JAX-RPC를 사용하여 애플리케이션 레벨에서 메시지 기밀성을 보호할 토큰 이용자 구성
애플리케이션 레벨에서 토큰 이용자를 지정할 수 있습니다. 토큰 이용자 정보는 보안 토큰을 생성하기 위해 이용자측에서 사용합니다.
시작하기 전에
생성기에 대해 제공하는 키 저장소/별명 정보 및 다른 목적으로 사용되는 이용자에 대해 제공하는 키 저장소/별명 정보를 이해하고 있어야 합니다. 주요 차이는 X.509 콜백 핸들러에 대한 별명에 적용됩니다.
암호화 이용자와 연관하여 사용할 때 이용자에 대해 제공된 별명을 사용하여 메시지를 복호화하는 개인 키를 검색합니다. 비밀번호가 필요합니다. 서명 이용자와 연관되어 사용되는 경우 이용자에 제공되는 별명을 엄격하게 사용하여 BinarySecurityToken으로 SOAP 보안 헤더에 전달되지 않는 X.509 인증을 해석하는 데 사용되는 공개 키를 검색합니다. 비밀번호는 필요하지 않습니다.
이 태스크 정보
다음 단계를 완료하여 애플리케이션 레벨에서 토큰 이용자를 구성하십시오.
프로시저
- 관리 콘솔의 토큰 이용자 분할창을 찾으십시오.
- 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
- 모듈 아래에서 모듈 관리 > URI_name을 클릭하십시오.
- 웹 서비스 보안 특성 아래에서 다음 바인딩에 대한
토큰 이용자에 액세스할 수 있습니다.
- 요청 이용자(수신자) 바인딩의 경우, 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 응답 이용자(수신자) 바인딩의 경우, 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 필수 특성 아래에서 토큰 이용자를 클릭하십시오.
- 새로 작성을 클릭하여 토큰 이용자 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 이용자 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 토큰 이용자 이름 필드에 고유 이름을 입력하십시오. 예를 들어 con_signtcon을 지정할 수 있습니다.
- 토큰 이용자 클래스 이름 필드에 클래스 이름을 지정하십시오. JAAS(Java™ Authentication
and Authorization Service) 로그인 모듈 구현은 이용자 측에서 보안 토큰의
유효성을 검증(인증)하기 위해 사용됩니다.
요청 이용자 및 응답 이용자의 토큰 이용자 클래스 이름은 요청 생성기 및 응답 생성기의 토큰 생성기 클래스 이름과 유사해야 합니다. 예를 들어 애플리케이션이 사용자 이름 토큰 이용자를 필수로 하는 경우, 애플리케이션 레벨을 위한 토큰 생성기 분할창에 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 클래스 이름을 지정하고 이 필드에 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 클래스 이름을 지정할 수 있습니다.
- 옵션: 파트 참조 필드에서 파트 참조를 선택하십시오. 파트 참조가
배치 디스크립터에 정의된 보안 토큰의 이름을 표시합니다. 예를 들어 요청 메시지에
사용자 이름 토큰을 수신하는 경우, 사용자 이름 토큰 이용자의 토큰을 참조하고자
할 수도 있습니다. 중요사항: 애플리케이션 레벨에서 배치 디스크립터에 보안 토큰을 지정하지 않으면 파트 참조 필드가 표시되지 않습니다. 배치 디스크립터에 user_tcon이라는 보안 토큰을 정의한 경우, user_tcon이 파트 참조 필드에 옵션으로 표시됩니다.
- 옵션: 분할창의 인증 경로 섹션에서,
인증 저장 유형을 선택하고 필요한 경우, 트러스터 앵커와 인증 저장 이름을
표시하십시오. 이러한 옵션과 필드는
com.ibm.wsspi.wssecurity.token.X509TokenConsumer를 토큰 이용자 클래스 이름으로
지정한 경우 필수입니다. 트러스터 앵커의 이름과 콜렉션 인증 저장소이
토큰 이용자의 인증 경로에 작성됩니다. 제한사항: com.ibm.wsspi.wssecurity.token.TokenConsumingComponent 인터페이스는 JAX-WS 웹 서비스에서 사용되지 않습니다. JAX-RPC 웹 서비스를 사용하는 경우 이 인터페이스는 계속 유효합니다.
다음 옵션 중 하나를 선택할 수 있습니다.
- 없음
- 이 옵션을 선택하면, 인증 경로가 지정되지 않습니다.
- 모두 신뢰
- 이 옵션을 선택하면, 인증이 신뢰됩니다. 수신된 토큰이 소비되면 애플리케이션 서버가 인증 경로의 유효성을 검증하지 않습니다.
- 전용 서명 정보
- 이 옵션을 선택하면, 신뢰 앵커 및 인증 저장 구성을 선택할 수 있습니다. 신뢰 인증의 인증 저장 또는
신뢰 앵커를 선택한 경우, 인증 경로를 설정하기 전에 신뢰 앵커와 인증 저장을
구성해야 합니다.
- 신뢰 앵커
- 신뢰 앵커는 신뢰 있는 루트 인증을 포함하는 키 저장소 구성 목록을 지정합니다. 이들 구성은 X.509 형식의
수신 보안 토큰에 대한 인증 경로 유효성 검증에 사용됩니다. 신뢰 앵커 내의 키 저장소 오브젝트는
인증 체인의 신뢰 유효성을 검증하기 위해 CertPath API에서 사용하는 신뢰 있는 루트 인증을
포함합니다.
install_dir/java/jre/bin/keytool 파일에 있는 키 도구 유틸리티를 사용하여 키 저장소 파일을 작성해야 합니다.
키 도구 유틸리티를 사용하여 키 저장소 파일을 작성해야 합니다. 키 도구 유틸리티는 QShell 해석기를 사용하여 사용 가능합니다.
다음 단계를 완료하여 애플리케이션 레벨의 신뢰 앵커를 구성할 수 있습니다.- 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
- 관련 항목 아래에서 EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
- 다음 바인딩에서 토큰 이용자에 액세스하십시오.
- 요청 이용자(수신자) 바인딩의 경우, 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 응답 이용자(수신자) 바인딩의 경우, 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 추가 특성 아래에서 신뢰 앵커를 클릭하십시오.
- 콜렉션 인증 저장소
- 콜렉션 인증 저장소에는 신뢰 없는 중간 인증 목록 및 인증 취소 목록(CRL)이
포함되어 있습니다. 콜렉션 인증 저장소는 X.509 형식의 수신 보안 토큰에 대한 인증 경로 유효성 검증에
사용됩니다. 다음 단계를 완료하여 애플리케이션 레벨의 콜렉션 인증 저장소를 구성할 수 있습니다.
- 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
- 관련 항목 아래에서 EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
- 다음 바인딩에서 토큰 이용자에 액세스하십시오.
- 요청 이용자(수신자) 바인딩의 경우, 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 응답 이용자(수신자) 바인딩의 경우, 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
- 추가 특성 아래에서 콜렉션 인증 저장을 클릭하십시오.
- 옵션: 신뢰 ID 평가자를 지정하십시오. 신뢰
ID 평가자를 사용하여 수신한 ID를 신뢰할지 여부를 판별합니다.
다음 옵션 중 하나를 선택할 수 있습니다.
- 없음
- 이 옵션을 선택하면, 신뢰 ID 연산기가 지정되지 않습니다.
- 기존 평가자 정의
- 이 옵션을 선택하면, 구성된 신뢰 ID 연산기 중 하나를 선택할 수 있습니다. 예를 들어 WebSphere® Application Server에서 예제로 제공한 SampleTrustedIDEvaluator를 선택할 수 있습니다.
- 바인딩 평가자 정의
- 이 옵션을 선택하면, 신뢰 ID 평가자 이름 및 클래스 이름을 지정하여 새 신뢰 ID 평가자를 구성할 수 있습니다.
- 신뢰 ID 평가자 이름
- 애플리케이션 바인딩이 기본 바인딩에 정의된 신뢰 ID 평가자를 참조하기 위해 사용하는 이름을 지정합니다.
- 신뢰 ID 평가자 클래스 이름
- 신뢰 ID 평가자의 클래스 이름을 지정합니다. 지정된 신뢰 ID 평가자 클래스 이름은 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를
구현해야 합니다. 기본 TrustedIDEvaluator 클래스는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl입니다.
이 기본 TrustedIDEvaluator 클래스를 사용할 때, 기본 신뢰 ID 평가자에 대한 이름 및 값 특성을 지정하여
평가할 신뢰 ID 목록을 작성해야 합니다. 이름 및 값 특성을 지정하려면 다음 단계를 완료하십시오.
- 추가 특성 아래에서 특성 > 새로 작성을 클릭하십시오.
- 특성 필드에 신뢰 ID 평가자 이름을 지정하십시오. 이름을 trustedId_n(여기서 _n은 0 - n의 정수) 양식으로 지정해야 합니다.
- 값 필드에 신뢰 ID를 지정하십시오.
예제:property name="trustedId_0", value="CN=Bob,O=ACME,C=US" property name="trustedId_1, value="user1"
DN(Distinguished Name)이 사용된 경우 비교하기 위해 공백이 제거됩니다. com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를 구현하는 방법에 대한 설명은 문서의 프로그래밍 모델 정보를 참조하십시오. 자세한 정보는 웹 서비스 보안 서비스 제공자 프로그래밍 인터페이스의 기본 구현의 내용을 참조하십시오.
참고: 애플리케이션 레벨 대신 서버 레벨에서 신뢰 ID 평가자를 정의하십시오. 서버 레벨에서 신뢰 ID 평가자를 정의하려면 다음 단계를 완료하십시오.- 서버 > 서버 유형 > WebSphere Application Sever > server_name을 클릭하십시오.
- 보안 아래에서 JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
혼합 버전 환경: WebSphere Application Server 버전 6.1 또는 그 이전 버전을 사용하는 서버가 있는 혼합 노드 셀에서 웹 서비스: 웹 서비스 보안의 기본 바인딩을 클릭하십시오.mixv
- 추가 특성 아래에서 신뢰 ID 연산기를 클릭하십시오.
- 새로 작성을 클릭하여 새 신뢰 ID 평가자를 정의하십시오.
신뢰 ID 평가자 구성은 서버 측 애플리케이션 레벨의 토큰 이용자에만 사용 가능합니다.
- 옵션: Nonce 확인 옵션을 선택하십시오. 이 옵션은 Nonce가 토큰 이용자에 지정된 경우, 사용자 이름 토큰의 Nonce를 확인할지 여부를 표시합니다. Nonce는 사용자 이름 토큰의 반복적 무단 침입을 중지하기 위해 메시지에 임베디드된 고유한 암호화 숫자입니다. Nonce 확인 옵션은 통합되지 않은 토큰 유형이 사용자 이름 토큰인 경우에만 유효합니다.
- 옵션: 시간소인 확인 옵션을 선택하십시오. 이 옵션은 사용자 이름 토큰의 시간소인을 확인할지 여부를 표시합니다. Nonce 확인 옵션은 통합되지 않은 토큰 유형이 사용자 이름 토큰인 경우에만 유효합니다.
- 로컬 이름 필드에 값 유형 로컬 이름을 지정하십시오. 이 필드는 소비된 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 사용자 이름 토큰
및 X.509 인증 보안 토큰의 경우, WebSphere Application Server가
값 유형의 사전 정의된 로컬 이름을 제공합니다.
표 1. URI(Uniform Resource Identifier) 및 로컬 이름 조합. 로컬 이름 값은 이용된 토큰의 유형을 나타냅니다. URI 로컬 이름 설명 네임스페이스 URI는 적용 불가능합니다. 로컬 이름 값으로 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3을 지정하십시오. X.509 인증 토큰의 이름을 지정합니다. 네임스페이스 URI는 적용 불가능합니다. 로컬 이름 값으로 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1을 지정하십시오. PKI 경로에 X.509 인증 이름을 지정합니다. 네임스페이스 URI는 적용 불가능합니다. 로컬 이름 값으로 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7을 지정하십시오. X.509 인증 목록 및 인증 취소 목록(CRL)을 PKCS#7 형식으로 지정합니다. URI 값으로 http://www.ibm.com/websphere/appserver/tokentype/5.0.2를 지정하십시오. 로컬 이름 값으로 LTPA를 지정하십시오. 임베디드 LTPA(Lightweight Third Party Authentication) 토큰이 포함된 2진 보안 토큰을 지정합니다. - 옵션: URI필드에 값 유형 URI를 지정하십시오. 이 항목은 소비된 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다. 알아두기: 사용자 이름 토큰 또는 X.509 인증 보안 토큰에 대한 토큰 이용자를 지정하는 경우, 값 유형 URI를 지정하지 않아야 합니다.
기타 토큰을 지정하려는 경우, 로컬 이름과 URI 모두를 지정해야 합니다. 예를 들어 고유 사용자 정의 토큰의 구현이 있는 경우, 로컬 이름 필드에 CustomToken을 지정하고 http://www.ibm.com/custom을 지정할 수 있습니다.
- 확인 및 저장을 클릭하여 구성을 저장하십시오.
- 토큰 이용자 구성의 이름을 클릭하십시오.
- 추가 특성 아래에서 JAAS 구성을 클릭하십시오. JAAS(Java Authentication and Authorization Service) 구성은 JAAS 로그인 분할창에 정의된 JAAS 구성의 이름을 지정합니다. JAAS 구성이 이용자측에서 토큰이 로그인하는 방법을 지정합니다.
- JAAS 구성 이름 필드에서 JAAS 구성을 선택하십시오. 필드는 애플리케이션 로그인 구성의 JAAS 시스템 이름을 지정합니다. 글로벌 보안을 클릭하여
추가 JAAS 시스템 및 애플리케이션 구성을 지정할 수 있습니다. 인증 아래에서
JAAS(Java Authentication and Authorization Service)를 클릭한 후
애플리케이션 로그인 > 새로 작성 또는
시스템 로그인 > 새로 작성을 클릭하십시오.
JAAS 구성에 대한 자세한 정보는 JAAS 구성 설정의 내용을 참조하십시오. 사전 정의된 시스템 또는 애플리케이션 로그인 구성을 제거하지 마십시오. 그러나 해당 구성 내에서 모듈 클래스 이름을 추가하고 WebSphere Application Server가 각각의 모듈을 로드하는 순서를 지정할 수는 있습니다. WebSphere Application Server는 다음과 같은 사전 정의된 JAAS 구성을 제공합니다.
- ClientContainer
- 이 선택사항은 클라이언트 컨테이너 애플리케이션에서 사용하는 로그인 구성을 지정합니다. 구성은 클라이언트 컨테이너에 대한 배치 디스크립터에 정의된 CallbackHandler API(Application Programming Interface)를 사용합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
- WSLogin
- 이 선택사항은 모든 애플리케이션이 WSLogin 구성을 사용하여 보안 런타임의 인증을 수행할 수 있는지 여부를 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
- DefaultPrincipalMapping
- 이 선택사항은 J2C(Java 2 Connector)가 J2C 인증 데이터 항목에 정의되는 프린시펄에 사용자를 맵핑하는 데 사용하는 로그인 구성을 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.LTPA_WEB
- 이 선택사항은 웹 컨테이너에 사용된 로그인 요청(예: 서블릿 및 JSP(JavaServer Pages) 파일)을 처리합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.RMI_OUTBOUND
- 이 선택사항은 com.ibm.CSIOutboundPropagationEnabled 특성이 true일 때
다른 서버에 아웃바운드로 전송되는 RMI 요청을 처리합니다.
이 특성은
CSIv2 인증 분할창에서 설정됩니다.
분할창에 액세스하려면 보안 > 글로벌 보안을 클릭하십시오. 인증 아래에서 RMI/IIOP 보안 > CSIv2 아웃바운드 인증을 클릭하십시오. com.ibm.CSIOutboundPropagationEnabled 특성을 설정하려면 보안 속성 전파를 선택하십시오. 이 JAAS 로그인 구성을 수정하려면 JAAS - 시스템 로그인 분할창을 참조하십시오.
- system.wssecurity.X509BST
- 이 선택사항은 인증 및 인증 경로의 유효성을 검증하여 X.509 BST(2진 보안 토큰)를 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.wssecurity.PKCS7
- 이 선택사항은 인증 체인, 인증 거부 목록 또는 둘 모두를 포함할 수도 있는 PKCS7 오브젝트의 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.wssecurity.PkiPath
- 이 섹션은 PKI(Public Key Infrastructure) 경로를 사용하여 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.wssecurity.UsernameToken
- 이 선택사항은 기본 인증(사용자 이름 및 비밀번호) 데이터를 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.wssecurity.IDAssertionUsernameToken
- 이 선택사항은 WebSphere Application Server 신임 프린시펄로 사용자 이름을 맵핑하기 위해 버전 6 이상 애플리케이션의 ID 어설션 사용을 지원합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.WSS_INBOUND
- 이 선택사항은 웹 서비스 보안을 사용한 보안 토큰 전파의 인바운드 또는 이용자 요청에 대한 로그인 구성을 지정합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- system.WSS_OUTBOUND
- 이 선택사항은 웹 서비스 보안을 사용한 보안 토큰 전파의 아웃바운드 또는 생성기 요청에 대한 로그인 구성을 지정합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
- 없음
- 이 선택사항을 사용하여 JAAS 로그인 구성을 지정하지 마십시오.
- 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.
결과
다음에 수행할 작업
하위 주제
요청 이용자(수신자) 바인딩 구성 설정
이 페이지에서 요청 이용자에 대한 바인딩 구성을 지정할 수 있습니다.응답 이용자(수신자) 바인딩 구성 설정
이 페이지에서 응답 이용자에 대한 바인딩 구성을 지정할 수 있습니다.JAAS 구성 설정
이 페이지를 사용하여 JAAS 로그인 패널에 정의되는 JAAS(Java Authentication and Authorization Service) 구성의 이름을 지정하십시오.요청 이용자(수신자) 바인딩 구성 설정
이 페이지에서 요청 이용자에 대한 바인딩 구성을 지정할 수 있습니다.응답 이용자(수신자) 바인딩 구성 설정
이 페이지에서 응답 이용자에 대한 바인딩 구성을 지정할 수 있습니다.JAAS 구성 설정
이 페이지를 사용하여 JAAS 로그인 패널에 정의되는 JAAS(Java Authentication and Authorization Service) 구성의 이름을 지정하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
파일 이름:twbs_configtokenconsapp.html