![[z/OS]](../images/ngzos.gif)
Kerberos 프린시펄을 z/OS에서 SAF(System Authorization Facility) ID로 맵핑
WebSphere® Application Server 관리 콘솔의 Kerberos에서 SAF 사용자 프로파일의 KERB 세그먼트 사용 단일 선택 단추를 선택하면 특정 Kerberos 프린시펄로 맵핑되는 로컬 OS 사용자가 있어야 합니다.
시작하기 전에
SAF 사용자 프로파일의 KERB 세그먼트 사용 단일 선택 단추가 포함된 Kerberos 관리 콘솔 페이지를 보려면 보안 > 글로벌 보안을 클릭하십시오. 인증에서 Kerberos 구성을 클릭하십시오.
Kerberos 프린시펄 이름을 SAF ID로 맵핑 아래에서 Kerberos 관리 콘솔 패널에서 첫 번째 단일 선택 단추인 Kerberos 프린시펄을 SAF ID로 맵핑하기 위해 SAF 프로파일을 사용하지 마십시오는 기본적으로 선택되어 있지만 맵핑을 위해 RACMAP 또는 KERB 세그먼트를 사용하지 않습니다.
이미 JAAS 맵핑 모듈이 있는 경우에는 Kerberos 프린시펄 이름을 SAF ID로 맵핑 아래에서 마지막 두 번째 단일 선택 단추인 SAF 사용자 프로파일의 KERB 세그먼트 사용 및 분산 ID 맵핑을 위해 SAF 제품에서 RACMAP 프로파일 사용이 선택되지 않아야 합니다.

이 태스크 정보
Kerberos 프린시펄이 로컬이나 외부인지에 따라서 Kerberos 프린시펄을 SAF ID로 맵핑하는 데에는 두 가지 방법이 있습니다. Kerberos 프린시펄은 RACF 데이터베이스와 같은 z/OS 시스템의 z/OS KDC에 존재할 때는 로컬입니다.
KDC를 구성하기 위해 ALTUSER 명령을 사용하는 방법에 대한 자세한 정보는 Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration을 참조하십시오.
로컬 Kerberos 프린시펄 이름을 지정할 때 Kerberos 영역 이름을 포함해서는 안됩니다.
로컬 Kerberos 프린시펄 맵핑:
- 예를 들어, RACF 사용자 USER1을 kerberosUser1의 로컬 Kerberos 프린시펄 이름에 맵핑하고
싶은 경우에는(Kerberos 프린시펄 이름은 대소문자를 구분함에 유의) 다음
RACF 명령을 실행하십시오.
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- Windows KDC와 상호 운용할 계획이면 다음 RACF 명령을 실행하여 DES, DES3, DESD의 암호화 유형이 지원되지 않음을 지정하십시오.
ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
문제점 방지: ALTUSER 명령에 지정된 지원되는 암호화 유형 목록이 krb5.conf kerberos 구성 파일에 지정된 것과 일치하는지 확인해야 합니다. 예를 들어, krb5.conf 구성 파일이 aes256-cts-hmac-sha1-96만이 지원됨을 지정하면 ENCRYPT 피연산자에는 AES256을 제외하고, 지원되지 않는 것으로 설정된 모든 암호화 유형이 있어야 합니다.gotcha
- 이전 명령이 성공적으로 완료되었는지를 확인하려면 다음
RACF 명령을 실행하십시오.
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
ALTUSER 명령은 Kerberos를 사용하여 WebSphere Application Server에 로그인해야 하는 RACF에서 모든 사용자에 대해 실행되어야 합니다.
외부 Kerberos 프린시펄 맵핑:
외부 영역의 각 프린시펄을 RACF의 자체 사용자 ID로 맵핑하거나 외부 영역의 모든 프린시펄을 RACF의 동일한 사용자 ID로 맵핑할 수 있습니다. 외부 Kerberos 프린시펄을 RACF 사용자로 맵핑하려면 KERBLINK 클래스에 일반 자원 프로파일을 정의하십시오. 각 맵핑은 RDEFINE 및 RALTER 명령을 사용하여 정의되고 수정됩니다.
KERBLINK 클래스 사용에 대한 자세한 정보는 z/OS Security Server RACF Security Administrator's Guide를 참조하십시오.
- 예를 들어, 외부 영역 FOREIGN.REALM.IBM.COM의 외부 Kerberos 프린시펄 이름 foreignKerberosUser2를
RACF 사용자 USER2로 맵핑하고 싶은 경우에는 다음
RACF 명령을 실행하십시오.
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- 이전 명령이 성공적으로 완료되었는지를 확인하려면 다음
RACF 명령을 실행하십시오.
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
NONE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED