인증 메커니즘 선택
인증 메커니즘은 신임 정보가 또 다른 Java™ 프로세스에 전달 가능한지 및 보안 정보가 신임 정보 및 토큰 둘 모두에 저장되는 형식 등과 같은 보안 정보에 대한 규칙을 정의합니다. 관리 콘솔을 사용하여 인증 메커니즘을 선택하고 구성할 수 있습니다.
이 태스크 정보
인증은 클라이언트가 특정 컨텍스트에서 자신을 누구 또는 무엇이라고 주장하는지 여부를 설정하는 프로세스입니다. 클라이언트는 사용자, 시스템 또는 애플리케이션일 수 있습니다. WebSphere® Application Server에서 인증 메커니즘은 일반적으로 사용자 레지스트리와 밀접하게 협력합니다. 사용자 레지스트리는 인증 메커니즘이 인증을 수행할 때 고려하는 사용자 및 그룹 계정 저장소입니다. 인증 메커니즘은 성공적으로 인증된 클라이언트 사용자의 내부 제품 표시인 신임 정보를 작성할 책임이 있습니다. 모든 신임 정보가 동등하게 작성되지는 않습니다. 신임 정보의 기능은 구성된 인증 메커니즘에 의해 판별됩니다.
WebSphere Application Server는 LTPA(Lightweight Third Party Authentication), Kerberos 및 RSA 토큰 인증 메커니즘의 세 개의 인증 메커니즘을 제공합니다.
인증 메커니즘으로서 Kerberos에 대한 보안 지원이 WebSphere Application Server의 이 릴리스에 추가되었습니다. Kerberos(KRB5)는 성숙하고, 유연하고, 개방적이고 매우 안전한 네트워크 인증 프로토콜입니다. Kerberos에는 인증, 상호 인증, 메시지 무결성 및 기밀성 및 위임 기능이 포함됩니다. KRB5는 관리 콘솔에서 Kerberos에 사용되고 sas.client.props, soap.client.props 및 ipc.client.props 파일에서 사용됩니다.
RSA 토큰 인증 메커니즘은 WebSphere Application Server의 이 릴리스의 새로운 기능입니다. 이는 기본 프로파일 구성을 보존하고 이를 보안 관점으로부터 분리하기 위해 유연한 관리 목적을 지원합니다. 이 메커니즘은 관리 에이전트가 관리하는 기본 프로파일이 LTPA(Lightweight Third-Party Authentication) 키, 다른 사용자 레지스트리 및 다른 관리 에이전트를 가지도록 허용합니다.
보호된 자원에 액세스할 때 엔터프라이즈 Bean 클라이언트 및 웹 클라이언트에 대해 인증이 필요합니다. 서블릿 또는 기타 엔터프라이즈 Bean 또는 순수한 클라이언트와 같이 엔터프라이즈 Bean 클라이언트는 다음 프로토콜 중 하나를 사용하여 웹 Application Server로 인증 정보를 보냅니다.
- CSIv2(Common Secure Interoperability Version 2)
SAS(Secure Authentication Service)
참고: SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.z/OS® Secure Authentication Service(z/SAS)
참고: z/SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.
웹 클라이언트는 HTTP 또는 HTTPS 프로토콜을 사용하여 인증 정보를 보냅니다.
인증 정보는 기본 인증(사용자 ID 및 비밀번호), 신임 정보 토큰 또는 클라이언트 인증서일 수 있습니다. 웹 인증은 웹 인증 모듈에 의해 수행됩니다.
- URI가 보호될 때에만 인증하십시오.
- 웹 클라이언트가 보호된 URI(Uniform Resource Identifier)에 액세스할 때에만 인증된 ID를 검색할 수 있음을 지정합니다. WebSphere Application Server는 웹 클라이언트가 J2EE 역할에 의해 보호되는 URI에 액세스할 때 인증 데이터를 제공하도록 요구합니다. 이 기본 옵션은 또한 WebSphere Application Server의 이전 버전에서도 사용 가능합니다.
- 보호되지 않은 URI에 액세스할 때 사용 가능한 인증 데이터를 사용하십시오.
- 웹 클라이언트가 getRemoteUser, isUserInRole 및 getUserPrincipal 메소드를 호출할 권한이 있음을 지정합니다. 보호되었거나 보호되지 않은 URI로부터 인증된 ID를 검색합니다. 보호되지 않은 URI에 액세스할 때 인증 데이터는 사용되지 않지만 인증 데이터는 나중에 사용하기 위해 보존됩니다. 이 옵션은 URI가 보호될 때만 인증 선택란을 선택할 때 사용 가능합니다.
- URI에 액세스할 때 인증하십시오.
- 웹 클라이언트가 URI가 보호되는지 여부와 관계없이 인증 데이터를 제공해야 함을 지정합니다.
- HTTPS 클라이언트의 인증서 인증에 실패할 때 기본 인증으로 설정합니다.
- WebSphere Application Server가 웹 클라이언트에 필수 HTTPS 클라이언트 인증서 인증에 실패할 때 사용자 ID와 비밀번호를 요구하도록 지정합니다.
엔터프라이즈 Bean 인증이 EJB(Enterprise JavaBeans) 인증 모듈에 의해 수행됩니다.
EJB 인증 모듈은 CSIv2 및 SAS 계층에 상주합니다.
EJB 인증 모듈은
CSIv2 및 z/SAS 계층에 상주합니다.
인증 모듈은 JAAS(Java Authentication and Authorization Service) 로그인 모듈을 사용하여 구현됩니다. 웹 인증자와 EJB 인증자는 인증 데이터를 로그인 모듈로 전달하고 이는 다음 메커니즘을 사용하여 데이터를 인증할 수 있습니다.
- Kerberos
- LTPA
- RSA 토큰
단순 WebSphere Authentication Mechanism(SWAM)
참고: SWAM은 WebSphere Application Server 버전 6.1에서 더 이상 사용되지 않으며 이후 릴리스에서는 제거됩니다.
- 연합 저장소
- 로컬 운영 체제
- LDAP(Lightweight Directory Access Protocol) 레지스트리
- 독립형 사용자 정의 레지스트리
IBM®이 지정하는 레지스트리 인터페이스를 따르는 외부 레지스트리 구현은 로컬 운영 체제 또는 LDAP 레지스트리를 대체할 수 있습니다.
로그인 모듈은 인증 후에 JAAS 제목을 작성하고 인증 데이터로부터 파생된 신임 정보를 제목의 공개 신임 정보 목록에 저장합니다. 신임 정보는 웹 인증자 또는 엔터프라이즈 Bean 인증자로 돌아갑니다.
웹 인증자 및 엔터프라이즈 Bean 인증자는
수신한 신임 정보를 권한 서비스가 이후의 액세스 제어 확인을 수행하는 데 사용할 수 있도록 현재
ORB(Object Request Broker)에 저장합니다. 신임 정보가 전달 가능하면 이들은 다른 Application Server로 전송됩니다.
웹 인증자 및 엔터프라이즈 Bean 인증자는
수신한 신임 정보를 권한 서비스가 이후의 액세스 제어 확인을 수행하는 데 사용할 수 있도록 저장합니다.
다음을 수행하여 관리 콘솔에서 인증 메커니즘을 구성할 수 있습니다.
프로시저
- 보안 > 글로벌 보안을 클릭하십시오.
- 인증 메커니즘 및 만기 아래에서 구성할 인증 메커니즘을 선택하십시오.