![[IBM i]](../images/iseries.gif)
오브젝트 및 파일 보안
이 주제에서는 민감 정보를 포함하고 보호해야 하는 다양한 오브젝트 및 파일에 대해 설명합니다.
보안 통합 파일 시스템 파일
엔터프라이즈 Bean 및 서블릿 외에, WebSphere® Application Server는 통합 파일 시스템 스트림 파일에 액세스합니다. 다음 파일은 민감 정보를 포함할 수도 있습니다. 권한이 없는 액세스를 허용하지 않으려면 이러한 파일에 엄격한 고려사항을 지정하는 것이 좋습니다.
- 프로파일의 /properties 하위 디렉토리에서
다음 파일에 사용자 ID 및 비밀번호가 있을 수 있습니다.
- sas.client.props
- soap.client.props
- sas.stdclient.properties
- sas.tools.properties
- wsserver.key
/properties 하위 디렉토리는 profile_root 디렉토리에 있습니다. 이전의 각 파일은 *PUBLIC 권한이 *EXCLUDE로 설정되어 제공되었습니다. QEJBSVR 사용자 프로파일에는 이러한 파일에 대한 *RW 권한이 부여되었습니다. 비밀번호 인코딩을 통해 추가적으로 보호할 수 있습니다. 자세한 정보는 비밀번호 인코딩 및 암호화의 내용을 참조하십시오.
- /etc 서브디렉토리에서 사용자의 프로파일이면
WebSphere Application Server 프로파일에 대해 작성하는 모든 키(KDB) 파일 및 신뢰(JKS) 파일을
보호하십시오.
JKS 파일의 경우 QEJBSVR 사용자 프로파일에는 *R 권한이 있어야 하고 *PUBLIC에는 *EXCLUDE 권한이 있어야 합니다.
KDB 파일의 경우, 웹 서버가 실행되고 있는 사용자 프로파일은 *RX 권한이 있어야 하며 *PUBLIC은 *EXCLUDE 권한이 있어야 합니다.
WebSphere Application Server의 보안 데이터베이스 자원
WebSphere Application Server는 테이블을 사용하여 엔터프라이즈 Bean 지속성과 서블릿 세션 데이터와 같은 사용자 애플리케이션용 데이터를 지속시킵니다. 사용자 데이터에 대한 액세스를 허용하는 사용자 프로파일을 제어하는 다양한 옵션이 있습니다. 자세한 정보는 데이터베이스 액세스 보안을 참조하십시오.
보안 WebSphere Application Server 파일
WebSphere Application Server 보안을 사용하면, 서버 사용자 프로파일과 비밀번호는 서버 구성 파일에 배치되며, 운영 체제 보안을 사용하여 안전한 방법으로 유지보수되어야 합니다. 또한 일부 WebSphere Application Server 자원을 비밀번호로 보호할 수 있습니다. 이러한 비밀번호도 서버 구성 파일에 있습니다. 서버는 자동으로 비밀번호를 인코드하여 일상적인 외부 감시를 막을 수 있지만 비밀번호 인코딩만으로는 보호가 충분하지 않습니다.
- cells/cell_name/security.xml
- cells/cell_name/nodes/node_name/resources.xml
- cells/cell_name/nodes/node_name/servers/server_name/server.xml
- 엔터프라이즈 Bean 보안을 배치하여 메소드 위임 시 SYSTEM_IDENTITY를 사용하는 경우 사용자 ID 및 비밀번호는 서버의 시스템 ID로 사용됩니다. 이와 같이 여러 엔터프라이즈 Bean 사이에서 메소드가 호출될 때 이 사용자 ID 및 비밀번호가 사용됩니다.
- 사용자 ID 및 비밀번호는 서버간 통신에 참여하는 서버를 인증하는 데 사용됩니다. 이 경우 이러한 파일의 보안을 위협할 수 있으므로 서버 ID 및 비밀번호로 기본 사용자 프로파일이 아닌 다른 사용자 프로파일을 사용하십시오. 기본 사용자 프로파일은 QEJBSVR입니다. 로컬 OS 사용자 레지스트리를 사용하는 경우 특수 권한이 없는 사용자 프로파일을 작성 및 사용하도록 선택할 수 있습니다. 자세한 정보는 특정 사용자 프로파일에서 Application Server 실행을 참조하십시오.
WebSphere Application Server의 보안 사용자 프로파일
- QEJB
- 이 프로파일에서는 일부 관리 데이터(비밀번호 포함)에 대한 액세스 권한을 제공합니다.
- QEJBSVR
- 이 프로파일은 사용자의 WebSphere Application Server가 실행하는 컨텍스트를 제공합니다. 보안 또는 관리 목적으로 다양한 WebSphere Application Server 파트를 실행할 다른 사용자 프로파일을 작성할 수 있습니다. 자세한 정보는 특정 사용자 프로파일에서 애플리케이션 서버 실행의 내용을 참조하십시오.