단일 또는 크로스 Kerberos 범주 환경에서 인증을 위한 웹 서비스 보안 Kerberos 토큰

웹 서비스 메시지를 보안하기 위해 Kerberos 토큰을 인증 토큰 또는 메시지 보호 토큰으로 사용할 수 있습니다. Kerberos 인증의 경우 단일 Kerberos 범주 환경 및 크로스 또는 신뢰 Kerberos 범주 환경 둘 다 지원됩니다.

단일 범주 환경

단일 Kerberos 범주 환경에서 클라이언트 애플리케이션 및 서비스 제공자 둘 다 동일한 Kerberos 범주를 사용합니다. 클라이언트 애플리케이션은 서비스 제공자가 사용하는 Kerberos 범주를 기반으로 Kerberos 토큰을 구합니다. 토큰을 구성하기 위해 클라이언트 애플리케이션은 클라이언트 정책 토큰 생성자 바인딩에서 서비스 제공자의 Kerberos 서비스 프린시펄 이름(SPN)을 정의합니다. SPN의 형식은 이 절에서 나중에 나와 있습니다. 여기서 Kerberos_Realm_Name은 선택적입니다.
ServiceName/HostName@Kerberos_Realm_Name
WebSphere® Application Server에서 셀 레벨 구성의 경우 모든 서비스 제공자가 동일한 Kerberos 범주를 사용합니다.

서비스 제공자가 다운스트림 웹 서비스 요청에 대해 클라이언트로부터 Kerberos ID를 사용하는 경우에는 위임된 Kerberos 티켓이 Kerberos 구성 파일에 지정된 Kerberos 토큰에 있어야 합니다. Kerberos의 시스템 JAAS 로그인 모듈이, 제공된 웹 서비스 보안 호출자에 추가됩니다. 호출자 신임에 대해 Kerberos 토큰을 사용하는 방법에 대한 자세한 정보는 시스템 JAAS(Java™ Authentication and Authorization Service) 로그인을 Kerberos 로그인 모듈로 업데이트 및 Kerberos 구성 파일 작성에 대해 읽어보십시오.

크로스 범주 환경 또는 신뢰 범주 환경

신뢰 범주 환경의 경우 다음 구성 프로시저를 완료해야 합니다.
  • 구성된 모든 Kerberos KDC에 대해 Kerberos 신뢰 범주 설정을 완료해야 합니다. Kerberos 신뢰 범주 설정에 대한 자세한 정보는 Kerberos 관리자 및 사용자 안내서를 참조하십시오.
  • Kerberos 구성 파일(Windows의 경우 krb5.ini, Unix 및 z/OS® 플랫폼의 경우 krb5.conf)은 신뢰 범주를 나열해야 합니다. 자세한 내용은 Kerberos 관리자 및 사용자 안내서를 참조하십시오.
  • 클라이언트 애플리케이션 토큰 생성자 바인딩을 서비스 제공자의 Kerberos SPN 정보로 구성해야 합니다. 자세한 정보는 Kerberos의 메시지 보호를 위한 바인딩 구성을 참조하십시오.
크로스 또는 신뢰 Kerberos 범주 환경에서 클라이언트 애플리케이션 및 서비스 제공자는 서로 신뢰가 구축된 서로 다른 Kerberos 범주를 사용합니다. 클라이언트 애플리케이션은 서비스 제공자가 사용하는 Kerberos 범주를 기반으로 Kerberos 토큰을 구합니다. 토큰을 구성하기 위해 클라이언트 애플리케이션은 클라이언트 정책 토큰 생성자 바인딩에서 서비스 제공자의 Kerberos SPN을 정의합니다. SPN의 형식은 이 절에서 나중에 나와 있습니다. 여기서 Kerberos_Realm_Name은 필수입니다.
ServiceName/HostName@Kerberos_Realm_Name
클라이언트 애플리케이션은 클라이언트 정책 토큰 생성자 바인딩의 콜백 핸들러 부분에 클라이언트의 Kerberos 범주 이름을 지정해야 합니다. 셀 레벨에서 모든 서비스 제공자는 동일한 Kerberos 범주를 사용합니다. 그러나 클라이언트 애플리케이션은 여전히 각자의 Kerberos 범주를 정의할 수 있습니다. 피어 투 피어 및 전이 신뢰 크로스 범주 인증만이 지원됩니다.

다음 그림은 Kerberos KDC(Key Distribution Center)

Kerberos 신뢰 범주 구성
에 정의된 대로 신뢰 범주 간의 관계를 보여 줍니다.

서비스 제공자가 다운스트림 웹 서비스 요청에 대해 클라이언트로부터 Kerberos ID를 사용하는 경우에는 위임된 Kerberos 티켓이 Kerberos 구성 파일에 구성된 Kerberos 토큰에 있어야 합니다. Kerberos의 시스템 JAAS 로그인 모듈이, 제공된 웹 서비스 보안 호출자에 추가됩니다. 호출자 신임에 대해 Kerberos 토큰을 사용하는 방법에 대한 자세한 정보는 시스템 JAAS 로그인을 Kerberos 로그인 모듈로 업데이트 및 Kerberos 구성 파일 작성에 대해서 읽어보십시오.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
파일 이름:cwbs_kerberoscrossrealm.html