Lightweight Directory Access Protocol 사용자 레지스트리 구성

LDAP(Lightweight Directory Access Protocol)를 사용하여 사용자 레지스트리에 액세스하려면 유효한 사용자 이름(ID) 및 비밀번호, 레지스트리 서버의 서버 호스트 및 포트, 기본 식별 이름(DN) 및 필요 시 바인드 DN과 바인드 비밀번호를 알아야 합니다. 이 사용자는 검색 가능한 사용자 레지스트리의 유효한 사용자일 수 있습니다. 로그인할 관리 역할이 있는 사용자 ID를 사용할 수 있습니다.

시작하기 전에

참고: 이 주제는 하나 이상의 애플리케이션 서버 로그 파일을 참조합니다. 권장되는 대안은 분배 및 IBM® i 시스템에서 SystemOut.log, SystemErr.log, trace.logactivity.log 파일을 사용하는 대신 HPEL(High Performance Extensible Logging) 로그를 사용하고 인프라를 추적하도록 서버를 구성하는 것입니다. 원시 z/OS® 로깅 기능과 연계하여 HPEL을 사용할 수도 있습니다. HPEL을 사용하는 경우 서버 프로파일 바이너리 디렉토리의 LogViewer 명령행 도구를 사용하여 모든 로그에 액세스하고 정보를 추적할 수 있습니다. HPEL 사용에 대한 자세한 정보는 HPEL을 사용한 애플리케이션 문제점 해결 정보를 참조하십시오.

보안 용도로 사용되는 두 가지 다른 ID인 관리 기능을 위한 사용자 ID 및 서버 ID가 있습니다. 관리 보안이 사용 가능한 경우, 관리 기능에 대한 사용자 ID 및 비밀번호가 레지스트리로 인증됩니다. 인증이 실패하는 경우 관리 콘솔에 대한 액세스가 부여되지 않고 wsadmin 스크립트의 태스크가 완료되지 않습니다. 만료되거나 자주 변경되지 않는 ID 및 비밀번호를 선택해야 합니다. 사용자 ID 또는 비밀번호를 레지스트리에서 변경해야 하는 경우, 모든 애플리케이션 서버가 시작되어 실행될 때 변경사항이 수행되어야 합니다. 레지스트리에서 변경사항을 수행할 경우, 이 태스크를 시작하기 전에 LDAP(독립형 LDAP(Standalone Lightweight Directory Access Protocol) 레지스트리) 항목을 검토하십시오.

서버 ID는 내부 프로세스 통신에 사용됩니다. 이 태스크의 일부로, 서버 ID를 자동 생성된 기본 ID에서 LDAP 저장소의 서버 ID 및 비밀번호로 변경할 수 있습니다.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 영역 정의 드롭 다운 목록을 클릭하고 독립형 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. 1차 관리 사용자 이름 필드에 유효한 사용자 이름을 입력하십시오. 일반적으로 사용자 이름은 사용자의 축약 이름이며 고급 LDAP 설정 분할창의 사용자 필터에서 정의됩니다.
  4. 내부 프로세스 통신에 사용되는 사용자 ID를 지정할지 여부를 판별하십시오. 버전 5.1 또는 6.x 노드를 포함하는 셀에는 활성 사용자 저장소에 저장된 서버 사용자 ID가 필요합니다. 기본적으로 서버 ID 자동 생성 옵션을 사용하여 애플리케이션 서버가 서버 ID를 생성합니다. 그러나 저장소에 저장되는 서버 ID 옵션을 사용하면 서버 ID 및 연관된 비밀번호를 모두 지정할 수 있습니다.
  5. 유형 목록에서 사용할 LDAP 서버의 유형을 선택하십시오. LDAP 서버 유형은 WebSphere® 애플리케이션 서버에서 사용할 기본 필터를 결정합니다. 이러한 기본 필터는 유형 필드를 사용자 정의로 변경하여 사용자 정의 필터가 사용됨을 표시합니다. 이 조치는 고급 LDAP 설정 분할창에서 확인 또는 적용을 클릭한 후 발생합니다. 목록에서 사용자 정의 유형을 선택하고 필요한 경우, 사용자 및 그룹 필터를 수정하여 다른 LDAP 서버를 사용할 수 있습니다.

    IBM Tivoli® Directory Server 사용자는 디렉토리 유형으로 IBM Tivoli Directory Server를 선택할 수 있습니다. 더 나은 성능을 위해 IBM Tivoli Directory Server 디렉토리 유형을 사용하십시오.

    주의: WebSphere 애플리케이션 서버 버전 6.1에서 IBM SecureWay Directory Server의 이름은 IBM Tivoli Directory Server로 바뀌었습니다.
  6. 호스트 필드에 LDAP 서버의 완전한 호스트 이름을 입력하십시오. IP 주소 또는 DNS(Domain Name System) 이름을 입력할 수 있습니다.
  7. 포트 필드에 LDAP 서버의 포트 번호를 입력하십시오. 호스트 이름 및 포트 번호는 WebSphere 애플리케이션 서버 셀에서 LDAP 서버의 영역을 나타냅니다. 따라서 다른 셀의 서버가 LTPA(Lightweight Third Party Authentication)를 사용하여 서로 통신하는 경우, 이 영역이 모든 셀에서 정확히 일치해야 합니다.

    기본값은 389입니다. 복수 WebSphere 애플리케이션 서버가 동일한 싱글 사인온(SSO) 도메인에서 실행하도록 설치 및 구성하거나 WebSphere 애플리케이션 서버를 이전 WebSphere 애플리케이션 서버 버전과 함께 사용하는 경우, 모든 구성에서 포트 번호가 일치해야 합니다. 예를 들어 LDAP 포트가 버전 5.x 구성에서 명시적으로 389로 지정되고, 버전 6.0.x의 WebSphere 애플리케이션 서버가 버전 5.x 서버와 상호 운용되는 경우, 포트 389가 버전 6.0.x 서버용으로 명시적으로 지정되었는지 확인하십시오.

    com.ibm.websphere.security.ldap.logicRealm 사용자 정의 특성을 설정하여 토큰에 포함된 영역 이름의 값을 변경할 수 있습니다. 자세한 정보는 "보안 사용자 정의 특성" 주제를 참조하십시오.

  8. 기본 식별 이름 필드에 기본 식별 이름(DN)을 입력하십시오. 기본 DN은 이 LDAP 디렉토리 서버에서 검색의 시작점을 표시합니다. 예를 들어 DN이 cn=John Doe, ou=Rochester, o=IBM, c=US인 사용자의 경우, 기본 DN을 다음 옵션으로 지정할 수 있습니다(접미부를 c=us로 가정).
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    권한 목적의 경우, 이 필드는 기본적으로 대소문자를 구분합니다. 디렉토리 서버의 대소문자를 일치시키십시오. 토큰을 수신하는 경우(예: 다른 셀 또는 Lotus® Domino®에서), 서버의 기본 DN이 다른 셀 또는 Domino의 기본 DN과 정확히 일치해야 합니다. 권한 부여 시 대소문자를 구분하지 않아도 될 경우, 권한 부여 시 대소문자 구분 안 함 옵션을 사용 가능하게 하십시오.

    WebSphere 애플리케이션 서버에서 식별 이름은 LDAP(Lightweight Directory Access Protocol) 스펙에 따라 표준화됩니다. 표준화는 기본 식별 이름에서 쉼표 및 등호 기호의 앞 또는 뒤에 있는 공백을 제거합니다. 표준화되지 않은 기본 식별 이름의 예로는 o = ibm, c = us or o=ibm, c=us가 있습니다. 표준화된 기본 식별 이름의 예로는 o=ibm,c=us가 있습니다.

    WebSphere 애플리케이션 서버 버전 6.0과 그 이상 버전 간에 상호 운용하려면 기본 식별 이름 필드에 표준화된 기본 식별 이름을 입력해야 합니다. WebSphere 애플리케이션 서버, 버전 6.0 이상에서는 표준화가 런타임 중에 자동으로 발생합니다.

    이 필드는 Lotus Domino 디렉토리를 제외한 모든 LDAP 디렉토리에 필요합니다. 기본 식별 이름 필드는 Domino Server에 대해 선택적입니다.

  9. 옵션: 바인드 식별 이름 필드에 바인드 DN 이름을 입력하십시오. LDAP 서버에서 익명의 바인드가 사용자 및 그룹 정보를 확보할 수 없는 경우 바인드 DN이 필요합니다. LDAP 서버가 익명의 바인드를 사용하도록 설정된 경우 이 필드를 공백으로 두십시오. 이름을 지정하지 않으면, 애플리케이션 서버는 익명으로 바인드합니다. 식별 이름 예에 대해서는 기본 식별 이름 필드 설명을 참조하십시오.
  10. 옵션: 바인드 비밀번호 필드에 바인드 DN에 해당하는 비밀번호를 입력하십시오.
  11. 옵션: 검색 제한시간 값을 수정하십시오. 이 제한시간 값은 LDAP 서버가 요청을 중단하기 전에 제품 클라이언트에 응답을 전송하기 위해 대기하는 최대 시간입니다. 기본값은 120초입니다.
  12. 연결 다시 사용 옵션이 선택되어 있는지 확인하십시오. 이 옵션은 서버가 LDAP 연결을 다시 사용해야 함을 지정합니다. 라우터를 사용하여 요청을 여러 LDAP 서버로 전송하는 곳에서 라우터가 친화성을 지원하지 않는 드문 상황에서만 이 옵션을 지우십시오. 이 옵션을 다른 모든 상황에서는 선택하게 하십시오.
  13. 옵션: 권한 부여 시 대소문자 구분 안 함 옵션이 사용 가능한지 확인하십시오. 이 옵션이 사용 가능하면 권한 검사에서는 대소문자가 구분되지 않습니다. 일반적으로 권한 검사에는 LDAP 서버에 고유하고 대소문자를 구분하는 사용자의 완전한 DN 확인이 포함됩니다. 그러나 IBM Directory Server 또는 Sun ONE(이전의 iPlanet) Directory Server LDAP 서버를 사용할 때는 이 옵션을 사용 가능하게 해야 합니다. 그 이유는 LDAP 서버에서 가져온 그룹 정보가 대소문자에 일관성이 없기 때문입니다. 이 불일치는 권한 검사에만 적용됩니다.그렇지 않으면, 이 필드는 선택적이므로 대소문자 구분 권한 검사가 필수인 경우에 사용 가능하게 할 수 있습니다. 예를 들어 인증서 및 인증서 내용이 LDAP 서버의 항목에 사용된 대소문자와 일치하지 않을 경우에 이 옵션을 선택할 수 있습니다.

    제품과 Lotus Domino 간에 싱글 사인온(SSO)을 사용하는 경우 권한 부여 시 대소문자 구분 안 함 옵션을 사용할 수도 있습니다. 기본값은 사용 가능입니다.

  14. 옵션: SSL(Secure Socket Layer)을 사용하여 LDAP 서버와 통신하려면 SSL 사용 가능 옵션을 선택하십시오.
    중요사항: 이 단계는 LDAP의 서명자 인증이 결과적으로 사용될 신뢰 저장소에 먼저 추가되는 경우에만 성공합니다. LDAP의 서명자 인증이 신뢰 저장소에 추가되지 않은 경우에는
    • 관리 콘솔에서 오류가 발행됩니다.
    • 배치 관리자(DMGR) systemout.log에 서명자 인증을 신뢰 저장소에 추가해야 함을 나타내는 CWPKI0022E: SSL 핸드쉐이크 장애 메시지가 표시됩니다.

    이 단계에 오류 없이 조작하려면, 파일을 LDAP의 서명자 인증에 추출하고 해당 파일을 WebSphere 애플리케이션 서버 시스템으로 전송해야 합니다. 그런 다음, LDAP에 대해 정의 중인 신뢰 저장소에 인증을 추가할 수 있습니다. 이러한 방식으로 이 단계의 나머지 조치를 성공적으로 수행할 수 있습니다.

    SSL 사용 옵션을 선택하는 경우 중앙 집중 관리 또는 특정 SSL 별명 사용 옵션을 선택할 수 있습니다.
    중앙 관리
    셀, 노드 서버 또는 클러스터와 같은 특정 범위에 대한 SSL 구성을 하나의 위치에서 지정할 수 있게 해줍니다. 중앙 관리 옵션을 사용하려면 특정 엔드포인트 세트에 대해 SSL 구성을 지정해야 합니다. 엔드포인트 보안 구성 및 신뢰 영역 관리 분할창은 SSL 프로토콜을 사용하는 모든 인바운드 및 아웃바운드 엔드포인트를 표시합니다. 분할창의 인바운드 또는 아웃바운드 섹션을 확장하고 노드 이름을 클릭할 경우, 해당 노드의 모든 엔드포인트에 사용되는 SSL 구성을 지정할 수 있습니다. LDAP 레지스트리의 경우 LDAP에 대해 SSL 구성을 지정하여 상속된 SSL 구성을 대체할 수 있습니다. LDAP에 대해 SSL 구성을 지정하려면 다음 단계를 수행하십시오.
    1. 보안 > SSL 인증서 및 키 관리 > 엔드포인트 보안 구성 및 신뢰 영역 관리를 클릭하십시오.
    2. 아웃바운드 > cell_name > 노드 > node_name > 서버 > server_name > LDAP을 펼치십시오.
    특정 SSL 별명 사용
    메뉴에서 SSL 구성 중 하나를 선택하려는 경우에는 특정 SSL 별명 사용 옵션을 선택하십시오.
    SSL이 LDAP에 대해 사용 가능할 때에만 이 구성이 사용됩니다. 기본값은 DefaultSSLSettings입니다. 기존 구성의 이름을 클릭하여 수정하거나 다음 단계를 완료하여 새 SSL 구성을 작성할 수 있습니다.
    1. 보안 > SSL 인증서 및 키 관리를 클릭하십시오.
    2. 구성 설정값 아래에서 엔드포인트 보안 구성 관리를 클릭하십시오.
    3. 선택된 범위(예: 셀, 노드, 서버 또는 클러스터)에 대한 SSL(Secure Sockets Layer) configuration_name을 선택하십시오.
    4. 관련 항목 아래에서 SSL 구성을 클릭하십시오.
    5. 새로 작성을 클릭하십시오.
  15. 글로벌 보안 패널로 돌아갈 때까지 확인 또는 적용을 클릭하고 글로벌 보안 페이지에서 저장을 클릭하여 LDAP 구성이 저장되었는지 확인하십시오.
  16. 사용 가능한 영역 정의독립형 LDAP 레지스트리로 설정되는지 확인하십시오. 그렇지 않은 경우에는 풀다운에서 이를 선택하고 현재로 설정을 선택한 다음 적용을 누르십시오.

결과

이 설정 단계는 LDAP 사용자 레지스트리를 설정하는 데 필요합니다. 이 단계는 WebSphere 애플리케이션 서버에서 보안 사용 가능 작업의 일부로 필요합니다.

다음에 수행할 작업

  1. 보안을 사용 가능하게 하려는 경우, 범주에 대한 보안 사용 가능에 지정된 대로 나머지 단계를 완료하십시오.
  2. [z/OS]LDAP 레지스트리와 함께 SAF(System Authorization Facility) 권한을 사용하려는 경우, 자세한 정보는 운영 체제 및 애플리케이션 레벨에 대한 SAF(System Authorization Facility) 고려사항에 대해 읽어 보십시오.
  3. 이 분할창의 변경사항을 적용하려면 모든 제품 서버(배치 관리자, 노드 및 애플리케이션 서버)를 저장, 중지 및 다시 시작하십시오. 서버가 문제없이 시작되면 설정이 올바른 것입니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
파일 이름:tsec_ldap.html