Kerberos 인증 명령

wsadmin 명령을 사용하여 WebSphere® Application Server에 대한 인증 메커니즘으로 Kerberos를 작성하거나 수정하거나 삭제할 수 있습니다.

Kerberos 인증 메커니즘 작성

참고:

보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 작성하기 위해 createKrbAuthMechanism 명령을 사용하려고 시도하기 전에 다음 항목이 필요합니다.

  • 아직 Kerberos 구성 파일(krb5.ini 또는 krb5.conf)이 없는 경우 createkrbConfigFile 명령 태스크를 사용하여 Kerberos 구성 파일을 작성하십시오. 자세한 정보는 Kerberos 구성 파일에 대해 읽어 보십시오.
  • WebSphere Application Server를 실행하는 각 머신에 대해 Kerberos 서비스 프린시펄 이름(SPN)인 <service name>/<fully qualified hostname>@KerberosRealm을 포함하는 Kerberos keytab 파일(krb5.keytab)이 있어야 합니다. 이 서비스 이름은 임의로 정할 수 있으며 기본값은 WAS입니다.

    예를 들어, 두 애플리케이션 서버 머신인 host1.austin.ibm.comhost2.austin.ibm.com이 있는 경우 Kerberos keytab 파일은 <service name>/host1.austin.ibm.comservice name>/host2.austin.ibm.com SPN과 해당 Kerberos 키를 포함해야 합니다.

createKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 작성할 수 있습니다.

wsadmin 프롬프트에서 다음 명령을 입력하십시오.

$AdminTask help createKrbAuthMechanism
표 1. 명령 매개변수. createKrbAuthMechanism 명령과 함께 다음 매개변수를 사용할 수 있습니다.
옵션 설명
<krb5Realm> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 Kerberos 영역이 사용됩니다.
<krb5Config> 이 매개변수는 필수입니다. 이 매개변수는 구성(krb5.ini 또는 krb5.conf) 파일의 디렉토리 위치 및 파일 이름을 표시합니다.
<krb5Keytab> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos keytab 파일의 디렉토리 위치 및 파일 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 keytab이 사용됩니다.
<serviceName> 이 매개변수는 필수입니다. 이 매개변수는 Kerberos 서비스 이름을 표시합니다. 기본 Kerberos 서비스 이름은 WAS입니다.
<trimUserName> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름 앞에 있는 "@"로 시작하는 프린시펄 사용자 이름의 접미부를 제거합니다. 이 매개변수는 선택적입니다. 기본값은 true입니다.
[z/OS]참고: z/OS에서 로컬 운영 체제 레지스트리를 둘 다 사용하고 있고 Kerberos 프린시펄을 SAF ID에 맵핑하기 위해 KERB segment of an SAF user profile 단일 선택 단추 사용을 선택하는 경우 이 필드를 true로 설정해야 합니다.
<enabledGssCredDelegate> 이 매개변수는 필수가 아닙니다. 주제에서 클라이언트 GSS 위임 신임 정보를 추출하고 배치할지 여부를 표시하기 위해 사용합니다. 기본값은 true입니다.
<allowKrbAuthForCsiInbound> 이 매개변수는 선택적입니다. 이 매개변수는 CSI(Common Secure Interoperability) 인바운드에 대해 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다.
<allowKrbAuthForCsiOutbound> 이 매개변수는 필수입니다. 이 매개변수는 CSI 아웃바운드에 대한 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다.
참고: Kerberos 구성 파일 이름 및 Kerberos keytab 파일 이름 경로는 절대 경로일 필요가 없습니다. 대신 변수로 WebSphere 변수를 사용할 수 있습니다. 혼합 플랫폼 환경이 있는 경우 Kerberos 구성 파일에 ${CONF_OR_INI} 변수를 사용할 수 있습니다. 보안 구성은 Windows의 경우 "ini"로 확장하고 비Windows 플랫폼의 경우 "conf"로 확장합니다. 예를 들면, 다음과 같습니다.
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
다음은 createKrbAuthMechanism 명령의 예제입니다.
wsadmin>$AdminTask createKrbAuthMechanism { 
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
		-krb5Config C:\\WINNT\\krb5.ini 
		-krb5Keytab C:\\WINNT\\krb5.keytab 
		-serviceName WAS }

Kerberos 인증 메커니즘 수정

modifyKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 변경할 수 있습니다.

wsadmin 프롬프트에서 다음 명령을 입력하십시오.

$AdminTask help modifyKrbAuthMechanism
표 2. 명령 매개변수. modifyKrbAuthMechanism 명령과 함께 다음 매개변수를 사용할 수 있습니다.
옵션 설명
<krb5Realm> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 Kerberos 영역이 사용됩니다.
<krb5Config> 이 매개변수는 필수입니다. 이 매개변수는 구성(krb5.ini 또는 krb5.conf) 파일의 디렉토리 위치 및 파일 이름을 표시합니다.
<krb5Keytab> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos keytab 파일의 디렉토리 위치 및 파일 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 keytab이 사용됩니다.
<serviceName> 이 매개변수는 필수입니다. 이 매개변수는 Kerberos 서비스 이름을 표시합니다. 기본 Kerberos 서비스 이름은 WAS입니다.
<trimUserName> 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름 앞에 있는 "@"로 시작하는 프린시펄 사용자 이름의 접미부를 제거합니다. 이 매개변수는 선택적입니다. 기본값은 true입니다.
<enabledGssCredDelegate> 이 매개변수는 필수가 아닙니다. Kerberos 인증 토큰(KRBAuthnToken)에서 클라이언트 Kerberos 및 클라이언트 GSS 위임 신임 정보를 추출하고 배치할지 여부를 표시하기 위해 사용합니다. 기본값은 true입니다.
참고: 이 매개변수가 true이고 런타임이 Kerberos GSS 위임 신임 정보를 추출할 수 없는 경우 런타임이 경고 메시지를 로그합니다.
<allowKrbAuthForCsiInbound> 이 매개변수는 선택적입니다. 이 매개변수는 CSI(Common Secure Interoperability) 인바운드에 대해 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다.
<allowKrbAuthForCsiOutbound> 이 매개변수는 선택적입니다. 이 매개변수는 CSI 아웃바운드에 대한 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다.
참고: Kerberos 구성 파일 이름 및 Kerberos keytab 파일 이름 경로는 절대 경로일 필요가 없습니다. 대신 변수로 WebSphere 변수를 사용할 수 있습니다. 혼합 플랫폼 환경이 있는 경우 Kerberos 구성 파일에 ${CONF_OR_INI} 변수를 사용할 수 있습니다. 보안 구성은 Windows의 경우 "ini"로 확장하고 비Windows 플랫폼의 경우 "conf"로 확장합니다. 예를 들면, 다음과 같습니다.
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}

다음은 modifyKrbAuthMechanism 명령의 예제입니다.

wsadmin>$AdminTask modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
			-krb5Config C:\\WINNT\\krb5.ini 
			-krb5Keytab C:\\WINNT\\krb5.keytab 
			-serviceName WAS }

Kerberos 인증 메커니즘 삭제

deleteKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 제거할 수 있습니다.

wsadmin 프롬프트에서 다음 명령을 입력하십시오.

$AdminTask help deleteKrbAuthMechanism

다음은 deleteKrbAuthMechanism 명령의 예제입니다.

	wsadmin>$AdminTask deleteKrbAuthMechanism

활성 인증 메커니즘 설정

setActiveAuthMechanism 명령을 사용하여 보안 구성에서 활성 인증 메커니즘 속성을 설정할 수 있습니다.

wsadmin 프롬프트에서 다음 명령을 입력하십시오.

$AdminTask help setActiveAuthMechanism
표 3. 명령 매개변수. setActiveAuthMechanism 명령과 함께 다음 매개변수를 사용할 수 있습니다.
옵션 설명
<authMechanismType> 이 매개변수는 필수가 아닙니다. 이 매개변수는 인증 메커니즘 유형을 표시합니다. 기본값은 KRB5입니다.

다음은 setActiveAuthMechanism 명령의 예제입니다.

wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
파일 이름:rsec_kerb_auth_commands.html