Kerberos 인증

이 페이지에서 Application Server에 대한 인증 메커니즘으로 Kerberos를 구성하고 확인할 수 있습니다.

구성에 필수 정보를 입력하여 적용하면 서비스 이름, 범주 이름 및 호스트 이름에서 서버 프린시펄 이름이 작성되며, Kerberos 서비스에 대한 인증을 자동으로 확인하는 데 사용됩니다.

구성된 경우, Kerberos는 1차 인증 메커니즘입니다. 응용프로그램 세부사항 패널에서 자원 참조 링크에 액세스하여 자원에 대한 JavaBeans™(EJB) 인증을 구성하십시오.

이 관리 콘솔 페이지를 보려면 보안>글로벌 보안을 클릭하십시오. 인증 아래에서 Kerberos 구성을 클릭하십시오.

주: Kerberos를 구성할 때 다음 예제와 같이 구성에 실패하여 예외가 발생하는 경우,
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
프린시펄 서비스 형식은 <service name>/<fully qualified hostname>@KerberosRealm이어야 합니다. 예외 예제에서, 완전한 호스트 이름이 지정되어 있지 않으며 이로 인해 장애가 발생합니다. 이 장애에서, 일반적으로 시스템의 호스트 이름은 DNS(Domain Name Server) 대신 /etc/hosts 파일에서 얻습니다. UNIX® 또는 Linux® 시스템에서, DNS에서 조회하기 전에 호스트 파일에서 먼저 조회하도록 /etc/nsswitch.conf 파일의 "hosts": 행이 구성되어 있는 경우, 호스트 파일에 완전한 호스트 이름이 아닌 시스템의 항목이 포함되어 있으면 Kerberos 구성에 실패합니다.
Kerberos 범주 이름

Kerberos 범주의 이름. 대부분의 경우, 범주는 대문자로된 도메인 이름입니다. 예를 들어, 도메인 이름이 test.austin.ibm.com인 시스템의 경우 일반적으로 Kerberos 범주 이름은 AUSTIN.IBM.COM입니다.

범주 이름을 사용하는 두 개의 컴포넌트가 있습니다. IBM JGSS(Java Generic Security Service) 컴포넌트는 krb5.conf 파일에서 범주 이름을 확보합니다. 또한 WebSphere Application Server는 JGSS에서 사용하는 범주 이름과 일반적으로 동일한 범주 이름을 유지보수합니다. Kerberos 범주 이름 필드를 비워두면 WebSphere Application Server가 JGSS에서 범주를 상속받습니다.

WebSphere Application Server가 다른 범주 이름을 사용하도록 하려면 Kerberos 범주 이름 필드를 사용하여 범주 이름을 변경하십시오. 하지만 관리 콘솔에서 범주 이름을 변경하면 WebSphere Application Server 범주 이름만 변경됩니다.

데이터 유형: 문자열
Kerberos 서비스 이름

규칙에 따라 Kerberos 서비스 프린시펄은 1차, 인스턴스 및 Kerberos 범주 이름으로 나뉩니다. Kerberos 서비스 프린시펄 이름의 형식은 service/<fully qualified hostname>@KERBEROS_REALM.입니다. 서비스 이름은 Kerberos 서비스 프린시펄 이름의 첫 번째 파트입니다. 예를 들어, WAS/test.austin.ibm.com@AUSTIN.IBM.COM에서 서비스 이름은 WAS입니다.

기본값: 문자열
전체 경로를 포함하는 Kerberos 구성 파일

Kerberos 구성 파일(krb5.conf 또는 krb5.ini)에는 원하는 범주의 KDC(Key Distribution Centers) 위치를 비롯한 클라이언트 구성 정보가 포함됩니다. krb5.conf 파일은 Windows® 운영 체제를 제외한 krb5.ini 파일을 사용하는 모든 플랫폼에 사용됩니다.

데이터 유형: 문자열
전체 경로를 포함하는 Kerberos keytab 파일 이름

전체 경로가 포함된 Kerberos keytab 파일 이름을 지정합니다. 찾아보기를 클릭하여 찾을 수 있습니다. 이 필드를 비워두면 Kerberos 구성 파일에 지정된 keytab 파일 이름이 사용됩니다.

데이터 유형: 문자열
프린시펄 이름에서 Kerberos 범주 제거

Kerberos가 Kerberos 범주 이름 앞에 오는 @로 시작하는 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 사용된 기본값은 true입니다

주: z/OS에 로컬 운영 체제 레지스트리와 내장 맵핑 모듈 둘 다 사용하여 Kerberos 프린시펄을 SAF ID에 맵핑하는 경우 이 필드를 true로 설정해야 합니다.
기본값: 사용 가능
Kerberos 신임 위임 사용

Kerberos 인증을 통해 Kerberos 위임 신임이 주제에 저장되는지 지정합니다.

또한 이 옵션을 사용하면 응용프로그램에서 저장된 신임을 검색한 후 Kerberos 클라이언트에서의 신임을 사용하여 추가 Kerberos 인증 시 응용프로그램 다운스트림에 해당 신임을 전파할 수 있습니다.

주: 이 매개변수가 true이고 런타임에서 클라이언트 GSS 위임 신임을 추출할 수 없는 경우, 경고 메시지가 로그됩니다.
기본값: 사용 가능
Kerberos 프린시펄을 SAF(System Authorization Facility) ID로 맵핑하는 내장 맵핑 모듈 사용

내장 맵핑 모듈을 사용하여 z/OS®에서 Kerberos 프린시펄 이름을 SAF ID에 맵핑할지 지정합니다. 이 옵션은 활성 사용자 레지스트리가 로컬 OS인 경우에만 적용됩니다.

주: 몇 가지 추가 단계가 필요합니다. 자세한 정보는 z/OS에서 SAF(System Authorization Facility) ID에 Kerberos 프린시펄 맵핑의 내용을 읽으십시오.
문제점 방지: 내장 맵핑 모듈 사용할 옵션을 선택하는 경우, 다른 사용자 정의 JAAS 로그인 모듈이 Kerberos 프린시펄 이름을 SAF ID에 맵핑하도록 구성하지 않아야 합니다.gotcha
주: 내장 맵핑 모듈은 프린시펄 이름에서 Kerberos 범주 제거 필드의 설정값에 관계없이 맵핑에 전체 Kerberos 프린시펄 이름과 Kerberos 범주를 사용합니다.
기본값: 사용 불가능



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 참조
SPNEGO 웹 인증 사용
SPNEGO 웹 인증 필터 값


파일 이름: usec_kerb_auth_mech.html