Kerberos를 WebSphere Application Server의 인증 메커니즘으로 설정

Kerberos를 WebSphere® Application Server의 인증 메커니즘으로 설정하기 위한 단계를 수행해야 합니다.

이 태스크 정보

참고: 서버측의 Kerberos 인증 메커니즘은 시스템 관리자에 의해 수행되어야 하고 Java™ 클라이언트측에서는 일반 사용자에 의해 수행되어야 합니다. Kerberos keytab 파일은 보호되어야 합니다.

먼저 KDC가 구성되었는지 확인해야 합니다. 자세한 정보는 Kerberos 관리자 및 사용자 안내서를 참조하십시오.

[z/OS]z/OS®에서 KDC를 구성하려면 RACF®에서 APPL 클래스를 활성화해야 합니다. 이 조치는 WebSphere에 정의된 APPL 클래스 프로파일을 사용 가능으로 설정하는 효과가 있고 인증된 사용자가 WebSphere에서 실행되는 애플리케이션에 액세스하는 기능을 제한할 수도 있습니다. 보안 구성이 SAF 프로파일 접두부를 사용 중이면 프로파일 이름은 SAF 프로파일 접두부입니다. 그렇지 않으면 프로파일 이름은 CBS390입니다. WebSphere 권한 부여를 위해 APPL 프로파일이 확인되는지 여부를 제어하려면 관리 콘솔에서 SAF 권한 부여 패널에서 "서버에 대한 액세스를 제한하기 위해 APPL 프로파일 사용"으로 레이블이 지정된 선택란을 구성할 수 있습니다. 이 설정은 WebSphere 보안 도메인 레벨에서 구성할 수 있습니다.

문제점 방지 문제점 방지: z/OS KDC를 위해 envar 파일을 구성할 때 SKDC_TKT_ENCTYPES 환경 변수의 암호화 유형을 가장 안전한 것부터 가장 안전하지 않은 것의 순서로 지정하십시오. z/OS KDC는 왼쪽부터 오른쪽까지 목록의 첫 번째에 있는 암호화 유형을 사용하는 것을 선호합니다. gotcha

Kerberos를 WebSphere Application Server의 인증 메커니즘으로 설정하기 위한 다음 단계를 수행해야 합니다.

프로시저

  1. Kerberos 서비스 프린시펄 이름 및 keytab 파일을 작성하십시오.
    1. Microsoft Windows, iSeries, Linux, Solaris, Massachusetts Institute of Technology(MIT) 및 z/OS 운영 체제 키 분배 센터(KDC)를 사용하여 Kerberos 서비스 프린시펄 이름 및 keytab 파일을 작성할 수 있습니다. Kerberos는 호스트 기반 서비스 ID를 가지기 위해 서버 및 서비스를 선호합니다. 이 ID의 형식은 <service name>/<fully qualified hostname>입니다. 기본 서비스 이름은 WAS입니다. Kerberos 인증을 위해 서비스 이름은 KDC에 의해 허용되는 모든 문자열일 수 있습니다. 그러나 SPNEGO 웹 인증의 경우, 서비스 이름은 HTTP여야 합니다. WebSphere Application Server ID의 예는 WAS/myhost.austin.ibm.com입니다.

      각 호스트는 호스트 이름에 고유한 서버 ID가 있어야 합니다. 동일 노드의 모든 프로세스는 동일한 호스트 기반 서비스 ID를 공유합니다.

      Kerberos 관리자는 WebSphere 셀에서 각 노드에 대해 Kerberos 서비스 프린시펄 이름(SPN)을 작성합니다. 예를 들어, 세 개의 노드가 있는 셀의 경우(예: server1.austin.ibm.com, server2.austin.ibm.comserver3.austin.ibm.com), Kerberos 관리자는 다음 Kerberos 서비스 프린시펄을 작성해야 합니다. WAS/server1.austin.ibm.com, WAS/server2.austin.ibm.comWAS/server3.austin.ibm.com.

      Kerberos keytab filekrb5.keytab에는 노드의 모든 SPN이 포함되고 보호되어야 합니다. 이 파일은 config/cells/<cell_name> 디렉토리에 배치될 수 있습니다.

      자세한 정보는 Kerberos 프린시펄 및 keytab 기사 작성에 대해 읽으십시오.

  2. Kerberos 구성 파일을 작성하십시오.
    1. JGSS(Java Generic Security Service)의 IBM® 구현 및 KRB5에는 각 노드 또는 JVM(Java virtual machine)에서 Kerberos 구성 파일 krb5.conf 또는 krb5.ini가 필요합니다. WebSphere Application Server의 이 릴리스에서는 모든 Application Server가 이 파일에 액세스할 수 있도록 이 구성 필드는 config/cells/<cell_name> 디렉토리에 배치되어야 합니다. Kerberos 구성 파일이 없는 경우에는 wsadmin 명령을 사용하여 이를 작성하십시오. 자세한 정보는 Kerberos 구성 작성 기사를 읽으십시오.
  3. 관리 콘솔을 사용하여 Kerberos를 WebSphere Application Server의 인증 메커니즘으로 구성
    1. 관리 콘솔을 사용하여 Kerberos를 Application Server의 인증 메커니즘으로 구성할 수 있습니다. 구성에 필요한 정보를 입력하여 적용하면 Kerberos 서비스 프린시펄 이름이 <service name>>/<fully qualified hostname>>@KerberosRealm으로 형성되며, 수신되는 Kerberos 토큰 요청을 확인할 때 이 이름이 사용됩니다. 자세한 정보는 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성 기사를 읽으십시오.
  4. 클라이언트 Kerberos 프린시펄 이름을 WebSphere 사용자 레지스트리 ID에 맵핑하십시오.
    1. Kerberos 클라이언트 프린시펄 이름을 SPNEGO(Simple and Protected GSS-API Negotiation) 웹 인증 및 Kerberos 인증 둘 모두를 위해 WebSphere 사용자 레지스트리 ID로 맵핑할 수 있습니다. 자세한 정보는 클라이언트 Kerberos 프린시펄 이름을 WebSphere 사용자 레지스트리 ID로 맵핑 기사를 읽으십시오.

      [z/OS]또는 Kerberos 프린시펄을 z/OS에서 SAF(System Authorization Facility) ID로 맵핑할 수도 있습니다.

      [z/OS]WebSphere Application Server 관리 콘솔의 Kerberos에서 SAF 사용자 프로파일의 KERB 세그먼트 사용 단일 선택 단추를 선택하면 특정 Kerberos 프린시펄로 맵핑되는 로컬 OS 사용자가 있어야 합니다. 자세한 정보는 Kerberos 프린시펄을 z/OS에서 SAF(System Authorization Facility) ID로 맵핑의 내용을 읽으십시오.

  5. Kerberos를 순수한 Java 클라이언트의 인증 메커니즘으로 설정(선택사항)
    1. Java 클라이언트는 Kerberos 프린시펄 이름 및 비밀번호 또는 Kerberos 신임 정보 캐시(krb5Ccache)를 사용하여 WebSphere Application Server에 인증할 수 있습니다. 자세한 정보는 Kerberos 인증을 위해 Java 클라이언트 구성을 읽으십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
파일 이름:tsec_kerb_setup.html