CSIv2(Common Secure Interoperability Version 2) 인바운드 통신 설정
이 페이지에서 서버가 자원에 액세스하는 클라이언트에 대해 지원할 기능을 지정할 수 있습니다.
- 을 클릭하십시오.
- 인증 아래에서 을 클릭하십시오.
수신 요청 또는 전송에 포함된 인증 정보의 유형을 구성할 경우 공통 보안 상호운영성(CSI) 인바운드 통신 설정을 사용하십시오.
- CSIv2 속성 계층. 속성 계층은 이미 인증된 업스트림 서버의 ID인 ID 토큰을 포함할 수 있습니다. ID 계층이 최고의 우선순위를 가지며 다음이 위의 메시지 계층이고, 그 다음이 전송 계층 순입니다. 클라이언트가 세 개 모두를 전송한 경우 ID 계층만 사용됩니다. SSL 클라이언트 인증을 ID로 사용하는 유일한 방법은 SSL 클라이언트 인증이 요청 시 표시되는 유일한 정보일 경우 뿐입니다. 클라이언트는 네임스페이스에서 IOR을 픽업하고 태그 컴포넌트의 값을 읽어 서버의 보안 요구사항을 판별합니다.
- CSIv2 전송 계층. 가장 낮은 계층인 전송 계층은 SSL(Secure Socket Layer) 클라이언트 인증을 ID로 포함할 수 있습니다.
CSIv2 메시지 계층. 메시지 계층은 사용자 ID 및 비밀번호 또는 만기된 인증 토큰을 포함할 수 있습니다.
보안 속성 전파
로그인 요청 중 보안 속성 전파에 대한 지원을 지정합니다. 이 옵션을 선택하면 애플리케이션 서버는 로그인 요청에 대한 추가 정보(예: 사용된 인증 강도) 및 요청자의 ID와 위치를 보관합니다.
이 옵션을 선택하지 않으면 애플리케이션 서버는 다운스트림 서버로 전파할 추가 로그인 정보를 승인하지 않습니다.
정보 | 값 |
---|---|
기본값: | 사용 가능 |
ID 어설션 사용
ID 어설션이 다운스트림 EJB(Enterprise JavaBeans) 호출 중에 한 서버에서 다른 서버로 ID를 검증하는 방법임을 지정합니다.
이 서버는 업스트림 서버를 신뢰하므로 신뢰하는 ID를 다시 인증하지 않습니다. ID 어설션은 기타 모든 인증 유형보다 우선순위가 높습니다.
ID 어설션은 속성 레이어에서 수행되며 서버에서만 적용됩니다. 서버에서 판별되는 프린시펄은 우선순위 규칙을 기초로 합니다. ID 어설션이 사용되는 경우, ID는 항상 속성 레이어에서 파생됩니다. ID 어설션 없이 기본 인증이 사용되는 경우, ID는 항상 메시지 레이어에서 파생됩니다. 마지막으로 SSL 클라이언트 인증서 인증이 기본 인증 또는 ID 어설션 없이 수행되는 경우 ID는 전송 레이어에서 파생됩니다.
신뢰된 ID는 엔터프라이즈 Bean에 대한 RunAs 모드로 판별되는 호출 신임입니다. RunAs 모드가 클라이언트인 경우, ID는 클라이언트의 ID입니다. RunAs 모드가 시스템인 경우, 서버 ID가 됩니다. RunAs 모드가 지정됨인 경우 ID는 지정된 ID입니다. 수신 중인 서버는 ID 토큰에서 ID를 수신하며 또한 클라이언트 인증 토큰에 전송 중인 서버 ID를 수신합니다. 수신 서버는 신뢰 서버 ID 항목 상자를 통해 신뢰된 ID로서 전송 서버 ID의 유효성을 검증합니다. 파이프(|)로 구분된 프린시펄 이름 목록을 입력하십시오(예: serverid1|serverid2|serverid3).
모든 ID 토큰 유형은 활성 사용자 레지스트리의 사용자 ID 필드로 맵핑됩니다. ITTPrincipal ID 토큰의 경우, 이 토큰은 사용자 ID 필드와 하나씩 맵핑됩니다. ITTDistinguishedName ID 토큰의 경우 첫 번째 등호의 값이 사용자 ID 필드에 맵핑됩니다. ITTCertChain ID 토큰의 경우, 첫 번째 등호의 식별 이름 값이 사용자 ID 필드에 맵핑됩니다.
LDAP 사용자 레지스트리에 인증될 때, LDAP 필터는 ITTCertChain 및 ITTDistinguishedName 유형의 ID가 레지스트리에 맵핑되는 방법을 결정합니다. 토큰 유형이 ITTPrincipal인 경우, 프린시펄은 LDAP 레지스트리의 UID 필드에 맵핑됩니다.
정보 | 값 |
---|---|
기본값: | 사용 불가능 |
![[z/OS]](../images/ngzos.gif)
- SAF 분배 ID 맵핑을 사용하여 인증 및 DN 맵핑
- 이 옵션을 선택하면 검증된 인증 및 식별 이름이 RACMAP 필터를 사용하여 SAF 사용자 ID에
맵핑됩니다.
기본값은 선택되어 있지 않습니다. 선택하면, 보안 사용자 정의 특성 com.ibm.websphere.security.certdn.useRACMAPMappingToSAF가 boolean: yes로 설정됩니다.
참고: 이 옵션은 활성 사용자 레지스트리가 로컬 OS이고, 셀이 혼합 버전이 아니고(WebSphere Application Server 버전 8.0 이전 노드가 없음), z/OS 보안 제품이 SAF ID 맵핑을 지원하는 경우에만(RACF®의 경우, z/OS 버전 1.11 이상을 의미함) 표시됩니다.참고: DN 이름의 속성 사이에 공백이 있으면, 공백을 올바르게 구문 분석하기 위해 RACF APAR OA34258 또는 PTF UA59873과 SAF APAR OA34259 또는 PTF UA59871을 적용해야 합니다.
신뢰 ID
전송 서버에서 수신 서버로 전송되는 신뢰된 ID를 지정하십시오.
이 서버에 ID 어설션을 수행할 것으로 기대되는 신뢰 서버 관리자 사용자 ID의 파이프(|)로 구분된 목록을 지정합니다. 예를 들면, serverid1|serverid2|serverid3입니다. 애플리케이션 서버는 이전 버전과의 호환성을 위해 목록 구분 기호로 쉼표(,) 문자를 지원합니다. 애플리케이션 서버는 파이프 문자(|)가 유효한 신뢰 서버 ID를 찾지 못하는 경우 쉼표 문자를 검사합니다.
이 목록을 사용하여 서버가 신뢰되는지 여부를 결정하십시오. 서버가 목록에 있는 경우에도 전송 서버의 ID 토큰을 승인하려면 전송 서버가 수신 서버에서 인증되어야 합니다.
정보 | 값 |
---|---|
데이터 유형: | String |
클라이언트 인증서 인증
인증은 메소드 요청 중 클라이언트와 서버 간에 초기 연결이 작성되는 동안 발생함을 지정합니다.
전송 레이어에서 SSL(Secure Socket Layer) 클라이언트 인증서 인증이 발생합니다. 메시지 레이어에서 기본 인증(사용자 ID 및 비밀번호)이 사용됩니다. 클라이언트 인증서 인증은 일반적으로 메시지 레이어 인증보다 잘 수행하지만 몇 가지 추가 설정이 필요합니다. 이 추가 단계에는 서버가 연결되는 각 클라이언트의 서명자 인증을 신뢰하는지 확인하는 작업이 포함됩니다. 클라이언트에서 인증 기관(CA)을 사용하여 개인 인증서를 작성하면 SSL 신뢰 파일의 서버 서명자 섹션에 CA 루트 인증서만 필요합니다.
인증서가 LDAP(Lightweight Directory
Access Protocol) 사용자 레지스트리에서 인증될 때, 식별 이름(DN)은 LDAP를 구성할 때
지정된 필터를 기본으로 맵핑됩니다. 인증서가
로컬 OS 사용자 레지스트리에 인증되는 경우, 일반적으로 공통 이름인 인증서에 있는
식별 이름(DN)의 첫 번째 속성이 레지스트리의 사용자 ID에 맵핑됩니다.
인증서가 로컬 OS 사용자 레지스트리에
인증되는 경우 해당 인증서는 레지스트리의 사용자 ID에 맵핑됩니다.
클라이언트 인증서의 ID는 다른 인증 레이어가 서버에 없는 경우에만 사용됩니다.
- 불필요
- 클라이언트가 이 서버로 SSL(Secure Sockets Layer) 클라이언트 증명 인증을 시도할 수 없도록 지정합니다.
- 지원됨
- 이 서버에 연결하는 클라이언트가 SSL 클라이언트 인증을 사용하여
인증할 수 있도록 지정합니다. 그러나 서버는 이러한 인증
유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 대신에 익명 또는 기본 인증을 사용합니다.
참고: 서버의 CSIv2 인바운드 인증에 대해 "지원됨"이 설정되면, 클라이언트 인증서가 인증에 사용됩니다.
- 필수
- 이 서버에 연결하는 클라이언트가 메소드를 호출하기 전에 SSL 클라이언트 인증을 사용하여 인증해야 하도록 지정합니다.
![[z/OS]](../images/ngzos.gif)
- SAF 분배 ID 맵핑을 사용하여 인증 맵핑
- 이 옵션을 선택하면 CSIv2 전송 레이어에서 수신한 인증을 RACMAP 필터를 사용하여
SAF 사용자 ID에 맵핑합니다.
기본값은 선택되어 있지 않습니다. 선택하면 보안 사용자 정의 특성인 com.ibm.websphere.security.certificate.useRACMAPMappingToSAF가 true로 설정됩니다.
참고: 이 옵션은 활성 사용자 레지스트리가 로컬 OS이고, 셀이 혼합 버전이 아니고(WebSphere Application Server 버전 8.0 이전 노드가 없음), z/OS 보안 제품이 SAF ID 맵핑을 지원하는 경우에만(RACF의 경우, z/OS 버전 1.11 이상을 의미함) 표시됩니다.
전송
클라이언트가 연결된 전송 중 하나를 사용하여 서버에 대한 연결을 처리할지 여부를 지정합니다.
서버가 지원하는 인바운드 전송으로 SSL(Secure Sockets Layer), TCP/IP 또는 둘 다 선택할 수 있습니다. TCP/IP를 지정하면 서버가 TCP/IP만 지원하며 SSL 연결을 승인할 수 없습니다. SSL 지원을 지정하면, 이 서버가 TCP/IP 또는 SSL 연결을 지원할 수 있습니다. SSL-필수를 지정하면 이 서버와 통신 중인 서버가 SSL을 사용해야 합니다.
- TCP/IP
- TCP/IP를 선택하면 서버는 TCP/IP 리스너 포트만 열고 모든 인바운드 요청에는 SSL 보호가 없습니다.
- SSL 필수
- SSL 필수를 선택하면, 서버는 SSL 리스너 포트만 열고 모든 인바운드 요청은 SSL을 사용하여 수신됩니다.
- SSL 지원
- SSL 지원을 선택하면, 서버는 TCP/IP 및 SSL 리스너 포트를 모두 열고 대부분의 인바운드 요청은 SSL(Secure Sockets Layer)을 사용하여 수신됩니다.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
정보 | 값 |
---|---|
기본값: | SSL 필수 |
범위: | TCP/IP, SSL 필수, SSL-지원 |
SSL 설정
인바운드 연결을 위해 선택할 사전 정의된 SSL 설정 목록을 지정합니다.
![[z/OS]](../images/ngzos.gif)
정보 | 값 |
---|---|
데이터 유형: | String |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
범위: | SSL 구성 레퍼토리에 구성되는 모든 SSL 설정 |
메시지 레이어 인증
- 불필요
- 선택한 다음 메커니즘을 사용하여 이 서버가 인증을 승인할 수 없도록 지정합니다.
- 지원됨
- 선택한 다음 메커니즘을 사용하여 이 서버와 통신 중인 클라이언트가 인증할 수 있도록 지정합니다. 그러나 이러한 인증 유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 대신에 익명 또는 클라이언트 인증을 사용합니다.
- 필수
- 선택한 다음 메커니즘을 사용하여 이 서버와 통신 중인 클라이언트가 메소드 요청에 대한 인증 정보를 지정해야 하도록 지정합니다.
클라이언트의 서버 인증 도구:
Kerberos, LTPA 또는 기본 인증을 사용하여 클라이언트 대 서버 인증을 지정합니다.
- Kerberos(KRB5)
- Kerberos를 인증 메커니즘으로 지정하려면 선택하십시오. 먼저 Kerberos 인증 메커니즘을 구성해야 합니다. 자세한 정보는 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성의 내용을 읽어 보십시오.
- LTPA
- LTPA 토큰 인증을 지정하려면 선택하십시오.
- 기본 인증
- 기본 인증은 GSSUP(Generic Security Services Username Password)입니다. 이러한 인증 유형에는 일반적으로 인증을 위한 클라이언트에서 서버로의 사용자 ID 및 비밀번호 전송이 포함됩니다.
기본 인증 및 LTPA를 선택하고 활성 인증 메커니즘이 LTPA인 경우 사용자 이름, 비밀번호 및 LTPA 토큰이 승인됩니다.
기본 인증 및 KRB5를 선택하고 활성 인증 메커니즘이 KRB5인 경우 사용자 이름, 비밀번호, Kerberos 토큰 및 LTPA 토큰이 승인됩니다.
기본 인증을 선택하지 않은 경우 사용자 이름 및 비밀번호가 서버에서 승인되지 않습니다.
로그인 구성
인바운드 인증에 사용할 시스템 로그인 구성의 유형을 지정합니다.
을 클릭하여 사용자 정의 로그인 모듈을 추가할 수 있습니다. 인증에서 을 클릭하십시오.
Stateful 세션
대부분 성능 향상을 위해 사용되는 Stateful 세션을 사용 가능하도록 하려면 이 옵션을 선택하십시오.
클라이언트와 서버 간의 첫 번째 접속은 완전하게 인증되어야 합니다. 반면 유효한 세션인 모든 후속 접속은 보안 정보를 다시 사용합니다. 클라이언트는 컨텍스트 ID를 서버에 전달하고, 이 ID는 세션 조회에 사용됩니다. 컨텍스트 ID 범위는 고유성을 보증하는 연결입니다. 보안 세션이 유효하지 않고 인증 재시도가 사용 가능할 때마다 기본적으로 사용 가능하며 클라이언트측 보안 인터셉터가 클라이언트측 세션을 무효화하고 사용자가 인식하지 못하는 사이에 요청을 다시 제출합니다. 이러한 상황은 세션이 서버에 없는 경우에 발생할 수 있습니다(예: 서버가 실패하고 조작을 재개함). 이 값이 사용 불가능하게 되면 각 메소드 호출을 다시 인증해야 합니다.
정보 | 값 |
---|---|
기본값: | 사용 가능 |
신뢰 인증 범주 - 인바운드
범주에 대해 인바운드 신뢰를 설정하려면 이 링크를 선택하십시오. 인바운드 인증 범주 설정은 CSIv2에 특정하지 않으며, 여러 보안 도메인에 대해 인바운드 신뢰를 부여할 범주를 구성할 수도 있습니다.
인바운드 인증은 인바운드 요청에 대해 승인된 인증 유형을 결정하는 구성을 나타냅니다. 이 인증은 클라이언트가 네임 서버에서 검색하는 IOR(Interoperable Object Reference)로 알립니다.