스크립트를 사용하여 CSI(Common Secure Interoperability) 인증 구성
wsadmin 도구를 사용하여 CSI 프로토콜을 사용하는 인바운드 및 아웃바운드 통신을 구성하려면 이 주제를 사용하십시오. CSIv2(Common Secure Interoperability Version 2)는 확장된 벤더 상호 운용성과 추가 기능을 지원합니다.
시작하기 전에
로컬 운영 체제 사용자 레지스트리를 구성하기 전에
다음과 같은 요구사항을 충족시켜야 합니다.
- 관리자 또는 새 관리 역할을 가지고 있어야 합니다.
- 사용자 환경에서 글로벌 보안을 사용하도록 설정하십시오.
- 환경에서 보안 도메인을 사용하여 여러 영역을 구성하십시오.
프로시저
- CSI 인바운드 통신 인증을 구성하십시오.
인바운드 인증은 인바운드 요청에 대해 승인된 인증 유형을 결정하는 구성을 나타냅니다. 이 인증은 클라이언트가 네임 서버에서 검색하는 IOR(Interoperable Object Reference)로 알립니다.
- Jython 스크립트 언어를 사용하여 wsadmin 스크립트 도구를 실행하십시오. 자세한 정보는 wsadmin 스크립트 클라이언트 시작 문서를 참조하십시오.
- CSI 인바운드 통신에 대해 지정할 설정을 판별하십시오. configureCSIInbound 명령은 CSI 인바운드 통신에 대한 다양한 설정을 구성합니다.
표 1. 명령 매개변수 . 다음의 선택적 매개변수 목록을 검토하여 구성에서 설정할 속성을 판별하십시오. 매개변수 설명 -securityDomainName 보안 구성의 이름을 지정합니다. 보안 도메인 이름을 지정하지 않으면 명령이 글로벌 보안 구성을 수정합니다. (문자열). -messageLevelAuth 이 서버와 통신 중인 클라이언트가 사용자 ID 및 비밀번호를 지정해야 하는지 여부를 지정합니다. 사용자 ID 및 비밀번호 요구사항을 사용 불가능하게 하려면 Never를 지정하십시오. 사용자 ID 및 비밀번호를 허용하려면 Supported를 지정하십시오. 사용자 ID 및 비밀번호를 요구하려면 Required를 지정하십시오. (문자열). -supportedAuthMechList 사용할 인증 메커니즘을 지정합니다. Kerberos 인증의 경우 KRB5, LTPA(Lightweight Third-Party Authentication)는 LTPA, BasicAuth 인증은 BasicAuth를 지정하고, 사용자 고유의 인증 토큰 구현을 사용하려면 사용자 정의를 지정하십시오. 파이프 문자(|)로 구분하여 두 개 이상을 지정할 수 있습니다. (문자열). -clientCertAuth 서버에 연결하는 클라이언트가 SSL 인증을 사용하여 연결해야 하는지 여부를 지정합니다. 클라이언트가 SSL 인증 없이 연결하도록 허용하려면 Never를 지정하십시오. SSL 인증 유무와 무관하게 클라이언트 연결을 승인하려면 Supported를 지정하십시오. SSL 인증에 사용할 클라이언트를 요구하려면 Required를 지정하십시오. (문자열). -transportLayer 전송 계층 지원 레벨을 지정합니다. 전송 레이어 지원을 사용 불가능하게 하려면 Never를 지정하십시오. 전송 레이어 지원을 사용 가능하게 하려면 Supported를 지정하십시오. 전송 레이어 지원을 요구하려면 Required를 지정하십시오. (문자열). -sslConfiguration 인바운드 전송에 사용할 SSL 구성 별명을 지정합니다. (문자열). -enableIdentityAssertion ID 어설션의 사용 가능 여부를 지정합니다. ID 어설션 인증 메소드를 사용할 때 생성되는 보안 토큰은 <wsse:Username> 요소를 포함하는 <wsse:UsernameToken> 요소입니다. ID 어설션을 사용 가능하게 하려면 -enableIdentityAssertion 매개변수에 대해 true를 지정하십시오. (부울). -trustedIdentities 파이프 문자(|)로 구분된 신뢰 서버 ID 목록을 지정합니다. 널값을 지정하려면, -trustedIdentities 매개변수의 값을 빈 문자열("")로 설정하십시오. (문자열). -statefulSession Stateful 세션의 사용 가능 여부를 지정합니다. Stateful 세션을 사용 가능하게 하려면 true를 지정하십시오. (부울). -enableAttributePropagation 보안 속성 전파의 사용 가능 여부를 지정합니다. 보안 속성 전파를 사용하면 애플리케이션 서버가 하나의 서버에서 해당 구성 내 다른 서버로 인증된 주제 컨텐츠 및 보안 컨텍스트 정보를 전송할 수 있습니다. 보안 속성 전파를 사용 가능하게 하려면 true를 지정하십시오. (Boolean). - CSI 인바운드 통신 인증을 구성하십시오.
configureCSIInbound 명령은 보안 도메인 또는 글로벌 보안 구성에 CSIv2 인바운드 인증을 구성합니다. CSI 인바운드를 처음으로 보안 도메인에 구성하면 CSI 오브젝트가 글로벌 보안에서 복사됩니다. 그런 다음 변경사항이 구성에 적용됩니다.
configureCSIInbound 명령을 사용하여 다음 Jython 예제에 설명된 대로 보안 도메인 또는 글로벌 보안 구성에 대해 CSI 인바운드 인증을 구성하십시오.AdminTask.configureCSIInbound('-securityDomainName testDomain -messageLevelAuth Supported -supportedAuthMechList KRB5|LTPA -clientCertAuth Supported -statefulSession true')
- 구성 변경사항을 저장하십시오. 다음 명령 예제를 사용하여 구성 변경사항을 저장하십시오.
AdminConfig.save()
- CSI 아웃바운드 통신 인증을 구성하십시오.
아웃바운드 인증은 다운스트림 서버로의 아웃바운드 요청에 대해 수행되는 인증 유형을 판별하는 구성을 참조합니다.
- wsadmin 스크립트 도구를 시작하십시오.
- CSI 아웃바운드 통신에 대해 지정할 설정을 판별하십시오. configureCSIOutbound 명령은 CSI 아웃바운드 통신에 대한 다양한 설정을 구성합니다.
표 2. 명령 매개변수 . 다음의 선택적 매개변수 목록을 검토하여 구성에서 설정할 속성을 판별하십시오. 매개변수 설명 -securityDomainName 보안 구성의 이름을 지정합니다. 보안 도메인 이름을 지정하지 않으면 명령이 글로벌 보안 구성을 수정합니다. (문자열). -enableAttributePropagation 보안 속성 전파의 사용 가능 여부를 지정합니다. 보안 속성 전파를 사용하면 애플리케이션 서버가 하나의 서버에서 해당 구성 내 다른 서버로 인증된 주제 컨텐츠 및 보안 컨텍스트 정보를 전송할 수 있습니다. 보안 속성 전파를 사용 가능하게 하려면 true를 지정하십시오. (Boolean). -enableIdentityAssertion ID 어설션의 사용 가능 여부를 지정합니다. ID 어설션 인증 메소드를 사용할 때 생성되는 보안 토큰은 <wsse:Username> 요소를 포함하는 <wsse:UsernameToken> 요소입니다. ID 어설션을 사용 가능하게 하려면 -enableIdentityAssertion 매개변수에 대해 true를 지정하십시오. (부울). -useServerIdentity 서버 ID를 사용하여 대상 서버와 신뢰를 설정할지 여부를 지정합니다. 서버 ID를 사용하려면 true를 지정하십시오. (Boolean). -trustedId 애플리케이션 서버가 대상 서버와의 신뢰를 설정하는 데 사용하는 신뢰 ID를 지정합니다. (문자열). -trustedIdentityPassword 신뢰 서버 ID의 비밀번호를 지정합니다. (문자열). -messageLevelAuth 이 서버와 통신 중인 클라이언트가 사용자 ID 및 비밀번호를 지정해야 하는지 여부를 지정합니다. 사용자 ID 및 비밀번호 요구사항을 사용 불가능하게 하려면 Never를 지정하십시오. 사용자 ID 및 비밀번호를 허용하려면 Supported를 지정하십시오. 사용자 ID 및 비밀번호를 요구하려면 Required를 지정하십시오. (문자열). -supportedAuthMechList 사용할 인증 메커니즘을 지정합니다. Kerberos 인증의 경우 KRB5, LTPA(Lightweight Third-Party Authentication)는 LTPA, BasicAuth 인증은 BasicAuth를 지정하고, 사용자 고유의 인증 토큰 구현을 사용하려면 사용자 정의를 지정하십시오. 파이프 문자(|)로 구분하여 두 개 이상을 지정할 수 있습니다. (문자열). -clientCertAuth 서버에 연결하는 클라이언트가 SSL 인증을 사용하여 연결해야 하는지 여부를 지정합니다. 클라이언트가 SSL 인증 없이 연결하도록 허용하려면 Never를 지정하십시오. SSL 인증 유무와 무관하게 클라이언트 연결을 승인하려면 Supported를 지정하십시오. SSL 인증에 사용할 클라이언트를 요구하려면 Required를 지정하십시오. (문자열). -transportLayer 전송 계층 지원 레벨을 지정합니다. 전송 레이어 지원을 사용 불가능하게 하려면 Never를 지정하십시오. 전송 레이어 지원을 사용 가능하게 하려면 Supported를 지정하십시오. 전송 레이어 지원을 요구하려면 Required를 지정하십시오. (문자열). -sslConfiguration 인바운드 전송에 사용할 SSL 구성 별명을 지정합니다. (문자열). -statefulSession Stateful 세션의 사용 가능 여부를 지정합니다. Stateful 세션을 사용 가능하게 하려면 true를 지정하십시오. (부울). -enableCacheLimit CSIv2 세션 캐시의 크기를 제한할지 여부를 지정합니다. true 값을 지정하면, 한계는 캐시 크기에 추가됩니다. 한계의 값은 -maxCacheSize 및 -idleSessionTimeout 매개변수로 설정하는 값으로 판별됩니다. 기본값인 false 값은 캐시 크기를 제한하지 않습니다. 환경에서 Kerberos 인증을 사용하고 구성된 KDC(Key Distribution Center)에 대한 클럭 오차가 작은 경우 이 매개변수에 대해 true 값을 추가하는 것을 고려하십시오. 작은 클럭 오차는 20분 미만으로 정의됩니다. 이 매개변수는 -statefulSession 매개변수를 true로 설정하는 경우에 적용됩니다. (Boolean). -maxCacheSize 만기된 세션을 캐시에서 삭제하게 되는 세션 캐시의 최대 크기를 지정합니다. 만기된 세션은 -idleSessionTimeout 매개변수에 대해 지정하는 시간보다 유휴 시간이 긴 세션입니다. 환경에서 Kerberos 인증을 사용하고 구성된 KDC(Key Distribution Center)에 대한 클럭 오차가 작은 경우 이 매개변수에 대해 값을 지정할 것을 고려하십시오. 작은 클럭 오차는 20분 미만으로 정의됩니다. 작은 캐시 크기로 인해 가비지 콜렉션이 너무 자주 실행되어 애플리케이션 서버의 성능에 영향을 미치는 경우에는 이 매개변수의 값을 늘릴 것을 고려하십시오. 이 매개변수는 -statefulSession 및 -enableCacheLimit 매개변수를 true로 설정하고 -idleSessionTimeout 매개변수의 값을 설정할 때 적용됩니다. 이 매개변수에 대한 올바른 값 범위는 100 - 1000입니다. (정수) -idleSessionTimeout CSIv2 세션이 삭제될 때까지 유휴 상태로 있을 수 있는 시간(밀리초)을 지정합니다. -enableCacheLimit 매개변수를 true로 설정하고 -maxCacheSize 매개변수의 값이 초과되면 세션이 삭제됩니다. 환경에서 Kerberos 인증을 사용하고 KDC에 대한 클럭 오차가 작은 경우 이 매개변수에 대해 값을 줄일 것을 고려하십시오. 클럭 오차가 작으면 많은 수의 CSIv2 세션이 거부될 수 있습니다. 그러나 이 매개변수의 값이 작으면, 애플리케이션 서버는 거부된 세션을 보다 자주 정리하므로 잠재적으로 자원 부족을 줄일 수 있습니다. 이 매개변수의 올바른 값 범위는 60,000 - 86,400,000밀리초입니다. (정수) -enableOutboundMapping 사용자 정의 아웃바운드 ID 맵핑의 사용 가능 여부를 지정합니다. 사용자 정의 아웃바운드 ID 맵핑을 사용 가능하게 하려면 true를 지정하십시오. (부울). -trustedTargetRealms 신뢰할 대상 영역 목록을 지정합니다. 각 영역 이름을 파이프 문자(|)로 구분하십시오. (문자열). - CSI 아웃바운드 통신 인증을 구성하십시오.
configureCSIOutbound 명령은 보안 도메인 또는 글로벌 보안 구성에 CSIv2 아웃바운드 인증을 구성합니다. 보안 도메인에서 CSI 아웃바운드를 처음 구성하면 애플리케이션 서버가 글로벌 보안에서 CSI 오브젝트를 복사합니다. 그런 다음, 애플리케이션 서버는 이 구성에 변경사항을 적용합니다.
configureCSIOutbound 명령을 사용하여 다음 Jython 예제에 설명된 대로 보안 도메인 또는 글로벌 보안 구성에 대해 CSI 아웃바운드 인증을 구성하십시오.AdminTask.configureCSIOutbound('-securityDomainName testDomain -enableIdentityAssertion true -trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Required -trustedTargetRealms realm1|realm2|realm3')
- 구성 변경사항을 저장하십시오. 다음 명령 예제를 사용하여 구성 변경사항을 저장하십시오.
AdminConfig.save()
관련 개념:
관련 태스크:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7configcsi
파일 이름:txml_7configcsi.html