![[z/OS]](../images/ngzos.gif)
WebSphere Application Server for z/OS에 대한 보안 고려사항
WebSphere Application Server for z/OS에서 지원되는 기능
WebSphere® Application Server for z/OS®에서는 다음 기능을 지원합니다.
기능 | 추가 정보 |
---|---|
RunAs EJB | 자세한 정보는 위임의 내용을 참조하십시오. |
서블릿에 대한 RunAs | 자세한 정보는 위임의 내용을 참조하십시오. |
SAF 기반 IIOP 프로토콜 | 자세한 정보는 CSIv2(Common Secure Interoperability Version 2) 및 SAS(Security Authentication Service) 클라이언트 구성의 내용을 참조하십시오. |
z/OS 커넥터 기능 | 자세한 정보는 RRS(Resource Recovery Services)의 내용을 참조하십시오. |
관리 보안 | 자세한 정보는 관리 보안의 내용을 참조하십시오. |
애플리케이션 보안 | 자세한 정보는 애플리케이션 보안의 내용을 참조하십시오. |
Java 2 보안 | 자세한 정보는 Java 2 보안의 내용을 참조하십시오. |
보안 사용 불가능 | 자세한 정보는 관리 보안 사용 불가능의 내용을 참조하십시오. |
SAF 키 링 | 자세한 정보는 JSSE(Java Secure Sockets Extension)와 함께 SAF(System Authorization Facility) 키 링 사용의 내용을 참조하십시오. |
인증 함수 | 인증 기능 예: 기본, SSL 디지털 인증, 양식 기반 로그인, 보안 제한, 신뢰 연관 인터셉터 |
J2EE 보안 자원 | 자세한 정보는 태스크 개요: 자원 보안의 내용을 참조하십시오. |
웹 인증(LTPA) | 자세한 정보는 LTPA(Lightweight Third Party Authentication) 메커니즘 구성의 내용을 참조하십시오. |
LTPA를 사용하는 IIOP | 자세한 정보는 LTPA(Lightweight Third Party Authentication)의 내용을 참조하십시오. |
WebSphere 애플리케이션 바인딩 | WebSphere 애플리케이션 바인딩을 사용하여 사용자에게 역할 맵핑을 제공할 수 있습니다. |
OS 스레드와 동기화 | 자세한 정보는 Java 스레드 ID 및 운영 체제 스레드 ID의 내용을 참조하십시오. |
SAF 레지스트리 | 자세한 정보는 레지스트리 또는 저장소 선택의 내용을 참조하십시오. |
ID 어설션 | 자세한 정보는 ID 어설션을 참조하십시오. |
인증 프로토콜 | 예제: z/SAS,
CSIV2 자세한 정보는 인증 프로토콜 지원의 내용을 참조하십시오. |
CSIv2 일치 레벨 "0" | 자세한 정보는 보안 계획 개요의 내용을 참조하십시오. |
JAAS 프로그래밍 모델 WebSphere 확장자 | 자세한 정보는 웹 인증에 JAAS(Java Authentication and Authorization Service) 프로그래밍 모델 사용의 내용을 참조하십시오. |
SAF를 사용하는 분배 ID 맵핑 | 자세한 정보는 SAF를 사용하는 분배 ID 맵핑의 내용을 참조하십시오. |
모든 기본 WebSphere Application Server는
다음 기능을 제공합니다.
- RunAs 사용: 호출자, 서버 또는 역할의 ID를 변경하기 위해 RunAs를 사용합니다. 이 기능은 서블릿 스펙의 일부입니다.
- SAF 기반 IIOP 인증 프로토콜 지원: WebSphere Application Server, Network Deployment는 IIOP(Internet Inter-ORB Protocol) 인증을 위해
SAS(Secure Authentication Service)를 사용합니다. z/OS에는
고유한 SAS 버전인 z/SAS(z/OS Secure Authentication Services)(기능은
유사하지만 메커니즘은 다름)가 있으며 로컬 보안, SSL(Secure Sockets Layer) 기반 권한 부여,
SAF(System Authorization Facility) 맵핑을 사용한 디지털 인증서 및
SAF ID 어설션과 같은 기능을 처리합니다.중요사항: z/SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.
- SAF 기반 권한 부여 및 RunAs 성능: 권한 및 대표 보안 정보에 대한 SAF(EJBROLE) 프로파일을 사용합니다.
- z/OS 커넥터 기능에 대한 지원: 사용자 ID 및 비밀번호가 저장되는 별명을 사용하는 대신 로컬 OS ID를 전파하는 기능이 지원됩니다.
- HTTP 및 IIOP에 대한 RACF 키 링 지원: HTTP, IIOP 및 SAF 키 링 지원을 위해 SystemSSL을 사용합니다. JSSE를 사용할 수도 있습니다.
- 인증 기능: 기본, SSL 디지털 인증서, 양식 기반 로그인, 보안 제한조건 및 신뢰 연관 인터셉터와 같은 웹 인증 메커니즘은 버전 5에서 제공되는 대로 동일한 기능을 버전 9.0에서 제공합니다.
- J2EE 자원에 대한 권한: J2EE(Java 2 Platform, Enterprise Edition) 자원에 대한 권한은 버전 4에서 사용하는 역할과 동일한 역할을 사용하며 이러한 역할은 디스크립터로서 사용됩니다.
- 보안 사용 가능: 보안은 전체적으로 사용 가능 또는 사용 불가능 상태로 만들 수 있습니다. 서버가 가동되면 특정 보안 레벨이 설정되지만 보안 사용 불가능은 관리자가 직접 설정해야 합니다.
- LTPA 및 SWAM을 사용한 웹 인증: LTPA(Lightweight Third Party Authentication)
또는 SWAM(Simple WebSphere
Authentication Mechanism)을 사용하는 싱글 사인온이 지원됩니다.참고: SWAM은 WebSphere Application Server 버전 9.0에서 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.
- LTPA를 사용하는 IIOP 인증: LTPA를 사용하는 IIOP 인증이 지원됩니다.
- 권한 부여를 위한 WebSphere 애플리케이션 바인딩: 이제 권한 부여를 위한 WebSphere 애플리케이션 바인딩이 지원됩니다.
- OS 스레드와 동기화: OS 스레드와 동기화 애플리케이션이 지원됩니다.
- J2EE 역할 기반 네이밍 보안: J2EE 역할을 사용하여 네임스페이스에 대한 액세스를 보호합니다. 새 역할 및 태스크는 cosNamingRead, cosNamingWrite, cosNamingCreate 및 cosNamingDelete입니다.
- 역할 기반 관리 보안: 보안
범위를 정하는 역할은 다음과 같습니다.
- 모니터(최소 권한 및 읽기 전용)
- 운영자(런타임 변경 수행 가능)
- 구성자(모니터 가능 및 구성 특권 보유)
- 관리자(대부분의 권한)
- 배치자(애플리케이션에서의 런타임 조작 및 구성 조치를 위해 wsadmin에 의해 사용됨)
- Adminsecuritymanager(사용자를 관리 역할에 맵핑하고 권한 그룹을 관리할 수 있음)
관리 역할에 대한 자세한 정보는 관리 역할의 내용을 참조하십시오.
WebSphere Application Server for z/OS와 기타 WebSphere Application Server 플랫폼 비교
주요 유사점은 다음과 같습니다.
- 플러그 가능 보안 모델: 플러그 가능 보안 모델은 IIOP CSIv2(Common Secure
Interoperability Version 2), 웹 신뢰 인증, JMX(Java Management
Extensions) 커넥터 또는 JAAS(Java Authentication
and Authorization Service) 프로그래밍 모델에서 인증할 수 있습니다. 다음을 수행해야 합니다.
- 적합한 레지스트리 및 필요한 인증(토큰) 메커니즘을 판별합니다.
- 레지스트리가 로컬 또는 원격인지 여부와 사용해야 하는 웹 권한을 판별합니다.
웹 권한에는 SWAM(Simple WebSphere
Authentication Mechanism) 및 LTPA(Lightweight Third-Party Authentication)가 포함됩니다.참고: SWAM은 WebSphere Application Server 버전 9.0에서 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.
주요 차이점은 다음과 같습니다.
- SAF 레지스트리: z/OS는 단일 서버가 아닌 sysplex를 대상으로 하므로 로컬 운영 체제 레지스트리는 z/OS에서 가장 우수한 기능을 제공합니다. z/OS는 사용자 맵핑, 권한 및 위임 기능에 대한 인증을 제공합니다.
- ID 어설션: 신뢰 서버 또는 CBIND를 사용하여 신뢰를 수행하는 서버에 필요한 권한을 가져오십시오. 분배 프랫폼에서는 신뢰 서버 목록에 서버를 배치해야 합니다. z/OS에서는 특정 CBIND 권한을 갖는 서버 ID가 필요합니다. 신뢰 유형은 SAF 사용자 ID, 식별 이름(DN) 및 SSL 클라이언트 인증입니다.
- IIOP 클라이언트에 대한 zSAS 및 SAS 인증 프로토콜: z/SAS는 RACF® PassTickets를 지원한다는 점에서 SAS와 다릅니다. WebSphere Distributed의 SAS 계층은 CORBA(Common Object Request Broker Architecture) 이동 가능 인터셉터를 사용하여 SAS(Secure Association Service)를 구현하며 z/OS는 그렇지 않습니다.
- CORBA 기능: z/OS는
CORBA Current, LoginHelper, Credentials 및 ServerSideAuthenticator 모델을 비롯한
CORBA 보안 인터페이스를 지원하지 않습니다. CORBA 기능은 JAAS로 마이그레이션되었습니다.
LoginHelp API(Application Programming Interface)는 WebSphere Application Server 버전 9.0에서는 사용되지 않습니다. 자세한 정보는 CORBA(Common Object Request Broker Architecture) 프로그램 로그인을 JAAS(Java Authentication and Authorization Service)로 마이그레이션(CORBA 및 JAAS)의 내용을 참조하십시오.
- 인증 프로토콜: CSIv2는 z/OS 보안 서버용 OMG(Object Management Group) 스펙으로서 WebSphere 보안을 사용하면 자동으로 사용할 수 있습니다. 이는 메시지 보호를 위한 SSL/TLS(SSL(Secure Sockets Layer Transport Layer Security), 사용자 ID 및 비밀번호 GSSUP(Generic Security Services Username Password)에 대한 보충 클라이언트 인증 계층 및 ID 어설션을 위해 중간 서버(대상 서버에 대한 특별 권한을 부여해야 함)에서 사용하는 보안 속성 계층을 포함하는 3단계 접근 방법입니다.
J2EE 1.3 준수
J2EE 준수 내용은 다음과 같습니다.
- CSIv2 일치 레벨 "0": 일부 CORBA 지원으로 사용될 OMG(Object Management Group)(z/OS 보안 서버와 관련) 스펙입니다. CSIv2는 보안이 사용 가능한 경우에 자동으로 사용됩니다.
- Java 2 보안 사용: "보안 사용 가능" 및 "Java 2 보안 사용 가능"이 있으며 Java2에 대한 기본값은 "on"입니다. 이를 통해 주제 기반 권한 부여와 달리 코드 기반인 정제된 액세스 제어를 제공합니다. 각 클래스는 하나의 특정 도메인에 속합니다. Java 2 보안으로 보호하는 사용 권한에는 파일 액세스, 네트워크 액세스, 소켓, 기존 JVM(Java Virtual Machine), 특성 관리 및 스레드가 포함됩니다. 보안 관리자는 Java 2가 보안을 관리하고 필수 보호를 강제 실행하기 위한 메커니즘으로 사용합니다. Java 2 보안 확장자에는 동적 정책(코드 기반이 아닌 사용 권한 자원 유형 기반) 사용, 템플리트 프로파일의 자원에 대해 정의되는 특정 기본 사용 권한 사용 및 정책을 사용 불가능하게 하기 위한 필터 파일 사용이 포함됩니다.
- JAAS 프로그래밍 사용: JAAS 프로그래밍에는 인증을 위한 API의 표준 세트가 포함됩니다. JAAS는 전략적 권한 부여 및 인증 메커니즘입니다. IBM® Developer Kit for Java Technology Edition, 버전 5는 WebSphere 버전 버전 9.0에서 제공되지만 일부 확장기능은 제공되지 않습니다.
- 서블릿 RunAs 기능 사용: 분산 플랫폼(z/OS 아님)의 WebSphere Application Server은 이 기능을 위임 정책이라고 합니다. 시스템, 호출자 또는 역할(사용자)로서 실행할 ID를 변경할 수 있습니다. 이 기능은 새로운 서블릿 스펙의 일부입니다. 인증에는 사용자 ID 및 비밀번호을 사용한 다음 별명을 해당 XML 파일 또는 EJBROLE로 맵핑함으로써 RunAs 역할의 사용자 ID를 찾는 작업이 포함됩니다.
API/SPI 레벨에서 WebSphere Application Server, Network Deployment 준수
API/SPI(Application Programming Interface 또는 Service Provider Programming Interface) 레벨의
WebSphere Application Server, Network Deployment를 준수하면 z/OS의
WebSphere Application Server, Network Deployment에서 애플리케이션을 쉽게 배치할 수 있습니다.
WebSphere Application Server, Network Deployment에서 향상되거나 더 이상 사용하지 않는 기능은
z/OS에서도 향상되거나 더 이상 사용하지 않습니다. 그러나
z/OS 고객에 대한 마이그레이션이 없음을 의미하지는 않습니다. API/SPI 레벨에서의 WebSphere WebSphere Application Server, Network Deployment 준수 내용은 다음과 같습니다.
- JAAS 프로그래밍 모델에 대한 WebSphere Application Server 확장기능: 권한 부여 모델은 JAAS 프로그래밍을 위한 Java 2 보안 모델의 확장기능이므로 J2EE 모델에도 유효합니다. 주제 기반 권한은 인증된 사용자 ID에서 수행됩니다. 이제 로그인 프로세스에는 단순히 사용자 ID 및 비밀번호로 로그인하는 것 대신 로그인 컨텍스트 작성, 사용자 ID 및 비밀번호를 프롬프트하는 콜백 핸들러 전달 및 로그인이 포함됩니다. WebSphere Application Server for z/OS는 로그인 모듈, 필요한 데이터를 검색하는 콜백 핸들러, 콜백, WSSubject 선택, getCallerSubject 및 getRunAsSubject를 제공합니다.
- WebSphere Application Server 보안 API 사용: z/OS가 WebSphere Application Server 보안 API를 지원합니다.
- 보안 JMX 커넥터 사용: JMX 커넥터는 사용자 ID 및 비밀번호 신임과 함께 사용할 수 있습니다. 두 가지 커넥터 유형은 RMI와 SOAP/HTTPS로서 관리용입니다. SOAP 커넥터는 JSSE SSL 레퍼토리를 사용합니다. RMI 커넥터는 IIOP 메커니즘(예: CSIv2)과 장점 및 제한 사항이 동일합니다.