보안 도메인 구성
이 페이지에서 도메인의 보안 속성을 구성하고 셀 자원에 도메인을 지정할 수 있습니다. 각각의 보안 속성에 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 관리 콘솔 페이지를 표시하려면
을 클릭하십시오. 보안 도메인 콜렉션 페이지에서 구성할 기존 도메인을 선택하거나 새 도메인을 작성하거나 기존 도메인을 복사하십시오.다중 보안 도메인에 대한 개요와 이 버전의 WebSphere® 애플리케이션 서버에 지원되는 방식에 대해 자세히 알아보려면 다중 보안 도메인의 내용을 참조하십시오.
Name
도메인의 고유 이름을 지정합니다. 처음 제출한 후에는 이 이름을 편집할 수 없습니다.
도메인 이름은 셀 내에서 고유해야 하며 유효하지 않은 문자를 포함할 수 없습니다.
설명
도메인에 대한 설명을 지정합니다.
지정 범위
셀 토폴로지를 표시하려면 선택하십시오. 보안 도메인을 전체 셀에 지정하거나, 보안 도메인에 포함될 특정 클러스터, 노드 및 서비스 통합 버스를 선택할 수 있습니다.
모든 범위를 선택하는 경우, 전체 셀 토폴로지가 표시됩니다.
지정 범위를 선택하면, 현재 도메인에 지정된 서버 및 클러스터가 포함된 셀 토폴로지가 표시됩니다.
명시적으로 지정된 도메인의 이름은 자원 옆에 나타납니다. 선택 표시된 상자는 도메인에 현재 지정된 자원을 나타납니다. 다른 자원을 선택한 다음 적용 또는 확인을 클릭하여 현재 도메인에 지정할 수도 있습니다.
선택되지 않은(사용 불가능) 자원은 현재 도메인에 지정되지 않음을 의미하며 다른 도메인에서 제거해야 현재 도메인에 사용할 수 있습니다.
자원에 명시적으로 지정된 도메인이 없는 경우 셀에 지정된 도메인이 사용됩니다. 셀에 지정된 도메인이 없으면 글로벌 설정이 사용됩니다.
클러스터 멤버를 개별적으로 도메인에 지정할 수 없습니다. 입력 클러스터가 동일한 도메인을 사용합니다.
애플리케이션 보안:
사용자 애플리케이션의 보안을 사용 가능 또는 사용 불가능하게 설정하려면 애플리케이션 보안 사용을 선택하십시오. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 선택사항이 사용 불가능하게 설정되어 있는 경우 보안 도메인의 모든 EJB 및 웹 애플리케이션이 더 이상 보호되지 않습니다. 사용자 인증 없이 이러한 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능하게 설정되어 있는 경우 보안 도메인의 모든 EJB 및 웹 애플리케이션에 대해 Java™ EE 보안이 강제 실행됩니다. Java EE 보안은 글로벌 보안 구성에서 글로벌 보안이 사용 가능한 경우에만 적용됩니다. 즉, 먼저 글로벌 레벨에서 글로벌 보안을 사용 가능하게 설정해야 애플리케이션 보안을 사용할 수 있습니다.
애플리케이션 보안 사용 가능
사용자 환경에서 애플리케이션에 대한 보안을 사용 가능하게 합니다. 이 유형의 보안은 인증하는 애플리케이션 사용자에 대한 애플리케이션 분리 및 요구사항을 제공합니다.
WebSphere Application Server의 이전 릴리스에서는 사용자가 글로벌 보안이 가능하도록 설정한 경우 관리 보안과 애플리케이션 보안 둘 다 가능했습니다. WebSphere Application Server 버전 6.1에서는 이전 글로벌 보안 표기가 관리 보안 및 애플리케이션 보안으로 분할되어 별도로 사용 가능하도록 설정할 수 있습니다.
이 분할의 결과로, WebSphere Application Server 클라이언트는 대상 서버에서의 애플리케이션 보안 사용 불가능 여부를 알아야 합니다. 관리 보안은 기본적으로 사용 가능합니다. 기본적으로 애플리케이션 보안은 사용 불가능합니다. 애플리케이션 보안이 사용 가능하도록 하려면 관리 보안을 사용 가능하도록 설정해야 합니다. 애플리케이션 보안은 관리 보안이 사용 가능할 때만 적용됩니다.
이 선택사항이 사용 불가능하게 설정되어 있는 경우 보안 도메인의 모든 EJB 및 웹 애플리케이션이 더 이상 보호되지 않습니다. 사용자 인증 없이 이러한 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능하게 설정되어 있는 경우 보안 도메인의 모든 EJB 및 웹 애플리케이션에 대해 Java EE 보안이 강제 실행됩니다. Java EE 보안은 글로벌 보안 구성에서 글로벌 보안이 사용 가능한 경우에만 적용됩니다. 즉, 먼저 글로벌 레벨에서 글로벌 보안을 사용 가능하게 설정해야 애플리케이션 보안을 사용할 수 있습니다.
Java 2 보안:
Java 2 보안 사용을 선택하면 도메인 레벨에서 Java 2 보안을 사용 또는 사용하지 않거나 Java 2 보안과 관련된 특성을 지정 또는 추가할 수 있습니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 선택사항은 모든 애플리케이션(관리 및 사용자 둘 다)이 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정할 수 있도록 프로세스(JVM) 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정합니다.
글로벌 보안 설정 사용
사용 중인 글로벌 보안 설정을 지정하려면 선택하십시오.
이 도메인에 대한 사용자 정의
애플리케이션 및 Java 2 보안 설정 및 영역 규정 인증 데이터 사용 옵션 등 도메인에 지정된 설정을 지정하려면 선택하십시오.
Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한
Java 2 보안 권한 검사의 사용 가능 또는 사용 불가능 여부를 지정하려면 선택하십시오. 기본적으로 로컬 자원에 대한 액세스는 제한되지 않습니다. 애플리케이션 보안이 사용 가능하더라도 Java 2 보안이 사용 불가능하도록 선택할 수 있습니다.
Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한 옵션을 사용하며 애플리케이션이 기본 정책에서 부여된 것보다 많은 Java 2 보안 권한을 필요로 하는 경우, 애플리케이션의 app.policy 파일 또는 was.policy 파일에서 필수 권한이 부여될 때까지 애플리케이션이 올바르게 실행되지 못할 수 있습니다. AccessControl 예외는 모든 필수 권한이 없는 애플리케이션에 의해 생성됩니다.
애플리케이션에 사용자 정의 사용 권한이 허용되는 경우 경고
애플리케이션 배치 및 애플리케이션 시작 시 보안 실행 시간이 경고 옵션을 발행하도록 지정합니다(애플리케이션에 사용자 정의 권한이 부여되는 경우). 사용자 정의 사용 권한은 Java API 사용 권한에서 정의한 것이 아니라 사용자 애플리케이션에서 정의한 사용 권한입니다. Java API 사용 권한은 java.* 및 javax.* 패키지의 사용 권한입니다.
애플리케이션 서버는 정책 파일 관리 지원을 제공합니다. 이 제품에서는 많은 정책 파일을 제공하며, 이 파일 중 일부는 정적이고 일부는 동적입니다. 동적 정책은 특정 유형의 자원에 대한 권한 템플리트입니다. 코드 기본이 정의되지 않았으며 동적 정책 템플리트에 사용된 관련 코드 기본이 없습니다. 실제 기본 코드는 구성 및 런타임 데이터에서 동적으로 작성됩니다. filter.policy 파일에는 애플리케이션이 Java EE 1.4 스펙에 따르지 않게 할 사용 권한의 목록이 들어 있습니다.
자원 인증 데이터에 대한 액세스 제한
Java 2 보안이 사용 가능하지 않으면 이 옵션을 사용할 수 없습니다.
- Java 2 보안이 적용됩니다.
- 애플리케이션 코드가 EAR(Application Enterprise Archive) 파일에 있는
was.policy 파일의 accessRuntimeClasses WebSphereRuntimePermission 권한을 승인합니다. 예를 들어 was.policy 파일에 다음 행이 있는 경우 애플리케이션 코드에
권한이 부여됩니다.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
자원 인증 데이터에 대한 액세스 제한 옵션은 세분화된 Java 2 보안 권한 검사를 WSPrincipalMappingLoginModule 구현의 기본 프린시펄 맵핑에 추가합니다. Java 2 보안을 사용하여 로컬 자원에 대한 애플리케이션 액세스 제한 및 자원 인증 데이터에 대한 액세스 제한 옵션을 사용할 때 JAAS(Java Authentication and Authorization Service) 로그인에서 직접 WSPrincipalMappingLoginModule 구현을 사용하는 Java EE(Java 2 Platform, Enterprise Edition) 애플리케이션에 대해 명시적 권한을 부여해야 합니다.
Information | 값 |
---|---|
기본값: | 사용 불가능 |
사용자 영역:
이 섹션에서는 보안 도메인에 대한 사용자 레지스트리를 구성할 수 있습니다. 도메인 레벨에서 사용되는 모든 레지스트리를 별도로 구성할 수 있습니다.
도메인 레벨에서 레지스트리를 구성하는 경우 레지스트리에 대해 자체 범주 이름을 정의하도록 선택할 수 있습니다. 범주 이름으로 하나의 사용자 레지스트리를 다른 사용자 레지스트리와 구별합니다. 범주 이름은 여러 곳에 사용됩니다. 즉, Java 클라이언트 로그인 패널에서 사용자에게 표시하는 데 사용되거나, 인증 캐시에 사용되거나, 기본 권한을 사용하는 경우에 사용됩니다.
글로벌 구성 레벨에서 시스템은 사용자 레지스트리에 대해 범주를 작성합니다. 이전 WebSphere Application Server 릴리스에서는 시스템에 사용자 레지스트리가 한 개만 구성됩니다. 다중 보안 도메인이 있는 경우 시스템에 여러 레지스트리를 구성할 수 있습니다. 이러한 도메인에서 고유한 범주에 대해 보안 도메인의 자체 범주 이름을 구성하십시오. 범주가 고유하다고 확신하는 경우 시스템에서 고유 범주 이름을 작성하도록 선택할 수도 있습니다. 후자의 경우 범주 이름은 사용되는 레지스트리를 기반으로 합니다.
신뢰 연관:
신뢰 연관에 대한 설정을 지정하려면 선택하십시오. 신뢰 연관은 역방향 프록시 서버를 애플리케이션 서버에 연결하는 데 사용됩니다.
신뢰 연관을 사용하면 IBM® WebSphere Application Server 보안 및 써드파티 보안 서버의 통합이 가능해집니다. 더 구체적으로, 역방향 프록시 서버가 프론트 엔드 인증 서버 역할을 수행하는 반면, 이 제품은 자체 권한 정책을 프록시 서버에서 전달한 결과 신임에 적용합니다.
Tivoli® Access Manager의 신뢰 연관 인터셉터는 글로벌 레벨에서만 구성할 수 있습니다. 도메인 구성도 TAI를 사용할 수 있으나 TAI(Trust Association Interceptor)의 다른 버전을 보유할 수 없습니다. 시스템에는 Tivoli Access Manager 신뢰 연관 인터셉터의 인스턴스가 한 개만 있어야 합니다.
인터셉터
이 옵션을 선택하여 역방향 프록시 서버의 신뢰 정보에 액세스하거나 지정하십시오.
신뢰 연관 사용 가능
IBM WebSphere Application Server 보안 및 써드파티 보안 서버를 통합할 수 있게 하려면 선택하십시오. 더 구체적으로, 역방향 프록시 서버가 프론트 엔드 인증 서버 역할을 수행하는 반면, 이 제품은 자체 권한 정책을 프록시 서버에서 전달한 결과 신임에 적용합니다.
SPNEGO 웹 인증:
SPNEGO(Simple and Protected GSS-API Negotiation)에 대한 설정을 웹 인증 메커니즘으로 지정합니다.
웹 자원 인증을 위해 SPNEGO를 구성할 수 있는 SPNEGO 웹 인증은 도메인 레벨에서 구성할 수 있습니다.
RMI/IIOP 보안:
RMI/IIOP(Remote Method Invocation over Internet Inter-ORB Protocol)에 대한 설정을 지정합니다.
ORB(Object Request Broker)는 IIOP(Internet interORB Protocol)를 사용하여 클라이언트와 서버 간의 상호작용을 관리합니다. 클라이언트는 네트워크 분산 환경에서 요청을 작성하고 서버로부터 응답을 수신할 수 있습니다.
도메인 레벨에서 이러한 속성을 구성하면 편의상 글로벌 레벨에서 RMI/IIOP 보안 구성이 복사됩니다. 도메인 레벨에서는 다르도록 속성을 변경할 수 있습니다. CSIv2 인바운드 통신에 대한 전송 계층 설정은 글로벌 레벨과 도메인 레벨에서 동일해야 합니다. 이 설정이 서로 다를 경우 도메인 레벨 속성이 프로세스의 모든 애플리케이션에 적용됩니다.
프로세스가 다른 영역의 프로세스와 통신할 때 해당 서버가 아웃바운드 신뢰 영역 목록에 없으면 LTPA 인증 및 전파 토큰이 다운스트림 서버에 전파됩니다. 이 작업은 CSIv2 아웃바운드 통신 패널의 신뢰 인증 영역 - 아웃바운드 링크를 사용하여 수행할 수 있습니다.
CSIv2 인바운드 통신
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 이 서버가 승인한 연결에 대한 전송 설정값과 수신한 요청에 대한 인증 설정값을 지정하려면 선택하십시오.
WebSphere 애플리케이션 서버는 인바운드 및 아웃바운드 인증 요청에 대해 IIOP(Internet Inter-ORB Protocol) 인증을 지정할 수 있게 합니다. 인바운드 요청에 대해 기본 인증과 같은 허용되는 인증 유형을 지정할 수 있습니다.
CSIv2 아웃바운드 통신
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 서버에서 시작한 연결에 대한 전송 설정값과 서버가 수신한 요청에 대한 인증 설정값을 지정하려면 선택하십시오.
WebSphere 애플리케이션 서버는 인바운드 및 아웃바운드 인증 요청에 대해 IIOP(Internet Inter-ORB Protocol) 인증을 지정할 수 있게 합니다. 아웃바운드 요청의 경우 다운스트림 서버에 대한 요청에 사용되는 인증 유형, ID 어설션 또는 로그인 구성과 같은 특성을 지정할 수 있습니다.
JAAS 애플리케이션 로그인
JAAS에서 사용하는 기본 로그인 구성을 정의하려면 선택하십시오.
JAAS 애플리케이션 로그인, JAAS 시스템 로그인 및 JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로 시스템의 모든 애플리케이션은 글로벌 레벨에 구성된 JAAS 로그인에 대한 액세스 권한이 있습니다. 보안 런타임은 도메인 레벨의 JAAS 로그인을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 확인합니다. 보안 도메인의 애플리케이션에 독점적으로 사용되는 로그인을 지정해야 하는 경우에만 도메인에서 이러한 JAAS 로그인을 구성하십시오.
JAAS 및 사용자 정의 특성만 글로벌 속성이 도메인에 대해 사용자 정의되어도 사용자 애플리케이션에서 계속 사용될 수 있습니다.
ClientContainer, DefaultPrincipalMapping 및 WSLogin 로그인 구성은 다른 애플리케이션에서 사용할 수 있으므로 제거하지 마십시오. 이러한 구성을 제거하는 경우, 다른 애플리케이션이 실패할 수 있습니다.
글로벌 및 도메인 특정 로그인 사용
애플리케이션 및 Java 2 보안 설정 및 영역 규정 인증 데이터 사용 옵션 등 도메인에 지정된 설정을 지정하려면 선택하십시오.
JAAS 시스템 로그인:
JAAS 시스템 로그인에 대한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 구성 설정값을 사용자 정의할 수 있습니다.
시스템 로그인
이 옵션을 선택하여 인증 메커니즘, 프린시펄 맵핑 및 신임 맵핑을 비롯하여 시스템 자원에 사용되는 JAAS 로그인 구성을 정의하십시오.
JAAS J2C 인증 데이터:
JAAS J2C 인증 데이터에 대한 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
Java EE(Java 2 Platform, Enterprise Edition) 커넥터 인증 데이터 항목은 자원 어댑터와 JDBC(Java DataBase Connectivity) 데이터 소스에서 사용합니다.
글로벌 및 도메인 특정 항목 사용
애플리케이션 및 Java 2 보안 설정 및 영역 규정 인증 데이터 사용 옵션 등 도메인에 지정된 설정을 지정하려면 선택하십시오.
JASPI(Java Authentication SPI)
JASPI(Java Authentication SPI) 인증 제공자에 대한 구성 설정과 연관된 인증 모듈을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다. 도메인의 JASPI 인증 제공자를 구성하려면 이 도메인에 대한 사용자 정의를 선택한 다음 JASPI를 사용할 수 있습니다. JASPI 인증 제공자를 작성하거나 편집하려면 제공자를 선택하십시오.
인증 메커니즘 속성:
도메인 레벨에 적용되어야 하는 다양한 캐시 설정을 지정합니다.
- 인증 캐시 설정 - 인증 캐시 설정을 지정하는 데 사용됩니다. 이 패널에서 지정된 구성은 이 도메인에만 적용됩니다.
- LTPA 제한시간 - 다른 LTPA 제한시간 값을 도메인 레벨에 구성할 수 있습니다. 기본 제한시간 값은 120분으로, 글로벌 레벨에서 설정되었습니다. LTPA 제한시간이 도메인 레벨에 설정되면 사용자 애플리케이션에 액세스할 때 보안 도메인에 작성되는 토큰이 모두 이 만기 시간으로 작성됩니다.
- 범주 규정 사용자 이름 사용 - 이 선택사항을 사용하는 경우 getUserPrincipal( ) 같은 메소드에서 리턴되는 사용자 이름은 보안 도메인의 애플리케이션에서 사용하는 보안 범주(사용자 레지스트리)로 규정됩니다.
권한 제공자:
권한 제공자에 대한 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
외부 써드파티 JACC(Java Authorization Contract for Containers) 제공자는 도메인 레벨에서 구성할 수 있습니다. Tivoli Access Manager의 JACC 제공자는 글로벌 레벨에서만 구성할 수 있습니다. 보안 도메인에서 권한 제공자가 다른 JACC 제공자 또는 내장 기본 권한으로 대체되지 않은 경우에는 보안 도메인을 계속 사용할 수 있습니다.
기본 권한 또는 JACC 제공자를 사용하는 외부 권한을 선택하십시오. 구성 단추는 JACC 제공자를 사용하는 외부 권한을 선택한 경우에만 사용 가능합니다.
SAF(System Authorization Facility) 권한의 경우, SAF 프로파일 접두부를
도메인 레벨에서 설정하면 모든 애플리케이션(관리 및 사용자 둘 다)이 해당 서버에서
사용 가능 또는 사용 불가능으로 설정할 수 있도록 SAF 프로파일 접두부가 서버 레벨에서 적용됩니다.
![[z/OS]](../images/ngzos.gif)
Application Server 및 z/OS 스레드 ID 동기화 사용
애플리케이션이 이 기능을 요청하도록 코딩된 경우 운영 체제 스레드 ID가 Application Server 런타임에서 사용되는 Java EE(Java 2 Platform, Enterprise Edition) ID와 동기화가 사용 가능한지 여부를 표시하려면 선택하십시오.
운영 체제 ID를 Java EE ID와 동기화하면 운영 체제 ID가 인증된 호출자와 동기화하거나 서블릿 또는 Enterprise JavaBeans(EJB) 파일에서 RunAs ID를 대표합니다. 이 동기화 또는 연관은 파일에 대한 액세스와 같은 z/OS® 시스템 서비스 요청에 서버 영역 ID가 아닌 호출자 또는 보안 역할 ID가 사용됨을 의미합니다.
이 값을 도메인 레벨에서 설정하면 모든 애플리케이션(관리 및 사용자 둘 다)이 해당 서버에서 사용 가능 또는 사용 불가능으로 설정할 수 있도록 이 값이 서버 레벨에서 적용됩니다.
사용자 정의 특성
데이터의 이름-값 쌍을 지정하려면 선택하십시오. 여기서 이름은 특성 키이고 값은 문자열입니다.
사용자 정의 특성을 도메인 레벨에서 설정하십시오. 이때 이 특성은 새로운 특성이거나 글로벌 레벨의 특성과 다릅니다. 기본적으로 글로벌 보안 구성의 모든 사용자 정의 특성은 시스템에 있는 모든 애플리케이션에서 액세스할 수 있습니다. 보안 런타임 코드는 도메인 레벨의 사용자 정의 특성을 먼저 확인합니다. 찾지 못하는 경우 글로벌 보안 구성에서 사용자 정의 특성을 가져오려고 시도합니다.
웹 서비스 바인딩
기본 정책 세트 바인딩을 클릭하면 도메인 기본 제공자 및 클라이언트 바인딩을 설정할 수 있습니다.