SPNEGO TAI를 사용한 HTTP 요청에 대한 싱글 사인온(더 이상 사용되지 않음)

WebSphere® Application ServerWebSphere Application Server에서 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 안전하게 처리하고 인증하는 신뢰 연관 인터셉터(TAI)를 제공합니다.

제거된 기능 제거된 기능:

WebSphere Application Server 버전 6.1에서 보안된 자원에 대한 HTTP 요청을 안전하게 협상하고 인증하기 위해 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 7.0에서 이 기능은 이제는 더 이상 사용되지 않습니다. SPNEGO 웹 인증을 사용하면 SPNEGO 필터를 동적으로 다시 로드하고 애플리케이션 로그인 메소드로의 대체를 사용할 수 있습니다.

자세한 정보는 SPNEGO 웹 인증을 사용하여 HTTP 요청을 위한 싱글 사인온 작성의 내용을 참조하십시오.

depfeat

SPNEGO는 Simple and Protected GSS-API Negotiation Mechanism(IETF RFC 2478)에서 정의된 표준 스펙입니다.

WebSphere Application Server 관리 보안이 사용되는 경우, SPNEGO TAI가 초기화됩니다. 인바운드 HTTP 요청을 처리하는 동안, 웹 인증자 컴포넌트가 보안 구성 저장소에서 정의 및 사용된 SPNEGO TAI와 상호작용 합니다. 하나의 인터셉터가 선택되며 HTTP 요청에서 식별된 보안 설정된 자원에 대한 액세스 인증을 담당합니다.
중요사항: TAI의 사용은 선택적 기능입니다. TAI가 선택되지 않은 경우, 일반적으로 인증 프로세스가 계속됩니다.

HTTP 사용자는 데스크탑에서 한 번만 로그인 및 인증하며 WebSphere Application Server로 순차적으로(내부적으로) 인증됩니다. SPNEGO TAI는 WebSphere 애플리케이션의 일반 사용자에게 감춰져 있습니다. SPNEGO TAI는 적절한 구성, 용량, 웹 환경의 유지보수 확인을 담당하는 웹 관리자에게만 보입니다.

WebSphere Application Server 보안 런타임 서비스와 더불어, SPNEGO TAI의 조작을 완전히 사용하기 위해 일부 외부 컴포넌트가 필요합니다. 외부 컴포넌트는 다음과 같습니다.
  • [Windows]활성 디렉토리 도메인이 포함되고 Kerberos KDC(Key Distribution Center)를 연관한 Microsoft Windows 서버입니다. 지원되는 Microsoft Windows Server에 대한 자세한 정보는 Windows에서 WebSphere Application Server 버전 9.0의 시스템 요구사항을 참조하십시오.
  • 예를 들어, IETF RFC 2478에 정의된대로 SPNEGO 인증 메커니즘을 지원 하는 클라이언트 애플리케이션 또는 Microsoft .NET 클라이언트입니다. Microsoft Internet Explorer 버전 5.5 이상 및 Mozilla Firefox 버전 1.0은 브라우저 예입니다. 브라우저는 SPNEGO 메커니즘을 사용하여 구성되어야 합니다. 이 구성을 수행하는 것에 대한 자세한 정보는 SPNEGO TAI(더 이상 사용되지 않음)를 사용하기 위해 클라이언트 브라우저 구성의 내용을 참조하십시오.
HTTP의 인증은 SPNEGO 토큰을 생성하는 요청자(클라이언트 측)에 의하여 트리거됩니다. WebSphere Application Server는 이 토큰을 수신하여 요청자와 WebSphere Application Server 간 신뢰의 유효성을 검증합니다. 특히, SPNEGO TAI는 SPNEGO 토큰의 요청자 ID를 디코딩 및 검색합니다. 요청자와 애플리케이션 서버 간 보안 컨텍스트를 설정하는 데 ID가 사용됩니다.
알아두기: SPNEGO TAI는 WebSphere Application Server의 서버측 솔루션입니다. 클라이언트 측 애플리케이션은 SPNEGO TAI가 사용하기 위한 SPNEGO 토큰을 생성하는 것을 담당합니다. WebSphere Application Server 보안 레지스트리의 요청자 ID는 SPNEGO TAI가 검색하는 ID와 동일해야 합니다. Microsoft Windows 활성 디렉토리 서버가 WebSphere Application Server에 사용된 LDAP(Lightweight Directory Access Protocol) 서버인 경우 ID가 일치합니다. 사용자 정의 로그인 모듈을 플러그인으로 사용하여 ID의 사용자 정의 맵핑을 활성 디렉토리에서 WebSphere Application Server 보안 레지스트리로 지원할 수 있습니다. 이 사용자 정의 로그인 모듈 사용에 관한 정보는 Kerberos 클라이언트 프린시펄 이름을 SPNEGO TAI(더 이상 사용되지 않음)의 WebSphere 사용자 레지스트리 ID로 맵핑의 내용을 참조하십시오.
WebSphere Application Server는 보안 레지스트리에 대해 ID의 유효성을 검증하며 유효성 검증이 성공하면 LTPA(Lightweight Third Party Authentication) 보안 토큰을 생성하여 위치시키고 쿠키를 HTTP 응답의 요청자에 리턴합니다. WebSphere Application Server의 추가 보안 설정된 자원을 액세스하기 위한 이 동일한 요청자의 후속 HTTP 요청은 반복된 로그인 시도를 피하기 위해 이전에 작성된 LTPA 보안 토큰을 사용합니다.

다음 그래픽에 인증 확인-응답 핸드쉐이크가 나타납니다.

그림 1. HTTP 요청 처리, WebSphere Application Server - SPNEGO TAI인증 확인-응답 핸드쉐이크 프로세스입니다. WebSphere Application Server는 보안 레지스트리에 대해 ID의 유효성을 검증하며 유효성 검증이 성공하면 LTPA(Lightweight Third Party Authentication) 보안 토큰을 생성하여 위치시키고 쿠키를 HTTP 응답의 요청자에 리턴합니다. WebSphere Application Server의 추가 보안 설정된 자원을 액세스하기 위한 이 동일한 요청자의 후속 HTTP 요청은 이전에 작성된 LTPA 보안 토큰을 사용하여 반복된 로그인 시도를 피합니다.
SPNEGO TAI는 WebSphere Application Server 셀 구성에서 모든 또는 선택된 WebSphere Application Server에 대해 사용될 수 있습니다. 또한, 각 SPNEGO TAI 인스턴스의 동작은 Kerberos SPN(Service Principal Name)을 구성하기 위해 사용된 호스트 이름 및 보안 영역과 같은 HTTP 요청을 필터링하기 위해 사용된 기준 등을 식별하는 데에 사용된 사용자 정의 구성 특성에 의해 제어됩니다. SPNEGO TAI 사용자 정의 구성 특성의 설정에 관한 자세한 정보는 다음 주제를 참조하십시오.

다음 그래픽에 표시된 바와 같이, 웹 관리자에게 다음 SPNEGO TAI 보안 컴포넌트 및 연관된 관리자 데이터에 대한 액세스가 있습니다.

그림 2. SPNEGO TAI 보안 및 구성 요소 SPNEGO TAI 보안 및 구성 요소: 웹 인증 모듈, SPNEGO 신뢰 연관 인터셉터, JGSS 및 SPNEGO 보안 제공자, Kerberos 구성 및 Kerberos keytab 파일, SPNEGO TAI 구성 특성, JVM 시스템 특성
  • 웹 인증 모듈 및 LTPA(Lightweight Third Party Authentication) 메커니즘은 신뢰 연관 인터셉터에 대한 플러그인 런타임 프레임워크를 제공합니다. SPNEGO TAI가 포함된 사용을 위한 LTPA 메커니즘 구성에 관한 세부사항은 LTPA(Lightweight Third Party Authentication) 메커니즘 구성의 내용을 참조하십시오.
  • JGSS(Java Generic Security Service) 제공자는 Java SDK([AIX Solaris HP-UX Linux Windows][z/OS]jre/lib/ibmjgssprovider.jar[IBM i]app_server_root/java/en dorsed/ibmjgssprovider.jar)에 포함되며 인증에 사용된 Kerberos 보안 컨텍스트 및 신임 정보를 얻기 위해 사용됩니다. IBM® JGSS 1.0은 Kerberos V5가 중요한 기본 보안 메커니즘으로 포함된 Java GSSAPI(Generic Security Service Application Programming Interface) 프레임워크입니다. GSSAPI는 개인 키, 공개 키, 기타 보안 기술을 바탕으로 다른 보안 메커니즘에 플러그될 수 있는 표준화된 요약 인터페이스입니다. GSSAPI는 보안 애플리케이션을 다른 중요한 보안 메커니즘의 복잡도 및 특징으로부터 보호합니다. GSSAPI는 ID 및 메시지 원래 인증, 메시지 무결성, 메시지 기밀성을 제공합니다. 자세한 정보는 JGSS를 참조하십시오.
  • Kerberos 구성 특성(krb5.conf 또는 krb5.ini) 및 Kerberos 암호화 키(Kerberos keytab 파일에 저장됨)는 보안 상호 인증을 설정하는 데에 사용됩니다.

    Kerberos 키 테이블(Ktab)로, JGSS의 일부이며, 사용자가 로컬 Kerberos keytab 파일에 저장된 프린시펄 이름 및 서비스 키를 관리할 수 있도록 합니다. Kerberos keytab 파일의 프린시펄 이름 및 키 쌍 목록은 호스트에서 실행 중인 서비스가 자체적으로 Kerberos KDC(Key Distribution Center)에 인증되도록 합니다. 서버가 Kerberos를 사용할 수 있게 되기 전에 Kerberos keytab 파일은 서버를 실행하는 호스트에서 초기화되어야 합니다.

    ktab 명령을 사용하여 Kerberos keytab 파일 관리은 Ktab의 사용 외에 SPNEGO TAI에 대한 Kerberos 구성 요구사항도 강조표시합니다.

  • SPNEGO 제공자는 [AIX Solaris HP-UX Linux Windows][z/OS]/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar[IBM i]app_server_root/java/ext/ibmspnego.jar에 있는 SPNEGO 인증 메커니즘의 구현을 제공합니다.
  • 사용자 정의 구성 특성은 SPNEGO TAI의 런타임 동작을 제어합니다. 관리 콘솔 또는 스크립트 기능이 포함된 구성 조작을 수행합니다. 이러한 사용자 정의 특성에 관한 자세한 정보는 SPNEGO TAI 사용자 정의 특성 구성(더 이상 사용되지 않음)의 내용을 참조하십시오.
  • JVM(Java virtual machine) 사용자 정의 특성은 JGSS 보안 제공자의 문제 판별과 특성 다시 로드 기능의 사용에 대한 진단 추적 정보를 제어합니다. SPNEGO TAI JVM 구성 사용자 정의 특성(더 이상 사용되지 않음)는 이러한 JVM 사용자 정의 특성을 설명합니다.
WebSphere Application Server를 보유하면 다음과 같은 SPNEGO TAI를 사용할 수 있습니다.
  • [Windows]활성 디렉토리 도메인을 사용하는 Microsoft Windows 서버가 포함된 통합 싱글 사인온 환경이 설정됩니다.
  • 대량의 ID 및 비밀번호를 관리하는 비용이 감소합니다.
  • 웹 브라우저나 Microsoft .NET 클라이언트로부터 안전하고 상호적으로 인증된 보안 신임 정보의 전송이 설정됩니다.
  • 전송 레벨에서 SPNEGO 인증을 사용하는 웹 서비스와 Microsoft .NET 애플리케이션의 상호 운용성이 아카이브됩니다.
WebSphere Application Server 환경에서 SPNEGO TAI를 사용하려면 계획 후 구현해야 합니다. SPNEGO TAI에 대한 계획은 SPNEGO TAI에서의 싱글 사인온 기능 - 체크리스트(더 이상 사용되지 않음)의 내용을 참조하십시오. SPNEGO TAI 사용의 구현은 다음 책임 영역으로 나뉩니다.
일반 브라우저 사용자
일반 사용자는 웹 브라우저 또는 Microsoft .NET 애플리케이션을 구성하여 SPNEGO TAI로 처리된 HTTP 요청을 발행합니다.
웹 관리자
웹 관리자는 클라이언트의 HTTP 요청의 응답에 대한 WebSphere Application Server의 SPNEGO TAI 구성을 담당합니다.
WebSphere Application Server 관리자
WebSphere Application Server 관리자는 최적의 설치 수행을 위한 WebSphere Application Server 및 SPNEGO TAI의 구성을 담당합니다.
SPNEGO TAI를 사용하기 위한 태스크의 설명과 담당자가 이러한 태스크를 수행하는 방법은 SPNEGO TAI(더 이상 사용되지 않음)를 사용하여 HTTP 요청을 위한 싱글 사인온 작성의 내용을 참조하십시오.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_SPNEGO_overview
파일 이름:csec_SPNEGO_overview.html