Application Server 간에 보안 속성 전파

WebSphere® Application Server의 보안 속성 전파 기능을 사용하여 원본 로그인과 관련된 보안 속성 정보를 토큰을 사용하여 다른 서버에 전송할 수 있습니다. 이 주제는 보안 속성을 다른 서버에 전파하기 위해 WebSphere Application Server를 구성하는 데 도움을 줍니다.

이 태스크 정보

보안 속성 전파를 완전히 사용 가능으로 설정하려면 WebSphere Application Server 관리 콘솔에서 싱글 사인온(SSO), CSIv2(Common Secure Interoperability Version 2) 인바운드 및 CSIv2 아웃바운드 패널을 구성해야 합니다. 구성과 관련된 보안 속성 전파의 부분만을 사용 가능으로 설정할 수 있습니다. 예를 들어, 푸시 기법(DynaCache) 또는 풀 기법(발신 서버에 대한 원격 메소드)을 사용하여 프론트 엔드 Application Server 사이에 전파되는 웹 전파를 사용 가능으로 설정할 수 있습니다.

원격 메소드 호출(RMI) 아웃바운드 및 일반적으로 다운스트림 전파라고 불리는 인바운드 전파를 사용 가능으로 설정할지 여부를 선택할 수도 있습니다. 지정된 셀에서 일반적으로 두 유형의 전파 모두가 사용 가능으로 설정됩니다. 일부 경우에는 특정 Application Server 설정 내에서 서버 보안 패널을 사용하여 특정 Application Server에 다른 옵션을 선택하고 싶을 수도 있습니다.

제한사항: 동일한 보안 속성이 Application Server 간에 여러 차례 전파되는 것을 막기 위해 WebSphere Application Server는 LTPA(Lightweight Third Party Authentication) 토큰이 존재하지 않는지 확인합니다. 두 가지 경우가 발생할 수 있습니다. LTPA 토큰이 없으면 Application Server에 전파를 계속 진행할 수 있음을 알립니다. LTPA 토큰이 있으면 LTPA 토큰이 클러스터 내에서 생성된 경우 전파가 발생했음을 나타냅니다. 그러나 두 번째 경우에 LTPA 토큰이 있지만 Tivoli® Access Manager, Lotus® Domino® 또는 다른 Application Server 클러스터 등과 같이 클러스터 외부의 서버에 의해 생성된 경우에는 보안 속성이 전파되지 않습니다.

관리 콘솔에서 서버 보안 패널에 액세스하려면 서버 > 애플리케이션 서버 > server_name을 클릭하십시오. 보안 아래에서 서버 보안을 클릭하십시오.

보안 속성 전파를 위해 WebSphere Application Server를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. http://server_name:port_number/ibm/console을 입력하여 WebSphere Application Server에 액세스하십시오. 이전에 포트 번호를 변경한 경우에는 관리 콘솔 주소가 다를 수 있습니다.
  2. 보안 > 글로벌 보안을 클릭하십시오.
  3. 웹 보안 아래에서 싱글 사인온(SSO)을 클릭하십시오.
  4. 옵션: 보안 속성 전파를 지원하지 않는 서버와 상호 운용해야 하는 경우에는 상호 운용성 모드 옵션을 선택하십시오. 보안 속성 전파를 지원하지 않는 서버는 LTPA(Lightweight Third Party Authentication) 토큰과 전파 토큰을 수신하지만, 이해하지 않는 보안 속성 정보를 무시합니다.
  5. 웹 인바운드 보안 속성 전파 옵션을 선택하십시오. 웹 인바운드 보안 속성 전파 옵션을 사용하면 수평 전파를 사용할 수 있고, 이는 수신 SSO 토큰이 발신 로그인 서버로부터 로그인 정보를 검색할 수 있도록 허용합니다. 이 옵션을 사용으로 설정하지 않으면, CSIv2 Inbound 인증과 CSIv2 아웃바운드 인증 패널 모두에 보안 속성 전파 옵션을 사용으로 설정하면 다운스트림 전파가 발생할 수 있습니다.

    일반적으로, 새 프론트 엔드 서버에서 재생성될 수 없는 최초 로그인 서버에 설정된 동적 보안 속성을 모을 필요가 있다면 웹 인바운드 보안 속성 전파 옵션을 가능하게 합니다. 이러한 속성은 com.ibm.websphere.security.WSSecurityHelper API(Application Programming Interface)를 사용하여 PropagationToken 토큰에 설정된 사용자 정의 속성도 포함합니다. 이 옵션을 가능하게 하는 것이 사용자의 시스템의 성과를 향상시키거나 저하시킬지 판별해야 합니다. 옵션이 일부 원격 사용자 레지스트리 호출을 방지하는 동안, 일부 토큰의 직렬화 해제와 복호화는 성과에 영향을 미칠 것입니다. 일부 경우에, 특히 사용자 레지스트리가 토폴로지의 병목 현상이면 전파가 더 빨라집니다. 이 옵션을 사용하거나 사용하지 않는 방법으로 환경의 성능을 측정하는 것이 좋습니다. 성능을 테스트할 때 시스템에 동시에 액세스하는 고유 사용자의 일반적인 수가 있는 일반 프로덕션 환경의 운영 환경에서 테스트하는 것이 좋습니다.

    웹 인바운드 보안 속성 전파 옵션이 사용 가능하면 보안 속성은 프론트 엔드 Application Server로 전파됩니다. 이 옵션이 사용 안함으로 설정되면 SSO 토큰은 로그인하고 사용자 레지스트리로부터 제목을 재작성하는 데 사용됩니다.

  6. 보안 > 글로벌 보안을 클릭하십시오.RMI/IIOP 보안 아래에서 CSIv2 인바운드 인증을 클릭하십시오. 로그인 구성 필드는 RMI_INBOUND를 인바운드 요청에 사용되는 시스템 로그인 구성으로서 지정합니다. 사용자 정의 JAAS(Java™ Authentication and Authorization Service) 로그인 모듈을 추가하려면 다음 단계를 완료하십시오.
    1. 보안 > 글로벌 보안을 클릭하십시오.Java Authentication and Authorization Service 아래에서 시스템 로그인을 클릭하십시오. 시스템 로그인 구성 목록이 표시됩니다. WebSphere Application Server는 다음과 같은 미리 구성된 시스템 로그인 구성을 제공합니다. DEFAULT, LTPA, LTPA_WEB, RMI_INBOUND, RMI_OUTBOUND, SWAM, WEB_INBOUND, wssecurity.IDAssertion 및 wssecurity.Signature. 이러한 사전 정의된 구성을 삭제하지 마십시오.
      참고: SWAM은 WebSphere Application Server 버전 9.0에서 더 이상 사용되지 않으며 이후 릴리스에서는 제거됩니다.
    2. 수정하려는 로그인 구성의 이름을 클릭하십시오.
    3. 추가 특성 아래에서 JAAS 로그인 모듈을 클릭하십시오. JAAS 로그인 모듈 패널이 표시되고, 이는 로그인 구성에서 처리되는 모든 로그인 모듈을 나열합니다. 필수 JAAS 로그인 모듈을 삭제하지 마십시오. 대신, 필수 로그인 모듈 전 또는 후에 사용자 정의 로그인 모듈을 추가할 수 있습니다. 사용자 정의 로그인 모듈을 추가하는 경우에는 이름을 com.ibm.ws.security.server로 시작하지 마십시오.

      순서 설정을 클릭하여 로그인 모듈이 처리되는 순서를 지정할 수 있습니다.

  7. CSIv2 인바운드 인증 패널에서 보안 속성 전파 옵션을 선택하십시오. 보안 속성 전파를 선택하면 서버는 CSIv2(Common Secure Interoperability version 2) 프로토콜을 통해 동일 영역에서 또 다른 서버로부터 전파된 보안 속성을 받을 수 있음을 다른 Application Server에 광고합니다.
  8. 보안 > 글로벌 보안을 클릭하십시오.RMI/IIOP 보안 아래에서 CSIv2 아웃바운드 인증을 클릭하십시오. CSIv2 아웃바운드 인증 패널이 표시됩니다. 로그인 구성 필드는 RMI_OUTBOUND를 아웃바운드 구성에 사용되는 JAAS 로그인 구성으로서 지정합니다. 이 로그인 구성을 변경할 수 없습니다. 대신 이전에 CSIv2 인바운드 인증에 대해 나열된 서브단계를 완료하여 이 로그인 구성을 사용자 정의할 수 있습니다.
  9. 옵션: RMI(Remote Method Invocation) 프로토콜에 대해 아웃바운드 제목 및 보안 컨텍스트 토큰 전파를 사용하려면 보안 속성 전파 옵션이 선택되었는지 확인하십시오. 이 옵션을 선택하면 WebSphere Application Server는 제목 컨텐츠 및 PropagationToken 컨텐츠를 직렬화합니다. 컨텐츠가 직렬화된 후에 서버는 CSIv2 프로토콜을 사용하여 제목 및 PropagationToken 토큰을 보안 속성 전파를 지원하는 대상 서버로 전송합니다. 수신 서버가 보안 속성 토큰을 지원하지 않으면 WebSphere Application Server는 LTPA(Lightweight Third Party Authentication) 토큰만을 전송합니다.
    중요사항: WebSphere Application Server는 제목 내에서 직렬화할 수 있는 오브젝트만을 전파합니다. 서버는 최상의 노력을 사용하여 사용자 정의 오브젝트를 전파합니다.
    보안 속성 전파가 사용 가능하면, WebSphere Application Server는 제목에 마커 토큰을 추가하여 대상 서버가 인바운드 로그인 중에 추가 속성을 추가할 수 있도록 합니다. 로그인의 커미트 단계 중에 마커 토큰 및 제목은 읽기 전용으로 표시되고 이후에는 수정할 수 없습니다.
    [z/OS]중요사항: 보안 속성 전파를 사용할 때 모든 셀 구성에 동일한 LTPA 키를 사용하십시오.
  10. 옵션: 보안 속성 전파 옵션을 지우고 RMI_OUTBOUND 로그인 구성을 사용하고 싶은 경우에는 사용자 정의 아웃바운드 맵핑 옵션을 선택하십시오. 사용자 정의 아웃바운드 맵핑 옵션 또는 보안 속성 전파 옵션이 선택되지 않은 경우에는 WebSphere Application Server는 RMI_OUTBOUND 로그인 구성을 호출하지 않습니다. 신임 정보 맵핑 로그인 모듈에 플러그인할 필요가 없으면 사용자 정의 아웃바운드 맵핑 옵션을 선택해야 합니다.
  11. 옵션: 신뢰받는 대상 영역 필드에 신뢰받는 대상 영역 이름을 지정하십시오. 이러한 영역 이름을 지정하면 정보는 이러한 다운스트림 서버에 있는 인바운드 맵핑을 지원하기 위해 전송 서버의 영역 외부에 상주하는 서버로 전송될 수 있습니다. 현재 영역과 다른 영역으로의 아웃바운드 맵핑을 수행하려면 영역 불일치로 인해 요청이 거부당하지 않고 이 지점에 도달할 수 있도록 이 필드에 영역을 지정해야 합니다. 요청이 전송될 때 WebSphere Application Server가 보안 속성을 또 다른 영역에 전파해야 하는 경우에는 신뢰받는 대상 영역 필드에 영역 이름을 지정해야 합니다. 그렇지 않으면 보안 속성은 지정되지 않은 영역으로 전파되지 않습니다. 각 항목 사이에 파이프(|) 구분 기호를 추가하여 여러 대상 영역을 추가할 수 있습니다.
  12. 옵션: 단일 클라이언트에 대한 전파를 사용 가능하게 하십시오. 순수한 클라이언트가 호출 제목에 추가된 속성을 전파하려면 com.ibm.CSI.rmiOutboundPropagationEnabled=true 특성을 sas.client.props 파일에 추가해야 합니다.
    참고: sas.client.props 파일은 <WAS-HOME>/profiles/<ProfileName>/properties>에 위치합니다.

결과

이러한 단계를 완료한 후에 보안 속성을 다른 서버로 전파하기 위해 WebSphere Application Server를 구성했습니다.

다음에 수행할 작업

보안 속성 전파를 사용 안함으로 설정해야 하는 경우에는 서버 레벨 또는 셀 레벨에서 이를 사용 안함으로 설정해야 하는지 여부를 판별하십시오.
주의: 서버 레벨 설정에 대한 변경사항은 셀 설정을 대체합니다.
주의: 설정이 보안 도메인에서 대체될 수도 있음을 유의하십시오.
서버 레벨에서 보안 속성 전파를 사용 안함으로 설정하려면 다음 단계를 완료하십시오.
  1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
  2. 보안 아래에서 서버 보안을 클릭하십시오.
  3. 이 서버의 RMI/IIOP 보안 설정이 셀 설정을 대체함 옵션을 선택하십시오.
  4. 추가 특성 아래에서 CSI 인바운드 인증을 클릭하고 보안 속성 전파 옵션을 지워서 인바운드 요청의 보안 속성 전파를 사용 안함으로 설정하십시오.
  5. 추가 특성 아래에서 CSI 아웃바운드 인증을 클릭하고 보안 속성 전파 옵션을 지워서 아웃바운드 요청의 보안 속성 전파를 사용 안함으로 설정하십시오.

셀 레벨에서 보안 속성 전파를 사용 안함으로 설정하려면 완료한 각 단계를 실행 취소하여 이 태스크에서 보안 속성 전파를 사용으로 설정하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
파일 이름:tsec_enablesecattprop.html