WebSphere® Application Server 및 DB2 서버가
모두 Kerberos 인증을 위해 구성되어 있으면 Kerberos 인증 메커니즘을
사용할 수 있습니다. Kerberos 인증은
싱글 사인온(SSO) 엔드 투 엔드 상호 운용 가능한 솔루션을 제공하며
원래 요청자 ID를 보존합니다.
시작하기 전에
Application Server에서, DB2 데이터 소스와 Application Server가
애플리케이션의 데이터베이스 액세스를 위해
위임된 Kerberos 신임 정보를 사용하여 엔드 투 엔드 방식으로 상호운용하도록
DB2 데이터 소스와 Application Server를 구성할 수 있습니다.
이 주제에
옵션 1로 지칭된,
Application Server에서 위임된 신임 정보를 사용하여 DB2 Kerberos 인증을 이용하려면
DB2와 Application Server를 모두 인증 메커니즘으로
Kerberos를 사용하도록 구성해야 합니다. Application Server의 이 버전에서
인증 메커니즘으로 Kerberos를 설정하는 방법을 배우려면
“보안을 위한 Kerberos(KRB5) 인증 메커니즘 지원” 주제의 내용을
참조하십시오.
Application Server의
XARecovery 및 TestConnection 기능은 위임된 Kerberos 신임 정보를 데이터 소스에
제공할 수 없습니다. Application Server
보안 컴포넌트가 주어진 연결 요청을 위해 위임된 Kerberos 신임 정보를 제공할
수 없는 경우도 있을 수 있습니다. 이 경우를
해결하려면 이 주제에 옵션 2로 지칭된 Kerberos 인증을 사용하여 DB2 연결을
구성할 수 있습니다. 이 옵션의 경우
드라이버가 사용하는 JDBC 드라이버에 사용자 ID 및 비밀번호를 제공해서
자체 Kerberos 신임 정보를 확보해야 합니다. 이 옵션을
사용하려면 DB2 JDBC 드라이버가 Kerberos TGT(Ticket Granting
Ticket)를 요청하기 위해 사용할 사용자 ID 및 비밀번호를 정의하는 Application Server에
J2C 인증 데이터 별명을 구성해야
합니다. TGT는 DB2 서버에 대한 Kerberos 인증에 사용됩니다. 이는 Application Server에
일반 사용자 ID 및 비밀번호 인증처럼 보입니다.
Kerberos
인증을 지원하며 유형 4 모드에서 작동 중인
DB2 JDBC 드라이버를 사용해야 합니다. 지원되는 JDBC 드라이버는 다음과
같습니다.
- IBM Data Server Driver for JDBC 및 SQLJ(Application Server에
IBM JCC 드라이버를 사용하는 DB2로 식별됨)
- IBM DB2 JDBC Universal Driver Architecture(Application Server에
DB2 Universal JDBC 드라이버 제공자로 식별됨)
이 태스크 정보
다음 단계를 사용하여 Application Server와 DB2를 Kerberos로 인증하도록
구성하십시오.
프로시저
- Kerberos 인증을 위한 DB2 서버를 구성하십시오. DB2 Information Center에서
DB2 Kerberos 보안 문서(예를 들어,“Kerberos 인증 세부사항” 주제)의 내용을 참조하십시오.
또 다른 유용한 참조는 IBM developerWorks
웹 사이트에 있는 “DB2 UDB Security, Part 6”입니다. DB2 Kerberos 인증이
작동하는지 확인하십시오.
- Application Server를 Kerberos 보안을 사용하도록 구성하십시오.
“관리 콘솔을 사용하여 Kerberos를
인증 메커니즘으로 구성” 주제의 내용을 참조하십시오. Application Server
Kerberos 인증이 작동하는지 확인하십시오.
- Application Server의
DB2 데이터 소스를 Kerberos 인증을 사용하도록 구성하십시오.
이 태스크를 완료하기 위한
두 가지 단계가 있습니다. Application Server의 자원 어댑터를 Kerberos 신임 정보
및 비밀번호 신임 정보를 JDBC 드라이버에 전달하도록 구성해야 하며,
두 번째로 JDBC 드라이버를 DB2 서버에
연결할 때 Kerberos 인증을 사용하도록 구성해야 합니다.
이 단계 완료에 대한 자세한 정보는 “관리 콘솔을
사용하여 데이터 소스 구성” 주제의 내용을 참조하십시오.
표 1. 사용자 정의
특성과 값. DB2 데이터 소스를 구성할 때
보안 설정 및 사용자 정의 특성에 특히 주의해야 합니다. Name |
값 |
kerberosServerPrincipal 참고: 이 특성은
z/OS 플랫폼에서 실행 중인 DB2 서버에 연결할 때를 제외하고는
선택적 특성입니다(LUW용 DB2, v8 FP11부터).
|
user@REALM
or
service_name/hostname@REALM
|
SecurityMechanism 참고: 이 특성의 값,
11은 JDBC 드라이버가 DB2 서버에 연결할 때
Kerberos 인증을 사용해야 함을 나타냅니다.
|
11 |
- 옵션 2의 경우 “맵핑 구성 별명”을 “DefaultPrincipalMapping”으로
구성하거나 GSSCredentials를 생성하지 않는 또 다른
로그인 구성을 구성하고, “컨테이너 관리 인증 별명”을 JDBC 드라이버가 Kerberos 로그인에
사용할 별명을 참조하도록 설정해야 합니다. testConnection
기능도 컴포넌트 관리 인증 별명이 구성되지 않은 경우 이 별명을 사용합니다.
- 옵션 1, 위임된 Kerberos 신임 정보의 경우 “맵핑 구성 별명”을
“KerberosMapping”으로 구성해야 합니다.
이는 Application Server의 자원 어댑터가 DB2 JDBC 드라이버에
위임된 신임 정보를 제공해야 함을 표시합니다. testConnection 기능과
XA 트랜잭션 복구 기능은 위임된 Kerberos 신임 정보를
제공할 수 없지만 옵션 2 인증으로 되돌릴 수 있습니다. 이 기능이 필요하지 않으면
각 인증 별명마다 none을 선택할 수 있습니다. testConnection이
사용되고 유효한 인증 별명이 구성되면 정보 메시지,
DSRA8221I가 로깅됩니다. 이 메시지는 testConnection이
Kerberos 신임 정보를 제공할 수 없음을 표시합니다. 별명이 구성되지 않은 경우에는
JDBC 드라이버가 보고하는 유효하지 않은 Kerberos 신임 정보 오류로
testConnection이 실패합니다.
중요사항: KerberosMapping이 구성되었지만 보안 컴포넌트가 특정
연결 요청을 위한 Kerberos 신임 정보를 제공할 수 없으면
기본 프린시펄 맵핑을 사용하여 연결 인증으로 되돌리도록 자원 어댑터를
구성할 수 있습니다. 이 대체를
구성하려면 컨테이너 관리 인증 별명 목록에서 별명을 선택하십시오. 이 대체를
사용하지 않으려면 컨테이너 관리 인증 별명 목록에서 none을 선택하십시오.
- Kerberos 맵핑(옵션 1)을 사용하려면 컨테이너 관리 인증도
지정해야 합니다. 컨테이너 관리 인증을 지정하려면
애플리케이션이 자원 참조를 사용하여 데이터 소스를 검색해야 합니다. 자원 참조는 KerberosMapping을
로그인 구성으로 지정해야 합니다. 자원 참조에 대한 로그인 구성을 지정하지 않으면
이 자원 참조를 통한 애플리케이션 액세스를 위해
지정된 로그인 구성이 데이터 소스에 지정된 맵핑 구성 별명 값보다
우선합니다. 자원 참조에 컨테이너 관리 인증 별명을
지정할 수도 있습니다.