로컬 운영 체제 레지스트리

WebSphere® Application Server 인증 메커니즘은 로컬 운영 체제에 대한 레지스트리 구현을 통해 로컬 운영 체제의 사용자 계정 데이터베이스를 사용할 수 있습니다.

참고: 이 주제는 하나 이상의 애플리케이션 서버 로그 파일을 참조합니다. 권장되는 대안은 분배 및 IBM® i 시스템에서 SystemOut.log, SystemErr.log, trace.logactivity.log 파일을 사용하는 대신 HPEL(High Performance Extensible Logging) 로그를 사용하고 인프라를 추적하도록 서버를 구성하는 것입니다. 원시 z/OS® 로깅 기능과 연계하여 HPEL을 사용할 수도 있습니다. HPEL을 사용하는 경우 서버 프로파일 바이너리 디렉토리의 LogViewer 명령행 도구를 사용하여 모든 로그에 액세스하고 정보를 추적할 수 있습니다. HPEL 사용에 대한 자세한 정보는 HPEL을 사용한 애플리케이션 문제점 해결 정보를 참조하십시오.

[IBM i]로컬 운영 체제 레지스트리를 사용하여 WebSphere Application Server 자원에 액세스하는 프린시펄을 나타내려는 경우 특수 사용자 레지스트리 설정 단계를 완료하지 않아도 됩니다. 로컬 운영 체제 레지스트리는 운영 체제 자원에 액세스하는 WebSphere Application Server 사용자가 아닌 WebSphere Application Server 자원에 액세스하는 사용자에 대한 인증 및 권한에 사용됩니다. WebSphere Application Server는 Application Server 사용자의 운영 체제 사용자 프로파일로 실행되지 않습니다. 대신 WebSphere Application Server는 Application Server 관리자가 구성하는 운영 체제 프로파일로 실행됩니다.

[IBM i]WebSphere Application Server 자원에 대한 권한을 사용자에게 부여하려면 운영 체제에 해당 사용자에 대한 사용자 프로파일이 존재해야 합니다. WebSphere Application Server에서 사용할 수 있는 새 사용자 ID를 작성하려면 사용자 프로파일 작성(CRTUSRPRF) 명령을 사용하십시오.

[AIX Solaris HP-UX Linux Windows]LDAP(Lightweight Directory Access Protocol)는 중앙 집중화된 레지스트리입니다. 대부분의 로컬 운영 체제 레지스트리는 중앙 집중화되지 않은 레지스트리입니다.

[AIX Solaris HP-UX Linux Windows]WebSphere Application Server는 Windows 로컬 계정 레지스트리 및 도메인 레지스트리에 대한 구현뿐 아니라 Linux, Solaris 및 AIX® 사용자 계정 레지스트리에 대한 구현도 제공합니다. Windows Active Directory는 뒤에서 다루는 LDAP 사용자 레지스트리 구현을 통해 지원됩니다.

[AIX Solaris HP-UX Linux Windows]
참고: Active Directory(도메인 제어기)의 세 가지 그룹 범위는 도메인 로컬 그룹, 글로벌 그룹 및 범용 그룹입니다. Active Directory(도메인 제어기)의 두 가지 그룹 유형은 보안 및 분배입니다.
그룹이 작성되는 경우 기본값은 글로벌이고 기본 유형은 보안입니다. Windows 2003 도메인 제어기에 대한 Windows NT 도메인 레지스트리의 지원으로 WebSphere Application Server는 보안 유형의 글로벌 그룹만 지원합니다. Active Directory가 모든 그룹 범위 및 유형을 지원하므로 Windows 2003 도메인 제어기를 사용하는 경우 Windows NT 도메인 레지스트리보다 Active Directory 레지스트리 지원을 사용하는 것이 좋습니다. 활성 디렉토리는 Windows NT 도메인 레지스트리에서 지원하지 않는 중첩 그룹도 지원합니다. Active Directory는 중앙 집중화된 제어 레지스트리입니다.
참고: WebSphere Application Server를 모든 시스템의 모든 플랫폼에 설치할 수 있으므로 도메인 멤버를 설치할 필요가 없습니다. Windows NT 도메인 기본 호출은 오류 없이 지원 그룹만 리턴합니다.

[AIX Solaris HP-UX Linux Windows][IBM i]각 시스템이 고유한 사용자 레지스트리를 갖기 때문에 애플리케이션 서버가 둘 이상의 시스템 사이에 분산되는 WebSphere Application Server 환경에서는 로컬 운영 체제 레지스트리를 사용하지 마십시오.

[AIX Solaris HP-UX Linux Windows]Windows 도메인 레지스트리 및 NIS(Network Information Services)는 예외입니다. Windows 도메인 레지스트리 및 NIS(Network Information Services)는 중앙 집중식 레지스트리입니다. Windows 도메인 레지스트리는 WebSphere Application Server에서 지원되지만 NIS는 지원되지 않습니다.

[AIX Solaris HP-UX Linux Windows][IBM i]앞서 언급한 대로 사용자 레지스트리에서 가져온 액세스 ID가 권한 검사 중에 사용됩니다. 이러한 ID가 보통 고유 ID이므로, 정확히 일치하는 사용자 및 비밀번호가 각 시스템에 있다고 해도 시스템에 따라 달라집니다.

[AIX Solaris HP-UX Linux Windows][IBM i]로컬 운영 체제 사용자 레지스트리를 사용할 때는 웹 클라이언트 증명 인증이 현재 지원되지 않습니다. 그러나 Java™ 클라이언트 증명 인증이 로컬 운영 사용자 레지스트리와 함께 작동합니다. Java 클라이언트 증명 인증은 인증서 도메인 이름의 첫 번째 속성을 사용자 레지스트리에 있는 사용자 ID로 맵핑합니다.

[AIX Solaris HP-UX Linux Windows][IBM i]Java 클라이언트 인증서가 제대로 작동해도 다음 오류가 SystemOut.log 파일에 표시됩니다.

CWSCJ0337E: mapCertificate 메소드가 지원되지 않습니다.

오류는 웹 클라이언트 인증서를 위한 것입니다. 그러나 Java 클라이언트 인증서에 대해서도 표시됩니다. Java 클라이언트 인증서에서는 이 오류를 무시하십시오.

[z/OS]로컬 운영 체제 레지스트리가 Sysplex에서 중앙 집중화된 레지스트리입니다.

[z/OS]WebSphere Application Server는 SAF(System Authorization Facility) 인터페이스를 사용합니다. SAF 인터페이스는 MVS™에 의해 정의되어 애플리케이션이 시스템 권한 서비스 또는 레지스트리를 사용하여 데이터 세트 및 MVS 명령과 같은 자원에 대한 액세스를 제어할 수 있도록 해줍니다. SAF에서는 보안 권한 요청을 RACF®(Resource Access Control Facility) 또는 써드파티 z/OS 보안 제공자를 통해 직접 처리할 수 있습니다. 사용자 레지스트리로 로컬 운영 체제를 선택하지 않는 경우, 사용자 레지스트리 ID 대 SAF 사용자 ID 맵핑을 제공해야 합니다. 자세한 정보는 사용자 정의 SAF(System Authorization Facility) 맵핑 모듈를 참조하십시오.

[z/OS]로컬 운영 체제 사용자 레지스트리를 사용할 때는 웹 클라이언트 증명 인증이 지원됩니다. 사용자가 로컬 OS를 선택할 때 디지털 인증서는 웹 및 Java 클라이언트 모두에 의해 MVS ID로 맵핑될 수 있습니다. 맵핑을 단순화하기 위해 인증서 이름 필터를 사용할 수 있습니다. 보안 서버로 RACF를 사용하는 경우, RACDCERT MAP 명령은 여러 사용자 ID를 디지털 인증서에 맵핑하는 자원 프로파일을 작성하여 인증서 관리를 단순화하고 RACF 데이터베이스에서 저장 영역을 보존하고, 책임을 유지보수하거나 액세스 제어 세분성을 유지보수합니다.

[AIX Solaris HP-UX Linux Windows]

필수 특권

WebSphere Application Server 프로세스를 실행 중인 사용자가 Windows 운영 체제에서 사용자 및 그룹 정보를 인증하고 확보하기 위해 Windows 시스템 API(Application Programming Interface)를 호출하기 위해서는 충분한 운영 체제 특권을 가져야 합니다. 이 사용자는 시스템에 로그인하거나, 서비스로서 실행 중인 경우는 Log On As 사용자입니다. 시스템에 따라서(시스템이 독립형 시스템인지 아니면 도메인의 일부이거나 도메인 제어기인 시스템인지에 따라서) 액세스 요구사항이 다릅니다.

  • 독립형 시스템의 경우, 사용자는 다음에 해당합니다.
    • 관리 그룹의 멤버
    • 운영 체제의 일부로 역할 수행 특권이 있습니다.
    • 서버가 서비스로서 실행되는 경우 서비스로서 로그온 특권이 있습니다.
  • 도메인의 멤버인 시스템의 경우, 도메인 사용자만이 서버 프로세스를 시작할 수 있고 다음에 해당합니다.
    • 도메인 제어기의 도메인 보안 정책에서 운영 체제의 일부로 역할 수행 특권이 있습니다.
    • 로컬 시스템의 로컬 보안 정책에서 운영 체제의 일부로 역할 수행 특권이 있습니다.
    • 서버가 서비스로서 실행되는 경우, 로컬 시스템에서 서비스로서 로그온 특권이 있습니다.

      사용자는 도메인 사용자이며 로컬 사용자가 아닙니다. 이는 시스템이 도메인의 일부일 때 도메인 사용자만이 서버를 시작할 수 있음을 의미합니다.

  • 도메인 제어기 시스템의 경우, 사용자는 다음에 해당합니다.
    • 도메인 제어기의 도메인 관리 그룹의 멤버
    • 도메인 제어기의 도메인 보안 정책에서 운영 체제의 일부로 역할 수행 특권이 있습니다.
    • 서버가 서비스로서 실행되는 경우, 도메인 제어기에서 서비스로서 로그온 권한이 있습니다.
서버를 실행 중인 사용자에게 필수 권한이 없는 경우 로그 파일에 다음 예외 메시지 중 하나가 표시될 수 있습니다.
  • 클라이언트가 필수 권한을 보유하지 않습니다.
  • 액세스가 거부됩니다.
문제점 방지 문제점 방지: 명령 프롬프트를 사용 중인 경우 관리자 특권으로 애플리케이션 서버를 시작해야 합니다. 다음 조치를 수행하여 실행된 명령 프롬프트 창에서 애플리케이션 서버를 시작하십시오.
  • 명령 프롬프트 바로 가기를 오른쪽 마우스 단추로 클릭하십시오.
  • 관리자로 실행을 클릭하십시오.

    명령 프롬프트 창을 관리자로 열면 계속할 것인지 묻는 운영 체제 대화 상자가 나타납니다. 계속하려면 계속을 클릭하십시오.

gotcha
[AIX Solaris HP-UX Linux Windows]

도메인 및 로컬 사용자 레지스트리

WebSphere Application Server가 시작될 때, 보안 런타임 초기화 프로세스가 동적으로 로컬 시스템이 Windows 도메인의 멤버인지 여부를 판별하려 시도합니다. 시스템이 도메인의 일부인 경우, 기본적으로 로컬 레지스트리 사용자 또는 그룹과 도메인 레지스트리 사용자 또는 그룹이 모두 도메인 레지스트리가 우선권을 가지면서 인증 및 권한 목적으로 사용될 수 있습니다. 그러면 보안 역할 맵핑 중에 제공되는 사용자 및 그룹의 목록이 로컬 사용자 레지스트리와 도메인 사용자 레지스트리 둘 다에 있는 사용자와 그룹을 포함합니다. 사용자와 그룹은 그와 연관된 호스트 이름으로 구별할 수 있습니다.

WebSphere Application Server는 신뢰 도메인을 지원하지 않습니다.

시스템이 Windows 시스템 도메인의 멤버가 아닌 경우, 해당 시스템에 로컬인 사용자 레지스트리가 사용됩니다.

[AIX Solaris HP-UX Linux Windows]

도메인 사용자 레지스트리와 로컬 운영 체제 레지스트리 모두 사용

WebSphere Application Server 프로세스를 호스트하는 시스템이 도메인의 멤버인 경우 기본적으로 로컬 및 도메인 사용자 레지스트리를 모두 사용합니다. 다음 절은 이 주제에 대한 추가사항을 기술하고 바람직하지 않은 결과를 피하기 위한 몇몇 방법을 권고합니다.
참고: 이 섹션에서는 z/OS 고려사항에 대해 직접 설명하지 않지만 이러한 레지스트리를 설정하는 방법에 따라 전체 보안 조작에 영향을 미칩니다.
  • 우수 사례
    • 일반적으로 로컬 및 도메인 레지스트리가 공통 사용자 또는 그룹을 포함하지 않는 경우 관리하기에 더 간단하고 바람직하지 않은 부가 효과를 제거합니다. 따라서 가능한 경우 서버 ID 및 관리 역할을 포함하여 고유한 보안 역할에 대한 액세스 권한을 사용자 및 그룹에 제공하십시오. 이러한 경우 로컬 사용자 레지스트리 또는 도메인 사용자 레지스트리에서 역할에 맵핑할 사용자 및 그룹을 선택하십시오.
    • 로컬 사용자 레지스트리와 도메인 사용자 레지스트리 모두에 동일한 사용자 또는 그룹이 존재하는 경우 최소한 관리 역할에 맵핑되는 사용자 및 그룹과 서버 ID가 레지스트리에서 고유하고 도메인에만 존재하는 것이 바람직합니다.
    • 사용자의 공통 세트가 존재하는 경우, 적합한 사용자가 인증되도록 서로 다른 비밀번호를 설정하십시오.
  • 작동 방법
    • 시스템이 도메인의 일부일 때 도메인 사용자 레지스트리가 로컬 사용자 레지스트리에 대해 우선권을 갖습니다. 예를 들어, 사용자가 시스템에 로그인할 때 도메인 사용자 레지스트리가 먼저 사용자를 인증하려고 시도합니다. 인증에 실패하면 로컬 사용자 레지스트리를 사용합니다. 사용자 또는 그룹이 역할에 맵핑될 때 해당 사용자 및 그룹 정보는 먼저 도메인 사용자 레지스트리에서 확보합니다. 실패하면 로컬 레지스트리를 시도합니다.
    • 그러나 완전한 사용자 또는 그룹 이름(도메인 또는 호스트 이름이 첨부된 이름)이 역할에 맵핑될 때는 해당 사용자 레지스트리만을 사용하여 정보를 가져옵니다. 완전한 사용자 및 그룹 이름을 가져오려면 관리 콘솔이나 스크립트를 사용하십시오. 이것이 사용자와 그룹을 역할에 맵핑하는 권장 방법입니다.
      팁: 한 시스템(예: 로컬 OS 사용자 레지스트리)의 사용자 Bob과 다른 시스템(예: 도메인 사용자 레지스트리)의 사용자 Bob은 서로 다릅니다. Bob의 고유 ID(이 경우 보안 ID[SID])는 사용자 레지스트리마다 서로 다르기 때문입니다.
  • MyMachine 시스템은 MyDomain 도메인의 일부입니다. MyMachine 시스템에는 다음 사용자 및 그룹이 포함됩니다.
    • MyMachine\user2
    • MyMachine\user3
    • MyMachine\group2
    MyDomain 도메인에는 다음 사용자 및 그룹이 포함됩니다.
    • MyDomain\user1
    • MyDomain\user2
    • MyDomain\group1
    • MyDomain\group2
    다음은 이전 사용자 및 그룹 세트를 가정하는 몇 가지 시나리오입니다.
    1. user2가 시스템에 로그인할 때 도메인 사용자 레지스트리를 사용하여 인증을 수행합니다. 예를 들어, 비밀번호가 달라 인증에 실패하면 로컬 사용자 레지스트리가 사용됩니다.
    2. MyMachine\user2 사용자가 역할에 맵핑되면 MyMachine 시스템의 user2 사용자에게만 액세스 권한이 있습니다. 따라서 user2 비밀번호가 로컬 및 도메인 사용자 레지스트리에서 모두 동일한 경우 user2 사용자는 항상 도메인 사용자 레지스트리를 사용하여 인증되므로 user2 사용자는 해당 자원에 액세스할 수 없습니다. 두 사용자 레지스트리에 공통 사용자가 있는 경우 다른 비밀번호를 사용해야 합니다.
    3. group2 그룹이 역할에 맵핑되면 도메인 사용자 레지스트리에서 먼저 group2 정보를 확보하므로 MyDomain\group2 그룹의 멤버인 사용자만 해당 자원에 액세스할 수 있습니다.
    4. MyMachine\group2 그룹이 역할에 맵핑되면 MyMachine\group2 그룹의 멤버인 사용자만 해당 자원에 액세스할 수 있습니다. 특정 그룹이 역할에 맵핑됩니다(group2만이 아니라 MyMachine\group2).
    5. user3 사용자는 하나의 사용자 레지스트리에만 존재하는 고유한 사용자이므로 user3 사용자 또는 MyMachine\user3 사용자를 사용하여 역할에 맵핑하십시오.

    도메인 사용자 레지스트로 먼저 권한을 부여하면, 사용자가 동일한 비밀번호로 도메인 및 로컬 사용자 레지스트리에 모두 존재하는 경우에 문제점이 발생할 수 있습니다. 사용자는 먼저 도메인 사용자 레지스트리 내에서 인증되기 때문에 이러한 상황에서는 역할 기반 권한이 실패할 수 있습니다. 이 인증에서는 권한 검사 중에 WebSphere Application Server에서 사용되는 고유한 도메인 보안 ID가 생성됩니다. 그러나 역할 지정에는 로컬 사용자 레지스트리가 사용됩니다. 도메인 보안 ID는 역할과 연관된 고유 보안 ID와 일치하지 않습니다. 이러한 문제를 피하려면 보안 역할을 로컬 사용자 대신 도메인 사용자에게 맵핑하십시오.

    둘 이상의 노드가 포함되는 경우, 중앙 집중화된 저장소만을 사용할 수 있습니다. 앞에서 설명한 대로 사용자 및 그룹의 고유 ID(SID)는 노드에 따라 다르므로 이 경우 도메인 사용자 레지스트리만 사용할 수 있습니다.

문제점 방지 문제점 방지: 이 수정팩 이전에는 레지스트리에 그룹이 너무 대량일 경우, UNIX 시스템의 로컬 운영 체제 사용자 레지스트리가 그룹 이름을 찾을 수 없었습니다. 이 문제점은 메모리 제한에 의한 것이며 일반적으로 레지스트리에 수백 개의 그룹이 있는 경우 발생합니다. 이 수정팩부터는 버퍼가 더 많은 그룹을 수용할 수 있습니다. gotcha
[AIX Solaris HP-UX Linux Windows][IBM i]

로컬 또는 도메인 사용자 레지스트리 사용.

로컬 및 도메인 사용자 레지스트리에서 모두 사용자 및 그룹에 액세스하지 않고 두 레지스트리 중 하나에서만 액세스하려면 com.ibm.websphere.registry.UseRegistry 특성을 설정하십시오. 이 특성은 local 또는 domain으로 설정할 수 있습니다. 이 특성을 local(대소문자 구분 안 함)로 설정하면 로컬 사용자 레지스트리만 사용됩니다. 이 특성을 domain(대소문자 구분 안함)으로 설정하면 도메인 사용자 레지스트리만 사용됩니다.

관리 콘솔에서 다음 단계를 완료하여 사용자 정의 특성 패널에 액세스한 다음 이 특성을 설정하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능 범주 정의 드롭 다운 목록을 클릭하고, 로컬 운영 체제를 선택하고 구성을 클릭하십시오.
  3. 추가 특성 아래에서 사용자 정의 특성을 클릭하십시오.
또한 wsadmin을 사용하여 이 특성을 구성할 수도 있습니다. 특성을 설정할 때, 제품 프로세스를 실행 중인 사용자에 대한 권한 요구사항은 변경되지 않습니다. 예를 들어, 이 특성을 local로 설정하면 프로세스를 실행 중인 사용자에게는 특성이 설정되지 않은 경우와 동일한 특권이 필요합니다.
[AIX Solaris HP-UX Linux Windows]

시스템 사용자 레지스트리 사용

시스템 사용자 레지스트리를 사용하는 경우 다음 참고사항이 적용됩니다.
  • [AIX][HP-UX][Linux][Solaris]시스템 사용자 레지스트리를 사용하는 경우 WebSphere Application Server 프로세스를 실행하는 프로세스 ID에는 사용자 또는 그룹 정보를 인증하고 확보하기 위해 로컬 운영 체제 API를 호출할 수 있는 루트 권한이 필요합니다.
  • [AIX][HP-UX][Linux][Solaris]로컬 시스템 사용자 레지스트리만 사용됩니다. NIS(Network Information Service)(Yellow Pages)는 지원되지 않습니다.
  • [HP-UX]로컬 운영 체제 사용자 레지스트리를 사용 중인 경우, HP-UX는 비신뢰 모드로 구성해야 합니다. 로컬 운영 체제 사용자 레지스트리를 사용할 경우 신뢰 모드가 지원되지 않습니다.
  • [Linux][Solaris]

    WebSphere Application Server 로컬 운영 체제 레지스트리가 Linux 및 Solaris 플랫폼에서 작동하려면 음영 비밀번호 파일이 있어야 합니다. 음영 비밀번호 파일의 이름은 shadow이고 해당 파일은 /etc 디렉토리에 있습니다. 음영 비밀번호 파일이 존재하지 않는 경우, 관리 보안을 사용 가능하게 하거나 레지스트리를 로컬 운영 체제로 구성하면 오류가 발생합니다.

    음영 파일을 작성하려면 pwconv 명령을 실행하십시오(매개변수 없이). 이 명령은 /etc/passwd 파일에서 /etc/shadow 파일을 작성합니다. 음영 파일을 작성한 후, 로컬 운영 체제 보안을 성공적으로 사용 가능하게 할 수 있습니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_localos
파일 이름:csec_localos.html