다중 보안 도메인 구성
기본적으로 WebSphere® 애플리케이션 서버의 모든 관리 애플리케이션과 사용자 애플리케이션은 글로벌 보안 구성을 사용합니다. 예를 들어 글로벌 보안에 정의된 사용자 레지스트리는 셀에 있는 모든 애플리케이션의 사용자를 인증하는 데 사용됩니다. 출하 시 상태에서 이 동작은 이전 릴리스의 WebSphere 애플리케이션 서버 동작과 동일합니다. 사용자 애플리케이션의 일부 또는 모두에 대해 다른 보안 속성을 지정하려는 경우 추가 WebSphere 보안 도메인을 작성할 수 있습니다. 이 절에서는 관리 콘솔을 사용하여 보안 도메인을 구성하는 방법에 대해 설명합니다.
시작하기 전에
다중 보안 도메인에 대한 개요와 이 버전의 WebSphere 애플리케이션 서버에 지원되는 방식에 대해 자세히 알아보려면 다중 보안 도메인을 참조하십시오.
이 태스크 정보
보안 도메인을 사용하면 사용자 환경에서 사용할 다중 보안 구성을 정의할 수 있습니다. 예를 들어, 사용자 애플리케이션에 대해 관리 애플리케이션과 다른 보안(예: 다른 사용자 레지스트리)을 정의할 수 있습니다. 다른 서버 및 클러스터에 배치된 사용자 애플리케이션에 대해 별도의 보안 구성을 정의할 수도 있습니다.

다음 단계에 따라 관리 콘솔을 사용하여 새 보안 도메인을 구성하십시오.
프로시저
- 보안 > 보안 도메인을 클릭하십시오.
- 새 다중 보안 도메인을 작성하는 경우 새로 작성을 클릭하십시오. 도메인에 대해 고유 이름 및 설명을 제공하고 적용을 클릭하십시오. 기존 다중 보안 도메인을 구성하는 경우 편집할 도메인을 선택하십시오. 적용을 클릭하면 도메인 이름 및 추가 섹션이 표시됩니다. 하나의 섹션을 사용하여 도메인의 보안 속성을 정의할 수 있으며 다른 섹션을 사용하여 도메인이 적용되는 범위를 선택할 수 있습니다.
- 지정 범위에서 보안 도메인을 전체 셀에 지정할 것인지 선택하거나
이 보안 도메인에 포함시킬 특정 서버, 클러스터 및 서비스 통합 버스를 선택할
것인지 지정합니다. 지정 범위 섹션에는 두 개의 보기가 있습니다. 기본 보기는
셀 토폴로지입니다. 전체 셀에 보안 도메인을 지정하려면
해당 셀의 선택란을 클릭하고 적용 또는 확인을 클릭하십시오.
보안 도메인의 이름이 셀 이름 옆에 표시되어 셀에 도메인이 지정되었음을 나타냅니다. 토폴로지를 펼쳐 하나 이상의 서버 및 클러스터에 도메인을 지정할 수 있습니다. 토폴로지의 항목이 이미 다른 보안 도메인에 지정되어 있는 경우 선택란은 사용 안함으로 설정되고 지정된 도메인의 이름이 범위 이름 옆에 표시됩니다. 이러한 범위 중 하나를 도메인에 지정하려면 먼저 해당하는 현재 도메인과의 연관을 해제해야 합니다.
보안 도메인에 현재 지정되어 있는 자원만 표시된 목록을 보려면 지정 범위 모두를 선택하십시오.
- 새 도메인에 대해 보안 속성을 지정하여 보안 구성을 사용자 정의하십시오. 나열되지 않은 속성은 도메인 레벨에서 사용자 정의될 수 없습니다. 도메인은
글로벌 보안 구성에서 속성을 상속합니다.
개별적으로 구성 가능한 보안 속성 섹션은 12개입니다. 각 섹션을 펼치고 접을 수 있습니다. 접힌 상태에서는 섹션의 이름 및 요약 값이 표시됩니다. 또한 요약 값 텍스트는 속성이 글로벌 보안에 정의되어 있고 도메인에서 재사용되는지 여부(회색 텍스트로 표시됨) 또는 도메인에 대해 사용자 정의되어 있는지 여부(“사용자 정의됨” 단어가 접두부로 지정된 검은색 텍스트로 표시됨)를 나타냅니다.
처음에는 각 보안 속성이 글로벌 보안 설정을 사용하도록 지정되어 있습니다. 속성이 글로벌 보안을 사용하도록 설정되어 있는 경우 해당 속성에 대해서는 도메인 특정 구성이 없습니다. 해당 도메인을 사용하는 애플리케이션은 이러한 보안 속성의 글로벌 구성을 사용합니다.
변경하려는 보안 속성만 구성하십시오. 도메인의 보안 속성을 구성하려면 보안 속성 섹션을 펼치십시오. 글로벌 구성의 주요 특성은 글로벌 보안 사용 옵션 아래에 표시됩니다. 이러한 특성은 편의상 제공되는 것입니다.
도메인에 대해 구성을 사용자 정의하려면 이 도메인에 대한 사용자 정의를 선택하십시오. 특성을 구성하고 확인 또는 적용을 클릭하십시오.참고: 일반적으로 이 도메인에 대한 사용자 정의를 선택하면 글로벌 보안의 해당 섹션에 대해 정의된 보안 구성을 모두 대체합니다. 애플리케이션 로그인, 시스템 로그인 및 J2C 인증 데이터 항목은 예외입니다. 도메인에 대해 항목을 정의하는 경우 해당 도메인의 애플리케이션은 도메인 특정 항목뿐만 아니라 글로벌 항목에도 액세스할 수 있습니다.예를 들어 보안 도메인을 사용하는 애플리케이션에 대해 다른 사용자 레지스트리를 사용하고 기타 모든 보안 특성에 대해 글로벌 보안 구성을 사용하려 할 수 있습니다. 이 경우 사용자 영역 섹션을 펼치고 이 도메인에 대한 사용자 정의를 선택하십시오. 사용자 레지스트리 유형을 선택하고 구성을 클릭하여 후속 분할창에서 적합한 구성 세부사항을 제공하십시오.
변경할 수 있는 보안 속성은 다음과 같습니다.- 애플리케이션 보안
- 애플리케이션 보안 및 Java™ 2 보안의
설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
사용자 애플리케이션의 보안 선택사항을 사용 가능 또는 사용 불가능하게 설정하려면 애플리케이션 보안 사용을 선택하십시오. 이 선택사항이 사용 불가능한 경우, 보안 도메인의 모든 EJB 및 웹 애플리케이션은 더 이상 보호되지 않습니다. 사용자 인증 없이 이러한 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능한 경우, 보안 도메인의 모든 EJB 및 웹 애플리케이션에 대해 J2EE 보안이 강제 실행됩니다. J2EE 보안은 글로벌 보안 구성에 글로벌 보안이 사용 가능으로 설정되어 있는 경우에만 강제 실행됩니다. 즉, 글로벌 레벨에서 글로벌 보안을 먼저 사용 가능하게 설정해야 애플리케이션 보안을 사용 가능하게 설정할 수 있습니다.
- Java 2 보안
- 도메인 레벨에서 Java 2 보안의 사용 여부를 설정하려면 Java 2 보안을 선택하십시오. 이 선택사항은 모든 애플리케이션(관리 및 사용자 둘 다)이 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정할 수 있도록 프로세스(JVM) 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정합니다.
- 사용자 영역
이 섹션에서는 보안 도메인의 사용자 레지스트리를 구성할 수 있습니다. 도메인 레벨에서 사용되는 모든 레지스트리를 별도로 구성할 수 있습니다. 자세한 정보는 다중 보안 도메인의 내용을 참조하십시오.
- 신뢰 연관
- 도메인 레벨에서 TAI(Trust Association Interceptor)를 구성하는 경우 편의상 글로벌 레벨에서 구성된 인터셉터가 도메인 레벨로 복사됩니다. 사용자 요구사항에 맞도록 인터셉터 목록을 도메인 레벨에서 수정할 수 있습니다. 도메인 레벨에서 사용할 인터셉터만 구성하십시오.
- SPNEGO 웹 인증
- 웹 자원 인증을 위해 SPNEGO를 구성할 수 있는 SPNEGO 웹 인증은
도메인 레벨에서 구성할 수 있습니다.참고: WebSphere 애플리케이션 서버 버전 6.1에는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 자원에 대한 HTTP 요청을 안전하게 협상하고 인증하는 TAI가 도입되었습니다. 이 기능은 WebSphere 애플리케이션 서버 7.0에서 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 폴백을 사용할 수 있습니다.
- RMI/IIOP 보안
RMI/IIOP 보안 속성은 CSIv2(Common Secure Interoperability version 2) 프로토콜 특성을 참조합니다. 도메인 레벨에서 이러한 속성을 구성하면 편의상 글로벌 레벨에서 RMI/IIOP 보안 구성이 복사됩니다.
도메인 레벨에서 달라야 하는 속성은 변경할 수 있습니다. CSIv2 인바운드 통신에 대한 전송 계층 설정은 글로벌 및 도메인 레벨 모두에서 동일해야 합니다. 설정이 다른 경우 프로세스의 모든 애플리케이션에 도메인 레벨 속성이 적용됩니다.
- JAAS 애플리케이션 로그인
- JAAS(Java Authentication
and Authorization Service) 애플리케이션 로그인의 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.참고: JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성될 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에 구성된 JAAS 로그인에 대한 액세스 권한이 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
- JAAS 시스템 로그인
- JAAS 시스템 로그인에 대한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 특정 도메인의 구성 설정을 사용자 정의할 수 있습니다.
- JAAS J2C 인증
- JAAS J2C 인증 데이터 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
- JASPI(Java Authentication SPI)
JASPI(Java Authentication SPI) 인증 제공자에 대한 구성 설정과 연관된 인증 모듈을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.도메인의 JASPI 인증 제공자를 구성하려면 이 도메인에 대한 사용자 정의를 선택한 다음 JASPI를 사용하십시오. 도메인의 제공자를 정의하려면 제공자를 선택하십시오.
참고: 도메인 레벨에서 구성된 제공자와 함께 JASPI 인증 제공자를 사용할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션에는 글로벌 레벨에서 구성된 JASPI 인증 제공자에 대한 액세스 권한이 있습니다. 보안 런타임은 먼저 도메인 레벨에서 JASPI 인증 제공자를 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 해당 보안 도메인에서 애플리케이션이 제공자를 독점적으로 사용하는 경우에만 도메인에서 JASPI 인증 제공자를 구성합니다.
- 인증 메커니즘 속성
도메인 레벨에 적용되어야 하는 다양한 캐시 설정을 지정합니다.
인증 캐시 설정을 지정하려면 인증 캐시 설정을 선택하십시오. 이 분할창에 지정된 구성은 이 도메인에만 적용됩니다.
도메인 레벨에서 다른 LTPA 제한시간 값을 구성하려면 LTPA 제한시간을 선택하십시오. 기본 제한시간 값은 120분이며, 글로벌 레벨에 설정되어 있습니다. LTPA 제한시간이 도메인 레벨에 설정되면 사용자 애플리케이션에 액세스할 때 보안 도메인에 작성되는 토큰이 모두 이 만기 시간으로 작성됩니다.
영역 규정 사용자 이름 사용을 사용하는 경우 getUserPrincipal( ) 같은 메소드에서 리턴되는 사용자 이름은 보안 도메인의 애플리케이션에서 사용하는 보안 영역(사용자 레지스트리)로 규정됩니다.
- 권한 제공자
외부 써드파티 JACC(Java Authorization Contract for Containers) 제공자는 도메인 레벨에서 구성할 수 있습니다. Tivoli® Access Manager의 JACC 제공자는 글로벌 레벨에서만 구성할 수 있습니다. 보안 도메인에서 권한 제공자가 다른 JACC 제공자 또는 내장 기본 권한으로 대체되지 않은 경우에는 보안 도메인을 계속 사용할 수 있습니다.
보안 도메인 레벨에서 추가로 구성할 수 있는 SAF 권한 옵션은 다음과 같습니다.
- 인증되지 않은 사용자 ID
- SAF 프로파일 맵퍼
- SAF 위임 사용 여부
- APPL 프로파일을 사용한 WebSphere Application Sever 액세스 제한 여부
- 권한 실패 메시지의 억제 여부
- SMF 감사 레코드 계획
- SAF 프로파일 접두부
SAF 권한 옵션에 대한 자세한 정보는 z/OS SAF(System Authorization Facility) 권한의 내용을 읽어 보십시오.
- z/OS® 보안 옵션
- z/OS 관련 보안 옵션을 프로세스(JVM) 레벨에 설정하여 모든 애플리케이션(관리 및 사용자)에서 이 옵션을 사용하거나 사용하지 않도록 지정할 수 있습니다. 이 특성은 다음과 같습니다.
- 애플리케이션 서버 및 z/OS 스레드 ID 동기화를 사용할 수 있습니다.
- 연결 관리자 RunAs 스레드 ID를 사용할 수 있습니다.
z/OS 보안 옵션에 대한 자세한 정보는 z/OS 보안 옵션의 내용을 읽어 보십시오.
- 사용자 정의 특성
- 글로벌 레벨의 특성과 다르거나 새로 작성된 도메인 레벨의 사용자 정의 특성을 설정합니다. 기본적으로 셀의 모든 애플리케이션이 글로벌 보안 구성의 모든 사용자 정의 특성에 액세스할 수 있습니다. 보안 런타임 코드는 도메인 레벨의 사용자 정의 특성을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 사용자 정의 특성을 가져오려고 시도합니다.
- 보안 속성을 구성하고 하나 이상의 범위에 도메인을 지정한 후 적용 또는 확인을 클릭하십시오.
- 모든 서버 및 클러스터를 다시 시작하여 변경사항을 적용하십시오.
하위 주제
다중 보안 도메인
WebSphere 보안 도메인(WSD)을 사용하면 WebSphere Application Server에서 다양한 보안 구성을 유연하게 사용할 수 있습니다. WSD를 다중 보안 도메인 또는 간단히 보안 도메인이라고도 합니다. 애플리케이션마다 UserRegistry와 같은 보안 속성을 서로 다르게 구성할 수 있습니다.새 복합 보안 도메인 작성
구성에 복합 보안 도메인을 작성할 수 있습니다. 복합 보안 도메인을 작성하면 셀 환경 내에서 관리 및 사용자 애플리케이션을 위해 서로 다른 보안 속성을 구성할 수 있습니다.다중 보안 도메인 삭제
사용자 구성에서 다중 보안 도메인을 삭제할 수 있습니다. 삭제하기 전에 보안 도메인에 지정된 자원을 제거해야 합니다. 보안 구성에 필요하지 않은 보안 도메인을 제거하십시오.다중 보안 도메인 복사
도메인 콜렉션에서 선택된 다중 보안 도메인을 복사하여 새 도메인을 작성할 수 있습니다. 이전 도메인과 유사한 도메인을 작성하려는 경우 유용합니다. 그러나, 조금 조정할 수도 있습니다. 기존 도메인을 복사할 때 새 도메인에 고유 도메인 이름을 제공해야 합니다.다중 보안 도메인을 위한 인바운드 신뢰 영역 구성
다중 보안 도메인에 대해 인바운드 신뢰를 부여하는 영역을 구성할 수 있습니다. LTPA(Lightweight Third-Party Authentication) 토큰과 통신할 때 영역 간의 신뢰 관계가 사용됩니다. LTPA 토큰이 수신 서버에서 복호화되면, 토큰의 영역이 확인되어 신뢰받는지 여부를 알 수 있습니다. 신뢰받지 못하는 경우 토큰 유효성 검사에 실패합니다. 영역은 WebSphere 애플리케이션 서버의 사용자 레지스트리를 표시합니다.보안 도메인 구성
이 페이지에서 도메인의 보안 속성을 구성하고 셀 자원에 도메인을 지정할 수 있습니다. 각각의 보안 속성에 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.외부 영역 이름
이 페이지에서는 이 셀의 외부에 있는 WebSphere Application Server 영역을 추가할 수 있습니다. 처음에는 영역을 신뢰할 수 없습니다. 신뢰를 설정하려면 신뢰 인증 영역 - 인바운드 페이지를 사용하십시오.모든 영역 신뢰
이 페이지에서 인바운드 또는 아웃바운드 신뢰를 부여할 영역을 구성할 수 있습니다.보안 도메인 콜렉션
보안 도메인은 관리 애플리케이션과 사용자 애플리케이션에 여러 보안 설정을 사용할 수 있는 메커니즘을 제공합니다. 또한 여러 애플리케이션 서버에서 사용자 레지스트리 또는 로그인 구성 등과 같은 여러 보안 속성을 사용할 수 있도록 다중 보안 설정을 지원하는 기능을 제공합니다.인증 캐시 설정
이 페이지에서 인증 캐시 설정을 지정할 수 있습니다.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
파일 이름:tsec_sec_domains_config.html