세분화된 관리 보안
WebSphere® Application Server 버전 6.1 이전 릴리스에서는 관리 역할이 부여된 사용자가 셀 아래에 있는 모든 자원을 관리할 수 있었습니다. 이제는 WebSphere Application Server가 더 세분화되어 자원별로 각 사용자에게 액세스를 부여할 수 있습니다.
이와 같은 인스턴스 기반 보안 또는 세분화된 보안을 얻기 위해, 동일한 권한이 필요한 자원을 관리 권한 그룹 또는 권한 그룹이라고 하는 그룹에 배치합니다. 사용자에게는 필요한 관리 역할을 지정하여 권한 그룹에 대한 액세스 권한을 부여할 수 있습니다.
세분화된 관리 보안은 단일 서버 환경에서도 사용할 수 있습니다. 단일 서버의 다양한 애플리케이션은 함께 그룹화하여 다른 권한 그룹에 놓을 수 있습니다. 따라서 서로 다른 애플리케이션마다 다른 권한 제한조건이 있습니다. 서버 자체가 단일 서버 환경에서 권한 그룹의 일부가 될 수 없다는 점에 유의하십시오.
사용자 및 그룹을 wsadmin 스크립트 및 관리 콘솔을 통해 셀 레벨에서 adminsecuritymanager 역할에 지정할 수 있습니다. adminsecuritymanager 역할을 사용하면, 사용자 및 그룹을 관리 사용자 역할 및 관리 그룹 역할에 지정할 수 있습니다.
세분화된 관리 보안이 사용되는 경우, adminsecuritymanager 역할이 부여된 사용자는 권한 그룹을 관리할 수 있습니다. 모든 관리 역할의 자세한 설명에 대해서는 관리 역할 및 네이밍 서비스 권한의 내용을 참조하십시오.
관리자는 adminsecuritymanager 역할을 포함하여 사용자 및 그룹을 관리 사용자 역할 및 관리 그룹 역할에 지정할 수 없습니다. 세부사항은 관리 역할의 내용을 참조하십시오.
- 새 권한 그룹 작성:
$AdminTask createAuthorizationGroup {-authorizationGroupName authGroup1}
- 권한 그룹 삭제:
$AdminTask deleteAuthorizationGroup {-authorizationGroupName groupName}
- 권한 그룹에 자원 추가:
$AdminTask addResourceToAuthorizationGroup {-authorizationGroupName groupName -resourceName Application=app1}
- 권한 그룹에서 자원 제거:
$AdminTask removeResourceFromAuthorizationGroup {-authorizationGroupName groupName -resourceName Application=app1}
- 권한 그룹의 역할에 사용자 ID 추가:
$AdminTask mapUsersToAdminRole {-authorizationGroupName groupName -roleName administrator -userids user1}
- 권한 그룹의 역할에 그룹 ID 추가:
$AdminTask mapGroupsToAdminRole {-authorizationGroupName groupName -roleName administrator -groupids group1}
- 권한 그룹의 역할에서 사용자 ID 제거:
AdminTask removeUsersFromAdminRole {-authorizationGroupName groupName -roleName administrator -userids user1}
- 권한 그룹의 역할에서 그룹 ID 제거:
$AdminTask removeGroupsFromAdminRole {-authorizationGroupName groupName -roleName administrator -groupids group1}
권한 그룹에 추가할 수 있는 자원
- 셀
- 노드
- ServerCluster
- 서버
- 애플리케이션
- NodeGroup
자원이 이전에 나열된 유형 중 하나가 아닌 경우 해당 상위 자원이 사용됩니다.
자원은 하나의 권한 그룹에만 속할 수 있습니다. 그러나 자원 사이에는 포함 관계가 있습니다. 상위 자원이 해당되는 하위 자원의 권한 그룹이 아니라 다른 권한 그룹에 속하는 경우, 이는 하위 자원이 여러 권한 그룹에 속한다는 것을 의미합니다. 둘 이상의 권한 그룹에 동일한 자원을 추가할 수 없습니다.
다음 다이어그램은 자원 사이의 포함 관계를 보여줍니다.
- 관리 자원의 권한 그룹. 사용자에게 권한 그룹에 대한 액세스 권한이 부여된 경우, 해당 그룹의 모든 자원이 포함됩니다.
- 자원의 포함 관계. 사용자에게 상위 자원에 대한 액세스 권한이 부여된 경우, 모든 하위 자원이 포함됩니다.
키 저장소 관리는 셀 레벨에서 작성 및 관리되므로 사용자에게 셀 레벨 관리 권한이 있어야 합니다. 특정 자원에 세분화된 보안 액세스는 연관된 키 저장소 관리를 허용하지 않습니다.
자원 | 조치 | 필수 역할 |
---|---|---|
서버 | 조작 시작, 중지, 런타임 | 서버 운영자, 노드 운영자, 셀 운영자 |
서버 | 새로 작성, 삭제 | 노드 구성자, 셀 구성자 |
서버 | 구성 편집 | 서버 구성자, 노드 구성자, 셀 구성자 |
서버 | 구성, 런타임 상태 보기 | 서버 모니터, 노드 모니터, 셀 모니터 |
노드 | 다시 시작, 중지, 동기화 | 노드 운영자, 셀 운영자 |
노드 | 추가, 삭제 | Cell-configurator |
노드 | 구성 편집 | 노드 구성자, 셀 구성자 |
노드 | 구성, 런타임 상태 보기 | 노드 모니터, 셀 모니터 |
클러스터 | 조작 시작, 중지, 런타임 | 클러스터 운영자, 셀 운영자 |
클러스터 | 새로 작성, 삭제 | Cell-configurator |
클러스터 | 구성 편집 | 클러스터 구성자, 셀 구성자 |
클러스터 | 구성, 런타임 상태 보기 | 클러스터 모니터, 셀 모니터 |
클러스터 멤버 | 조작 시작, 중지, 런타임 | 서버 운영자, 클러스터 운영자, 노드 운영자, 셀 운영자 |
클러스터 멤버 | 새로 작성, 삭제 | 노드 구성자, 셀 구성자 |
클러스터 멤버 | 구성 편집 | 서버 구성자, 클러스터 구성자, 노드 구성자, 셀 구성자 |
클러스터 멤버 | 구성, 런타임 상태 보기 | 서버 모니터, 클러스터 모니터, 노드 모니터, 셀 모니터 |
애플리케이션 | 모든 조작 | 관리 역할에서 "배치자 역할" 섹션을 참조하십시오. |
노드, 클러스터 | 추가, 삭제 | Cell-configurator |
서버 운영자 역할은 서버 인스턴스가 일부인 권한 그룹의 운영자 역할입니다. 마찬가지로, 노드 운영자 역할도 노드 인스턴스가 일부인 권한 그룹의 운영자 역할입니다.
관리 콘솔에서 세분화된 관리 보안을 사용하려면 사용자에게 최소한 셀 레벨에서 모니터할 수 있는 역할을 부여해야 합니다. 그러나 wsadmin을 사용하여 로그인하려면 사용자에게 모든 권한 그룹에 대한 모니터 역할이 부여되어야 합니다.
예제: 세분화된 보안 사용.
다음 시나리오에서는 세분화된 관리 보안, 특히 새 배치 역할 사용에 대해 설명합니다.
배치 역할 시나리오 1.다음 시나리오에는 아래 테이블에 표시된 대로 S1 서버에 4개의 애플리케이션이 구성되어 있습니다. 각 애플리케이션은 한 애플리케이션의 관리자가 다른 애플리케이션을 수정할 수 없도록 구분되어 있습니다. user1만 애플리케이션 A1을 관리할 수 있고 user2는 애플리케이션 A2 및 A3을 관리할 수 있으며 user3만 애플리케이션 A4를 관리할 수 있다고 가정합니다.
한 가지 예로, 단일 애플리케이션 서버에서 다중 벤더 애플리케이션을 포함할 수 있는 ASP(Application Service Provider)가 있습니다. 이 경우 서버 관리자는 벤더 애플리케이션을 모두 설치해야 합니다. 애플리케이션을 설치한 후 각 벤더는 다른 벤더 애플리케이션의 간섭을 받지 않고 자신의 애플리케이션을 관리할 수 있습니다.
애플리케이션 | 서버 | 노드 |
---|---|---|
A1 | S1 | N1 |
A2 | S1 | N1 |
A3 | S1 | N1 |
A4 | S1 | N1 |
다음 다이어그램에 표시된 대로 권한 그룹을 구성할 수 있습니다.

이 다이어그램에서 애플리케이션 A1은 권한 그룹 G1에, 애플리케이션 A2 및 A3은 권한 그룹 G2에, 애플리케이션 A4는 권한 그룹 G3에 속해 있습니다.
권한 그룹 G1의 경우 배치자 역할은 user1, 권한 그룹 G2의 경우 user2, 권한 그룹 G3의 경우 user3으로 지정됩니다.
따라서 user1은 애플리케이션 A1에서 모든 조작을 수행할 수 있고 user2는 애플리케이션 A2 및 A3에서, user3은 애플리케이션 A4에서 가능합니다. 모든 애플리케이션이 동일한 서버를 공유하므로 모든 권한 그룹에 동일한 서버를 배치할 수 없습니다. 셀 레벨 관리자만 애플리케이션을 설치할 수 있습니다. 애플리케이션 설치를 완료하면 각 애플리케이션의 배치자를 고유하게 수정할 수 있습니다. 서버를 시작 및 중지하려면 셀 레벨의 관리 권한이 필요합니다. 이러한 유형의 시나리오는 ASP 환경에서 유용합니다.
배치 역할 시나리오 2다음 시나리오에서는 하나의 서버에 대한 동일한 관리 역할을 애플리케이션 그룹에 설정해야 합니다. 이 예제에서는 애플리케이션 A1 및 A2가 서로 관련된 애플리케이션으로, 하나의 관리자 세트에서 이 두 애플리케이션을 관리할 수 있습니다. 이 두 애플리케이션은 동일한 서버(S1)에서 실행됩니다. 애플리케이션 A3 및 A4에는 다른 관리자 세트가 필요하고 서버 S2 및 S3에서 각각 실행됩니다.
애플리케이션 | 서버 | 노드 |
---|---|---|
A1 | S1 | N1 |
A2 | S1 | N1 |
A3 | S2 | N2 |
A4 | S3 | N3 |

각 개발자는 해당 서버의 구성을 수정하고 이 서버로 해당 애플리케이션을 설치할 수 있어야 합니다. 또한 서버 및 서버의 애플리케이션을 시작 및 중지할 수도 있어야 합니다.
또한 개발자는 실행 시 발생하는 문제점을 디버그할 수 있도록 서버를 구성할 수 있어야 합니다. 개발 중인 애플리케이션을 업데이트 또는 수정할 수도 있어야 합니다. 이 개발자가 속한 관리 권한 그룹은 하나 이상의 서버 및 개발자가 이 서버에 설치한 애플리케이션을 포함합니다.

다음 예제에서는 권한 그룹 G1에 속한 개발자가 새 애플리케이션(A11)을 가지고 있습니다. 개발자는 권한 그룹 G1에 속한 서버에만 이 새 애플리케이션을 설치하고 대상을 지정할 수 있습니다. 또한 해당 권한 그룹(G1)에 이 새 애플리케이션을 배치할 수 있습니다.

이 시나리오에서, 고객은 ASP입니다. 이 경우 애플리케이션에서 지원하는 기능을 제공할 전용 고객이 지정되어 있습니다. ASP는 해당 고객이 애플리케이션을 관리 및 모니터할 수 있도록 허용하지만 다른 고객은 애플리케이션을 보거나 관리할 수 없도록 합니다. 그러나 이 예제에서 ASP에는 해당 작업이 서버 관리인 내부 직원 관리자가 있습니다.
이 내부 ASP 직원 관리자는 애플리케이션에서 사용할 수 있도록 서버 사이에서 애플리케이션을 이동해야 할 수도 있습니다. 내부 ASP 직원 관리자는 서버를 중지 및 시작하고 해당 구성을 변경할 수 있어야 합니다.
반대로 ASP 고객 관리자는 서버를 중지하거나 시작할 수 없어야 합니다. 그러나 ASP 고객 관리자는 해당 서버에서 실행 중인 애플리케이션을 업데이트할 수 있어야 합니다. 내부 ASP 관리자가 속한 관리 권한 그룹은 전체 셀이거나 서버, 노드, 클러스터 및 애플리케이션의 서브세트를 포함할 수 있습니다. 고객 관리자가 속한 관리 권한 그룹은 ASP에서 제공하는 애플리케이션에 대해 고객이 그 대가를 지불하는 애플리케이션만 포함합니다.
구성 저장소를 업데이트하는 경우 배치 관리자 측에서 관리 스크립트를 실행할 때 세분화된 관리 보안 역할이 적용되도록 배치 관리자의 관리 스크립트를 실행하십시오.
다음 다이어그램은 두 명의 고객이 서로 다른 유형의 애플리케이션 두 개를 가지고 있으며 고유한 애플리케이션으로 관리할 수 있는 시나리오를 포함합니다. 그러나 애플리케이션을 실행하는 서버 및 노드는 고객과 구분되어 있습니다. 이 서버 및 노드는 내부 관리자만 유지보수할 수 있습니다. 또한 고객은 다른 서버에서 해당 애플리케이션의 대상을 지정할 수 없습니다. 이 작업은 내부 관리자 또는 내부 배치자만 수행할 수 있습니다.

이 시나리오에서 고객은 글로벌 대기업입니다. 회사의 노드 및 서버는 서로 다른 지역 또는 서로 다른 비즈니스 라인에서 지원되는 애플리케이션을 제공하도록 구성되어 있습니다. 회사에서는 서로 다른 지역의 대표자가 해당 지역과 연관된 노드 및 서버를 모니터하고 관리할 수 있도록 합니다. 그러나 지역 관리자가 다른 지역과 연관된 노드 및 서버에 영향을 주지 않도록 합니다.
각 지역 대표자가 속한 관리 권한 그룹은 해당 지역과 연관된 노드, 서버, 클러스터 및 애플리케이션을 포함합니다.
예를 들어 다양한 서비스를 제공하는 회사(예: 신용카드 계좌, 위탁 계좌, 은행 계좌 또는 여행 관련 계좌와 같은 서비스를 제공하는 금융 기관)를 고려해 보십시오. 이러한 각 서비스는 별도의 애플리케이션에 해당할 수 있으므로 이러한 각 애플리케이션의 관리자도 서로 달라야 합니다. 다음 그림은 이러한 시스템을 구성하는 한 가지 방법을 보여줍니다.

다음 그림은 이러한 시스템의 자원을 그룹화하여 관리자를 서로 구분시키는 방법을 보여줍니다.

노드는 권한 그룹에 속하지 않는다는 점에 주의하십시오. 따라서 거래 애플리케이션 관리자는 해당 노드에서 서비를 중지할 수 없으며 여행 애플리케이션을 중지할 수 없습니다.
다음과 같이 동일한 시스템을 다른 방식으로 구성할 수 있습니다.

다음 그림은 이러한 시스템의 자원을 그룹화하여 관리자를 서로 구분시키는 방법을 보여줍니다.
