS 신임으로 사용될 수 있기 때문에 비밀번호가 필요하지 않습니다.

웹 서비스 보안

WebSphere Application Server를 사용하면 OASIS(Organization for the Advancement of Structured Information Standards) 웹 서비스 보안 버전 1.1 스펙에 기초하여 웹 서비스를 보호할 수 있습니다. 이 표준은 웹 서비스 환경에서 교환되는 메시지를 보호하는 방법에 대해 설명합니다. 이 스펙은 메시지의 무결성 및 기밀성을 보호하기 위한 코어 기능을 정의하고, 보안 관련 청구를 메시지와 연관시키기 위한 메커니즘을 제공합니다.

신뢰 연관

신뢰 연관을 사용하면 써드파티 보안 서버를 IBM WebSphere Application Server 보안과 통합할 수 있습니다. 더 구체적으로, 역방향 프록시 서버가 프론트 엔드 인증 서버 역할을 수행하는 반면, WebSphere Application Server는 자체 권한 정책을 프록시 서버에서 전달한 결과 신임에 적용합니다. 역방향 프록시 서버는 WebSphere Application Server로 디스패치된 모든 웹 요청에 인증 정책을 적용합니다. TAI(Trust Association Interceptors)를 구현하는 제품은 다음을 포함합니다.
  • IBM Tivoli Access Manager for e-business
  • WebSEAL
  • Caching Proxy
신뢰 연관 사용에 대한 자세한 정보는 신뢰 연관의 내용을 참조하십시오.

보안 속성 전파

보안 속성 전파를 사용하면 WebSphere Application Server가 하나의 서버에서 해당 구성에 속한 다른 서버로 보안 속성을 전송할 수 있습니다. 보안 속성에는 인증된 주제 목차와 보안 컨텍스트 정보가 포함됩니다. WebSphere Application Server는 다음으로부터 이러한 보안 속성을 확보할 수 있습니다.
  • 정적 속성을 조회하는 엔터프라이즈 사용자 레지스트리
  • 정적 또는 동적 속성을 조회할 수 있는 사용자 정의 로그인 모듈
보안 속성 전파는 주제에 포함된 오브젝트의 Java 직렬화를 사용하여 전파 서비스를 제공합니다. 보안 속성 전달 사용에 대한 자세한 정보는 보안 속성 전파의 내용을 참조하십시오.

싱글 사인온 상호 운용성 모드

WebSphere Application Server에서 상호 운용성 모드 옵션을 사용하면 WebSphere Application Server 버전 6.1.x 이상 사이의 싱글 사인온(SSO) 연결이 이전 버전의 애플리케이션 서버와 상호 운용될 수 있습니다. 이 옵션을 선택하면 WebSphere Application Server는 이전 양식의 LtpaToken을 응답에 추가하므로 이 토큰 유형으로만 작동하는 다른 서버에 전송될 수 있습니다. 이 옵션은 웹 인바운드 보안 속성 전파 옵션이 사용 가능한 경우에만 적용됩니다. 싱글 사인온에 대한 자세한 정보는 웹 사용자 인증을 최소화하기 위해 싱글 사인온 구현의 내용을 참조하십시오.

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

웹 컨테이너와 EJB 컨테이너를 사용하여 J2EE 자원 보안

각 컨테이너는 두 가지 종류의 보안(선언 보안프로그램 방식 보안)을 제공합니다. 선언 보안의 경우, 데이터 무결성, 기밀성, 인증 요구사항, 보안 역할 및 액세스 제어를 포함하는 애플리케이션 보안 구조는 애플리케이션과 독립된 형식으로 표현됩니다. 특히 배치 디스크립터는 J2EE 플랫폼에서 선언 보안용의 1차 도구입니다. WebSphere Application Server는 배치 디스크립터로부터 파생된 정보와 XML 디스크립터 파일 세트의 배치자 및 관리자에 의해 지정된 정보를 포함한 J2EE 보안 정책을 유지보수합니다. 런타임에서 컨테이너는 XML 디스크립터 파일에서 정의된 보안 정책을 사용하여 데이터 제한조건과 액세스 제어를 강제 실행합니다. 선언 보안만으로는 애플리케이션의 보안 모델을 표현하는 데 부족할 경우, 애플리케이션 코드가 액세스를 결정할 프로그램 방식 보안을 사용할 수 있습니다. 프로그램 보안의 API(Application Programming Interface)는 Enterprise JavaBeans(EJB) EJBContext 인터페이스의 두 가지 메소드(isCallerInRole, getCallerPrincipal)와 서블릿 HttpServletrequest 인터페이스의 세 가지 메소드(isUserInRole, getUserPrincipal, getRemoteUser)로 구성됩니다.

[AIX Solaris HP-UX Linux Windows][z/OS]

Java 2 보안

WebSphere Application Server는 Java 2 보안 모델을 지원합니다. 시스템 코드(예: 관리 서브시스템, 웹 컨테이너 및 EJB 컨테이너)는 WebSphere Application Server 보안 도메인에서 실행되고, 현재 구현은 AllPermission으로 권한이 부여되며 모든 시스템 자원에 액세스할 수 있습니다. 애플리케이션 코드는 기본적으로 J2EE 스펙에 따라 권한이 부여되고 제한된 시스템 자원 세트에 액세스만 할 수 있는 애플리케이션 보안 도메인에서 실행 중입니다. WebSphere Application Server 런타임 클래스는 WebSphere Application Server 클래스 로더에서 보호 설정되며 애플리케이션 코드는 볼 수 없습니다.

[AIX Solaris HP-UX Linux Windows][z/OS]

Java 2 Platform, Enterprise Edition 커넥터 보안

WebSphere Application Server는 J2EE 커넥터 아키텍처를 지원하고 컨테이너 관리 인증을 제공합니다. 또한 인증된 사용자 신임을 지정된 EIS(Enterprise Information System) 보안 도메인용 비밀번호 신임에 맵핑하는 기본 J2C 프린시펄 및 신임 맵핑 모듈을 제공합니다.

[z/OS]EIS 시스템이 WebSphere Application Server와 동일한 보안 도메인에 있으면 z/OS 특정 커넥터도 지원됩니다. 이런 경우에는 J2EE 요청에 사용되는 인증된 신임이 EIS 신임으로 사용될 수 있기 때문에 비밀번호가 필요하지 않습니다.

[z/OS]자세한 정보는 스레드 ID 연결을 참조하십시오.

[z/OS]WebSphere Application Sever 프로세스

모든 WebSphere 서버 프로세스는 기본적으로 셀 레벨 보안 XML 문서에 정의된 공통 보안 구성을 공유합니다. 보안 구성은 WebSphere Application Server 보안을 강화할지 여부, Java 2 보안을 강화할지 여부, 인증 메커니즘과 사용자 레지스트리 구성, 보안 프로토콜 구성, JAAS 로그인 구성 및 SSL(Secure Socket Layer) 구성을 결정합니다. 애플리케이션에는 고유한 보안 요구사항이 있습니다. 각 애플리케이션 서버는 서버마다 보안 구성을 작성하여 자체 보안 요구사항을 충족시키거나 WebSphere 보안 도메인으로 맵핑할 수 있습니다. 애플리케이션 서버 레벨에서 모든 보안 구성이 수정될 수 있는 것은 아닙니다. 애플리케이션 서버 레벨에서 수정할 수 있는 일부 보안 구성에는 애플리케이션 보안 강화 여부, Java 2 보안 강화 여부 및 보안 프로토콜 구성이 포함되어 있습니다. WebSphere Security 도메인에서 보안 구성에 대한 더 개선된 제어를 가능하고 하고 개별 서버에 맵핑할 수 있습니다. 자세한 정보는 다중 보안 도메인에 대해 읽어보십시오.

[z/OS]자세한 일반 정보는 스레드 ID 지원을 사용하는 보안 상태를 참조하십시오.

관리 서브시스템 보안 구성은 항상 셀 레벨 보안 문서에 의해 결정됩니다. 웹 컨테이너 및 EJB 컨테이너 보안 구성은 셀 레벨 보안 문서보다 우선순위가 높은 선택적 서버 레벨 보안 문서에 의해 결정됩니다.

셀 레벨과 애플리케이션 서버 레벨의 보안 구성은 웹 기반 관리 콘솔 애플리케이션 또는 적절한 스크립트 애플리케이션으로 관리됩니다.

[z/OS]참고: 서버 레벨에서 인증 메커니즘을 변경할 수 없습니다.

웹 보안

보안 정책이 웹 자원용으로 지정되고 IBM WebSphere Application Server 보안이 강화된 경우, 웹 클라이언트가 자원을 요청할 때 웹 컨테이너는 액세스 제어를 수행합니다. 아무것도 표시되지 않는 경우 웹 컨테이너는 지정된 인증 메소드에 따라 인증 데이터의 웹 클라이언트를 확인하여, 데이터 제한조건이 충족되는지 확인하고 인증된 사용자가 필수 보안 역할을 갖는지 여부를 판별합니다. WebSphere Application Server는 다음 로그인 메소드를 지원합니다.
  • HTTP 기본 인증
  • HTTPS 클라이언트 인증
  • 양식 기반 로그인
  • SPNEGO(Simple and Protected GSS-API Negotiation) 토큰
WebSphere Application Server 보안 신임에 클라이언트 인증서를 맵핑하는 경우, UserRegistry 구현을 사용하여 맵핑을 수행합니다.

[AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server에서 로컬 OS 사용자 레지스트리는 맵핑 기능을 지원하지 않습니다.

[AIX Solaris HP-UX Linux Windows][IBM i]LTPA 인증 메커니즘이 구성되고 싱글 사인온(SSO)이 사용 가능할 경우 인증된 클라이언트가 지정된 보안 도메인 내의 사용자를 표시할 수 있는 보안 쿠키를 발행합니다.

SSL(Secure Sockets Layer)을 사용하여 보안 쿠키 또는 기본 인증 정보가 방해되거나 재생되지 않도록 하는 것이 좋습니다. 신뢰 연관이 구성되면 WebSphere Application Server는 보안 역방향 프록시 서버와 설정된 신뢰 관계를 기반으로 인증된 사용자 ID를 보안 신임으로 맵핑할 수 있습니다.

웹 보안

웹 보안 협력자 및 EJB 보안 협력자 고려 시:
  1. 웹 보안 협력자는 액세스 관리자 구현을 사용하여 역할 기반 액세스 제어를 강제 실행합니다. 액세스 관리자는 배치 디스크립터의 보안 정책을 기반으로 인증 결정을 내립니다. 사용자 프린시펄이 필수 보안 역할 중 하나를 수행하는 경우 인증된 사용자 프린시펄을 통해 요청된 서블릿 또는 JSP에 액세스할 수 있습니다. 서블릿 및 JSP 파일은 HttpServletRequest 메소드(isUserInRole, getUserPrincipalgetRemoteUser)를 사용할 수 있습니다. 예를 들어 관리 콘솔은 isUserInRole 메소드를 사용하여 사용자 프린시펄에 공개할 올바른 관리 기능 세트를 결정합니다.
  2. EJB 보안 협력자는 액세스 관리자 구현을 사용하여 역할 기반 액세스 제어를 강제 실행합니다. 액세스 관리자는 배치 디스크립터의 보안 정책을 기반으로 인증 결정을 내립니다. 필수 보안 역할 중 하나를 수행할 경우, 인증된 사용자 대상을 사용하여 요청된 EJB 메소드에 액세스할 수 있습니다. EJB 코드는 EJBContext 메소드 isCallerInRolegetCallerPrincipal을 사용할 수 있습니다. 또한 EJB 코드는 JAAS 프로그래밍 모델을 사용하여 JAAS 로그인과 WSSubject doAsdoAsPrivileged 메소드를 수행합니다. doAsdoAsPrivileged PrivilegedAction 블록의 코드는 주제 ID에서 실행합니다. 그렇지 않으면, EJB 메소드는 RunAs 구성에 따라 RunAs ID 또는 호출자 ID에서 실행합니다.

EJB 보안

보안을 사용할 수 있는 경우, EJB 컨테이너는 EJB 메소드 호출 시 액세스 제어를 강제로 실행합니다. 특정 EJB 메소드용으로 정의된 메소드 권한과는 관계 없이 인증이 발생합니다.

Java 애플리케이션 클라이언트는 여러 가지 방법으로 인증 데이터를 제공할 수 있습니다. sas.client.props 파일을 사용하여 Java 클라이언트는 사용자 ID 및 비밀번호를 사용하여 인증할 SSL 클라이언트 인증서를 인증할 것인지 또는 사용할 것인지 여부를 지정합니다. 클라이언트 인증서는 sas.client.props 파일에 정의된 키 파일 또는 하드웨어 비밀번호 카드에 저장됩니다. 사용자 ID 및 비밀번호는 선택적으로 sas.client.props 파일에 정의할 수 있습니다.

런타임 시, Java 클라이언트는 프로그램 로그인을 수행하거나 엄격하지 않은 인증을 수행할 수 있습니다.

엄격하지 않은 인증에서 Java 클라이언트가 처음으로 보호 엔터프라이즈 Bean에 액세스하면 보안 런타임은 필수 인증 데이터를 얻으려고 시도합니다. sas.client.props 파일에서 구성 설정에 따라 보안 런타임은 이 파일에서 인증 데이터를 찾거나 사용자를 프롬프트합니다. 대안으로, Java 클라이언트는 프로그램 로그인을 선택하여 사용합니다. WebSphere Application Server는 JAAS 프로그래밍 모델을 지원하며 JAAS 로그인(LoginContext)은 권장되는 프로그램 로그인 방법입니다. login_helper request_login 헬퍼 기능은 버전 6.x 및 버전 9.0에서 더 이상 사용되지 않습니다. 이 버전에서 login_helper APT로 프로그램된 Java 클라이언트를 실행할 수 있습니다.

EJB 보안 협력자는 액세스 관리자 구현을 사용하여 역할 기반 액세스 제어를 강제 실행합니다.

액세스 관리자는 배치 디스크립터의 보안 정책을 기반으로 인증 결정을 내립니다. 필수 보안 역할 중 하나를 수행할 경우, 인증된 사용자 대상을 사용하여 요청된 EJB 메소드에 액세스할 수 있습니다. EJB 코드는 EJBContext methods isCallerInRole 및 getCallerPrincipal을 사용할 수 있습니다. 또한 EJB 코드는 JAAS 프로그래밍 모델을 사용하여 JAAS 로그인과 WSSubject doAs 및 doAsPrivileged 메소드를 수행합니다. doAs 및 doAsPrivileged PrivilegedAction 블록의 코드는 주제 ID 하에서 실행합니다. 그렇지 않으면, EJB 메소드는 RunAs 구성에 따라 그렇지 않으면 ID 또는 호출자 ID하에서 실행합니다. J2EE RunAs 스펙은 엔터프라이즈 Bean 레벨에 있습니다. RunAs ID가 지정될 경우, 모든 Bean 메소드에 적용됩니다. 버전 4.0에 도입된 메소드 레벨 IBM RunAs 확장은 이 버전에서 여전히 지원됩니다.

[z/OS]참고: 권한 부여가 완료되면 RunAs ID가 다운스트림으로 사용됩니다. 이는 일반적으로 호출자의 ID이지만 대표 ID일 수도 있습니다.

FIPS(Federal Information Processing Standard) 승인

FIPS(Federal Information Processing Standards)는 연합 컴퓨터 시스템의 NIST(National Institute of Standards and Technology)에서 발행된 표준 및 지침입니다. 보안 및 상호 운용성과 같은 표준의 연합 정부 요구사항이 강요되지만 허용할 수 있는 산업 표준이나 솔루션이 없을 때 FIPS가 개발됩니다.

WebSphere Application Server는 JSSE(Java Secure Socket Extension) 및 JCE(Java Cryptography Extension)를 포함하여 FIPS 140-2 인증을 수행한 암호화 모듈을 통합합니다.

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]자세한 정보는 연방 정보 처리 규격 Java 보안 소켓 확장 파일 구성의 내용을 참조하십시오.

IBMJCEFIPS 모듈은 다음 대칭 cipher suite를 지원합니다.
  • AES(FIPS 197)
  • TripleDES(FIPS 46-3)
  • SHA1 메시지 요약 알고리즘(FIPS 180-1)
IBMJCEFIPS 모듈은 다음 알고리즘을 지원합니다.
  • 디지털 서명 DSA 및 RSA 알고리즘(FIPS 186-2)
  • ANSI X 9.31(FIPS 186-2)
  • IBM Random Number Generator

IBMJCEFIPS 암호화 모듈은 IBM JCE 모듈에서 적절한 서브세트를 형성하는 FIPS로 승인되는 알고리즘을 포함합니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=welc_security
파일 이름:welc_security.html