관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성

관리 콘솔을 사용하여 Kerberos를 애플리케이션 서버의 인증 메커니즘으로 구성할 수 있습니다. 필요한 정보를 입력하고 구성에 적용한 경우 Kerberos 서비스 프린시펄 이름은 <service name>/<fully qualified hostname>@KerberosRealm 형식이며 수신 Kerberos 토큰 요청을 확인하는 데 사용됩니다.

시작하기 전에

이 버전의 WebSphere® 애플리케이션 서버에서 Kerberos 인증 메커니즘을 이해하려면 보안을 위해 Kerberos(KRB5) 인증 메커니즘 지원의 내용을 읽어보십시오. 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성하기 전에 다음 단계를 완료해야 합니다.

  • Kerberos 구성 파일,krb5.ini 또는 krb5.conf가 아직 없는 경우 createkrbConfigFile 명령 태스크를 사용하여 Kerberos 구성 파일을 작성하십시오. 자세한 정보는 Kerberos 구성 파일 작성를 참조하십시오.
  • WebSphere Application Server를 실행하는 각 시스템마다 Kerberos SPN(Service Principal Name) <service_name>/<fully_qualified hostname>@KerberosRealm을 포함한 Kerberos 키 탭 파일 krb5.keytab이 있어야 합니다. 서비스 이름은 임의로 지정할 수 있으며 기본값은 WAS입니다.

    예를 들어, 두 개의 애플리케이션 서버 시스템 즉, host1.austin.ibm.comhost2.austin.ibm.com이 있는 경우 Kerberos 키 탭 파일에는 <service_name>/host1.austin.ibm.com<service_name>/host2.austin.ibm.com SPN과 해당 Kerberos 키가 있어야 합니다.

    Kerberos는 세션 당 하나의 keytab 파일만 로드하고 사용합니다. 예를 들어 Kerberos가 구성되었으며 이전 keytab 파일과 이름 및 위치가 동일한 새 keytab 파일을 사용하려면 먼저 새 keytab 파일을 사용하도록 서버를 다시 시작해야 합니다.

    처음 Kerberos를 구성했는 데 실수로 잘못된 keytab 파일을 사용하는 경우 새 keytab 파일을 사용하여 Kerberos를 다시 구성하기 전에 Kerberos를 구성 해제하고 서버를 다시 시작해야 합니다. SP3이 적용된 JDK(Java™ SE Development Kit)를 설치한 경우에는 해당되지 않습니다.

먼저 글로벌 및 애플리케이션 보안을 사용하도록 설정해야 합니다.

Kerberos가 글로벌 보안에 구성되어 있지만 다른 Kerberos 영역을 사용하는 도메인에서 SPNEGO(Simple and Protected GSS-API Negotiation)를 구성하려는 경우, Java ktab -m 명령을 사용하여 기존의 keytab 파일을 하나의 keytab 파일로 병합해야 합니다. 병합된 keytab 파일을 사용하여 글로벌 및 도메인 보안에서 Kerberos 및 SPNEGO를 구성하십시오.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증에서 Kerberos 구성을 클릭하십시오.
  3. Kerberos 서비스 이름을 입력하십시오. Kerberos 서비스 프린시펄은 규칙에 따라 기본, 인스턴스 및 Kerberos 영역 이름의 세 부분으로 나뉩니다. Kerberos 서비스 프린시펄 이름의 형식은 <service_Name>/<fully_qualified hostName>@KERBEROS_REALM입니다. 서비스 이름은 Kerberos 서비스 프린시펄 이름의 첫 번째 파트입니다. 예를 들어 WAS/test.austin.ibm.com@AUSTIN.IBM.COM에서 서비스 이름은 WAS입니다. 이 예제에서 keytab 파일에는 Kerberos 서비스 프린시펄 이름 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 및 해당 키가 있어야 합니다.

  4. Kerberos 구성 파일 이름을 입력하거나 검색를 클릭하여 파일을 찾으십시오. Kerberos 클라이언트 구성 파일(krb5.conf 또는 krb5.ini)은 관심 있는 영역에 대한 KDC(Key Distribution Center)의 위치를 포함한 Kerberos 구성 정보를 포함합니다. krb5.conf 파일은 Windows 운영 체제를 제외한 모든 플랫폼에서 사용되는 기본 파일 이름입니다. Windows 운영 체제의 기본 파일 이름은 krb5.ini 파일입니다.
    참고: Kerberos 구성 파일 이름 및 Kerberos keytab 파일 이름 경로는 절대 경로일 필요가 없습니다. 대신 변수로 WebSphere 변수를 사용할 수 있습니다. 혼합 플랫폼 환경이 있는 경우 Kerberos 구성 파일에 ${CONF_OR_INI} 변수를 사용할 수 있습니다. 보안 구성은 Windows의 경우 ini로 확장하고 비Windows 플랫폼의 경우 conf로 확장합니다. 예를 들어 다음과 같습니다.
    ${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
  5. 옵션: Kerberos keytab 파일 이름을 입력하거나 검색를 클릭하여 파일을 찾으십시오. Kerberos keytab 파일은 하나 이상의 Kerberos 서비스 프린시펄 이름과 키를 포함합니다. 기본 keytab 파일은 krb5.keytab입니다. 호스트에서 권한이 부여된 사용자만이 읽을 수 있는 로컬 디스크에 Kerberos keytab 파일을 저장함으로서 이를 보호하는 것이 중요합니다. 자세한 정보는 Kerberos 서비스 프린시펄 이름 및 keytab 파일 작성의 내용을 읽어 보십시오. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 keytab이 사용됩니다.
    참고: Kerberos 구성 파일 이름 및 Kerberos keytab 파일 이름 경로는 절대 경로일 필요가 없습니다. 대신 변수로 WebSphere 변수를 사용할 수 있습니다.
    ${WAS_INSTALL_ROOT}\etc\krb5\krb5.keytab
  6. Kerberos 영역 이름 필드에 Kerberos 영역의 이름을 입력하십시오. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 Kerberos 영역 이름이 사용됩니다.

    예를 들어 도메인 이름이 test.austin.ibm.com인 시스템의 경우 일반적으로 Kerberos 영역 이름은 AUSTIN.IBM.COM입니다.

    참고: Microsoft용 KDC의 Kerberos 영역 이름은 대문자 도메인 제어기 이름입니다.
  7. 옵션: 프린시펄 이름에서 Kerberos 영역 제거는 기본적으로 선택되어 있습니다. Kerberos 프린시펄 이름의 접미부를 보유하려면 이 옵션을 선택 취소할 수 있습니다. 이 옵션은 Kerberos login 모듈이 Kerberos 영역 이름 앞에 오는 "@"에서 시작하여 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 사용된 기본값은 true입니다.

  8. 옵션: Kerberos 신임 위임 사용 가능은 기본적으로 선택되어 있습니다. 이 옵션은 클라이언트 요청에서 Kerberos 위임 신임을 추출할지 여부를 지정합니다. Kerberos 위임 신임이 요청을 통해 클라이언트에 전송되면 Kerberos 인증 토큰(KRBAuthnToken)이 클라이언트 프린시펄 이름으로 작성되고 클라이언트가 Kerberos 티켓을 위임합니다. KRBAuthnToken은 클라이언트 주제로 저장됩니다. KRBAuthnToken은 보안 속성 전파의 일부로 다운스트림 서버로 전파됩니다. 고객 애플리케이션이 백엔드 자원 또는 다운스트림 서버에서 인증하기 위해 GSSCredential이 필요한 경우 com.ibm.wsspi.wssecurity.platform.token.KRBAuthnToken.getGSSCredential() 메소드를 사용하여 KRBAuthnToken에서 GSSCredential을 검색한 후 GSSCredential을 주제에 입력해야 합니다.

    이 옵션을 선택하지 않을 경우 KRBAuthnToken은 Kerberos 프린시펄 이름만 갖습니다.

    참고: 이 매개변수가 true이고 런타임 환경이 클라이언트 GSS 위임 신임 정보를 추출할 수 없는 경우 경고 메시지가 표시됩니다.
  9. 확인을 클릭하십시오.

결과

적용 또는 확인을 선택하면 Kerberos 인증을 자동으로 테스트합니다. Kerberos 구성이 완료되지 않았으면 인증 실패를 나타내는 메시지가 표시됩니다.

이제 Kerberos를 WebSphere 애플리케이션 서버의 인증 메커니즘으로 구성하고 저장했습니다.

다음에 수행할 작업

SPNEGO를 사용하도록 설정하려면 관련 구성에서 SPNEGO 웹 인증 사용 가능을 클릭하십시오.

SPNEGO 웹 인증 및 Kerberos 인증은 동일한 클라이언트 구성 및 keytab 파일을 사용합니다.

관리 콘솔에 대한 인증을 시도할 때는 애플리케이션 서버와 연관된 KDC의 관리 사용자 ID를 사용하십시오. 관리 콘솔과 연관되지 않은 다른 KDC의 관리 사용자 ID를 사용할 경우 로그인 프로세스가 실패하고 다음 오류 메시지가 로그 파일에 추가됩니다.
SECJ9200E: No Kerberos credential found in subject credential set.
예를 들어 클라이언트가 애플리케이션 서버가 아닌, 다른 KDC와 연관되었을 수 있습니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_auth_mech
파일 이름:tsec_kerb_auth_mech.html