다중 보안 도메인 복사
도메인 콜렉션에서 선택된 다중 보안 도메인을 복사하여 새 도메인을 작성할 수 있습니다. 이전 도메인과 유사한 도메인을 작성하려는 경우 유용합니다. 그러나, 조금 조정할 수도 있습니다. 기존 도메인을 복사할 때 새 도메인에 고유 도메인 이름을 제공해야 합니다.
시작하기 전에
관리자 역할에 지정된 사용자만 새 다중 보안 도메인을 복사 또는 작성할 수 있습니다. 다중 보안 도메인을 복사하기 전에 사용자 환경의 글로벌 보안을 사용 가능하도록 설정하십시오.
다중 보안 도메인에 대한 개요와 이 버전의 WebSphere® 애플리케이션 서버에 지원되는 방식에 대해 자세히 알아보려면 다중 보안 도메인을 참조하십시오.
이 태스크 정보
보안 도메인은 관리 애플리케이션 및 사용자 애플리케이션에 대해 다른 보안 설정을 사용하는 메커니즘을 제공합니다. 이 도메인은 또한 다른 애플리케이션이 사용자 레지스트리 및 로그인 구성과 같은 다른 보안 속성을 사용할 수 있도록 여러 보안 설정을 지원하는 기능을 제공합니다.
- 셀 내 관리 및 사용자 애플리케이션에 다른 보안 속성을 구성할 수 있습니다.
- 셀 내 다른 보안 구성을 관리하여 서버 구성 통합
- 사용자 레지스트리가 다른 애플리케이션 간의 액세스를 제한하거나 레지스트리에서의 통신을 지원하도록 애플리케이션 간 신뢰 관계 구성
다음 단계에 따라 관리 콘솔을 사용하여 기존 보안 도메인을 복사하십시오.
프로시저
- 보안 > 보안 도메인을 클릭하십시오.
- 옵션: 환경 설정에서, 도메인 콜렉션이 대용량일 때 표시할 최대 행 수를 선택할 수 있습니다. 기본 행 수는 20입니다. 이 수를 초과한 행은 다음 페이지에 표시됩니다.
- 복사할 도메인을 선택하십시오.
- 선택된 도메인 복사...를 클릭하여 콜렉션에서 기존 도메인을 복사하십시오. 선택적으로 글로벌 보안 복사..를 선택하여 기존 도메인을 복사하고 글로벌 보안 설정을 유지하게 합니다(콜렉션 선택이 무시됨). 이 옵션을 선택한 경우 새 도메인 이름도 필요합니다.
- 도메인의 고유 이름을 지정하십시오. 이 필드는 필수입니다. 도메인 이름은 셀 내에서 고유해야 하며 유효하지 않은 문자를 포함할 수 없습니다.
- 도메인의 고유 설명을 지정하십시오.
- 적용을 클릭하십시오. 적용을 클릭한 후 보안 도메인 세부사항 페이지로 리턴됩니다.
- 지정된 범위 아래에서, 전체 셀에 보안 도메인을 지정하거나 이 보안 도메인에 포함할 특정 서버, 클러스터, 서비스 통합 버스를 선택하십시오.
- 새 도메인에 대해 보안 속성을 지정하고 이 속성을 셀 자원에 지정하여 보안 구성을 사용자 정의하십시오. 변경할 수 있는 보안 속성은 다음과 같습니다.
- 애플리케이션 보안
- 애플리케이션 보안 및 Java™ 2 보안의
설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
사용자 애플리케이션의 보안 선택사항을 사용 가능 또는 사용 불가능하게 설정하려면 애플리케이션 보안 사용을 선택하십시오. 이 선택사항이 사용 불가능한 경우, 보안 도메인의 모든 EJB 및 웹 애플리케이션은 더 이상 보호되지 않습니다. 사용자 인증 없이 이러한 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능한 경우, 보안 도메인의 모든 EJB 및 웹 애플리케이션에 대해 J2EE 보안이 강제 실행됩니다. J2EE 보안은 글로벌 보안 구성에 글로벌 보안이 사용 가능으로 설정되어 있는 경우에만 강제 실행됩니다. 즉, 글로벌 레벨에서 글로벌 보안을 먼저 사용 가능하게 설정해야 애플리케이션 보안을 사용 가능하게 설정할 수 있습니다.
- Java 2 보안
- 도메인 레벨에서 Java 2 보안의 사용 여부를 설정하려면 Java 2 보안을 선택하십시오. 이 선택사항은 모든 애플리케이션(관리 및 사용자 둘 다)이 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정할 수 있도록 프로세스(JVM) 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정합니다.
- 사용자 영역
이 섹션에서는 보안 도메인의 사용자 레지스트리를 구성할 수 있습니다. 도메인 레벨에서 사용되는 모든 레지스트리를 별도로 구성할 수 있습니다. 자세한 정보는 다중 보안 도메인의 내용을 참조하십시오.
- 신뢰 연관
- 도메인 레벨에서 TAI(Trust Association Interceptor)를 구성하는 경우 편의상 글로벌 레벨에서 구성된 인터셉터가 도메인 레벨로 복사됩니다. 사용자 요구사항에 맞도록 인터셉터 목록을 도메인 레벨에서 수정할 수 있습니다. 도메인 레벨에서 사용할 인터셉터만 구성하십시오.
- SPNEGO 웹 인증
- 웹 자원 인증을 위해 SPNEGO를 구성할 수 있는 SPNEGO 웹 인증은
도메인 레벨에서 구성할 수 있습니다.참고: WebSphere 애플리케이션 서버 버전 6.1에서는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 조정하고 인증하는 TAI가 도입되었습니다. 이 기능은 WebSphere 애플리케이션 서버 7.0에서 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 폴백을 사용할 수 있습니다.
- RMI/IIOP 보안
RMI/IIOP 보안 속성은 CSIv2(Common Secure Interoperability version 2) 프로토콜 특성을 참조합니다. 도메인 레벨에서 이러한 속성을 구성하면 편의상 글로벌 레벨에서 RMI/IIOP 보안 구성이 복사됩니다.
도메인 레벨에서 달라야 하는 속성은 변경할 수 있습니다. CSIv2 인바운드 통신에 대한 전송 계층 설정은 글로벌 및 도메인 레벨 모두에서 동일해야 합니다. 설정이 다른 경우 프로세스의 모든 애플리케이션에 도메인 레벨 속성이 적용됩니다.
- JAAS 애플리케이션 로그인
- JAAS(Java Authentication
and Authorization Service) 애플리케이션 로그인의 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에서 구성된 JAAS 로그인에 액세스할 수 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. JAAS 로그인을 찾지 못한 경우 글로벌 보안 구성에서 이를 검사합니다. 보안 도메인의 애플리케이션에서 배타적으로 사용하는 로그인을 지정해야 하는 경우에만 이러한 JAAS 로그인을 도메인에서 구성하십시오.
- JAAS 시스템 로그인
- JAAS 시스템 로그인에 대한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 특정 도메인의 구성 설정을
사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에서 구성된 JAAS 로그인에 액세스할 수 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
- JAAS J2C 인증
- JAAS J2C 인증 데이터 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나
도메인에 대한 설정을 사용자 정의할 수 있습니다.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에서 구성된 JAAS 로그인에 액세스할 수 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
- JASPI(Java Authentication SPI)
JASPI(Java Authentication SPI) 인증 제공자에 대한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.도메인의 JASPI 인증 제공자를 구성하려면 이 도메인에 대한 사용자 정의를 선택한 다음 JASPI를 사용하십시오. 도메인의 제공자를 정의하려면 제공자를 선택하십시오.
참고: 도메인 레벨에서 구성된 제공자와 함께 JASPI 인증 제공자를 사용할 수 있습니다. 기본적으로, 시스템의 모든 애플리케이션에는 글로벌 레벨에서 구성된 JASPI 인증 제공자에 대한 액세스 권한이 있습니다. 보안 런타임은 먼저 도메인 레벨에서 JASPI 인증 제공자를 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 해당 보안 도메인에서 애플리케이션이 제공자를 독점적으로 사용하는 경우에만 도메인에서 JASPI 인증 제공자를 구성합니다.
- 인증 메커니즘 속성
도메인 레벨에 적용되어야 하는 다양한 캐시 설정을 지정합니다.
인증 캐시 설정을 지정하려면 인증 캐시 설정을 선택하십시오. 이 분할창에 지정된 구성은 이 도메인에만 적용됩니다.
도메인 레벨에서 다른 LTPA 제한시간 값을 구성하려면 LTPA 제한시간을 선택하십시오. 기본 제한시간 값은 120분이며, 글로벌 레벨에 설정되어 있습니다. LTPA 제한시간이 도메인 레벨에 설정되면 사용자 애플리케이션에 액세스할 때 보안 도메인에 작성되는 토큰이 모두 이 만기 시간으로 작성됩니다.
영역 규정 사용자 이름 사용을 사용하는 경우 getUserPrincipal( ) 같은 메소드에서 리턴되는 사용자 이름은 보안 도메인의 애플리케이션에서 사용하는 보안 영역(사용자 레지스트리)로 규정됩니다.
- 권한 제공자
외부 써드파티 JACC(Java Authorization Contract for Containers) 제공자는 도메인 레벨에서 구성할 수 있습니다. Tivoli® Access Manager의 JACC 제공자는 글로벌 레벨에서만 구성할 수 있습니다. 보안 도메인에서 권한 제공자가 다른 JACC 제공자 또는 내장 기본 권한으로 대체되지 않은 경우에는 보안 도메인을 계속 사용할 수 있습니다.
보안 도메인 레벨에서 추가로 구성할 수 있는 SAF 권한 옵션은 다음과 같습니다.
- 인증되지 않은 사용자 ID
- SAF 프로파일 맵퍼
- SAF 위임 사용 여부
- APPL 프로파일을 사용한 WebSphere Application Sever 액세스 제한 여부
- 권한 실패 메시지 억제 여부
- SMF 감사 레코드 계획
- SAF 프로파일 접두부
SAF 권한 옵션에 대한 자세한 정보는 z/OS SAF(System Authorization Facility) 권한의 내용을 읽어 보십시오.
- z/OS® 보안 옵션
- 프로세스(JVM) 레벨에서 z/OS 고유 보안 옵션을 설정할 수 있으므로 모든 애플리케이션(관리 및 사용자 애플리케이션 모두)에서 이러한 옵션을 사용 가능 또는 사용 불가능하게 설정할 수 있습니다. 이 특성은 다음과 같습니다.
- 애플리케이션 서버 및 z/OS 스레드 ID 동기화를 사용할 수 있습니다.
- 연결 관리자 RunAs 스레드 ID를 사용할 수 있습니다.
z/OS 보안 옵션에 대한 자세한 정보는 z/OS 보안 옵션의 내용을 읽어 보십시오.
- 사용자 정의 특성
- 글로벌 레벨의 특성과 다르거나 새로 작성된 도메인 레벨의 사용자 정의 특성을 설정합니다. 기본적으로 셀의 모든 애플리케이션이 글로벌 보안 구성의 모든 사용자 정의 특성에 액세스할 수 있습니다. 보안 런타임 코드는 도메인 레벨의 사용자 정의 특성을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 사용자 정의 특성을 가져오려고 시도합니다.
- 적용을 클릭하십시오.
- 구성 변경사항을 저장한 후 변경사항을 적용하려면 서버를 다시 시작하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_copy
파일 이름:tsec_sec_domains_copy.html