SPNEGO TAI(더 이상 사용되지 않음)를 사용하여 HTTP 요청을 위한 싱글 사인온 작성

WebSphere® Application Server의 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 신뢰 연관 인터셉터(TAI)를 사용하여 HTTP 요청에 대해 싱글 사인온을 작성하려면 여러 개의 특징적인 성능이 필요합니다. 그러나 완료되면 관련 기능은 HTTP 사용자가 해당 데스크톱에서 한 번만 로그인하고 인증하고, WebSphere Application Server로부터 자동 인증을 받도록 허용합니다.

시작하기 전에

제거된 기능 제거된 기능:

WebSphere 애플리케이션 서버 버전 6.1에서는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 안전하게 처리하고 인증하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 7.0에서 이 기능은 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 대체를 사용할 수 있습니다.

depfeat

이 태스크를 시작하기 전에, 다음 체크리스트를 완료하십시오.

  • [Windows] Active Directory Domain Controller를 실행 중인 Microsoft Windows Server 및 연관된 Kerberos 키 분배 센터(KDC).
  • [Windows]IETF RFC 2478에서 정의된 것처럼, SPNEGO 인증 메커니즘을 지원하는 Microsoft Windows 도메인 구성원(클라이언트)(예: 브라우저 또는 Microsoft .NET 클라이언트). Microsoft Internet Explorer 버전 5.5 이상 및 Mozilla Firefox 버전 1.0은 이러한 클라이언트로서 적합합니다.
    중요사항: 실행 중인 도메인 제어기 및 해당 도메인에 하나 이상의 클라이언트 머신이 필요합니다. 도메인 제어기에서 직접 SPNEGO를 사용하려고 시도하는 것은 지원되지 않습니다.
  • 도메인 구성원에는 도메인에 로그인할 수 있는 사용자가 있습니다. 특히, 다음을 포함하는 작동하는 Microsoft Windows Active Directory 도메인이 있어야 합니다.
    • 도메인 제어기
    • 클라이언트 워크스테이션
    • 클라이언트 워크스테이션에 로그인할 수 있는 사용자
  • WebSphere Application Server가 실행 중이고 애플리케이션 보안이 사용 가능으로 설정된 서버 플랫폼.
  • Active Directory 위의 사용자는 기본 WebSphere Application Server 인증 메커니즘을 사용하여 WebSphere Application Server 보호 자원에 액세스할 수 있어야 합니다.
  • 도메인 제어기 및 WebSphere Application Server의 호스트는 로컬 시간이 동일해야 합니다.
  • 클라이언트, Microsoft Active Directory 및 WebSphere Application Server의 시계가 5분 내에 동기화되는지 확인하십시오.
  • 클라이언트 브라우저에 SPNEGO가 사용 가능으로 설정되어 있는지 확인하십시오. 이는 클라이언트 애플리케이션 머신(이 태스크의 2단계에서 세부사항이 설명됨)에서 수행합니다.

이 태스크 정보

이 머신 배치의 목적은 사용자가 Microsoft Windows 데스크탑 싱글 사인온 기능을 재인증하거나 달성할 필요 없이 WebSphere Application Server 자원에 성공적으로 액세스할 수 있도록 허용하기 위한 것입니다.

이 환경의 구성원을 Microsoft Windows 싱글 사인온을 설정하도록 구성하는 작업은 세 개의 개별 머신에서 수행되는 특정 활동과 관련됩니다.
  • Active Directory 도메인 제어기를 실행 중인 Microsoft Windows Server 연관된 키 분배 센터(KDC)
  • Microsoft Windows 도메인 구성원(클라이언트 애플리케이션)(예: 브라우저 또는 Microsoft .NET 클라이언트).
  • WebSphere Application Server가 실행 중인 서버 플랫폼.

SPNEGO를 사용하여 HTTP 요청에 대한 싱글 사인온을 작성하기 위해 표시된 머신에서 다음 단계를 수행하십시오.

프로시저

  1. 도메인 제어기 머신 - Active Directory 도메인 제어기를 실행 중인 Microsoft Windows Server 연관된 키 분배 센터(KDC) 이 구성 활동에는 다음 단계가 있습니다.
    중요사항: 도메인 제어기 오퍼레이션은 다음 결과로 이어져야 합니다.
    • 사용자 계정은 Microsoft Active Directory에서 작성되고 Kerberos 서비스 프린시펄 이름에 맵핑됩니다.
    • Kerberos keytab 파일(krb5.keytab)은 WebSphere Application Server에서 작성되고 사용 가능하게 됩니다. Kerberos keytab 파일에는 WebSphere Application Server가 Microsoft Active Directory 및 Kerberos 계정에서 사용자를 인증하기 위해 사용하는 Kerberos 서비스 프린시펄 키가 포함됩니다.
  2. 클라이언트 애플리케이션 머신 - 클라이언트 애플리케이션을 구성합니다. 클라이언트측 애플리케이션은 SPNEGO TAI가 사용할 SPNEGO 토큰을 생성하는 책임이 있습니다. SPNEGO 인증을 사용하도록 웹 브라우저를 구성하여 이 구성 프로세스를 시작합니다. 브라우저에 필요한 자세한 단계는 SPNEGO TAI(더 이상 사용되지 않음)를 사용하기 위해 클라이언트 브라우저 구성의 내용을 참조하십시오.
  3. WebSphere Application Server 머신 - 다음 태스크를 수행하여 Application Server 및 연관된 SPNEGO TAI를 구성하고 사용 가능으로 설정하십시오.
  4. 옵션: 원격 HTTP 서버 사용 - 원격 서버를 사용하려면 다음 단계를 완료해야 합니다. 여기에서는 이미 JVM 특성을 구성했고 이 특성이 정의된 Application Server에서 SPNEGO TAI를 사용 가능으로 설정한 것으로 가정합니다.
    1. 원격 프록시 서버를 위해 WebSphere Application Server SPNEGO TAI(더 이상 사용되지 않음)에 의해 사용되는 Kerberos 서비스 프린시펄 및 keytab 파일 작성에서 단계를 완료하십시오.
    2. 4a 단계에서 작성된 keytab 파일을 1단계에서 작성된 이전 keytab 파일과 병합하십시오. 자세한 정보는 ktab 명령을 사용하여 Kerberos keytab 파일 관리의 내용을 참조하십시오.
    3. addSpnegoTAIProperties wsadmin 명령 태스크를 사용하여 원격 프록시 서버를 위해 SPN을 작성하십시오. 자세한 정보는 AdminTask 오브젝트에 대한 SpnegoTAICommands 그룹(더 이상 사용되지 않음)의 내용을 참조하십시오.
    4. WebSphere Application Server를 다시 시작하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_tai
파일 이름:tsec_SPNEGO_tai.html