기본 Application Server 노드를 WebSphere Application Server, Network Deployment에 추가 시 보안 고려 사항

독립형 기본 Application Server를 WebSphere® Application Server, Network Deployment 셀에 추가하여 그 구성을 중앙 관리하도록 결정할 수 있습니다. 기본 Application Server가 현재 보안으로 구성된 경우, 고려 사항이 있습니다. 셀에 노드를 추가할 때 주요 사항은 기본 애플리케이션 서버와 배치 관리자 간의 사용자 레지스트리가 동일한지 여부입니다.

[IBM i][AIX Solaris HP-UX Linux Windows]노드를 셀에 추가하면, 사용자 레지스트리와 셀의 인증 메커니즘 둘 다를 자동으로 상속합니다.

[z/OS]노드를 셀에 추가할 때 새로 연합 노드가 자동으로 사용자 레지스트리(로컬 OS, LDAP 또는 사용자 정의), 인증 메커니즘(LTPA) 및 기존 WebSphere Application Server, Network Deployment 셀의 권한 설정(WebSphere 바인딩 또는 SAF(System Authorization Facility) EJBROLE 프로파일)을 상속합니다.

분배된 보안의 경우, 셀의 모든 서버는 동일한 사용자 레지스트리와 메커니즘을 사용해야 합니다. 사용자 레지스트리 변경에서 복구하려면, 사용자 애플리케이션을 수정하여 사용자 및 그룹을 역할로 맵핑하는 것을 새로운 사용자 레지스트리에 대해 정정해야 합니다. 사용자 및 그룹을 역할로 지정 문서를 참조하십시오.

다른 중요한 고려사항은 SSL(Secure Sockets Layer) 공개 키 인프라입니다. 배치 관리자에서 addNode 명령을 수행하기 전에, addNode 명령이 배치 관리자와 SSL 클라이언트로 통신할 수 있는지 확인하십시오. 이 통신은 addNode 신뢰 저장소(sas.client.props에서 구성됨)가 키 저장소(관리 콘솔에 지정됨)에 있는 대로 배치 관리자 개인 인증서의 서명자 인증을 포함하도록 요구합니다.

다음 사항은 보안 상태에서 addNode 명령을 실행할 때 고려해야 합니다.
  • addNode 명령과 같은 시스템 관리 명령을 시도할 때, 조작을 수행하기 위해 명시적으로 관리 신임을 지정할 필요가 있습니다. addNode 명령은 -username 및 -password 매개변수를 승인하여 사용자 ID와 비밀번호를 각각 지정합니다. 지정되는 사용자 ID 및 비밀번호는 관리 사용자여야 합니다. 예를 들어, 관리자 특권을 가진 콘솔 사용의 멤버인 사용자나 사용자 레지스트리에 구성된 관리 사용자 ID가 있습니다. addNode 명령의 예는 다음과 같습니다.

    addNode CELL_HOST 8879 -includeapps -username user -password pass.

    -includeapps 매개변수는 선택적이지만, 이 옵션은 서버 애플리케이션을 배치 관리자에 포함시키려고 시도합니다. 배치 관리자 및 WebSphere Application Server에서 사용하는 사용자 레지스트리가 동일하지 않은 경우, addNode 명령이 실패할 수 있습니다. 이 문제점을 정정하려면, 사용자 레지스트리를 동일하게 만들거나 보안을 끄십시오. 사용자 레지스트리를 변경하는 경우, 사용자에서 역할로의 맵핑 및 그룹에서 역할로의 맵핑이 올바른지 확인해야 합니다. addNode 구문에 대한 자세한 정보는 addNode 명령의 내용을 참조하십시오.
    [z/OS]참고: 또한 WebSphere z/OS® 프로파일 관리 도구 또는 zpmt 명령을 사용하여 addNode 명령을 실행할 수 있습니다. WebSphere z/OS 프로파일 관리 도구 또는 zpmt 명령을 사용하여 보안이 사용 가능한 상태에서 addNode 명령을 실행하는 경우 권한이 있는 사용자 ID를 사용하여 -user-password 옵션을 지정해야 합니다.
  • 관리 콘솔을 통해 보안을 받는 원격 노드를 추가하는 것은 지원되지 않습니다. 조작을 수행하기 전에 원격 노드에서 보안을 사용 불가능하게 하거나 addNode 스크립트를 사용하여 명령행에서 조작을 수행할 수 있습니다.
  • [IBM i][AIX Solaris HP-UX Linux Windows]addNode 명령을 실행하기 전에 노드의 신뢰 저장소 파일이 배치 관리자의 키 저장소 파일과 통신할 수 있는지 및 역으로도 통신할 수 있는지를 확인해야 합니다. 기본 DummyServerKeyFileDummyServerTrustFile 사용 시, 이 파일들이 이미 통신할 수 있는 경우 이 문제점이 발생하지 않아야 합니다. 그러나 프로덕션 환경에서는 이러한 더미 파일을 사용하지 마십시오.
  • [z/OS]addNode 명령을 실행하기 전에 노드에서 신뢰 저장소 파일이 배치 관리자가 소유한 키 저장소 파일 및 SAF(System Authorization Facility) 키 링과 통신하는지 및 역으로도 통신하는지를 확인해야 합니다.노드 에이전트 프로세스의 경우와 동일한 CA(Certificate Authority)를 사용하여 배치 관리자의 인증을 생성하면 제대로 수행됩니다. 다음의 SSL 구성에는 상호운영할 수 있는 키 저장소 및 신뢰 저장소가 포함되어야 합니다.
    • 시스템 관리 > 배치 관리자 > HTTP 전송 > sslportno > SSL을 사용하여 관리 콘솔에 지정된 시스템 SSL 레퍼토리
    • 시스템 관리 > dmgr > 관리 서비스 > JMX 커넥터 > SOAPConnector > 사용자 정의 특성 > sslConfig에서 SOAP를 지정한 경우 해당 JMX 커넥터의 SSL 레퍼토리
    • NodeAgent 시스템 관리자 > 노드 에이전트 > NodeAgent 서버 > 관리 서비스 > JMX 커넥터 > SOAPConnector > 사용자 정의 특성 > sslConfig에 지정된 SSL 레퍼토리
    참고: WebSphere Application Server for z/OS는 WebSphere z/OS Profile Management Tool 또는 zpmt 명령에서 SAF 프로파일 접두부를 사용하여 보안 도메인을 정의합니다(이전에는 z/OS 보안 도메인이라고 함). 다른 보안 도메인을 정의하는 배치 관리자 구성에 노드를 추가하는 경우 주의하십시오.
  • 이전 릴리스의 클라이언트에서 7.0 배치 관리자로 연합하기 위해 addNode 명령을 사용하려는 경우에는 먼저 성공적인 핸드쉐이크를 위해 서명자를 확보해야 합니다 자세한 정보는 SSL의 클라이언트 서명자 검색을 위한 보안 설치에 대한 문서에서 이전 릴리스의 클라이언트 및 서버 서명자 확보를 참조하십시오.
  • addNode를 실행한 후, 애플리케이션 서버는 새로운 SSL 도메인에 있습니다. 동일한 도메인의 다른 서버와 상호운영할 준비가 되어 있지 않은 keystore 및 신뢰 저장소 파일을 가리키는 SSL 구성을 포함할 수 있습니다. 어떤 서버가 상호 통신할 지 고려하고 서버가 신뢰 저장소 파일 내에서 신뢰되어야 합니다.
분배된 서버 간의 보안 상호작용에 대한 적절한 이해는 보안 통신에서 발생한 문제점을 크게 줄입니다. 추가 기능을 관리해야 하므로 보안이 복잡도를 추가합니다. 보안은 사용자의 인프라 계획 중에 충분한 고려사항이 필요합니다. 이 문서는 고유의 보안 상호 작용으로 인해 발생할 수 있는 문제를 줄이도록 돕습니다.

WebSphere Application Server, Network Deployment 환경과 관련된 보안 문제점이 발생한 경우, 문제점에 대한 추가 정보를 찾으려면 문제점 해결 보안 구성의 내용을 참조하십시오. 문제점을 풀기 위해 추적이 필요하면, 서버가 분배되므로 문제점을 재작성 중인 동안 동시에 모든 서버에서 추적을 수집하는 것이 매우 자주 요청됩니다. 이 추적은 발생하는 문제점 유형에 따라 동적으로 또는 정적으로 사용 가능할 수 있습니다.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_ewac
파일 이름:rsec_ewac.html