독립형 LDAP(Standalone Lightweight Directory Access Protocol) 레지스트리

독립형 LDAP(Lightweight Directory Access Protocol) 레지스트리는 LDAP 바인딩을 사용하여 인증을 수행합니다.

WebSphere® Application Server 보안은 사용자 및 그룹 정보의 저장소로 사용될 수 있는 대부분의 주요 LDAP 디렉토리 서버의 구현을 제공하고 지원합니다. 이러한 LDAP 서버는 제품 프로세스에서 사용자 인증 및 기타 보안 관련 태스크를 위해 호출합니다. 예를 들어, 이 서버는 사용자 또는 그룹 정보를 검색하는 데 사용됩니다. 이러한 지원은 사용자 및 그룹 정보를 얻기 위해 다른 사용자 및 그룹 필터를 사용하여 제공됩니다. 이러한 필터에는 필요에 맞게 수정할 수 있는 기본값이 있습니다. 사용자 정의 LDAP 기능을 통해 적절한 필터를 사용하면 사용자 레지스트리에 대해 기타 LDAP 서버(LDAP 서버의 제품 지원 목록에는 없음)를 사용할 수 있습니다.

참고: 초기 프로파일 작성은 파일 기반 저장소에서 연합된 저장소 보안 저장소 옵션을 사용하도록 WebSphere 애플리케이션 서버를 구성합니다. 이 보안 레지스트리 구성은 독립형 LDAP 레지스트리를 포함한 기타 옵션을 사용하도록 변경할 수 있습니다. 연합 저장소 옵션에서 사용자 계정 저장소 구성의 독립형 LDAP 레지스트리 옵션으로 변경하는 대신, LDAP 구성에 제공하는 연합 저장소 옵션 사용을 고려하십시오. 연합 저장소는 하나 이상의 사용자 레지스트리를 사용하는 기능을 포함하여 광범위한 기능을 제공합니다. 또한 파일 기반 레지스트리 및 사용자 정의 레지스트리 외에 하나 이상의 LDAP 연합을 지원합니다. 또한 이 연합 저장소는 장애 복구 기능 및 견고한 구성원(사용자 및 그룹) 관리 기능 세트를 개선했습니다. 연합 저장소는 WebSphere Portal 6.1 이상 및 Process Server 6.1 이상에서 새 멤버 관리 기능을 사용할 때 필요합니다. 일부 LDAP 서버 환경(예: Microsoft Active Directory)에서 공통된 요구사항인 다음 LDAP을 참조하는 데 연합 저장소를 사용해야 합니다.

독립형 LDAP 레지스트리에서 연합 저장소로 마이그레이션하는 것이 좋습니다. WebSphere Portal 6.1 이상 또는 WebSphere Process Server 6.1 이상으로 이동하는 경우, 이러한 업그레이드 이전에 연합 저장소로 마이그레이션해야 합니다. 연합 저장소 및 해당 기능에 대한 자세한 정보는 연합 저장소 주제를 참조하십시오. 연합 저장소로 마이그레이션하는 방법에 대한 자세한 정보는 독립형 LDAP 저장소를 연합 저장소 LDAP 저장소 구성으로 마이그레이션 주제를 참조하십시오.

LDAP를 사용자 레지스트리로 사용하려면 레지스트리에 정의된 관리 사용자 이름, 서버 호스트 및 포트, 기본 식별 이름(DN) 및 필요 시 바인드 DN과 바인드 비밀번호를 알아야 합니다. 레지스트리에서 검색 가능하고 관리 특권이 있는 유효한 사용자를 선택할 수 있습니다. 일부 LDAP 서버에서는 관리 사용자를 검색할 수 없으므로 사용할 수 없습니다(예: SecureWay의 cn=root). 이 사용자는 문서에서 WebSphere Application Server 보안 서버 ID, 서버 ID 또는 서버 사용자 ID로 언급됩니다. 서버 ID가 되려면 일부 보호 설정된 내부 메소드를 호출할 때 사용자가 특권을 가지고 있어야 합니다. 보안이 설정된 후, 보통 이 ID와 비밀번호는 보안 관리 콘솔로 로그인하기 위해 사용됩니다. 이러한 사용자가 관리 역할의 일부인 경우 로그인하기 위해 다른 사용자를 사용할 수 있습니다.

제품에서 보안이 사용 가능하게 되면 1차 관리 사용자 이름 및 비밀번호는 제품 시작 중 레지스트리로 인증됩니다. 인증에 실패하면 서버가 시작되지 않습니다. 만료되거나 자주 변경되지 않는 ID 및 비밀번호를 선택해야 합니다. 제품 서버 사용자 ID 또는 비밀번호를 레지스트리에서 변경해야 하는 경우, 모든 제품 서버가 시작되어 수행될 때 변경사항이 수행되어야 합니다.

레지스트리에서 변경사항이 완료되면 Lightweight Directory Access Protocol 사용자 레지스트리 구성에 설명된 단계를 사용하십시오. ID, 비밀번호 및 기타 구성 정보를 변경하고, 제품에서 새 ID 및 비밀번호를 사용하도록 서버를 저장한 후 중지했다가 다시 시작하십시오. 보안이 사용 가능한 상태에서 제품 시작 시 문제점이 발생하면 보안을 사용 불가능하게 해야 서버를 시작할 수 있습니다. 이러한 문제점을 해결하려면 이 패널에서 변경한 내용이 글로벌 보안 패널에서도 유효한지 확인하십시오. 서버가 가동되면 ID, 비밀번호 및 기타 구성 정보를 변경한 다음 보안을 사용 가능하게 할 수 있습니다.

사용자 정의 LDAP(Lightweight Directory Access Protocol) 기능을 사용하면 올바른 구성을 설정하여 LDAP 서버를 지원할 수 있습니다. 그러나 많은 구성 가능성이 있으므로 지원이 이러한 사용자 정의 LDAP 서버로 확장되지 않습니다.

사용자 및 그룹과 보안 역할 맵핑 정의는 구성된 권한 엔진이 액세스 제어 결정을 수행하기 위해 사용합니다.

[z/OS]LDAP 레지스트리를 활성 레지스트리로 구성하는 경우, 다음 권한 메커니즘 중 하나를 구성할 수 있습니다.
  • EJBROLE 또는 GEJBROLE 프로파일을 사용한 SAF(System Authorization Facility) 권한 부여. SAF는 다른 권한 부여 메커니즘을 대체합니다.
  • JACC(Java™ Contract for Containers) 제공자로서의 Tivoli® Access Manager. 자세한 정보는 JACC 제공자로 Tivoli Access Manager 통합의 내용을 참조하십시오.
  • 애플리케이션 어셈블러 또는 WebSphere Application Server 보안 관리자에 의해 작성되는 사용자 대 역할 바인딩.
[z/OS]모든 사용자 레지스트리에 대한 인증 메커니즘으로 SAF 인증(SAF 사용자 및 그룹을 역할에 지정하기 위해 SAF EJBROLE 프로파일의 사용)을 사용할 수 있습니다. 관리 콘솔에서 SAF 인증이 선택된 경우:

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
파일 이름:csec_ldap.html