새 복합 보안 도메인 작성
구성에 복합 보안 도메인을 작성할 수 있습니다. 복합 보안 도메인을 작성하면 셀 환경 내에서 관리 및 사용자 애플리케이션을 위해 서로 다른 보안 속성을 구성할 수 있습니다.
시작하기 전에
관리자 역할에 지정된 사용자만이 새 복합 보안 도메인을 작성할 수 있습니다. 새 복합 보안 도메인을 작성하기 전에 사용자 환경에서 글로벌 보안을 사용 가능으로 설정하십시오.
다중 보안 도메인에 대한 개요와 이 버전의 WebSphere® 애플리케이션 서버에 지원되는 방식에 대해 자세히 알아보려면 다중 보안 도메인을 참조하십시오.
이 태스크 정보
보안 도메인은 관리 애플리케이션과 사용자 애플리케이션을 위한 다양한 보안 설정을 사용하기 위해 메커니즘을 제공합니다. 이들은 또한 서로 다른 애플리케이션이 사용자 레지스트리 또는 로그인 구성과 같이 서로 다른 보안 속성을 사용할 수 있도록 복합 보안 설정을 지원하는 기능을 제공합니다.
- 셀 내에서 관리 및 사용자 애플리케이션을 위해 다른 보안 속성을 구성하십시오.
- 다른 보안 구성을 하나의 셀 내에서 관리하여 서버 구성을 결합하십시오.
- 서로 다른 사용자 레지스트리가 있는 애플리케이션 간의 액세스를 제한하거나 애플리케이션 간의 신뢰 관계를 구성하여 레지스트리에 걸쳐 통신을 지원하십시오.
프로시저
- 보안 > 보안 도메인을 클릭하십시오.
- 보안 도메인 수집 페이지에서 새로 작성을 클릭하십시오.
- 도메인에 고유한 이름을 지정하십시오. 도메인 이름은 셀 내에서 고유해야 하며 유효하지 않은 문자를 포함할 수 없습니다.이 필드는 필수입니다.
- 도메인에 고유한 설명을 지정하십시오. 적용을 클릭한 후에는 보안 도메인 세부사항 페이지로 돌아갑니다.
- 지정된 범위 아래에서 보안 도메인을 전체 셀로 지정하거나 보안 도메인에 포함할 특정 서버, 클러스터 및 서비스 통합 버스를 선택하십시오.
- 새 도메인의 보안 속성을 지정하고 이를 셀 자원에 지정하여 보안 구성을 사용자 정의하십시오. 다음과 같은 보안 속성을 변경할 수 있습니다.
- 애플리케이션 보안
- 애플리케이션 보안 및 Java™ 2 보안의 설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
사용자 애플리케이션에 보안을 사용 또는 사용 안함으로 설정하려면 애플리케이션 보안 사용을 선택하십시오. 이 선택사항이 사용 불가능하게 설정되어 있는 경우 보안 도메인의 모든 EJB 및 웹 애플리케이션이 더 이상 보호되지 않습니다. 사용자 인증 없이 이러한 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능한 경우, 보안 도메인의 모든 EJB 및 웹 애플리케이션에 대해 J2EE 보안이 강제 실행됩니다. J2EE 보안은 글로벌 보안 구성에 글로벌 보안이 사용 가능으로 설정되어 있는 경우에만 강제 실행됩니다. 즉, 글로벌 레벨에서 글로벌 보안을 먼저 사용 가능하게 설정해야 애플리케이션 보안을 사용 가능하게 설정할 수 있습니다.
- Java 2 보안
- 도메인 레벨에서 Java 2 보안을 사용 또는 사용 안함으로 설정하려면 Java 2 보안을 선택하십시오. 이 선택사항은 모든 애플리케이션(관리 및 사용자 둘 다)이 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정할 수 있도록 프로세스(JVM) 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정합니다.
- 사용자 영역
이 섹션에서는 보안 도메인에 대한 사용자 레지스트리를 구성할 수 있습니다. 도메인 레벨에서 사용되는 모든 레지스트리를 별도로 구성할 수 있습니다. 자세한 정보는 다중 보안 도메인의 내용을 참조하십시오.
- 신뢰 연관
- 도메인 레벨에서 TAI(Trust Association Interceptor)를 구성하는 경우 편의상 글로벌 레벨에서 구성된 인터셉터가 도메인 레벨로 복사됩니다. 필요에 따라 도메인 레벨에서 인터셉터 목록을 수정할 수 있습니다. 도메인 레벨에서 사용될 인터셉터만 구성하십시오.
- SPNEGO 웹 인증
- 웹 자원 인증을 위해 SPNEGO를 구성할 수 있는 SPNEGO 웹 인증은
도메인 레벨에서 구성할 수 있습니다.참고: WebSphere Application Server 버전 6.1에는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 자원에 대한 HTTP 요청을 안전하게 협상하고 인증하는 TAI가 도입되었습니다. 이 기능은 WebSphere Application Server 버전 7.0에서 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 대체를 사용할 수 있습니다.
- RMI/IIOP 보안
RMI/IIOP 보안 속성은 CSIv2(Common Secure Interoperability version 2) 프로토콜 특성을 참조합니다. 도메인 레벨에서 이러한 속성을 구성하면 편의상 글로벌 레벨에서 RMI/IIOP 보안 구성이 복사됩니다.
도메인 레벨에서는 다르도록 속성을 변경할 수 있습니다. CSIv2 인바운드 통신에 대한 전송 계층 설정은 글로벌 레벨과 도메인 레벨에서 동일해야 합니다. 설정이 다른 경우 프로세스의 모든 애플리케이션에 도메인 레벨 속성이 적용됩니다.
- JAAS 애플리케이션 로그인
- JAAS(Java Authentication and Authorization Service) 애플리케이션 로그인의 구성 설정을 지정합니다.
글로벌 보안 설정을 사용하거나 도메인의 설정을
사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에 구성된 JAAS 로그인에 대한 액세스 권한이 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
- JAAS 시스템 로그인
- JAAS 시스템 로그인의 구성 설정을 지정합니다.
글로벌 보안 설정을 사용하거나 도메인의 구성 설정을
사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에 구성된 JAAS 로그인에 대한 액세스 권한이 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
참고: JAAS 애플리케이션 로그인과 JAAS 시스템 로그인 둘 모두에 대해서 하나가 먼저 작성될 때까지 콜렉션은 채워지지 않습니다. JAAS 애플리케이션 로그인 또는 JAAS 시스템 로그인 아래에서 이 도메인을 위한 사용자 정의를 선택한 다음 적용 또는 확인을 선택하여 이를 수행할 수 있습니다.
- JAAS J2C 인증
- JAAS J2C 인증 데이터를 위한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에 구성된 JAAS 로그인에 대한 액세스 권한이 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
- JASPI(Java Authentication SPI)
Java 인증 SPI(JASPI) 인증 제공자를 위한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다. 도메인을 위해 JASPI 인증 제공자를 구성하거나 이 도메인을 위해 사용자 정의를 선택한 다음 JASPI를 사용 가능으로 설정하십시오. 도메인의 제공자를 정의하려면 제공자를 선택하십시오.
참고: JASPI 인증 제공자는 도메인 레벨에서 구성된 제공자로 사용 가능하도록 설정할 수 있습니다. 기본적으로, 시스템의 모든 애플리케이션에는 글로벌 레벨에서 구성된 JASPI 인증 제공자에 대한 액세스 권한이 있습니다. 보안 런타임은 먼저 도메인 레벨에서 JASPI 인증 제공자를 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 해당 보안 도메인의 애플리케이션에서 제공자를 독점적으로 사용할 경우에만 도메인에서 JASPI 인증 제공자를 구성합니다.
- 인증 메커니즘 속성
도메인 레벨에 적용해야 하는 다양한 캐시 설정을 지정합니다.
사용자의 인증 캐시 설정을 지정하려면 인증 캐시 설정을 선택하십시오. 이 패널에서 지정된 구성은 이 도메인에만 적용됩니다.
도메인 레벨에서 다른 LTPA 제한시간 값을 구성하려면 LTPA 제한시간을 선택하십시오. 기본 제한시간 값은 120분으로, 글로벌 레벨에서 설정되었습니다. LTPA 제한시간이 도메인 레벨에 설정되면 사용자 애플리케이션에 액세스할 때 보안 도메인에 작성되는 토큰이 모두 이 만기 시간으로 작성됩니다.
영역 규정된 사용자 이름 사용이 사용 가능으로 설정된 경우에는 getUserPrincipal( ) 등과 같은 메소드가 리턴하는 사용자 이름은 보안 도메인에서 애플리케이션에 의해 사용되는 보안 영역(사용자 레지스트리)으로 규정됩니다.
- 권한 부여 제공자
외부 써드파티 JACC(Java Authorization Contract for Containers) 제공자는 도메인 레벨에서 구성할 수 있습니다. Tivoli® Access Manager의 JACC 제공자는 글로벌 레벨에서만 구성할 수 있습니다. 보안 도메인에서 권한 제공자가 다른 JACC 제공자 또는 내장 기본 권한으로 대체되지 않은 경우에는 보안 도메인을 계속 사용할 수 있습니다.
보안 도메인 레벨에서 추가로 구성할 수 있는 SAF 권한 옵션은 다음과 같습니다.
- 인증되지 않은 사용자 ID
- SAF 프로파일 맵퍼
- SAF 위임 사용 여부
- APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한할지 여부
- 권한 실패 메시지의 억제 여부
- SMF 감사 레코드 계획
- SAF 프로파일 접두부
SAF 권한 부여 옵션에 대한 자세한 정보는 z/OS SAF(System Authorization Facility) 권한의 내용을 참조하십시오.
- z/OS® 보안 옵션
- 프로세스(JVM) 레벨에서 z/OS 고유 보안 옵션을 설정할 수 있으므로 모든 애플리케이션(관리 및 사용자 애플리케이션 모두)에서 이러한 옵션을 사용 가능 또는 사용 불가능하게 설정할 수 있습니다. These properties are:
- 애플리케이션 서버 및 z/OS 스레드 ID 동기화를 사용할 수 있습니다.
- 연결 관리자 RunAs 스레드 ID를 사용할 수 있습니다.
z/OS 보안 옵션에 대한 자세한 정보는 z/OS 보안 옵션의 내용을 참조하십시오.
- 사용자 정의 특성
- 사용자 정의 특성을 도메인 레벨에서 설정하십시오. 이때 이 특성은 새로운 특성이거나 글로벌 레벨의 특성과 다릅니다. 기본적으로 셀의 모든 애플리케이션이 글로벌 보안 구성의 모든 사용자 정의 특성에 액세스할 수 있습니다. 보안 런타임 코드는 도메인 레벨의 사용자 정의 특성을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 사용자 정의 특성을 가져오려고 시도합니다.
- 적용을 클릭하십시오.
- 구성 변경사항을 저장한 후 변경사항을 적용하려면 서버를 다시 시작하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_new
파일 이름:tsec_sec_domains_new.html