서비스 통합 버스 보안: 문제점 해결 팁

이 특정 팁 세트를 사용하면 보안 서비스 통합 버스에 대한 작업 시 발생할 수 있는 문제점을 해결하는 데 도움이 될 수 있습니다.

[z/OS]서비스 통합 버스 보안 관련 문제점을 식별하고 해결하는 데 도움을 받으려면 컴포넌트 추적(CTRACE) 설정에 설명된 대로 WebSphere Application Server 추적 및 로깅 기능을 사용하십시오.

서비스 통합 버스 보안과 관련된 것으로 판단되는 문제점이 발생하는 경우 WebSphere Application Server 관리 콘솔 및 애플리케이션 서버 SystemOut.log 파일에서 오류 메시지를 확인할 수 있습니다. 또한 애플리케이션 서버 디버그 추적을 사용하여 자세한 예외 덤프를 제공할 수도 있습니다.
참고: 이 주제는 하나 이상의 애플리케이션 서버 로그 파일을 참조합니다. 권장되는 대안은 분배 및 IBM® i 시스템에서 SystemOut.log, SystemErr.log, trace.logactivity.log 파일을 사용하는 대신 HPEL(High Performance Extensible Logging) 로그를 사용하고 인프라를 추적하도록 서버를 구성하는 것입니다. 원시 z/OS 로깅 기능과 연계하여 HPEL을 사용할 수도 있습니다. HPEL을 사용하는 경우 서버 프로파일 바이너리 디렉토리의 LogViewer 명령행 도구를 사용하여 모든 로그에 액세스하고 정보를 추적할 수 있습니다. HPEL 사용에 대한 자세한 정보는 HPEL을 사용한 애플리케이션 문제점 해결 정보를 참조하십시오.

WebSphere Application Server 시스템 메시지는 Application Server 컴포넌트 및 애플리케이션을 포함하여 다양한 소스로부터 로깅됩니다. 애플리케이션 서버 컴포넌트 및 연관된 IBM 제품에 의해 로그되는 메시지는 메시지를 발생한 컴포넌트 또는 애플리케이션을 표시하는 고유 메시지 ID로 시작됩니다. 서비스 통합 버스 보안 컴포넌트의 접두부는 CWSII입니다.

문제점 해결자 참조: 메시지에는 메시지 접두부로 색인화되어 있는 모든 WebSphere Application Server 메시지에 대한 정보가 포함되어 있습니다. 각 메시지마다 문제점에 대한 설명과 문제점 해결을 위해 수행할 수 있는 조치에 대한 세부사항이 제공됩니다.

버전 5.1 애플리케이션 서버를WebSphere Application Server 버전 7.0 이상에 마이그레이션

버전 5.1 애플리케이션 서버를 마이그레이션하기 전에 대상 MQ Series 큐에서 사용자 ID 또는 비밀번호를 요구하지 않습니다. 애플리케이션 서버가 버전 7.0 이상에 마이그레이션된 후 기본 메시징 제공자(서비스 통합 버스)를 사용하면 기본 인증이 현재 사용으로 설정되었기 때문에 클라이언트 요청이 실패합니다. 문제점이 로그 메시지로 표시됩니다.
SibMessage    W   [:] CWSIT0009W: A client request failed in the application 
server with endpoint <endpoint_name> in bus your_bus with reason: CWSIT0016E: 
The user ID null failed authentication in bus your_bus.

WebSphere Application Server 버전 7.0 이상에서 서비스 통합 버스를 사용하고 WebSphere Application Server 보안이 서버 또는 셀에 대해 사용으로 설정되면 기본적으로 서비스 통합 버스 큐 대상은 서버 또는 셀의 보안 특성을 상속합니다. 따라서 서버 또는 셀에서 기본 인증이 사용으로 설정된 경우 클라이언트 요청은 실패합니다.

문제점을 해결하기 위해서 가장 낮은 보안부터 가장 높은 보안까지 보안 순으로 다음 세 가지 선택사항이 있습니다.
  • 보안 사용 안함
  • 버전 5.1의 구성과 동등한 보안 레벨의 경우 버스 보안이 사용 안함으로 설정되고 따라서 버스가 서버 또는 셀에서 보안 특성을 상속하지 않도록 큐 대상을 호스팅하는 서비스 통합 버스의 설정을 수정하십시오.
  • 버전 5.1 구성보다 높은 보안 레벨의 경우 서비스를 사용하는 각 클라이언트에서 기본 인증을 구성하십시오.

WebSphere Application Server 보안을 사용 안함으로 설정하려면 Enabling and disabling security using scripting 또는 글로벌 보안 설정의 내용을 참조하십시오.

버스 보안을 사용 안함으로 설정하려면 관리 콘솔을 사용하여 다음 단계를 완료하십시오.
  1. 서비스 통합 -> 버스 -> bus_name으로 이동하십시오.
  2. 보안 선택란을 선택 취소하십시오.
  3. 변경사항을 저장하십시오.
각 클라이언트에서 보안 인증을 구성하려면 관리 콘솔 또는 wsadmin 도구를 사용하십시오. wsadmin 도구를 사용하여 태스크를 완료하려면 wsadmin 스크립팅을 사용하여 웹 서비스 클라이언트 포트 정보 구성의 내용을 참조하고 WebServicesClientBindPortInfo wsadmin 태스크 옵션을 사용하십시오. 관리 콘솔을 사용하여 태스크를 완료하려면 다음 단계를 완료하십시오.
  1. 애플리케이션 -> 애플리케이션 유형 -> WebSphere 엔터프라이즈 애플리케이션 -> application_name -> 웹 모듈 또는 EJB 모듈 > module_name > 웹 서비스: 클라이언트 보안 바인딩으로 이동하십시오.
  2. "관리 콘솔에서 HTTP 기본 인증 구성" 패널에 액세스하려면 HTTP 기본 인증을 클릭하십시오.
  3. 패널에 값을 입력하십시오.
  4. 마스터 구성에 변경사항을 저장하십시오.

권한 부여된 그룹의 사용자 ID를 사용하여 연결을 작성하면 LDAP 사용 시 액세스가 거부됨

LDAP(Lightweight Directory Access Protocol) 레지스트리를 사용하는 경우 가능한 원인 중 하나는 그룹 이름입니다. 그룹 권한을 지정할 때 식별 이름(DN)을 그룹 이름으로 사용해야 합니다. 그룹 이름에 공통 이름(CN)을 지정하는 경우 해당 그룹 내 사용자에게 권한을 부여할 수 없습니다.

CN에서 DN으로 그룹 이름을 변경하는 단계는 문제점이 발생한 위치에 따라 다릅니다.
  • 서비스 통합 버스에 연결하는 데 문제점이 있는 경우 버스 커넥터 역할 관리의 내용을 참조하고 CN 그룹 이름을 가진 그룹을 제거한 다음 해당 이름을 DN 그룹 이름으로 대체하십시오.
  • 대상에 메시지를 전송하는 데 문제점이 있는 경우 대상 역할 관리의 내용을 참조하고 CN 그룹 이름을 가진 그룹을 제거한 다음 해당 이름을 DN 그룹 이름으로 대체하십시오.
  • 주제 영역에 주제를 전송하는 데 문제점이 있는 경우 토픽 영역 루트 역할 관리의 내용을 참조하고 CN 그룹 이름을 가진 그룹을 제거한 다음 해당 이름을 DN 그룹 이름으로 대체하십시오.
  • 그 외 다른 문제의 경우 그룹 이름을 수정하는 방법에 대해 권한 사용 권한 관리의 해당 섹션을 참조하십시오.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
파일 이름:rjr_prob0.html