LTPA(Lightweight Third Party Authentication)

LTPA(Lightweight Third Party Authentication)는 분산 다중 애플리케이션 서버 및 시스템 환경을 위한 것입니다. LTPA는 전달 가능한 신임과 싱글 사인온(SSO)을 지원합니다. LTPA는 암호화를 통해 분산 환경에서 보안을 지원할 수 있습니다. 이것으로 LTPA는 인증 관련 데이터를 암호화하고 디지털 서명하여 안전하게 전송한 후 비밀번호를 해독하여 서명을 확인할 수 있습니다.

여러 노드와 셀로 분배된 애플리케이션 서버는 LTPA 프로토콜을 사용하여 안전하게 통신할 수 있습니다. 또한 이 서버는 사인온(SSO) 기능을 제공하여 사용자가 DNS(Domain Name System) 도메인에서 한 번만 인증하게 하며 프롬프트하지 않고 기타 WebSphere® Application Server 셀의 자원에 액세스할 수 있도록 합니다. DNS 도메인에 있는 각 시스템의 범주 이름은 대소문자를 구분하므로 완전히 일치해야 합니다.

[IBM i][AIX HP-UX Solaris]로컬 OS에서는 범주 이름이 호스트 이름과 동일합니다.

[Windows]로컬 OS의 경우 범주 이름은 도메인 이름이고, 도메인이 사용 중이면 시스템 이름입니다.

LDAP(Lightweight Directory Access Protocol)의 경우 범주 이름은 LDAP 서버의 host:port 값입니다.

LTPA 프로토콜은 암호화 키를 사용하여 서버 사이에 전달되는 사용자 데이터를 암호화하고 복호화합니다. 이러한 키는 모든 관련 셀이 동일한 LDAP 또는 사용자 정의 레지스트리를 사용한다고 가정할 경우 한 셀에 있는 자원이 다른 셀에 있는 자원에 액세스할 수 있도록 다른 셀 사이에서 공유되어야 합니다.

LTPA를 사용할 경우, 토큰은 사용자 정보 및 만기 시간으로 작성되며 키에 의해 서명됩니다. LTPA 토큰은 시간에 민감합니다. 보호 도메인에 참여하는 모든 제품 서버는 시간 및 날짜를 동기화해야 합니다. 그렇게 하지 않으면, LTPA 토큰이 보다 일찍 만기된 것으로 표시되어 인증 또는 유효성 검증 장애를 일으킵니다. 협정 세계시(UTC)가 기본으로 사용되며 기타 모든 시스템에서 동일한 UTC 시간을 사용해야 합니다. 이를 확인하는 방법에 관한 정보는 운영 체제 문서를 참조하십시오.

이 토큰은 SSO가 사용 가능할 경우의 웹 자원용 쿠키를 통해 동일한 셀 또는 다른 셀에 있는 다른 서버에 전달되거나 엔터프라이즈 Bean용 인증 프로토콜 계층을 통해 전달됩니다.

수신 서버가 발신 서버와 동일한 키를 공유할 경우, 토큰은 유효성을 검증할 사용자 정보를 얻기 위해 복호화되어 토큰이 만기되지 않고 토큰의 사용자 정보가 레지스트리에서 올바른지 확인할 수 있습니다. 유효성 검증이 성공적으로 끝나면 수신 서버의 자원은 권한 확인 후에 액세스될 수 있습니다.

서버에는 유효한 신임이 있어야 합니다. 신임이 만기되면, 서버는 인증할 사용자 레지스트리와 통신해야 합니다. 사용자 레지스트리 고장으로 인해 서버 프로세스는 정지될 수 있으며, 복구를 위해 다시 시작하도록 요구합니다. LTPA 토큰이 캐시된 상태로 남아 있는 시간을 늘리면 이러한 위험이 감소하나 보안 정책을 정의할 때 고려해야 하는 보안 위험은 약간 증가합니다.

셀의 모든 WebSphere Application Server 프로세스(배치 관리자, 노드, 애플리케이션 서버)는 동일한 키 세트를 공유합니다. 다른 셀 간에 키 공유가 필요할 경우, 하나의 셀에서 내보내기를 하여 다른 셀로 가져오기를 하십시오. 보안 목적으로 내보내진 키는 임의의 생성된 키로 암호화되고 사용자 정의된 비밀번호는 키를 보호하는 데 사용됩니다. 키를 다른 셀로 가져올 경우에는 동일한 비밀번호가 필요합니다. 비밀번호는 키를 보호하는 데에만 사용되며 키를 생성하는 데에는 사용되지 않습니다.

WebSphere Application Server는 LTPA 및 Kerberos 프로토콜을 지원합니다.

프로파일 작성 시간 중에 보안이 사용 가능하면 기본적으로 LTPA가 구성됩니다.

LTPA에서는 시스템에 상관없이 사용자와 그룹이 동일하려면 구성된 사용자 레지스트리가 중앙 공유 저장소(예: LDAP 또는 Windows 도메인 유형 레지스트리)여야 합니다.

[IBM i]로컬 OS 사용자 레지스트리를 사용하는 LTPA는 모든 서버가 동일한 시스템에 상주하는 구성에만 사용할 수 있습니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ltpa
파일 이름:csec_ltpa.html