서버 및 관리 보안
용어 관리 보안은 WebSphere® 관리 기능을 사용하는 사용자 인증, SSL(Secure Sockets Layer) 사용, 사용자 계정 저장소 선택을 제공하는 것을 나타냅니다.
![[z/OS]](../images/ngzos.gif)
- 다른 많은 z/OS 커넥터 서비스와 ID 공유
- SAF(Use Authorization Facility) 위임은 구성에서 많은 위치에 사용자 ID와 비밀번호를 저장할 필요성을 줄여줍니다.
- 더 많은 감사 기능 사용
영역이 로컬 OS 사용자 레지스트리의 머신 이름인 경우도 있습니다. 이런 경우,
모든 애플리케이션 서버는 동일한 실제 머신에 있어야 합니다. 다른 경우에는 영역은
LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리의 머신 이름일
수 있습니다. LDAP이 분산 사용자 레지스트리이기 때문에 이는 WebSphere Application Server, Network Deployment 환경에서
다중 노드 구성을 허용합니다. 보안 도메인에 대한 기본 요구사항은 보안 도메인 내의
임의 서버에서의 레지스트리로 리턴되는 액세스 ID가 동일한 보안 도메인 내의
다른 서버의 레지스트리에서 리턴된 액세스 ID와 동일해야 합니다. 액세스 ID는 사용자에 대한 고유 ID이며 액세스가 자원에 대해 허용되는지를 판별하기 위해
권한 부여 중에 사용됩니다.
- Java 2 2 보안 관리자
- JAAS(Java Authentication and Authorization Service)
- Java 2 커넥터 인증 데이터 항목
CSIv2(Common Secure Interoperability Version 2) 및 SAS(Secure Authentication Service) 인증 프로토콜 (RMI/IIOP(Remote Method Invocation over the Internet Inter-ORB Protocol) 보안)
CSIv2(Common Secure Interoperability Version 2) 및 z/SAS(z/OS Secure Authentication Service) 인증 프로토콜(RMI/IIOP(Remote Method Invocation over the Internet Inter-ORB Protocol) 보안)
- 다른 기타 속성
서버 레벨에서 구성의 일부 부분을 대체할 수 있습니다.
노드 내에서 다중 노드 및 다중 서버가 가능한 경우
서버 레벨에서 특정 속성을 구성할 수 있습니다. 서버 레벨에서 구성 가능한 속성은
서버에 대한 보안 인에이블먼트, Java 2 보안 관리자 인에이블먼트, CSIv2/SAS 인증 프로토콜(RMI/IIOP 보안)을
포함합니다. 관리 보안이 사용되는 동안 개별 애플리케이션 서버에서
보안이 사용되지 않도록 할 수 있지만 관리 보안이 사용되지 않는 동안에
개별 애플리케이션 서버에서 보안을 사용할 수는 없습니다.
노드 내에서 다중 노드 및 다중 서버가 가능한 경우 서버 레벨에서 특정 속성을 구성할 수 있습니다. 서버
레벨에서 구성 가능한 속성은 서버에 대한 보안 인에이블먼트,
Java 2 보안 관리자 인에이블먼트, CSIv2, z/SAS 인증 프로토콜(RMI/IIOP 보안)을
포함합니다. 관리 보안이 사용되는 동안 개별 애플리케이션 서버에서
보안이 사용되지 않도록 할 수 있지만 관리 보안이 사용되지 않는 동안에
개별 애플리케이션 서버에서 보안을 사용할 수는 없습니다.
애플리케이션 서버 보안이 사용자 요청에 대해 사용 불가능한 동안 관리 및 이름 지정 보안은 해당 애플리케이션 서버에 대해 여전히 사용 가능하기 때문에 관리 및 이름 지정 인프라는 여전히 안전합니다. 셀 보안이 사용되지만 개별 서버에 대한 보안은 사용되지 않는 경우, Java Platform, Enterprise Edition 애플리케이션은 인증되거나 권한 부여되지 않습니다. 그렇지만 이름 지정 및 관리 보안은 여전히 적용됩니다. 따라서 이름 지정 서비스가 사용자 애플리케이션에서 호출 가능하기 때문에 필요한 이름 지정 기능에 모든 사용자 액세스를 부여하여 해당 기능이 인증되지 않은 요청을 승인하도록 하십시오. 사용자 코드는 직접 관리 보안에 액세스하지 않으며 지원되는 스크립팅 도구를 통해 액세스하는 경우에는 예외입니다.
SAF(System Authorization Facility) 권한 부여를 사용 중인 경우 CosNamingRead의
EJBROLE 프로파일에 대한 UACC 필드가 READ로 설정되고
인증되지 않은 ID에 이 프로파일에 대한 READ 액세스가 있도록 해야 합니다.