신뢰 연관 인터셉터를 사용하여 싱글 사인온 구성
신뢰 연관 인터셉터를 사용하여 싱글 사인온을 사용 가능으로 설정하려면 이 태스크를 수행하십시오. 이 단계는 신뢰 연관 설정 및 인터셉터 특성 작성과 관련됩니다.
시작하기 전에
인증 메커니즘 및 만기 패널에서 SWAM 사용 - 서버 간 인증된 통신 없음 옵션을 선택하여 SWAM(Simple WebSphere® Authentication Mechanism)을 사용할 수 있지만 싱글 사인온(SSO)에는 LTPA가 구성된 인증 메커니즘으로서 필요합니다.
LTPA(Lightweight Third Party Authentication)는 WebSphere Application Server의 기본 인증 메커니즘입니다. 보안 > 글로벌 보안 > 인증 메커니즘 및 만기를 클릭하여 싱글 사인온(SSO)을 구성하기 전에 LTPA를 구성할 수 있습니다.
싱글 사인온을 위한 신뢰 연관을 설정하려면 다음 단계를 수행하십시오.
프로시저
- WebSphere Application Server의 관리 콘솔에서 보안 글로벌 보안을 클릭하십시오.
- 웹 보안 아래에서 신뢰 연관을 클릭하십시오.
- 신뢰 연관 사용을 클릭하십시오.
- 인터셉터를 클릭하십시오.
- WebSEAL 인터셉터를 사용하기 위해 com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus를
클릭하십시오. 이 인터셉터는 사용자를 위해 공급되는 두 개의 WebSEAL 인터셉터 중 하나입니다.
다음 단계에서 설명된 대로 특성을 제공하여 이 인터셉터를 사용하기로 선택합니다. 주의: WebSphere Application Server는 com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus 인터셉터를 위한 특성만을 공급했을지라도 이러한 인터셉터 둘 다를 초기화하려고 시도합니다. 결과적으로, 메시지 AWXRB0008E과 SECJ0384E은 선택하지 않았던 인터셉터가 초기화하는데 실패했음을 표시하기 위해 초기화 중에 나타날 수 있습니다. 이는 일반 처리이고 사용자가 선택한 인터셉터의 초기화에 영향을 미치지 않습니다. 메시지 AWXRB0008E과 SECJ0384E의 표시를 막으려면, 초기화를 시작하기 전에 사용하고 싶지 않는 인터셉터를 삭제할 수 있습니다. 사용자의 환경이 변경하면 나중에 해당 인터셉터를 다시 추가할 수 있습니다.
- 사용자 정의 특성을 클릭하십시오.
- 특성 이름과 값 쌍을 입력하려면 새로 작성을 클릭하십시오. 다음 매개변수가 설정되었는지 확인하십시오.
표 1. 사용자 정의 특성. 이 테이블은 TAI 사용자 정의 특성을 설명합니다.
옵션 설명 com.ibm.websphere.security. webseal.checkViaHeader
요청의 신뢰를 유효성 검증할 때 via 헤더가 무시될 수 있도록 TAI를 구성할 수 있습니다. via 헤더에서 어떤 호스트도 신뢰될 필요가 없는 경우에는 이 특성을 false로 설정하십시오. false로 설정하면 신뢰되는 호스트 이름 및 호스트 포트 특성을 설정할 필요가 없습니다. via 헤더가 false일 때 확인할 유일한 필수 특성은 com.ibm.websphere.security.webseal.loginId입니다. check via 헤더 특성의 기본값은 false입니다. 웹 서버를 위해 Tivoli® Access Manager 플러그인을 사용할 때는 이 특성을 false로 설정하십시오.
참고: via 헤더는 요청이 통과하는 서버 이름을 기록하는 표준 HTTP 헤더의 일부입니다.com.ibm.websphere.security. webseal.loginId
Tivoli Access Manager에서 신뢰된 사용자 계정 작성에서 작성되는 WebSEAL 신뢰 사용자. 사용자 이름의 형식은 약칭 표시입니다. 이 특성은 필수적입니다. WebSphere Application Server에 설정되지 않은 경우에는 TAI 초기화는 실패합니다. com.ibm.websphere.security. webseal.id
요청에 존재하는 쉼표로 구분된 헤더 목록입니다. 구성된 모든 헤더가 요청에 존재하지 않으면 신뢰를 설정할 수 없습니다. ID 특성의 기본값은 iv-creds입니다. WebSphere Application Server에 설정된 다른 모든 값은 쉼표로 구분되어 iv-creds와 함께 목록에 추가됩니다. com.ibm.websphere.security. webseal.hostnames
웹 서버에 대해 Tivoli Access Manager 플러그인을 사용하는 경우에는 이 특성을 설정하지 마십시오. 특성은 요청 헤더에서 신뢰되고 예상되는 호스트 이름(대소문자 구분)을 지정합니다. 목록에 없는 호스트로부터 도달하는 요청은 신뢰할 수 없을 수도 있습니다. checkViaHeader 특성이 설정되지 않거나 false로 설정된 경우에는 신뢰받는 호스트 이름 특성에는 영향이 없습니다. checkViaHeader 특성을 true로 설정하고 신뢰할 수 있는 호스트 이름 특성은 설정하지 않으면 TAI 초기화가 실패합니다. com.ibm.websphere.security. webseal.ports
웹 서버에 대해 Tivoli Access Manager 플러그인을 사용하는 경우에는 이 특성을 설정하지 마십시오. 이 특성은 신뢰받는 호스트 포트의 쉼표로 구분된 목록입니다. 목록에 없는 포트로부터 도달하는 요청은 신뢰할 수 없을 수도 있습니다. checkViaHeader 특성이 설정되지 않거나 false로 설정된 경우에는 이 특성에는 영향이 없습니다. checkViaHeader 특성이 true로 설정되고, 신뢰되는 호스트 포트 특성이 WebSphere Application Server에 설정되지 않는 경우에는 TAI 초기화가 실패합니다. com.ibm.websphere.security. webseal.viaDepth
신뢰를 확인하기 위해 via 헤더에서 소스 호스트의 수를 지정하는 양의 정수입니다. 기본적으로, via 헤더에서 모든 호스트가 검사되고 호스트가 신뢰되지 않는 경우에는 신뢰를 설정할 수 없습니다. via 깊이 특성은 via 헤더의 일부 호스트만이 신뢰되어야 하는 경우에 사용됩니다. 설정은 헤더의 오른쪽 끝에서부터 시작하여 신뢰되어야 하는 호스트 수를 나타냅니다. 예를 들어 다음 헤더를 고려하십시오.
Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001
viaDepth 특성이 설정되지 않거나, 2로 설정되거나 0으로 설정되면 이전 via 헤더가 있는 요청은 webseal1:7002 및 webseal2:7001 둘 모두를 수신하고 신뢰될 필요가 없습니다. 다음 고려사항이 적용됩니다.
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2 com.ibm.websphere.security.webseal.ports = 7002,7001
via 깊이 특성이 1로 설정되고 이전 요청이 수신되는 경우에는 via 헤더의 마지막 호스트만을 신뢰할 필요가 있습니다. 다음 고려사항이 적용됩니다.
com.ibm.websphere.security.webseal.hostnames = webseal2 com.ibm.websphere.security.webseal.ports = 7001
viaDepth 특성은 기본적으로 0으로 설정됩니다. 즉, via 헤더와 모든 호스트에서 신뢰가 확인됨을 의미합니다.
com.ibm.websphere.security. webseal.ssoPwdExpiry
요청에 대해 신뢰가 설정된 후에는 싱글 사인온 사용자 비밀번호가 캐싱되어 TAI가 모든 요청에 대해 Tivoli Access Manager를 사용하여 싱글 사인온을 재인증할 필요가 없어집니다. 싱글 사인온 비밀번호 만기 특성을 필수 시간(초)으로 설정하여 캐시 제한시간 기간을 수정할 수 있습니다. 비밀번호 만기 특성이 0으로 설정되면 캐싱된 비밀번호는 절대 만기되지 않습니다. 비밀번호 만기 특성의 기본값은 600입니다. com.ibm.websphere.security. webseal.ignoreProxy
이 특성은 프록시를 신뢰되는 호스트로서 무시하도록 TAI에 알리는 데 사용할 수 있습니다. true로 설정되면 호스트가 프록시인지 여부를 판별하기 위해 via 헤더에서 호스트 항목의 주석 필드를 확인합니다. via 헤더에 있는 모든 프록시 삽입 주석이 이들이 프록시임을 나타내지는 않음을 기억하십시오. ignoreProxy 특성의 기본값은 false입니다. checkViaHeader 특성이 false로 설정되면 ignoreProxy 특성에는 신뢰를 설정하는 데 영향이 없습니다. com.ibm.websphere.security. webseal.configURL
TAI이 요청을 위한 신뢰를 구축하려면, Application Server에서 SvrSslCfg가 JVM(Java™ Virtual Machine)에 대해 실행되고 결과로 특성 파일이 작성되어야 합니다. 이 특성 파일이 기본 URL, file://java.home/PdPerm.properties에 있지 않으면 특성 파일의 올바른 URL이 구성 URL 특성에 설정되어야 합니다. 이 특성이 설정되지 않고 SvrSslCfg-generated 특성 파일이 기본 위치에 있지 않으면 TAI 초기화에 실패합니다. 구성 URL 특성의 기본값은 file://$WAS_HOME/java/jre/PdPerm.properties입니다.
이 특성을 profile_root/etc/pd/PolicyDirector/PDPerm.properties로 설정하십시오. TAI가 요청을 위한 신뢰를 구축하려면, PDPerm.properties 파일이 셀 내에 각 노드에 존재해야 합니다. 또한 특성 파일의 올바른 URL이 구성 URL 특성에 설정되어야 합니다. 이 특성이 설정되지 않거나 PDPerm.properties 파일이 지정된 위치에 없으면 TAI 초기화에 실패합니다. PDPerm.properties 파일은 노드의 Tivoli Access Manager 구성의 일부입니다. Tivoli Access Manager 구성을 작성하려면 pdjrtecfg 스크립트를 실행한 다음 셀의 각 노드에 대해 svrsslcfg 스크립트를 실행하십시오. PDPerm.properties 파일은 profile_root/etc/pd/PolicyDirector/ 디렉토리에 작성됩니다.
- 확인을 클릭하십시오.
- 구성을 저장하고 로그아웃하십시오.
- WebSphere Application Server를 다시 시작하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ssowsstep4TAIplusplus
파일 이름:tsec_ssowsstep4TAIplusplus.html