JAX-RPC를 사용하여 서버 또는 셀 레벨에서 메시지 확실성을 보호할 토큰 이용자 구성

서버 또는 셀 레벨의 토큰 이용자를 사용하여 보안 토큰을 처리하는 데 필요한 정보를 지정합니다(정보가 애플리케이션 레벨에서 정의되지 않은 경우).

시작하기 전에

생성기에 대해 제공하는 키 저장소/별명 정보 및 다른 목적으로 사용되는 이용자에 대해 제공하는 키 저장소/별명 정보를 이해하고 있어야 합니다. 주요 차이는 X.509 콜백 핸들러에 대한 별명에 적용됩니다.

암호화 이용자와 연관되어 사용되는 경우 이용자에 제공되는 별명을 사용하여 메시지를 복호화하기 위한 개인 키를 검색합니다. 비밀번호가 필요합니다. 서명 이용자와 연관되어 사용되는 경우 이용자에 제공되는 별명을 엄격하게 사용하여 BinarySecurityToken으로 SOAP 보안 헤더에 전달되지 않는 X.509 인증을 해석하는 데 사용되는 공개 키를 검색합니다. 비밀번호는 필요하지 않습니다.

이 태스크 정보

WebSphere® 애플리케이션 서버는 바인딩을 위한 기본값을 제공합니다. 프로덕션 환경에 맞게 기본값을 수정해야 합니다.

서버 레벨 및 셀 레벨에서 토큰 이용자를 구성할 수 있습니다. 다음 단계에서는 첫 번째 단계를 사용하여 서버 레벨 기본 바인딩에 액세스하고 두 번째 단계를 사용하여 셀 레벨 바인딩에 액세스하십시오.

프로시저

  1. 서버 레벨의 기본 바인딩에 액세스하십시오.
    1. 서버 > 서버 유형 > WebSphere Application Sever > server_name을 클릭하십시오.
    2. 보안 아래에서 JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
      혼합 버전 환경 혼합 버전 환경: WebSphere Application Sever 버전 6.1 이전을 사용하는 서버가 있는 혼합 노드 셀에서 웹 서비스: 웹 서비스 보안의 기본 바인딩을 클릭하십시오.mixv
  2. 보안 > 웹 서비스를 클릭하여 셀 레벨에서 기본 바인딩에 액세스하십시오.
  3. 기본 이용자 바인딩 아래에서 토큰 이용자를 클릭하십시오.
  4. 새로 작성을 클릭하여 토큰 이용자 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 이용자 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 토큰 이용자 이름 필드에 토큰 이용자 구성의 고유 이름을 입력하십시오. 예를 들어 sig_tcon을 지정할 수 있습니다. 이 필드는 토큰 이용자 요소의 이름을 지정합니다.
  5. 토큰 이용자 클래스 이름 필드에 클래스 이름을 지정하십시오. JAAS(Java™ Authentication and Authorization Service) 로그인 모듈 구현은 이용자 측에서 보안 토큰의 유효성을 검증(인증)하기 위해 사용됩니다.
    제한사항: com.ibm.wsspi.wssecurity.token.TokenConsumingComponent 인터페이스는 JAX-WS 웹 서비스에서 사용되지 않습니다. JAX-RPC 웹 서비스를 사용하는 경우 이 인터페이스는 계속 유효합니다.

    토큰 이용자 클래스 이름은 토큰 생성기 클래스 이름과 유사해야 합니다.

    예를 들어 애플리케이션이 X.509 인증 토큰 이용자를 필수로 하는 경우, 토큰 생성기 분할창에 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 클래스 이름을 지정하고 이 필드에 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 클래스 이름을 지정할 수 있습니다. WebSphere 애플리케이션 서버는 다음 기본 토큰 이용자 클래스 구현을 제공합니다.
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    이 구현은 사용자 이름 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    이 구현은 X.509 인증 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    이 구현은 LTPA(Lightweight Third Party Authentication) 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    이 구현은 IDAssertionUsername 토큰을 통합합니다.

    대응하는 토큰 생성기 클래스가 이 구현에 없습니다.

  6. 인증 경로 옵션을 선택하십시오. 인증 경로가 CRL과 함께 PKCS#7으로 랩핑된 보안 토큰을 생성하는 데 사용하는 CRL(Certificate Revocation List)을 지정합니다. WebSphere 애플리케이션 서버는 다음 인증 경로 옵션을 제공합니다.
    없음
    이 옵션을 선택하면, 인증 경로가 지정되지 않습니다.
    모두 신뢰
    이 옵션을 선택하면, 인증이 신뢰됩니다. 수신된 토큰이 소비되면 인증 경로 유효성 검증이 처리되지 않습니다.
    전용 서명 정보
    이 옵션을 선택하면, 신뢰 앵커 및 인증 저장을 지정할 수 있습니다. 신뢰 인증의 인증 저장 또는 신뢰 앵커를 선택한 경우, 인증 경로를 설정하기 전에 콜렉션 인증 저장을 구성해야 합니다. 서버 또는 셀 레벨에서 콜렉션 인증 저장소를 정의하려면 서버 또는 셀 레벨에서 콜렉션 인증 구성의 내용을 참조하십시오.
    1. 신뢰 앵커 필드에서 신뢰 앵커를 선택하십시오. WebSphere 애플리케이션 서버는 두 개의 샘플 신뢰 앵커를 제공합니다. 그러나 프로덕션 환경에 맞게 사용자의 신뢰 앵커를 구성하는 것이 좋습니다. 신뢰 앵커 구성에 대한 정보는 서버 또는 셀 레벨에서 신뢰 앵커 구성의 내용을 참조하십시오.
    2. 인증 저장 필드에서 콜렉션 인증 저장을 선택하십시오. WebSphere 애플리케이션 서버는 샘플 콜렉션 인증 저장소를 제공합니다. 없음을 선택하는 경우, 콜렉션 인증 저장이 지정되지 않습니다. 유효성 검증을 기다리는 신뢰가 없는 중간 인증 파일이 포함된 인증 저장 목록 지정에 대한 정보는 서버 또는 셀 레벨에서 신뢰 ID 평가자 구성의 내용을 참조하십시오.
  7. 신뢰 ID 평가자 참조 필드에서 신뢰 ID 평가자를 선택하십시오. 이 필드가 신뢰 ID 평가자 분할창에 정의된 신뢰 ID 평가자 클래스 이름의 참조를 지정합니다. 신뢰 ID 평가자를 사용하여 수신한 ID를 신뢰할지 여부를 평가합니다. 없음을 선택하면, 신뢰 ID 평가자가 이 토큰 이용자 구성에서 참조되지 않습니다. 신뢰 ID 평가자를 구성하려면 서버 또는 셀 레벨에서 신뢰 ID 평가자 구성의 내용을 참조하십시오.
  8. Nonce가 생성기측의 사용자 이름 토큰에 포함된 경우, Nonce 옵션을 선택하십시오. Nonce는 사용자 이름 토큰의 반복적 무단 침입을 중지하기 위해 메시지에 임베디드된 고유한 암호화 숫자입니다. 토큰 이용자의 사용자 이름 토큰을 지정하고 Nonce가 생성기측의 사용자 이름 토큰에 추가된 경우, Nonce 확인 옵션이 사용 가능합니다.
  9. 시간소인이 생성기측의 사용자 이름 토큰에 포함된 경우, 시간소인 확인 옵션을 선택하십시오. 토큰 이용자의 사용자 이름 토큰을 지정하고 시간소인이 생성기측의 사용자 이름 토큰에 추가된 경우, 시간소인 확인 옵션이 사용 가능합니다.
  10. 통합 토큰에 대한 값 유형의 로컬 이름을 지정하십시오. 이 항목은 키 ID가 참조하는 보안 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 이 속성은 키 ID가 키 정보 유형으로 선택된 경우 유효합니다. 키 정보 유형을 지정하려면 서버 또는 셀 레벨에서 이용자 바인딩에 대한 키 정보 구성의 내용을 참조하십시오. WebSphere 애플리케이션 서버에 사용자 이름 토큰과 X.509 인증 보안 토큰의 사전 정의된 값 유형 로컬 이름이 있습니다. 사용자 이름 토큰 및 X.509 인증 보안 토큰의 다음 로컬 이름 중 하나를 입력하십시오. 다음 로컬 이름을 지정하는 경우, 값 유형의 URI를 지정하지 않아야 합니다.
    사용자 이름 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509 인증 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath의 X.509 인증
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7의 CRL 및 X.509 인증 목록
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    참고: LTPA(Lightweight Third Party Authentication) 또는 토큰 전파(LTPA_PROPAGATION)를 지정하려면 값 유형 로컬 이름 및 URI(Uniform Resource Identifier)를 모두 지정해야 합니다. LTPA의 경우 로컬 이름에 LTPA을 지정하고 URI에 http://www.ibm.com/websphere/appserver/tokentype/5.0.2를 지정하십시오. LTPA 토큰 전파의 경우 로컬 이름에 LTPA_PROPAGATION을 지정하고 URI에 http://www.ibm.com/websphere/appserver/tokentype을 지정하십시오.
    예를 들어 X.509 인증 토큰을 지정한 경우, 로컬 이름에 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3을 사용할 수 있습니다. 기타 토큰의 로컬 이름을 지정하는 경우, 값 유형 Qname을 지정해야 합니다. 예제: uri=http://www.ibm.com/custom, localName=CustomToken
  11. URI 필드에 값 유형 URI(Uniform Resource Identifier)를 지정하십시오. 이 항목은 키 ID가 참조하는 보안 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다. 이 속성은 키 ID가 기본 생성기에 대한 키 정보 분할창의 키 정보 유형으로 선택된 경우 유효합니다. 사용자 이름 토큰 또는 X.509 인증 보안 토큰에 대한 토큰 이용자를 지정하는 경우, 이 옵션을 지정하지 않아야 합니다. 기타 토큰을 지정하는 경우, 값 유형에 대한 QName의 URI를 지정해야 합니다.
  12. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오. 토큰 생성기 구성을 저장하고 나서 토큰 이용자의 JAAS 구성을 지정할 수 있습니다.
  13. 토큰 생성기 구성의 이름을 클릭하십시오.
  14. 추가 특성 아래에서 JAAS 구성을 클릭하십시오.
  15. JAAS 구성 이름 필드에서 JAAS 구성을 선택하십시오.

    필드는 애플리케이션 로그인 구성의 JAAS 시스템 이름을 지정합니다. 보안 > 글로벌 보안을 클릭하여 추가 JAAS 시스템 및 애플리케이션 구성을 지정할 수 있습니다. JAAS(Java Authentication and Authorization Service)를 펼친 다음 애플리케이션 로그인 > 새로 작성 또는 시스템 로그인 > 새로 작성을 클릭하십시오.

    [AIX Solaris HP-UX Linux Windows][z/OS]JAAS 구성에 대한 자세한 정보는 JAAS 구성 설정의 내용을 참조하십시오.

    사전 정의된 시스템 또는 애플리케이션 로그인 구성을 제거하지 마십시오. 그러나 해당 구성 내에서 모듈 클래스 이름을 추가하고 WebSphere 애플리케이션 서버가 각각의 모듈을 로드하는 순서를 지정할 수는 있습니다. WebSphere 애플리케이션 서버는 다음 사전 정의된 JAAS 구성을 제공합니다.
    ClientContainer
    이 선택사항은 클라이언트 컨테이너 애플리케이션에서 사용하는 로그인 구성을 지정합니다. 구성은 클라이언트 컨테이너에 대한 배치 디스크립터에 정의된 CallbackHandler API(Application Programming Interface)를 사용합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
    WSLogin
    이 선택사항은 모든 애플리케이션이 WSLogin 구성을 사용하여 보안 런타임의 인증을 수행할 수 있는지 여부를 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
    DefaultPrincipalMapping
    이 선택사항은 J2C(Java 2 Connector)가 J2C 인증 데이터 항목에 정의되는 프린시펄에 사용자를 맵핑하는 데 사용하는 로그인 구성을 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.IDAssertion
    이 선택사항을 사용하면 버전 5.x 애플리케이션이 ID 어설션을 사용하여 사용자 이름을 WebSphere 애플리케이션 서버 신임 프린시펄로 맵핑할 수 있습니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.Signature
    이 선택사항을 사용하면 버전 5.x 애플리케이션이 서명된 인증의 식별 이름(DN)을 WebSphere 애플리케이션 서버 신임 프린시펄로 맵핑할 수 있습니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.LTPA_WEB
    이 선택사항은 웹 컨테이너에 사용된 로그인 요청(예: 서블릿 및 JSP(JavaServer Pages) 파일)을 처리합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.WEB_INBOUND
    이 선택사항은 서블릿 및 JSP(JavaServer Pages) 파일을 포함하는 웹 애플리케이션의 로그인 요청을 처리합니다. 이 로그인 구성은 WebSphere 애플리케이션 서버 버전 5.1.1에서 사용합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.RMI_INBOUND
    이 선택사항은 인바인드 RMI(Remote Method Invocation) 요청의 로그인을 처리합니다. 이 로그인 구성은 WebSphere 애플리케이션 서버 버전 5.1.1에서 사용합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.DEFAULT
    이 선택사항은 웹 애플리케이션 및 RMI 요청을 제외한 내부 인증 및 대부분의 기타 프로토콜에서 작성한 인바운드 요청의 로그인을 처리합니다. 이 로그인 구성은 WebSphere 애플리케이션 서버 버전 5.1.1에서 사용합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.RMI_OUTBOUND
    이 선택사항은 com.ibm.CSIOutboundPropagationEnabled 특성이 true일 때 다른 서버에 아웃바운드로 전송되는 RMI 요청을 처리합니다. 이 특성은 CSIv2 인증 분할창에서 설정됩니다. 분할창에 액세스하려면 보안 > 글로벌 보안을 클릭하십시오. 인증 아래에서 RMI/IIOP 보안을 펼치고 CSIv2 아웃바운드 인증을 클릭하십시오. com.ibm.CSIOutboundPropagationEnabled 특성을 설정하려면 보안 속성 전파를 선택하십시오. 이 JAAS 로그인 구성을 수정하려면 JAAS - 시스템 로그인 분할창을 참조하십시오.
    system.wssecurity.X509BST
    이 섹션은 인증 및 인증 경로의 유효성을 검증하여 X.509 BST(2진 보안 토큰)를 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.PKCS7
    이 선택사항은 PKCS7 오브젝트의 인증 거부 목록을 사용하여 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.PkiPath
    이 섹션은 PKI(Public Key Infrastructure) 경로를 사용하여 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.UsernameToken
    이 선택사항은 기본 인증(사용자 이름 및 비밀번호) 데이터를 확인합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.wssecurity.IDAssertionUsernameToken
    이 선택사항을 사용하면 버전 6 이상 애플리케이션이 ID 어설션을 사용하여 사용자 이름을 WebSphere 애플리케이션 서버 신임 프린시펄로 맵핑할 수 있습니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.WSS_INBOUND
    이 선택사항은 웹 서비스 보안을 사용한 보안 토큰 전파의 인바운드 또는 이용자 요청에 대한 로그인 구성을 지정합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    system.WSS_OUTBOUND
    이 선택사항은 웹 서비스 보안을 사용한 보안 토큰 전파의 아웃바운드 또는 생성기 요청에 대한 로그인 구성을 지정합니다. 이 구성을 수정하려면 시스템 로그인의 JAAS 구성 분할창을 참조하십시오.
    없음
    이 선택사항을 사용하여 JAAS 로그인 구성을 지정하지 마십시오.
  16. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.

결과

서버 또는 셀 레벨에서 토큰 이용자를 구성했습니다.

다음에 수행할 작업

서버 또는 셀 레벨에 대한 유사한 토큰 생성기 구성을 지정해야 합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
파일 이름:twbs_configtokenconssvrcell.html