WebSphere Application Server SPNEGO TAI(더 이상 사용되지 않음)에 의해 사용되는 Kerberos 서비스 프린시펄 및 keytab 파일 작성

Microsoft Active Directory 도메인 제어기 머신에서 이 구성 태스크를 수행합니다. 이 태스크는 WebSphere® Application Server에 대한 싱글 사인온 브라우저 요청 및 SPNEGO 신뢰 연관 인터셉터(TAI)를 처리하기 위한 준비의 필수 파트입니다.

시작하기 전에

해당 도메인에 실행 중인 도메인 제어기 및 하나 이상의 클라이언트 머신이 있어야 합니다.
제거된 기능 제거된 기능:

WebSphere Application Server 버전 6.1에서 보안된 자원에 대한 HTTP 요청을 안전하게 협상하고 인증하기 위해 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 7.0에서는 이 기능이 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 대체를 사용할 수 있습니다.

depfeat

이 태스크 정보

이 태스크는 Active Directory 도메인 제어기 머신에서 수행됩니다. Active Directory 도메인 제어기를 실행 중인 Microsoft Windows Server가 연관된 키 분배 센터(KDC)에 제대로 구성되었는지 확인하려면 다음 단계를 완료하십시오.

프로시저

  1. Microsoft Active Directory for the WebSphere Application Server에서 사용자 계정을 작성하십시오.

    시작->프로그램->관리 도구->Active Directory 사용자 및 컴퓨터를 클릭하십시오.

    WebSphere Application Server의 이름을 사용하십시오. 예를 들어, WebSphere Application Server 머신에서 실행 중인 Application Server가 myappserver.austin.ibm.com라고 불리면, Active Directory에 myappserver라는 새 사용자를 작성하십시오.
    중요사항: "사용자는 다음에 로그인할 때 비밀번호를 변경해야 함"은 선택하지 마십시오.
    중요사항: 컴퓨터 및 도메인 제어기에 컴퓨터 이름 myappserver이 없는지 확인하십시오. 이미 컴퓨터 이름 myappserver가 있는 경우에는 다른 사용자 계정 이름을 작성해야 합니다.
    • 시작 -> 프로그램 -> 관리 도구 -> Active Directory 사용자 및 컴퓨터->컴퓨터로 이동하십시오.
    • 시작 -> 프로그램 -> 관리 도구 -> Active Directory 사용자 및 컴퓨터->도메인 제어기로 이동하십시오.
  2. setspn 명령을 사용하여 Kerberos 서비스 프린시펄 이름, HTTP/<host name>을 Microsoft 사용자 계정에 맵핑하십시오. setspn 사용법의 예는 다음과 같습니다.
    C:\Program Files\Support Tools>
    setspn -A HTTP/myappserver.austin.ibm.com myappserver
    참고: 도메인에 추가된 Microsoft Windows 호스트와 관련된 몇몇 SPN이 이미 있을 수도 있습니다. setspn -L 명령을 사용하여 존재하는 이들을 표시할 수 있지만 여전히 WebSphere Application Server의 HTTP SPN을 추가해야 합니다. 예를 들어, setspn -L myappserver는 SPN을 나열합니다.
    중요사항: 둘 이상의 Microsoft 사용자 계정에 동일한 SPN 맵핑이 없는지 확인하십시오. 동일한 SPN을 둘 이상의 사용자 계정에 맵핑하는 경우에는 웹 브라우저 클라이언트는 SPNEGO 토큰 대신에 NTLM을 WebSphere Application Server에 전송할 수 있습니다.

    setspn 명령에 대한 보다 자세한 정보는 Windows 2003 Technical Reference(setspn 명령)에서 찾을 수 있습니다.

  3. Kerberos keytab 파일을 작성하고 이를 WebSphere Application Server에서 사용 가능하게 만드십시오. ktpass 명령을 사용하여 Kerberos keytab 파일(krb5.keytab)을 작성하십시오.

    Windows Server 툴킷으로부터 ktpass 도구를 사용하여 서비스 프린시펄 이름(SPN)의 Kerberos keytab 파일을 작성하십시오. 사용 중인 Windows 서버 레벨과 일치하는 ktpass 도구의 최신 버전을 사용하십시오. 예를 들어, Windows 2003 서버의 경우 도구의 Windows 2003 버전을 사용하십시오.

    ktpass 도구의 적합한 매개변수 값을 판별하려면 명령행에서 ktpass -? 명령을 실행하십시오. 이 명령은 특정 운영 체제에 해당하는 ktpass 도구가 -crypto RC4-HMAC 또는 -crypto RC4-HMAC-NT 매개변수 값을 사용하는지 여부를 나열합니다. 툴킷으로부터 경고 메시지를 피하려면 -ptype KRB5_NT_PRINCIPAL 매개변수 값을 지정해야 합니다.

    ktpass 도구의 Windows 2003 서버 버전은 암호화 유형, RC4-HMAC 및 단일 데이터 암호화 표준(DES)을 지원합니다. ktpass 도구에 대한 자세한 정보는 Windows 2003 Technical Reference - Ktpass 개요를 참조하십시오.

    다음 코드는 명령행에 ktpass -? 명령을 입력할 때 사용 가능한 기능을 보여줍니다. 이 정보는 사용 중인 툴킷의 버전에 따라 다를 수 있습니다.
    C:\Program Files\Support Tools>ktpass -?
    Command line options:                                                     
                                                                              
    ---------------------most useful args                                     
    [- /]          out : Keytab to produce                                    
    [- /]        princ : Principal name (user@REALM)                          
    [- /]         pass : password to use                                      
                         use "*" to prompt for password.                      
    [- +]      rndPass : ... or use +rndPass to generate a random password    
    [- /]      minPass : minimum length for random password (def:15)          
    [- /]      maxPass : maximum length for random password (def:256)         
    ---------------------less useful stuff                                    
    [- /]      mapuser : map princ to this user account (default:     
    don't)                                                                    
    [- /]        mapOp : how to set the mapping attribute (default: add it)   
    [- /]        mapOp :  is one of:                                          
    [- /]        mapOp :        add : add value (default)                     
    [- /]        mapOp :        set : set value                               
    [- +]      DesOnly : Set account for des-only encryption (default:don't)  
    [- /]           in : Keytab to read/digest                                
    ---------------------options for key generation                           
    [- /]       crypto : Cryptosystem to use                                  
    [- /]       crypto :  is one of:                                          
    [- /]       crypto : DES-CBC-CRC : for compatibility                      
    [- /]       crypto : DES-CBC-MD5 : for compatibliity                      
    [- /]       crypto : RC4-HMAC-NT : default 128-bit encryption             
    [- /]        ptype : principal type in question                           
    [- /]        ptype :  is one of:                                          
    [- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended  
    [- /]        ptype : KRB5_NT_SRV_INST : user service instance             
    [- /]        ptype : KRB5_NT_SRV_HST : host service instance              
    [- /]         kvno : Override Key Version Number                          
                         Default: query DC for kvno.  Use /kvno 1 for Win2K   
    compat.                                                                   
    [- +]       Answer : +Answer answers YES to prompts.  -Answer answers     
    NO.                                                                       
    [- /]       Target : Which DC to use.  Default:detect                     
    ---------------------options for trust attributes (Windows Server 2003    
    Sp1 Only                                                                  
    [- /] MitRealmName : MIT Realm which we want to enable RC4 trust on.      
    [- /]  TrustEncryp : Trust Encryption to use; DES is default              
    [- /]  TrustEncryp :  is one of:                                          
    [- /]  TrustEncryp :        RC4 : RC4 Realm Trusts (default)              
    [- /]  TrustEncryp :        DES : go back to DES
    중요사항: ktpass 명령에서 Microsoft Windows server 계정의 비밀번호를 재설정하기 위해 -pass 스위치를 사용하지 마십시오.
    자세한 정보는 Windows 2003 Technical Reference - Ktpass 개요를 참조하십시오. KDC가 암호화 키를 작성할 수 있도록 ktpass 명령과 함께 -mapUser 옵션을 사용해야 합니다. 그렇지 않으면 SPENGO 토큰이 수신될 때 유효성 검증 프로세스에 실패하고 Application Server는 사용자에게 사용자 이름과 비밀번호를 요구합니다.
    암호화 유형에 따라서 다음 방법 중 하나로 ktpass 도구를 사용하여 Kerberos keytab 파일을 작성하십시오. 다음 섹션은 ktpass 도구가 사용하는 여러 암호화 유형을 보여줍니다. Microsoft Windows 환경에서 특정 툴킷이 어떤 -crypto 매개변수 값을 예상하는지를 판별하기 위해 ktpass -? 명령을 실행하는 것이 중요합니다.
    • 단일 DES 암호화 유형의 경우
      명령 프롬프트에서 ktpass 명령을 실행하십시오.
      ktpass -out c:\temp\myappserver.keytab
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      -mapUser myappserv 
      -mapOp set 
      -pass was1edu
      -crypto DES-CBC-MD5 
      -pType KRB5_NT_PRINCIPAL
      +DesOnly
      표 1. 단일 DES 암호화 유형에 ktpass 사용.

      이 테이블은 단일 DES 암호화 유형에 대해 ktpass를 사용하는 방법을 설명합니다.

      옵션 설명
      -out c:\temp\myappserver.keytab 키는 이 출력 파일에 작성됩니다.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 사용자 로그온 이름의 결합 및 영역은 대문자여야 합니다.
      -mapUser 키는 사용자, myappserver에 맵핑됩니다.
      -mapOp 이 옵션은 맵핑을 설정합니다.
      -pass was1edu 이 옵션은 사용자 ID의 비밀번호입니다.
      -crypto DES-CBC-MD5 이 옵션은 단일 DES 암호화 유형을 사용합니다.
      -pType KRB5_NT_PRINCIPAL 이 옵션은 KRB5_NT_PRINCIPAL 프린시펄 값을 지정합니다. 툴킷 경고 메시지를 피하려면 이 옵션을 지정하십시오.
      +DesOnly 이 옵션은 DES 암호화만을 생성합니다.
    • RC4-HMAC 암호화 유형의 경우
      중요사항: RC4-HMAC 암호화는 Windows 2003 Server를 KDC로서 사용하는 경우에만 지원됩니다.
      명령 프롬프트에서 ktpass 명령을 실행하십시오.
      ktpass -out c:\temp\myappserver.keytab 
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 
      -mapUser myappserver
      -mapOp set 
      –pass was1edu 
      -crypto RC4-HMAC
      -pType KRB5_NT_PRINCIPAL
      표 2. RC4-HMAC 암호화 유형에 ktpass 사용.

      이 테이블은 RC4-HMAC 암호화의 ktpass 옵션을 식별하고 설명합니다.

      옵션 설명
      -out c:\temp\myappserver.keytab 키는 이 출력 파일에 작성됩니다.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 사용자 로그온 이름의 결합 및 영역은 대문자여야 합니다.
      -mapUser 키는 사용자, myappserver에 맵핑됩니다.
      -mapOp 이 옵션은 맵핑을 설정합니다.
      -pass was1edu 이 옵션은 사용자 ID의 비밀번호입니다.
      -crypto RC4-HMAC 이 옵션은 RC4-HMAC 암호화 유형을 사용합니다.
      -pType KRB5_NT_PRINCIPAL 이 옵션은 KRB5_NT_PRINCIPAL 프린시펄 값을 지정합니다. 툴킷 경고 메시지를 피하려면 이 옵션을 지정하십시오.
    • RC4-HMAC-NT 암호화 유형의 경우
      명령 프롬프트에서 ktpass 명령을 실행하십시오.
      ktpass -out c:\temp\myappserver.keytab 
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 
      -mapUser myappserver 
      -mapOp set 
      -pass was1edu 
      -crypto RC4-HMAC-NT
      -pType KRB5_NT_PRINCIPAL
      표 3. RC4-HMAC 암호화 유형에 ktpass 사용. 이 테이블은 RC4-HMAC 암호화 유형을 위해 ktpass의 사용을 설명합니다.
      옵션 설명
      -out c:\temp\myappserver.keytab 키는 이 출력 파일에 작성됩니다.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 사용자 로그온 이름의 결합 및 영역은 대문자여야 합니다.
      -mapUser 키는 사용자, myappserver에 맵핑됩니다.
      -mapOp 이 옵션은 맵핑을 설정합니다.
      -pass was1edu 이 옵션은 사용자 ID의 비밀번호입니다.
      -crypto RC4-HMAC-NT 이 옵션은 RC4-HMAC-NT 암호화 유형을 사용합니다.
      -pType KRB5_NT_PRINCIPAL 이 옵션은 KRB5_NT_PRINCIPAL 프린시펄 값을 지정합니다. 툴킷 경고 메시지를 피하려면 이 옵션을 지정하십시오.
    Kerberos keytab 파일은 SPNEGO TAI와 함께 사용되기 위해 작성됩니다.
    참고: Kerberos keytab 구성 파일에는 사용자 비밀번호와 유사한 키 목록이 포함됩니다. 호스트에서 권한이 부여된 사용자만이 읽을 수 있는 로컬 디스크에 Kerberos keytab 파일을 저장함으로서 이를 보호하는 것이 중요합니다.
    krb5.keytab 파일을 도메인 제어기(LDAP 머신)에서 WebSphere Application Server 머신으로 복사하여 keytab 파일을 WebSphere Application Server에서 사용 가능하게 만듭니다.
    ftp> bin
    ftp> put c:\temp\KRB5_NT_SEV_HST\krb5.keytab

결과

Active Directory 도메인 제어기가 WebSphere Application Server에 대한 싱글 사인온 요청 및 SPNEGO TAI를 처리하기 위해 제대로 구성되었습니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_dc
파일 이름:tsec_SPNEGO_config_dc.html