Kerberos 토큰
IBM® WebSphere® Application Server는 웹 서비스 메시지 레벨 보안을 위한 Kerberos 토큰 지원을 제공합니다. 이 지원은 OASIS(Organization for the Advancement of Structured Information Standards) 웹 서비스 보안 Kerberos 토큰 프로파일 버전 1.1을 기반으로 합니다. 이 주제에서 웹 서비스에 사용 가능한 Kerberos 지원을 이해하십시오.
Kerberos 토큰 프로파일 버전 1.1
Kerberos 버전 5는 안전한 써드파티 인증 메커니즘을 제공하는 성숙한 개방형 표준입니다. OASIS 웹 서비스 SOAP 메시지 보안 스펙은 SOAP 메시지에서 Kerberos 토큰을 참조합니다. 웹 서비스 애플리케이션은 ID를 전송하고 메시지를 보다 안전하게 보호하기 위해 Kerberos 토큰을 사용할 수 있습니다. 전체적으로 Kerberos 지원은 Java™ EE(Java Platform, Enterprise Edition) 보안에서 Kerberos 지원 및 웹 서비스 보안에서의 Kerberos 토큰 지원과 관련됩니다. 이 주제에서는 웹 서비스 보안에서의 Kerberos 토큰 지원에 대해서만 다룹니다.
WebSphere Application Server 버전 7.0 이상에서 웹 서비스 보안은 Kerberos 토큰을 지원하며, 이는 OASIS WS-Security Kerberos 토큰 프로파일 버전 1.1 스펙을 기반으로 합니다. Kerberos 토큰은 웹 서비스 메시지 레벨 보안을 위한 2진 보안 토큰입니다. 웹 서비스 보안은 보안 토큰 전파, 메시지 서명 및 메시지 암호화 등과 같은 SOAP 메시지 레벨 보안을 제공합니다. Kerberos 토큰은 메시지 보안에 사용되고, 특히 웹 서비스용 SOAP 메시지 보안 스펙과 함께 사용되며 사용자 이름 토큰 및 보안 통신 토큰 등과 같은 지원되는 또 다른 토큰입니다.
자세한 정보는 Web Services Security Kerberos Token Profile Version 1.1 스펙을 참조하십시오. 이 스펙은 Kerberos 보안을 웹 서비스 보안과 함께 사용하는 방법 및 Kerberos 토큰을 전파하고 서명 및 암호화를 통해 SOAP 메시지를 보안하기 위해 사용하는 방법에 대해 설명합니다.
Kerberos 토큰 프로파일 인에이블먼트
WebSphere Application Server 구성 모델은 다음과 같이 인증 및 메시지 보호의 Kerberos 토큰 프로파일 구성을 위한 기존 도구 및 프레임워크를 활용합니다.
- JAX-WS(Java API for XML-Based Web Services) 애플리케이션에서 Kerberos 토큰 프로파일을 사용 가능하게 하기 위한 정책 세트 및 바인딩 구성
- JAX-RPC 애플리케이션에서 Kerberos 토큰 프로파일을 사용 가능하게 하기 위한 배치 디스크립터 및 바인딩 구성
- JAX-WS 애플리케이션에서 Kerberos 토큰의 토큰 프로파일 인에이블먼트
- JAX-WS 프로그래밍 모델을 사용하여 Kerberos 토큰 프로파일을 사용 가능하게 하기 위한 최소 클라이언트 구성
JAX-WS 클라이언트 애플리케이션의 경우, 디자인은 웹 서비스 보안용 API(Application Programming Interface)를 업데이트하고 OASIS 토큰 프로파일을 기반으로 하는 Kerberos 토큰에 웹 서비스 보안 정책을 강제 적용합니다. 정책 세트를 사용하여 Kerberos 토큰 프로파일을 사용 가능하게 하려면 먼저 사용자 정의 토큰을 사용하여 웹 서비스 보안 정책 및 바인딩 파일을 설정해야 합니다. 자세한 정보는 "웹 서비스용 Kerberos 구성 모델" 주제를 참조하십시오.
Kerberos 지원
- 웹 서비스 보안 API를 사용하는 JAX-WS 애플리케이션용 클라이언트 프로그래밍 모델
- WSE(Web Services Enhancements) 버전 3.5 및 Microsoft .NET용 WCF(Windows Communication Foundation) 버전 3.5와의 상호 운용성
- JAX-WS 애플리케이션용 웹 서비스 메시지 보안 토큰의 복구
- Kerberos 토큰 프로파일 인에이블먼트
- 애플리케이션 서버의 기본 보안과의 통합
- 클라이언트 및 서비스용 Kerberos 토큰 생성
- 서비스에서 Kerberos 이용
- JAX-WS 애플리케이션의 클러스터링 및 고가용성
- JAX-WS 애플리케이션의 인증 및 메시지 보호를 위한 Kerberos 토큰 프로파일 구성
- 단일 범주에서 Microsoft 또는 z/OS® 운영 체제 KDC(Key Distribution Center)와의 통합
- JAX-RPC 애플리케이션의 인증에 대한 Kerberos 토큰 프로파일 구성
- 키 이름 참조
- JAX-RPC 애플리케이션의 세션 키를 사용하는 메시지 보호
- JAX-RPC 애플리케이션의 파생 키를 사용하는 메시지 보호
- JAX-RPC 애플리케이션의 SHA1 키 생성
- Kerberos 위임은 Kerberos 인증 보한 메커니즘으로 구성된 JAX-RPC 애플리케이션을 사용하는 경우에는 지원되지 않음
- Kerberos 토큰은 JAX-WS 애플리케이션이 웹 서비스 안정적인 메시징에 사용 가능한 경우에는 복구 가능하지 않음