이 주제를 사용하여 JAX-WS 애플리케이션에 대한 Kerberos 토큰 정책 세트를 사용합니다.
시작하기 전에
이 태스크를 시작하기 전에
IBM® WebSphere® Application
Server에 대한 Kerberos 구성 정보를 지정해야 합니다.
자세한 정보는 보안에 대한 Kerberos(KRB5) 인증 메커니즘 지원을 참조하십시오.
Kerberos 토큰의 구성 모델을 통해 다음과 같은 기존의 WebSphere Application
Server 프레임워크에서 선택할 수 있습니다.
- JAX-RPC 애플리케이션의 경우 배치 디스크립터 및 바인딩이 구성에서 사용됩니다.
JAX-RPC 애플리케이션은 인증 토큰에서 구성된 Kerberos 사용자 정의 토큰에 대한
배치 디스크립터를 포함합니다.
- JAX-WS 애플리케이션의 경우 구성은 정책 세트 및 바인딩을 사용합니다.
JAX-WS 애플리케이션은 인증 토큰, 메시지 보호 토큰 또는 모두로 구성된
Kerberos 토큰을 포함하는 사용자 정의 정책으로 첨부됩니다.
참고: SDK(Software Development Kit)에 업데이트가 포함된 수정팩은
제한되지 않은 정책 파일을 겹쳐쓸 수 있습니다. 수정팩을 적용하기 전에
제한되지 않은 정책 파일을 백업하고 수정팩을 적용한 후
이 파일을 재적용하십시오.
이 태스크 정보
다음 단계를 완료하여 WebSphere Application Server
관리 콘솔을 사용하여 JAX-WS 애플리케이션에 대한 Kerberos 토큰 정책 세트를 구성합니다.
이 단계에서 기본 정책 구성 패널은
처음 5개의 단계를 완료한 후에 사용 가능한 관리 콘솔 패널을 참조합니다.
프로시저
- 를 펼치고 을 클릭하고 새 정책 세트를 작성하십시오.
- 새 정책 세트에 대한 이름 및 간단한 설명을 지정하고
적용을 클릭하십시오.
- 정책 표제에서 추가를 클릭하고
WS-Security 보안 정책 유형을 선택하십시오.
- 확인 및 저장을
차례로 클릭하여 마스터 구성에 직접 새 구성을 저장하십시오.
- 정책 필드에서 WS-Security를
클릭하고 WS-Security 패널에서 기본 정책을 클릭하고
Kerberos 토큰 정책 세트에 대한 기본 정책을 구성하십시오.
- 키 대칭 표제에서 메시지 보호를 위해 대칭 토큰 사용을
선택하십시오.
- 대칭 서명 및 암호화 정책을 클릭하여
Kerberos 사용자 정의 토큰 유형을 구성하거나 인증 토큰만 구성하는 경우
메시지 레벨 보호 선택란을 선택 취소하십시오.
중요사항: 메시지 보호에 대한 Kerberos 토큰을 사용하는 경우
요청 토큰 정책을 구성하지 않아도 됩니다. 인증 토큰만 구성하는 경우 다음 단계로
진행하십시오. 인증 토큰에 대한 요청 토큰 정책을 구성하지 않으면
다음 단계로 건너뛰십시오.
- 기본 정책 구성 패널에서 인증 토큰을 구성하는 경우 요청 토큰에 대한 정책을 구성하십시오.
- 정책 세부사항 표제에서 요청 토큰 정책을
클릭하십시오.
- 토큰 유형 추가를 클릭하고
사용자 정의를 선택하십시오.
- 사용자 정의 토큰 이름 필드에서 사용자 정의 토큰 이름을
지정하십시오.
- 로컬 파트 필드에 로컬 파트 값을 지정하십시오. 다른 웹 서비스 기술과의 상호 운용성을 위해 다음 로컬 파트를 지정하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.
상호 운용성 문제를 고려하지 않아도 되는 경우 다음 로컬 이름 값 중 하나를 지정할 수 있습니다.
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
이 대체 값은 KDC(Key Distribution Center)에서 생성된 Kerberos
AP-REQ 토큰의 스펙 레벨에 따라 달라집니다.
이러한 값의 사용 시점에 대한 자세한 정보는
토큰 유형 설정을 참조하십시오.
- Kerberos 토큰을 생성하는 경우
네임스페이스 URI 필드에 대한 값을 지정하지 마십시오.
- 확인 및 저장을
클릭하여 마스터 구성에 직접 구성을 저장하십시오.
이 단계는 인증 토큰에 대한 요청 토큰 정책을 구성하는 구성 프로세스를
완료합니다. 다음 2개 단계는 완료하지 않아도 됩니다.
다음 단계를 완료하여 암호화 및 대칭 서명 정책을 구성합니다.
- 애플리케이션 정책 세트에 대한 기본 정책 구성 패널로 돌아가
대칭 서명 및 암호화 정책을 클릭하여 암호화 및 대칭 서명 정책을
구성하십시오.
- 메시지 무결성 표제에서 메시지 서명 및 유효성 검증을 위한
토큰 유형 필드의 조치 메뉴 목록을 클릭하고
사용자 정의를 선택하십시오.
- 메시지 기밀성 표제에서 무결성을 위해
사용된 동일한 토큰을 기밀성을 위해 사용 옵션을 선택하십시오.
- 확인 및 저장을
클릭하여 구성 변경사항을 저장하십시오.
- 메시지 무결성 표제에서 메시지 서명 및 유효성 검증을 위한
토큰 유형 필드의 조치 메뉴 목록을 클릭하고
선택한 유형 정책 편집을 선택하십시오.
- Kerberos 사용자 정의 토큰의 로컬 파트를 지정하여 서명 및 암호화에 대한 사용자 정의 토큰 유형을
편집하십시오.
예를 들어, 로컬 파트 값으로
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ를
지정하십시오. 네임스페이스 URI 값을 지정하지 마십시오.
- 확인 및 저장 링크를
클릭하여 구성 변경사항을 저장하십시오.
- 애플리케이션 정책 세트에 대한 기본 정책 구성 패널로 돌아가
대칭 토큰에 대한 알고리즘을 클릭하여 대칭 토큰 알고리즘을 구성하십시오.
- 알고리즘 스위트 메뉴 목록에서 대칭 토큰에 사용할
알고리즘 스위트를 선택하십시오. RFC-4120을 준수하는 Kerberos 토큰에 대한 고급 암호화 표준(AES) 알고리즘을 선택하십시오.
대칭 키 랩핑 또는 개인 키 암호화, 알고리즘에는 다음이 포함됩니다.
- 삼중 DES 키 랩핑: http://www.w3.org/2001/04/xmlenc#kw-tripledes
- AES 키 랩핑(aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- AES 키 랩핑(aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
제한사항: 256비트 AES 암호화 알고리즘을 사용하려면 무제한 관할 정책 파일을 적용해야 합니다.
계속 이를 준수하려면 기본 보안 프로파일 준수 팁을 참조하십시오.
이 정책 파일을 다운로드하기 전에 제품
HFS를 읽기/쓰기로 마운트하십시오. 원래 파일을 나중에 복원하려는 경우
겹쳐쓰기 전에 기존 정책을 백업하십시오. local_policy.jar 및
US_export_policy.jar 파일에 해당하는 기존의 정책 파일은
WAS_HOME/java/jre/lib/security/ 디렉토리에 있습니다.
이 정책 파일을 다운로드하기 전에 제품
HFS를 읽기/쓰기로 마운트하십시오. 원래 파일을 나중에 복원하려는 경우
겹쳐쓰기 전에 기존 정책을 백업하십시오. local_policy.jar 및
US_export_policy.jar 파일에 해당하는 기존의 정책 파일은
WAS_HOME/java/lib/security/ 디렉토리에 있습니다.
중요사항: 사용자의 국가마다
암호화 소프트웨어의 수입, 소유권, 사용 또는 다른 국가로의 재수출에 대한
제한사항이 있을 수 있습니다. 제한되지 않은 정책 파일을 다운로드하거나
사용하기 전에 허용 여부를 결정하려면
암호화 소프트웨어의 수입, 소유권, 사용 및 재수출에 관한
해당 국가의 법률, 규정 및 정책을 확인해야
합니다.
IBM Developer Kit,
Java™ Technology Edition,
버전 5를 사용하는 애플리케이션 서버 플랫폼의 경우에는 다음 단계를 완료하여 무제한 관할 정책 파일을 가져올 수 있습니다.
- IBM developerWorks: 보안 정보 웹 사이트를 방문하십시오.
- Java 5를 클릭하십시오.
- IBM SDK 정책 파일을 클릭하십시오.
SDK 5 웹 사이트를 위한 제한되지 않는 JCE 정책 파일이 표시됩니다.
- 사용자 ID 및 비밀번호를 입력하거나
IBM에
등록하여 정책 파일을 다운로드하십시오. 정책 파일은 워크스테이션으로 다운로드됩니다.
- 제품 HFS를 읽기 전용으로 다시 마운트하십시오.
알고리즘 스위트 컴포넌트에 대한 자세한 정보는 알고리즘 설정을 참조하십시오.
- 정형화 알고리즘 메뉴 목록에서 독점 정형화 또는
포함 정형화 값을 선택하십시오. 자세한 정보는 XML 디지털 서명을 참조하십시오.
- XPath 버전 메뉴 목록에서 사용할
XPath 1.0 또는 XPathfilter
2.0 버전을 지정하십시오.
다음에 수행할 작업
JAX-WS 애플리케이션에 대한 Kerberos 메시지 보호의 바인딩을 구성하십시오. 자세한 정보는
Kerberos에 대한 메시지 보호를 위한 바인딩 구성의 내용을 참조하십시오.