[z/OS]

SAF를 사용하는 분배 ID 맵핑

z/OS®용 SAF(System Authorization Facility)를 사용하는 분배 ID 맵핑 기능은 몇 가지 중요한 장점을 제공하며 WebSphere® Application Server 버전의 새로운 기능입니다.

WebSphere Application Server 릴리스를 사용하면 z/OS SAF(System Authorization Facility) 보안을 사용하여 SAF 사용자 ID를 분배 ID와 연관시킬 수 있습니다. 이 기능을 사용하면 감사 용도를 위해 원래 ID 정보를 유지할 수 있고 WebSphere Application Server에 구성할 사항이 줄어듭니다.

z/OS 보안 제품은 분산 ID 맵핑을 지원하는 적합한 버전이어야 합니다. 올바른 SAF 버전은 7760 이상입니다. RACF®(Resource Access Control Facility)의 경우 z/OS 버전 1.11 이상이어야 합니다.

이 기능 사용 시의 장점은 다음과 같습니다.
  • 비로컬 OS 레지스트리(예: LDAP(Lightweight Directory Access Protocol))를 사용하고 SAF 권한, z/OS 스레드 ID 동기화(SyncToThread) 또는 연결 관리자 RunAs 스레드 ID 옵션 중 하나를 사용하는 경우에는 RACMAP SAF 프로파일이 있는 z/OS 보안 제품에서 LDAP 사용자를 SAF 사용자로 직접 맵핑할 수 있습니다. 맵핑 모듈은 필요하지 않습니다. 그러므로 이러한 모듈을 WebSphere Application Server에서 구성하지 마십시오. SMF 감사 레코드에는 LDAP 사용자 이름과 맵핑된 SAF 사용자 ID 둘 다 들어 있습니다.
  • 로컬 OS 레지스트리를 사용 중이고 Kerberos 또는 SPNEGO(Simple and Protected GSS-API Negotiation)를 사용 중인 경우에는 z/OS 보안 제품에서 Kerberos 프린시펄을 SAF 사용자로 직접 맵핑할 수 있습니다. 맵핑 모듈은 필요하지 않습니다. 그러므로 이러한 모듈을 WebSphere Application Server에서 구성하지 마십시오. SMF 감사 레코드에는 Kerberos 프린시펄 및 맵핑된 SAF 사용자 ID 둘 다 들어 있습니다.
참고: SAF 분배 ID 맵핑 기능은 혼합된 버전 셀(WebSphere Application Server 버전 8.0 이전의 노드)에서 지원되지 않습니다.

분배 ID 맵핑 사용의 이점

SAF에서의 분배 ID 맵핑은 두 개의 주요 이점을 제공합니다.
  • 사용자가 SMF를 사용하는 z/OS 운영 체제에서 감사되는 경우 감사 레코드에는 분배 ID 및 맵핑된 SAF 사용자 ID 둘 다 들어 있습니다. 이는 크로스 플랫폼 상호 운용성을 향상시켜주고 호스트 중심 및 이기종 애플리케이션 환경 둘 다에 가치를 제공합니다.
  • 분배 ID의 맵핑은 z/OS 보안 관리자가 처리합니다. WebSphere Application Server 구성에서 맵핑 모듈을 구성할 필요가 없습니다.

분배 ID 맵핑 사용 시기

다음 시나리오는 SAF에서 새로운 분산 ID 맵핑 기능을 사용하는 방법에 대해 설명합니다.
  • 시나리오 1: 비로컬 OS 레지스트리가 SAF 권한, z/OS 스레드 ID 동기화(SyncToThread) 또는 연결 관리자 RunAs 스레드 ID 옵션과 함께 구성되어 있는 경우에는 이 기능을 사용하여 레지스트리 사용자를 SAF 사용자로 맵핑할 수 있습니다. 이전 릴리스에서 이 프로세스는 WebSphere Application Server에 구성된 JAAS(Java™ Authentication and Authorization Service) 로그인 모듈을 사용하여 완료했습니다.

    분배된 ID 맵핑을 사용하는 장점은 SMF 감사 레코드에 분배된 사용자와 SAF 사용자가 모두 포함되고 z/OS 보안 관리자가 맵핑을 제어한다는 점입니다.

    비로컬 OS 레지스트리 사용자를 맵핑하면 분배 사용자 이름은 WebSphere Application Server WSCredential.getUniqueSecurityName() API가 리턴하는 값입니다. 범주 이름은 WebSphere Application Server WSCredential.getRealmName() API에 의해 판별됩니다.

    이 시나리오에 분배된 ID 맵핑을 사용하려면 보안 구성을 추가로 변경할 필요가 없습니다.

    참고: 시나리오 1에서, UserRegistry 브릿지를 사용하여 구성된 연합 저장소 레지스트리를 사용하는 경우 SAF 분배 ID 맵핑 기능을 계속 활용할 수 있습니다. SAF 사용자로 로그인하는 경우 맵핑되지 않습니다. 하지만 분배 사용자로 로그인하면 SAF 사용자에 맵핑됩니다.
  • 시나리오 2: Kerberos 또는 SPNEGO가 사용 가능한 z/OS 플랫폼에 로컬 OS 레지스트리가 구성된 경우에는 분배 ID 맵핑 기능을 사용하여 Kerberos 프린시펄 이름을 SAF 사용자로 맵핑할 수 있습니다. 이전 릴리스에서는 WebSphere Application Server 또는 z/OS 보안 제품에서 SAF 사용자의 KERB 세그먼트에 구성된 JAAS 맵핑 로그인 모듈을 사용했습니다.

    분배된 ID 맵핑을 사용하는 장점은 SMF 레코드에 Kerberos 사용자와 맵핑된 SAF 사용자가 모두 포함된다는 점입니다.

    Kerberos 사용자를 맵핑할 때 분배 사용자 이름은 Kerberos 프린시펄 이름입니다. 범주 이름은 Kerberos 키 분배 센터(KDC)의 Kerberos 범주 이름입니다. z/OS 보안 제품에서 분배 ID 필터 작성에 대한 자세한 정보는 z/OS 보안 주제에서 분배 ID 필터 구성을 읽으십시오.

    이 시나리오에 분배된 ID 맵핑을 사용하려면 다음을 수행하십시오.
    • 보안 > 글로벌 보안 > Kerberos 구성을 탐색하십시오.
    • 분배된 ID 맵핑을 위해 SAF 제품에 RACMAP 프로파일 사용 단일 선택 단추를 선택하십시오.

    wsadmin 스크립팅을 사용하여 이렇게 변경하려면 보안 사용자 정의 특성 com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true를 설정하십시오.

  • 시나리오 3: 로컬 OS 레지스트리가 구성된 경우에는 검증된 인증서 또는 검증된 식별 이름을 SAF 사용자로 맵핑할 수 있습니다.

    이전 릴리스에서는 검증된 DN 이름의 첫 번째 속성이 SAF 사용자로 맵핑되었습니다. 검증된 DN에 대해 분배된 ID 맵핑을 사용하는 장점은 맵핑 사용자를 위한 유연성이 추가되고, z/OS 보안 관리자가 맵핑을 제어하며, SMF 감사 레코드에 검증된 DN 이름과 맵핑된 SAF 사용자 ID가 모두 포함된다는 점입니다. 이전 릴리스에서는 SAF에서 RACDCERT MAP 함수를 사용하여 검증된 인증서가 SAF 사용자에게 맵핑되었습니다. 분배된 ID 맵핑을 사용하는 장점은 SMF 감사 레코드에 인증서 DN 이름과 맵핑된 SAF 사용자 ID가 모두 포함된다는 점입니다. 그리고 SAF 데이터베이스는 디지털 인증서를 저장할 필요가 없기 때문에 공간이 절약됩니다.

    검증된 인증서 또는 DN 이름을 SAF에서 맵핑할 경우 분배된 사용자는 DN 이름이 되고 영역 이름은 현재 SAF 영역이 됩니다.

    검증된 인증서 또는 DN 이름을 SAF에서 맵핑할 경우 분배된 사용자는 DN 이름이 되고 영역 이름은 현재 SAF 영역이 됩니다.

    이 시나리오에 분배된 ID 맵핑을 사용하려면 다음을 수행하십시오.
    • 보안 > 글로벌 보안 > CSIv2 인바운드 통신을 탐색하십시오.
    • 속성 계층 설정에서 SAF 분배 ID 맵핑을 사용하여 인증 및 DN 맵핑을 선택하십시오.

    wsadmin 스크립팅을 사용하여 이렇게 변경하려면 보안 사용자 정의 특성 com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true를 설정하십시오.

  • [z/OS]시나리오 4: 로컬 OS 레지스트리가 구성된 경우에는 CSIv2 전송 계층에 수신된 인증서를 SAF 사용자로 맵핑할 수 있습니다.

    이전 릴리스에서는 SAF에서 RACDCERT MAP 함수를 사용하여 인증서가 SAF 사용자에게 맵핑되었습니다. 분배된 ID 맵핑을 사용하는 장점은 SMF 감사 레코드에 인증서 DN 이름과 맵핑된 SAF 사용자 ID가 모두 포함된다는 점입니다.

    [z/OS]CSIv2 전송 계층에 수신된 인증서를 맵핑하면, 분산 사용자는 DN 이름이고 영역 이름은 현재 SAF 영역입니다. 또한 SAF 데이터베이스는 디지털 인증서를 저장하지 않도록 하여 공간을 저장합니다.

    이 시나리오에 분배된 ID 맵핑을 사용하려면 다음을 수행하십시오.
    • 보안 > 글로벌 보안 > CSIv2 인바운드 통신을 탐색하십시오.
    • 전송 계층 설정에서 SAF 분배 ID 맵핑을 사용하여 인증 맵핑을 선택하십시오.

    wsadmin 스크립팅을 사용하여 이렇게 변경하려면 보안 사용자 정의 특성 com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true.를 설정하십시오.

    참고: DN 이름의 속성 사이에 공백이 있는 경우 RACF APAR OA34258이나 PTF UA59873, 그리고 SAF APAR OA34259나 PTF UA59871을 적용하여 공백을 올바로 구문 분석해야 합니다.
표 1. 분배 ID 맵핑 시나리오. 다음 표는 각 분배 ID 맵핑 시나리오의 구성을 요약합니다.
시나리오 SAF 버전 사용자 레지스트리 SAF authorization=true 또는 SyncToThread=true 또는 runAs=true? JAAS 맵핑 모듈 구성 여부 Kerberos 또는 SPNEGO 사용 가능
시나리오 1 7760 이상(RACF의 경우 z/OS 1.11 이상) 비로컬 OS 아니오 n/a
시나리오 2 7760 이상(RACF의 경우 z/OS 1.11 이상) 로컬 OS 아니오
시나리오 3 7760 이상(RACF의 경우 z/OS 1.11 이상) 로컬 OS 아니오 n/a
[z/OS]시나리오 4 [z/OS]7760 이상(RACF의 경우 z/OS 1.11 이상) [z/OS]로컬 OS [z/OS] [z/OS]아니오 [z/OS]n/a

분배 ID 맵핑 구성 시 고려사항

분배 ID 맵핑을 구성할 때에는 다음 조치를 완료해야 합니다.

  • SAF 버전 판별. 먼저 z/OS 보안 버전이 SAF 버전 7760 이상인지 확인해야 합니다. RACF를 사용하는 경우 z/OS 버전 1.11 이상이어야 합니다. 새 AdminTask, isSAFVersionValidForIdentityMapping()이(가) 이를 판별하기 위해 제공됩니다. 또한 정보 메시지 SECJ6233I이(가) 서버 작업 로그에 인쇄되는데 이는 현재 SAF 버전을 표시합니다.
  • 불필요한 JAAS 로그인 모듈 제거. com.ibm.ws.security.common.auth.module.MapPlatformSubject 로그인 JAAS 모듈이 WebSphere 구성에 구성되어 있지 않은지 확인해야 합니다. 이전 WebSphere Application Server 릴리스에서는 이 방법으로 분배 사용자를 SAF 사용자로 맵핑했습니다. 이 로그인 모듈이 구성되어 있는 동안 보안 구성은 분배 사용자를 SAF 사용자로 맵핑하기 위해 이전의 메소드를 계속해서 사용할 것입니다. 새로운 WebSphere Application Server 버전 8.0 셀을 구성하는 경우 이 JAAS 로그인 모듈이 기본적으로 구성되지 않으므로, 추가 조치가 필요하지 않습니다. 그러나 셀을 WebSphere Application Server 버전 8.0으로 마이그레이션한 경우 JAAS 로그인 모듈이 존재하므로 제거해야 합니다. 관리 콘솔 또는 wsadmin 스크립트를 사용하여 이 로그인 모듈을 제거할 수 있습니다. 제공된 Jython 스크립트인 removeMapPlatformSubject.py를 사용할 수도 있습니다. 이는 해당하는 로그인 항목에서 이 로그인 모듈을 검색하여 제거합니다. 이 스크립트 사용 방법에 대한 자세한 정보는 removeMapPlatformSubject 스크립트 항목을 읽으십시오.
    관리 콘솔에서 JAAS 로그인 모듈을 삭제하려면 다음 단계를 완료하십시오.
    1. 보안 > 글로벌 보안 > JAAS(Java Authentication and Authorization Service) > 시스템 로그인을 클릭하십시오.
    2. 기본값을 클릭하십시오.
    3. com.ibm.ws.security.common.auth.module.MapPlatformSubject 로그인 JAAS 모듈에 대한 선택란을 선택한 다음 삭제를 클릭하십시오.
    4. 확인을 클릭하십시오.
    5. WEB_INBOUND, RMI_INBOUND 및 SWAM_ZOSMAPPING의 시스템 로그인을 위해 2-4 단계를 반복하십시오.
  • z/OS 보안 제품에서 SAF 사용자 맵핑. z/OS 보안 제품에서 RACMAP 명령을 사용하여 분배 ID 필터를 구성하십시오. 이 필터를 사용하여 여러 분배 사용자를 한 SAF 사용자로 맵핑하거나 일대일 맵핑을 수행할 수 있습니다. 분배 ID 필터는 분배 사용자 이름 및 분배 사용자가 존재하는 레지스트리의 범주 이름의 두 개의 파트로 구성되어 있습니다.
    참고: RACMAP 필터를 변경해도 WebSphere 서버에서 즉시 적용되지 않는 경우가 있습니다. 자세한 정보는 z/OS 보안 주제의 분배 ID 필트 구성에서 "인증된 사용자에 대해 RACMAP 필터 변경사항 활성화"를 읽어보십시오.

    보안 도메인 레벨에서 SAF 분배 맵핑 기능을 구성할 때는 해당 도메인의 범주 이름에 유의하십시오. 범주 이름을 제공하거나 시스템에서 생성된 범주 이름을 사용할 수 있습니다. 선택하는 옵션과 관계없이, 이 범주 이름은 SAF 레지스트리에서 맵핑을 정의할 때 사용해야 할 범주 이름입니다.

  • 보안 구성을 필요에 따라 변경하십시오. 보안 구성에 대해 작성해야 하는 추가적인 변경사항을 판별하려면 1 - 4 시나리오를 읽으십시오.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_identity_saf
파일 이름:csec_identity_saf.html