작업 관리자 보안

유연한 관리 환경에서 작업 관리자를 사용하고 등록된 노드에 대한 작업을 수행하기 위해서는 필수 권한이 부여된 사용자 ID가 필요합니다.

필수 보안 역할

작업 관리자를 사용하려면 다음과 같은 역할이 필요합니다.

표 1. 작업 관리자 태스크에 대한 필수 보안 역할. 역할은 관리자, 운영자, 구성자 및 감시자 역할을 포함합니다.
관리 태스크 필수 보안 역할
작업 관리자에 등록 또는 등록 취소 관리자
작업 제출 조작자
작업 관리자 구성 변경 구성자
작업 관리자 구성 또는 작업 히스토리 열람 모니터

관리 에이전트에서 관리되는 기본(독립형) 애플리케이션 서버 노드가 작업 관리자에 등록되어 있는 경우 관리 에이전트를 사용하고 해당 노드를 관리하려면 다음과 같은 역할이 필요합니다.

표 2. 관리 에이전트 태스크에 대한 필수 보안 역할. 역할은 조작 및 노드에 대한 필수 역할과 관리자 역할을 포함합니다.
관리 태스크 필수 보안 역할
기본(독립형) 노드를 관리 에이전트에 등록 또는 등록 취소 관리자
관리 에이전트에 대한 작업: 수행 중인 조작에 대한 필수 관리 역할
관리 서브시스템(예: 등록된 노드)에 대한 작업 등록된 기본 노드에 대한 필수 관리 역할

대상에서 작업을 실행할 때 사용자는 해당 작업을 실행할 수 있는 필수 역할을 갖는 권한이 필요합니다. 예를 들어 애플리케이션 서버를 작성하는 작업을 실행하려면 최소한 기본 노드 또는 WebSphere® Application Server, Network Deployment 셀에 대한 구성자 역할이 필요합니다.

원격 호스트의 Installation Manager 또는 Liberty 작업에 대한 보안

Installation Manager 또는 Liberty와 같은 원격 호스트에 액세스하는 데 사용자 이름과 비밀번호가 필요한 경우, 작업을 원격 호스트에서 실행하기 위한 올바른 운영 체제 사용자 이름과 비밀번호를 제공해야 합니다. 다음 유형의 권한을 제공할 수 있습니다.

운영 체제 사용자 이름 및 비밀번호
사용자 이름 및 비밀번호는 호스트의 로그인 값입니다. 호스트에 비밀번호가 필요하지 않은 경우, 작업 제출 시 비밀번호를 제공하지 않아도 됩니다.
Sudo
대체 사용자가 호스트에서 명령을 수행하게 하려면, 작업 실행 전에 sudo를 사용하여 사용자를 변경한 다음, 필요에 따라 대체 사용자의 사용자 이름 및 비밀번호를 지정할 수 있습니다. sudo"substitute user do"를 의미합니다. 호스트에 비밀번호가 필요하지 않은 경우, 작업 제출 시 비밀번호를 제공하지 않아도 됩니다.
공개-개인 키 인증
공개-개인 키 인증을 사용할 수 있습니다. 작업 제출 시, 키 저장소 및 키 저장소에 필요한 경우 비밀번호 문구에 대한 전체 경로를 지정합니다. SSH(Secure Shell) 개인 키를 사용하면 관리자가 특정 사용자 이름의 원격 호스트에서 작업을 실행할 수 있습니다. 키는 다른 사용자가 사용할 수 없도록 비밀번호로 암호화되어 있습니다.

Liberty 서버의 경우, 사용하는 권한 부여 유형은 각 호스트에 대해 구성된 사용자 이름에 따라 다릅니다.

단일 사용자 이름
각 호스트가 하나의 사용자 이름만 사용하는 경우, 사용자가 Liberty 자원을 설치할 디렉토리에 쓸 수 있는지 확인해야 합니다. 여러 호스트에 대한 작업 제출을 지원하려면 동일한 사용자 이름이 각 호스트에 구성되어 있는지 확인하거나 SSH 키를 사용하여 각 호스트에서 다른 사용자 이름으로 인증하십시오.
단일 사용자 이름으로 전환
호스트가 여러 사용자 이름을 지원하는 경우, 서로 다른 사용자 이름으로 작업을 제출할 수 있지만 sudo를 사용하여 단일 공통 사용자 이름으로 전환할 수 있습니다. 공통 사용자 이름만 Liberty 자원을 관리할 수 있습니다. 종종 이 사용자 이름은 로그인이 불가능하도록 구성됩니다.
다른 사용자 이름
어떤 구성에서는, 다른 운영 체제 사용자 이름으로 각 Liberty 자원을 설치할 수 있습니다. 예를 들어, 공유 자원은 하나 이상의 사용자 이름으로 설치될 수 있고 글로벌 읽기 전용으로 또는 특정 운영 체제 그룹에 대해서만 읽기 전용으로 설정될 수 있습니다. 비공유 작업 자원은 여러 사용자 이름에 대해서만 작성될 수 있습니다.

각 자원에 대해 루트 디렉토리의 파일 권한을 제어하여 Liberty 자원을 설치할 수 있는 사용자를 제어할 수 있습니다. 하나의 사용자만 쓸 수 있도록 디렉토리를 설정하면, 하나의 사용자만 해당 디렉토리에 설치할 수 있습니다. 사용자 그룹이 쓸 수 있도록 디렉토리를 설정하면, 해당 그룹에 속하는 사용자는 루트 디렉토리에 자원을 설치할 수 있습니다. 글로벌로 쓰기 가능하도록 디렉토리를 설정하면, 모든 사용자가 해당 디렉토리에 설치할 수 있습니다.

설치 시, 다른 사용자가 자원을 수정하지 못하게 막는 파일 권한을 설정할 수 있습니다. 예를 들어, 파일 권한을 갖는 ${WLP_WORKING_DIR}/project1을 사전 작성하면 특정 사용자 또는 특정 그룹만 쓸 수 있습니다. 사용자가 새 Liberty(예: server1)를 설치하면 다른 사용자가 변경할 수 없도록 ${WLP_WORKING_DIR}/project1/server1을 구성할 수 있습니다.

여러 사용자가 자원에 액세스할 수 있는 경우, 인벤토리 작업을 통해 사용 가능한 모든 자원을 찾는 데 필요한 변수 또는 작업 매개변수를 설정해야 합니다.

  • 자원과 관련된 경로를 모두 검색하도록 WLP_ADDITIONAL_DIRS 변수를 정의해야 합니다.
  • 인벤토리 작업을 실행하는 데 사용되는 사용자 이름으로 모든 자원을 읽을 수 있는지 확인해야 합니다. 자원을 글로벌로 읽기 가능하도록 작성해야 하거나, 자원이 그룹에 속한 사용자 이름을 사용해 운영 체제 그룹에서 읽기 가능해야 하거나, 루트 사용자 이름을 사용하여 인벤토리 작업을 실행해야 합니다.

기본 보안 구성

관리 에이전트 및 작업 관리자는 서로 다른 2가지 기본 보안 구성을 지원합니다.

  • 동일한 보안 도메인

    이 구성에서는 토폴로지 내의 모든 셀이 동일한 사용자 레지스트리를 공유하므로 동일한 보안 도메인입니다. 이는 관리 에이전트 및 등록된 해당 기본 노드, 작업 관리자 또는 토폴로지의 WebSphere Application Server, Network Deployment 셀에도 해당됩니다.

  • 다른 보안 도메인

    이 구성에서는 모든 셀이 각각 다른 사용자 레지스트리로 구성되므로 다른 보안 도메인입니다.

관리 에이전트 토폴로지의 경우, 사용자가 관리 서브시스템의 JMX 커넥터 포트에 로그인하거나 관리 콘솔에서 등록된 노드를 선택하면, 기본 노드에 대한 권한 테이블이 사용됩니다.

예를 들어 User1에게 첫 번째 기본 노드에 대한 관리자 권한만 있고 두 번째 노드에 대한 권한은 없으며, User2에게는 두 번째 노드에 대한 구성자 권한만 있고 첫 번째 노드에 대한 권한은 없다고 가정할 때, 이 예제를 동일한 사용자 레지스트리 그림으로 나타내면 다음과 같습니다.

같은 보안 도메인 구성

여기서 User1이 사용자 이름과 비밀번호를 사용하여 작업 관리자에 운영자로 로그인하고, 사용자 이름과 비밀번호를 사용하여 배치 관리자에 감시자로도 로그인할 수 있다고 가정할 때, 이 예제를 다른 사용자 레지스트리 그림으로 나타내면 다음과 같습니다.

다른 보안 도메인 구성

User1이 작업 관리자와 배치 관리자에서 동일한 사용자 이름을 사용하더라도 User1은 다른 사용자 이름과 비밀번호를 사용할 수 있습니다.

보안 정보 전송

제품은 작업 관리자의 작업을 관리 에이전트, 배치 관리자 또는 호스트 컴퓨터로 전송할 때 작업 제출자에 대한 보안 정보도 함께 전송합니다. 이때 인증 정보가 전송되어 작업 실행 시 사용자를 인증합니다. 작업 제출 시 전달되는 사용자 보안 정보는 다음과 같습니다.

  • 사용자 이름 및 비밀번호

    작업 제출 시, 사용자는 사용자 이름과 비밀번호를 지정할 수 있습니다. 작업이 관리 서브시스템이나 배치 관리자에 도달하면 해당 사용자 이름과 비밀번호가 로그인에 사용됩니다.

    동일한 사용자 레지스트리 구성에서, John이 첫 번째 기본 노드에 대한 작업을 제출할 경우 사용자 이름과 비밀번호를 작업의 일부로 지정할 수 있습니다. 사용자 이름과 비밀번호는 첫 번째 관리 서브시스템에 로그인하여 작업을 실행하는 데 사용됩니다. 만약 John이 배치 관리자 셀이나 두 번째 기본 노드에 대한 작업을 제출할 경우 권한이 없기 때문에 작업이 실패합니다.

    다른 사용자 레지스트리 구성에서, John은 배치 관리자 셀에 대한 사용자 이름과 비밀번호를 지정하여 배치 관리자 셀에 대한 작업을 제출할 수 있습니다. 이 작업이 배치 관리자에 도달하면 로그인이 성공하고 작업이 실행됩니다. John이 기본 노드에 대한 작업을 제출할 경우에는 액세스가 거부되어 작업이 실패합니다.

  • 보안 토큰

    사용자가 작업을 제출할 때 사용자 이름과 비밀번호를 지정하지 않을 경우 사용자의 신임 정보가 작업 데이터베이스에 보안 토큰으로 자동으로 유지됩니다. 보안 토큰은 그룹 등의 사용자 보안 속성을 포함합니다. 작업이 페치되면 보안 토큰이 관리 서브시스템 또는 배치 관리자에 인증하여 권한을 부여받는 데 사용됩니다.

    동일한 사용자 레지스트리 구성에서, John은 사용자 이름과 비밀번호를 지정하지 않고도 첫 번째 기본 노드에 대한 작업을 제출할 수 있습니다. John의 신임 정보는 보안 토큰으로 관리 서브시스템에 전파되어 작업을 실행하도록 인증되고 권한이 부여되므로 작업이 실행됩니다. John이 두 번째 기본 노드나 배치 관리자 셀에 대한 작업을 제출할 경우 보안 토큰은 이러한 두 가지 환경에 대한 권한을 부여 받지 못하므로 작업이 실패합니다.

    다른 사용자 레지스트리 구성에서, 사용자의 보안 토큰은 관리 서브시스템이나 배치 관리자로 제출된 작업을 실행하도록 자동으로 허용하지 않습니다. 다른 범주에서 사용자 토큰을 사용하려면 다중 보안 도메인 기능을 사용해야 합니다. 먼저 작업 관리자 범주를 등록된 기본 노드 및 배치 관리자에 대한 신뢰 범주로 설정해야 합니다. 또한 작업 관리자의 사용자 액세스 ID를 로컬 권한 테이블로 가져와서 액세스 ID에 역할을 부여해야 합니다. 이렇게 하면 사용자가 사용자 이름과 비밀번호를 전달하지 않고도 작업을 제출할 수 있습니다.

    가령 작업 관리자에서 운영자인 John의 액세스 ID를 첫 번째 기본 노드의 관리 권한 테이블에 관리자로 가져온 경우, John은 기본 노드의 사용자 레지스트리에 존재하지 않지만 보안 토큰과 관리 권한 테이블 정의를 전달함으로써 John에게 기본 노드의 관리자 권한이 허용됩니다. 따라서 John은 사용자 이름이나 비밀번호를 지정할 필요 없이 첫 번째 기본 노드에 대한 작업을 제출할 수 있습니다.

    만약 John이 배치 관리자에 대한 작업을 제출할 경우 작업이 실패합니다. John의 보안 토큰은 작업 관리자 범주의 것이며 배치 관리자에 대한 권한이 John의 액세스 ID에 부여되지 않았습니다. 이 경우, 관리자는 작업 관리자에서 John의 액세스 ID를 내보내서 배치 관리자로 가져올 수 있습니다. 또는, John이 배치 관리자에 등록된 사용자 이름 및 비밀번호를 전달하여 작업을 제출할 수 있습니다. 이때는 감시자 역할로 작업을 실행할 수 있습니다.

    세분화된 보안 기능을 사용하는 경우 동일한 메커니즘이 사용됩니다. 새 권한 그룹의 권한 테이블에서 권한을 부여 받아야 합니다. 권한 테이블은 외부 액세스 ID를 포함할 수 있습니다.

혼합 레지스트리 구성

일부 셀에서만 동일한 사용자 레지스트리를 공유하고 다른 셀은 동일한 사용자 레지스트리를 공유하지 않는 좀 더 복잡한 토폴로지에는 다음과 같은 규칙이 적용됩니다.

  • 대상 노드나 배치 관리자에서 사용자 이름과 비밀번호를 인식하는 경우 작업을 제출할 때 항상 사용자 이름과 비밀번호를 지정할 수 있습니다.
  • 작업 관리자와 대상 노드 또는 배치 관리자의 사용자 레지스트리가 동일한 경우 작업 제출 시 사용자 이름과 비밀번호가 필요하지 않습니다. 그러나 대상 노드 또는 배치 관리자에 대한 권한이 있어야 합니다.
  • 작업 관리자와 대상 노드 또는 배치 관리자의 사용자 레지스트리가 다르고, 신뢰 범주가 설정되어 있으며, 작업 제출자의 액세스 ID를 대상 노드 또는 배치 관리자의 관리 권한 테이블로 가져온 경우, 작업 제출 시 사용자 이름과 비밀번호가 필요하지 않습니다.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cagt_jobmgr_security
파일 이름:cagt_jobmgr_security.html