단일 또는 크로스 Kerberos 범주 환경에서 인증을 위한 웹 서비스 보안 Kerberos 토큰
웹 서비스 메시지를 보안하기 위해 Kerberos 토큰을 인증 토큰 또는 메시지 보호 토큰으로 사용할 수 있습니다. Kerberos 인증의 경우 단일 Kerberos 범주 환경 및 크로스 또는 신뢰 Kerberos 범주 환경 둘 다 지원됩니다.
단일 범주 환경
ServiceName/HostName@Kerberos_Realm_Name
WebSphere® Application
Server에서 셀 레벨 구성의 경우 모든 서비스 제공자가 동일한 Kerberos 범주를 사용합니다. 서비스 제공자가 다운스트림 웹 서비스 요청에 대해 클라이언트로부터 Kerberos ID를 사용하는 경우에는 위임된 Kerberos 티켓이 Kerberos 구성 파일에 지정된 Kerberos 토큰에 있어야 합니다. Kerberos의 시스템 JAAS 로그인 모듈이, 제공된 웹 서비스 보안 호출자에 추가됩니다. 호출자 신임에 대해 Kerberos 토큰을 사용하는 방법에 대한 자세한 정보는 시스템 JAAS(Java™ Authentication and Authorization Service) 로그인을 Kerberos 로그인 모듈로 업데이트 및 Kerberos 구성 파일 작성에 대해 읽어보십시오.
크로스 범주 환경 또는 신뢰 범주 환경
- 구성된 모든 Kerberos KDC에 대해 Kerberos 신뢰 범주 설정을 완료해야 합니다. Kerberos 신뢰 범주 설정에 대한 자세한 정보는 Kerberos 관리자 및 사용자 안내서를 참조하십시오.
- Kerberos 구성 파일(Windows의 경우 krb5.ini, Unix 및 z/OS® 플랫폼의 경우 krb5.conf)은 신뢰 범주를 나열해야 합니다. 자세한 내용은 Kerberos 관리자 및 사용자 안내서를 참조하십시오.
- 클라이언트 애플리케이션 토큰 생성자 바인딩을 서비스 제공자의 Kerberos SPN 정보로 구성해야 합니다. 자세한 정보는 Kerberos의 메시지 보호를 위한 바인딩 구성을 참조하십시오.
ServiceName/HostName@Kerberos_Realm_Name
클라이언트 애플리케이션은 클라이언트 정책 토큰 생성자 바인딩의 콜백 핸들러 부분에 클라이언트의 Kerberos 범주 이름을 지정해야 합니다. 셀 레벨에서 모든 서비스 제공자는 동일한 Kerberos 범주를 사용합니다. 그러나 클라이언트 애플리케이션은 여전히 각자의 Kerberos 범주를 정의할 수 있습니다. 피어 투 피어 및 전이 신뢰 크로스 범주 인증만이 지원됩니다. 다음 그림은 Kerberos KDC(Key Distribution Center)

서비스 제공자가 다운스트림 웹 서비스 요청에 대해 클라이언트로부터 Kerberos ID를 사용하는 경우에는 위임된 Kerberos 티켓이 Kerberos 구성 파일에 구성된 Kerberos 토큰에 있어야 합니다. Kerberos의 시스템 JAAS 로그인 모듈이, 제공된 웹 서비스 보안 호출자에 추가됩니다. 호출자 신임에 대해 Kerberos 토큰을 사용하는 방법에 대한 자세한 정보는 시스템 JAAS 로그인을 Kerberos 로그인 모듈로 업데이트 및 Kerberos 구성 파일 작성에 대해서 읽어보십시오.