초기 보안 구성

세 가지 초기 보안 옵션 및 각 옵션의 구성 효과에 익숙해지십시오.

설치 시 초기 셀 사용자 정의 중 관리 보안을 사용하도록 설정하는 옵션이 있으며 이 프로시저를 "보안 패키지"라고 합니다. 이는 보안을 사용하지 않는 경우에 발생할 수 있는 권한 없는 셀 수정을 차단합니다.

새 독립형 애플리케이션 서버 또는 Network Deployment 셀이 작성될 때 WebSphere® Application Server for z/OS®에는 세 가지 초기 보안 선택사항이 있습니다.
  • z/OS 보안 제품을 사용하여 사용자 ID 및 권한 정책 관리
  • WebSphere Application Server를 사용하여 사용자 ID 및 권한 정책 관리
  • 보안을 사용하지 않음

이 문서는 세 가지 초기 보안 옵션 및 각 옵션의 구성 효과를 설명합니다.

WebSphere Application Server for z/OS에는 운영 체제 보안을 제공할 SAF 호환 보안 시스템이 있어야 함을 주의하십시오. 다음은 선택된 보안 옵션과 무관합니다.
  • WebSphere Application Server 시작 태스크의 SAF 사용자 ID는 항상 사용자 정의 중에 작성됩니다.
  • 구성에 대해 SAF 그룹이 작성되고 하위(servant) 및 로컬 사용자 그룹은 사용자 정의 중에 작성되며 필요한 사용 권한이 그룹에 부여됩니다.
  • SAF SERVER 프로파일은 제어기 영역에 대한 하위 액세스를 제어하는 데 사용됩니다.
  • 디먼 SSL이 사용자 정의 중 선택되면 디먼에 대한 디지털 인증 및 키 링이 SAF에서 작성됩니다.
참고: 각 초기 보안 구성은 기본적인 작업으로 사용자 정의 중 필요한 선택사항이 거의 없습니다. 구성이 완료된 후에는 일반적으로 셀 보안 정책을 엔터프라이즈의 요구에 맞추기 위한 추가 작업이 필요합니다. 자세한 정보는 InfoCenter의 보안 절을 참조하십시오.

옵션 1: z/OS 보안 제품을 사용하여 사용자 ID 및 권한 정책 관리

사용자 정의 중 이 옵션이 선택된 경우:
  1. 각 WebSphere Application Server 사용자 및 그룹 ID가 z/OS 시스템의 SAF 호환 보안 시스템(IBM의 RACF® 또는 동등한 제품)에 있는 사용자 ID 또는 그룹에 일치합니다.
  2. WebSphere Application Server 역할에 대한 액세스는 SAF EJBROLE 프로파일을 사용하여 제어됩니다.
  3. SSL 통신의 디지털 인증 z/OS 보안 제품에 저장됩니다.

z/OS 시스템의 보안 제품은 항상 WebSphere Application Server for z/OS 시작 태스크 ID 및 위치 서비스 디먼의 디지털 인증(디먼 SSL이 선택된 경우)을 제어하는 데 사용됩니다. 그러나 이 보안 옵션이 선택되면 모든 WebSphere Application Server 관리자 및 관리 그룹을 SAF에도 정의해야 합니다. 나중에 애플리케이션 보안을 사용하는 경우 SAF 보안 데이터베이스가 이 사용자 ID도 보유하게 됩니다.

이 옵션은 서버 또는 셀이 사용자 레지스트리로 SAF를 사용하여 전적으로 z/OS 시스템에 상주할 때 적합합니다. LDAP 또는 사용자 정의 사용자 레지스트리를 구현할 계획이지만 WebSphere Application Server ID를 SAF ID로 맵핑하고 인증에 EJBROLE 프로파일을 사용할 고객은 초기 SAF EJBROLE 설정이 수행되도록 이 옵션도 선택해야 합니다.

사용자 정의 중 이 옵션이 선택되면 다음 SAF 사용자 ID가 작성됩니다.
  • 관리자의 사용자 ID
  • 권한 없는 사용자 ID. 인증되지 않은 WebSphere Application Server ID를 나타냄
관리 역할(관리자, 구성, 배치자, 모니터 및 운영자)에 대한 SAF EJBROLE 프로파일이 작성되고 관리자의 사용자 ID에 관리자 역할이 부여됩니다.

SAF CBIND 프로파일이 작성되고 구성 그룹에 부여됩니다.

각 서버 제어기(배치 관리자 또는 애플리케이션 서버 제어기)에 대한 SAF 보안 시스템에 디지털 인증이 작성됩니다.

관리자, 제어기, 제어기 영역 부속 요소 및 서버 사용자 ID에 대한 SAF 보안 시스템에 디지털 키 링이 작성되고 해당 인증이 이 키 링에 첨부됩니다.

SAF 프로파일 접두부는 이 옵션이 선택될 때 지정할 수 있습니다. SAF 프로파일 접두부는 권한 검사에 사용되는 APPL, CBIND 및 EJBROLE 프로파일 이름의 일부가 됩니다.

옵션 2: WebSphere Application Server를 사용하여 사용자 ID 및 권한 정책 관리

사용자 정의 중 이 옵션이 선택된 경우:
  1. 각 WebSphere Application Server 사용자 및 그룹 ID가 WebSphere Application Server 사용자 레지스트리에 있는 항목에 일치합니다. 초기 사용자 레지스트리는 단순히 파일 기반 사용자 레지스트리로, 사용자 정의 중에 작성되며 구성 파일 시스템에 상주합니다.
  2. WebSphere Application Server 역할에 대한 액세스는 WebSphere Application Server 역할 바인딩을 사용하여 제어됩니다. 특히, 관리 역할은 관리 콘솔의 콘솔 사용자 및 그룹 설정을 사용하여 제어됩니다.
  3. SSL 통신의 디지털 인증은 구성 파일 시스템에 저장됩니다.

z/OS 시스템의 보안 제품은 항상 WebSphere Application Server for z/OS 시작 태스크 ID 및 위치 서비스 디먼의 디지털 인증(디먼 SSL이 선택된 경우)을 제어하는 데 사용됩니다. 그러나 이 보안 옵션이 선택되면 관리 액세스를 위한 모든 WebSphere Application Server 사용자 및 그룹이 SAF가 아닌 WebSphere 사용자 레지스트리에 정의됩니다. 나중에 애플리케이션 보안을 사용하는 경우 WebSphere Application Server 사용자 레지스트리가 이 사용자 ID도 보유하게 됩니다.

이 옵션은 서버 또는 셀이 z/OS 및 비z/OS 혼합 시스템에 상주할 때와 LDAP 또는 사용자 정의 사용자 레지스트리를 구현하여 초기 레지스트리를 바꾸려는 고객에게 적합합니다. (SAF에 대한 ID 맵핑으로 LDAP 또는 사용자 정의 사용자 레지스트리를 구현하려는 고객은 사용자 정의 중 z/OS 관리 보안을 선택해야 합니다. 위를 참조하십시오.)

사용자 정의 중 이 옵션이 선택되면 파일 기반 사용자 레지스트리가 구성 파일 시스템에 작성됩니다.

관리자의 사용자 ID는 파일 기반 사용자 레지스트리에 추가됩니다.

관리자의 사용자 ID는 권한 있는 콘솔 사용자의 목록에 추가됩니다.

WebSphere Application Server는 서버의 자체 서명된 디지털 인증을 구성 파일 시스템에 자동으로 작성합니다.

옵션 3: 보안을 사용하지 않음

이 옵션을 선택하면 관리 보안이 구성되지 않습니다. 관리 콘솔 포트에 대한 액세스 권한이 있는 사용자가 서버 또는 셀 구성을 변경할 수 있습니다.

사후 사용자 정의 보안 설정이 권장됩니다.

WebSphere Application Server의 초기 보안 설정 옵션은 매우 기본적이며 초기 관리 보안을 제공하기 위한 용도로만 사용됩니다. 서버나 셀이 시작되어 실행되면 다음을 수행할 수 있습니다.
  • 다른 사용자 레지스트리를 전환하십시오. SAF 보안 데이터베이스 또는 파일 기본 레지스트리 대신에 사용자 정의 사용자 레지스트리를 사용할 수 있습니다.
  • 추가 관리자 또는 분배 관리 역할을 정의하십시오.
  • 애플리케이션 보안을 구현하십시오.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
파일 이름:rins_initsec.html