기본 Application Server 노드를 관리 에이전트에 등록할 때의 보안 고려사항

독립형 기본 애플리케이션 서버를 관리 에이전트에 등록하여 이러한 서버에 대한 제어를 집중시키기로 결정할 수 있습니다. 기본 애플리케이션 서버에 현재 보안이 구성되어 있는 경우에는 고려해야 하는 몇 가지 문제가 있습니다. 이러한 보안 고려사항은 registerNode 명령 및 deregisterNode 명령의 사용에 적용됩니다.

registerNode 명령의 목적은 독립형 기본 노드를 선택하여 이를 관리 에이전트가 관리하는 노드로 변환하는 것입니다. registerNode 명령의 기본 매개변수는 로컬 시스템에서 관리 에이전트가 노드를 찾을 수 있는 위치를 지정하는 profilePath입니다. portsFile 매개변수에는 기본 노드를 대신하여 관리 에이전트가 청취할 포트를 판별하는 키가 포함되어 있습니다. 그 형식은 manageProfiles 명령행과 동일합니다.

registerNode 명령은 관리 에이전트 자체에서 실행됩니다. 이 명령은 노드를 관리 에이전트에 등록하는 데 사용됩니다. 관리 에이전트는 등록되는 노드와 동일한 시스템에 있어야 합니다. registerNode 명령은 기본 노드에만 유효합니다. 노드가 배치 관리자에 연합된 경우에는 registerNode 명령이 오류와 함께 실패합니다.

먼저 프로파일 등록을 위한 교환 서명자 프로세스가 기본 SSL(Secure Sockets Layer) 구성을 처리합니다. 이 때 이 프로세스는 관리 에이전트의 NodeDefaultRootStore로부터 루트 인증서 서명자를 얻어 대상 프로파일의 NodeDefaultTrustStore에 저장합니다. 그 다음에는 대상 프로파일의 NodeDefaultRootStore로부터 루트 인증서 서명자를 얻어 관리 에이전트의 NodeDefaultTrustStore에 저장합니다. 각 서명자는 별명 접두부 "agent_signer"를 사용하여 대상 프로파일의 신뢰 저장소에 저장되거나 별명 접두부 "<profileName>_signer"를 사용하여 관리 에이전트 신뢰 저장소에 저장됩니다.

그 다음에는 프로파일 등록을 위한 교환 서명자 프로세스가 RSAToken 인증 구성을 처리합니다. 이 때 이 프로세스는 관리 에이전트의 NodeRSATokenRootStore로부터 루트 인증서 서명자를 얻어 대상 프로파일의 NodeRSATokenTrustStore에 저장합니다. 그 다음에는 대상 프로파일의 NodeRSATokenRootStore로부터 루트 인증서 서명자를 얻어 관리 에이전트의 NodeRSATokenTrustStore에 저장합니다. 각 서명자는 별명 접두부 "agent_signer"를 사용하여 대상 프로파일의 신뢰 저장소에 저장되거나 별명 접두부 "<profileName>_signer"를 사용하여 관리 에이전트 신뢰 저장소에 저장됩니다.

또한 등록 프로세스는 관리 에이전트의 모든 루트 인증서 서명자(SSL 및 RSAToken)를 대상 프로파일의 클라이언트 신뢰 저장소(기본적으로 ClientDefaultTrustStore)에 저장합니다.

deregisterNode 명령은 등록 프로세스 중에 교환된 모든 서명자를 관리 에이전트 및 기본 프로파일 둘 다에서 제거하는 등록 해제 프로세스를 활성화합니다. 기본 노드의 구성은 관리 에이전트에 등록되지 않은 것으로 표시된 것을 제외하고 유지됩니다. 이 명령은 이전에 등록된 기본 노드에만 유효합니다.

보안이 설정된 상태에서 registerNode 명령을 실행할 때는 다음 항목을 고려해야 합니다.
  • registerNode 명령과 같은 시스템 관리 명령을 실행할 때는 이 조작을 수행하기 위해 명시적으로 관리 신임 정보를 지정해야 합니다. registerNode 명령은 사용자 ID와 비밀번호를 각각 지정하는 데 -username 및 -password 매개변수를 수락합니다. 지정되는 사용자 ID 및 비밀번호는 관리 사용자(예: 관리자 권한을 가진 콘솔 사용자의 구성원 또는 사용자 레지스트리에 구성된 관리 사용자 ID)의 것이어야 합니다. registerNode 명령의 예제는 다음과 같습니다.

    registerNode -profilePath /WebSphere/AppServer/profiles/default -host localhost -connType SOAP -port 8877 -username WSADMIN -password ADMINPWD

  • 관리 에이전트에 등록하려면 먼저 노드에 관리 보안이 사용 또는 사용 안함으로 설정되어 있어야 합니다.
  • 노드를 등록한 후에는 해당 노드가 등록 해제될 때까지 해당 노드 또는 기타 등록 노드의 관리 보안을 사용 또는 사용 안함으로 설정할 수 없습니다.
분배된 서버 간의 보안 상호작용을 적절히 이해하고 있으면 보안 통신에서 발생하는 문제점을 크게 줄일 수 있습니다. 보안을 사용하면 추가 기능을 관리해야 하므로 작업이 더 복잡해집니다. 관리 에이전트는 보안을 유지하면서 추가 기능을 관리하는 방법을 제공합니다.

보안이 설정된 상태에서 registerNode를 사용하는 데 도움을 주는 일반적인 질문 및 응답

노드가 관리 에이전트에 등록된 후에도 노드의 보안 설정을 변경할 수 있습니까?
관리 보안은 관리 에이전트 및 모든 등록된 노드에서 사용 또는 사용 안함으로 설정되어야 합니다. 이를 제외하면 노드 등록 전후에 관계없이 등록된 노드 및 관리 에이전트는 그 외에 서로 다른 등록 구성을 보유할 수 있습니다. 그러나 관리 보안 구성은 전체 관리 에이전트 및 등록 노드에서 일치해야 합니다.
노드가 등록된 관리 에이전트의 보안 설정은 변경할 수 있습니까?
아닙니다. 이전 질문 및 답을 참조하십시오. 변경하게 되면 전체 관리 에이전트 및 등록 노드에서 관리 보안 구성이 일치하지 않게 됩니다.
관리 에이전트에 보안이 사용으로 설정되어 있으면 노드에서도 보안을 사용으로 설정해야 합니까?
그렇습니다. 관리 에이전트에 관리 보안이 사용으로 설정되어 있으면 노드에도 관리 보안이 사용으로 설정되어야 합니다.
노드가 등록되기 전에는 관리 에이전트와 노드의 보안 설정이 서로 다를 수 있습니까?
관리 보안의 값을 제외하면 그렇습니다.
registerNode 명령의 매개변수 -username username / -password password-nodeusername node_user_name / -nodepassword node_password의 올바른 사용법은 무엇입니까?
username / password는 관리 에이전트에 정의된 관리 사용자 및 비밀번호를 가리킵니다. nodeusername / nodepassword는 등록될 노드에 정의된 관리 사용자 및 비밀번호를 가리킵니다.
참고: nodeusername / nodepassword는 관리 에이전트와 등록될 노드에 관리 보안이 사용으로 설정되어 있는 경우에만 필요합니다.
RegisterNode 사용 예:
${WAS_ROOT}/profiles/AA_1/bin/registerNode.sh
-connType SOAP
-port ${soap}
-username $SUSER
-password $SPASS
-profilePath ${WAS_ROOT}/profiles/AS_1_1
-nodeusername $SUSER2
-nodepassword $SPASS2 
[z/OS]
z/OS의 특수 고려사항: z/OS에서, 관리 에이전트의 제어기 사용자 ID의 기본 Unix System Services 구성 그룹은 자신이 관리할 애플리케이션 서버의 구성 그룹이어야 합니다. 관리 에이전트의 하위(servant) 사용자 ID는 동일 그룹에 연결되어야 합니다. 이를 보장하는 가장 간단한 방법은 관리 에이전트 및 해당 애플리케이션 서버를 구성할 때 단일 구성 그룹 ID를 지정하는 것입니다.

관리 보안에 SAF(System Authorization Facility) 로컬 레지스트리가 사용된 경우, registerNode.shderegisterNode.sh 명령을 호출하는 데 사용되는 사용자 ID는 관리 에이전트에 대한 관리 권한을 보유해야 하며 관리 에이전트 및 해당 애플리케이션 서버의 Unix System Services 구성 그룹에 연결되어 있어야 합니다.

SAF 키 링이 인증서 스토리지로 사용되는 경우에는 등록 중에 서명자가 교환되지 않습니다. 이 경우에는 관리 에이전트와 이 에이전트에서 관리할 애플리케이션 서버의 서버 인증서가 공통 서명자를 공유하며 이 공통 서명자가 registerNode.sh 또는 deregisterNode.sh를 호출하는 데 사용되는 관리자 ID의 키 링에 있는지 확인해야 합니다.
참고: 등록 또는 등록 해제 중에 사용되는 키 링은 관리 에이전트와 연관된 키 링입니다.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7register_admin_agent
파일 이름:rsec_7register_admin_agent.html