이 패널에서 관리 및 기본 응용프로그램 보안 정책을 구성할 수 있습니다. 이 보안 구성은 모든 관리 기능에 대한 보안 정책에 적용되며 사용자 응용프로그램의 기본 보안 정책으로 사용됩니다. 보안 도메인은 사용자 응용프로그램의 보안 정책을 대체하고 사용자 정의하도록 정의할 수 있습니다.
이 관리 콘솔 페이지를 보려면 보안>글로벌 보안을 클릭하십시오.
보안은 응용프로그램의 성능에 영향을 줍니다.
성능 영향은 응용프로그램 워크로드 특성에 따라 다를 수 있습니다.
먼저 응용프로그램에 대해 필요한 보안 레벨을 사용 가능한지 결정한 다음 응용프로그램 성능에 대한 보안의 영향을 측정해야 합니다.
일단 보안이 구성된 후에는 레지스트리 또는 인증 메커니즘 패널에 대한 모든 변경사항의 유효성을 검증해야 합니다. 적용을 클릭하여 사용자 레지스트리 설정의 유효성을 검증하십시오. 구성된 사용자 레지스트리에 대해 서버 ID를 인증하거나 관리 ID를 확인(internalServerID가 사용된 경우)하려는 시도가 수행됩니다. 관리 보안을 사용 가능하게 한 후 사용자 레지스트리 설정 값의 유효성을 검증하면 처음 서버를 다시 시작할 때 문제점을 방지할 수 있습니다.
기본 관리 및 응용프로그램 보안 설정을 구성할 수 있는 마법사를 실행합니다. 이 프로세스는 관리 타스크 및 응용프로그램을 권한 부여된 사용자로만 제한합니다.
이 마법사를 사용하면 응용프로그램 보안, 자원 또는 J2C(Java™ 2 Connector) 보안 및 사용자 레지스트리를 구성할 수 있습니다. 기존 레지스트리를 구성하고 관리, 응용프로그램 및 자원 보안을 사용 가능하게 할 수 있습니다.
보안 구성 마법사를 사용하여 만든 변경사항을 적용하면 기본적으로 관리 보안이 켜집니다.
Application Server의 현재 보안 설정을 수집 및 표시하는 보고서를 실행합니다. 코어 보안 설정, 관리 사용자 및 그룹, CORBA 네이밍 역할 및 쿠키 보호에 관한 정보가 수집됩니다. 여러 보안 도메인이 구성된 경우 보고서에는 각 도메인과 연관된 보안 구성이 표시됩니다.
보고서는 응용프로그램 레벨 보안 정보를 표시하지 않도록 현재 제한되어 있습니다. 또한 보고서는 JMS(Java Message Service) 보안, 버스 보안 또는 웹 서비스 보안을 표시하지 않습니다.
이 Application Server 도메인에 대한 관리 보안이 사용 가능한지 여부를 지정합니다. 관리 보안을 사용하는 경우 사용자는 인증을 받아야 Application Server의 관리 제어권을 얻을 수 있습니다.
자세한 정보는 관리 역할 및 관리 인증에 대한 관련 링크를 참조하십시오.
보안을 사용 가능하게 하면 인증 메커니즘 구성을 설정하고 선택된 레지스트리 구성에서 유효한 사용자 ID 및 암호(또는 internalServerID 기능을 사용하는 경우 유효한 관리 ID)를 지정하십시오.
사용자 레지스트리가 로컬 OS인 경우 z/OS®
시작 타스크 옵션만 지정할 수 있습니다.
보안 도메인에서 보안을 사용 가능하게 한 후 서버가 시작되지 않는 등의 문제가 발생하는 경우, 셀의 모든 파일을 이 노드에서 다시 동기화하십시오. 파일을 다시 동기화하려면 노드에서 다음 명령을 실행하십시오. syncNode -username your_userid -password your_password. 이 명령은 Deployment Manager에 연결되고 모든 파일을 다시 동기화합니다.
관리 보안을 사용 가능하게 한 후
서버가 다시 시작되지 않는 경우, 보안을 사용 불가능하게 할 수 있습니다. app_server_root/bin
디렉토리에서 wsadmin -conntype NONE 명령을 실행하십시오. wsadmin>
프롬프트에서 securityoff를
입력한 다음 exit를 입력하여 명령 프롬프트로 리턴하십시오. 관리 콘솔을 통해 보안을 사용 불가능하게 하고 서버를 재시작하여 부정확한 설정이 있는지 확인하십시오.
로컬 OS 사용자 레지스트리 사용자: 활성 사용자 레지스트리로
로컬 OS를 선택하는 경우, 사용자 레지스트리 구성에 암호를 제공할 필요가 없습니다.
기본값: | 사용 가능 |
사용자 환경에서 응용프로그램에 대한 보안을 사용 가능하게 합니다. 이 유형의 보안은 인증하는 응용프로그램 사용자에 대한 응용프로그램 분리 및 요구사항을 제공합니다.
WebSphere® Application Server의 이전 릴리스에서는 사용자가 글로벌 보안을 사용 가능하도록 설정한 경우 관리 보안과 응용프로그램 보안 둘 다 사용 가능했습니다. WebSphere Application Server 버전 6.1에서는 이전 글로벌 보안 표기가 관리 보안 및 응용프로그램 보안으로 분할되어 별도로 사용 가능하도록 설정할 수 있습니다.
이 분할의 결과로, WebSphere Application Server 클라이언트는 대상 서버에서의 응용프로그램 보안 사용 불가능 여부를 알아야 합니다. 관리 보안은 기본적으로 사용 가능합니다. 기본적으로 응용프로그램 보안은 사용 불가능합니다. 응용프로그램 보안이 사용 가능하도록 하려면 관리 보안을 사용 가능하도록 설정해야 합니다. 응용프로그램 보안은 관리 보안이 사용 가능할 때만 적용됩니다.
기본값: | 사용 불가능 |
Java 2 보안 권한 검사의 사용 가능 또는 사용 불가능 여부를 지정합니다. 기본적으로 로컬 자원에 대한 액세스는 제한되지 않습니다. 응용프로그램 보안이 사용 가능할지라도 Java 2 보안이 사용 불가능하도록 선택할 수 있습니다.
Java 2 보안을 사용하여 로컬 자원에 대한 액세스 제한 옵션을 사용할 수 있고 응용프로그램이 기본 정책에 부여된 것보다 많은 Java 2 보안 권한을 필요로 하는 경우, 응용프로그램을 올바르게 실행하려면 응용프로그램의 app.policy 파일 또는 was.policy 파일에 필수 권한을 부여해야 합니다. AccessControl 예외는 모든 필수 권한이 없는 응용프로그램에 의해 생성됩니다. Java 2 보안에 대한 자세한 정보는 관련 링크를 참조하십시오.
기본값: | 사용 불가능 |
응용프로그램 전개 및 응용프로그램 시작 시 보안 실행 시간이 경고 옵션을 발행하도록 지정합니다(응용프로그램에 사용자 정의 권한이 부여되는 경우). 사용자 정의 사용 권한은 Java API 사용 권한이 아닌 사용자 응용프로그램에서 정의한 사용 권한입니다. Java API 사용 권한은 java.* 및 javax.* 패키지의 사용 권한입니다.
Application Server는 정책 파일 관리 지원을 제공합니다. 이 제품에서는 많은 정책 파일을 제공하며, 이 파일 중 일부는 정적이고 일부는 동적입니다. 동적 정책은 특정 유형의 자원에 대한 권한 템플리트입니다. 코드 기본이 정의되지 않았으며 동적 정책 템플리트에 사용된 관련 코드 기본이 없습니다. 실제 기본 코드는 구성 및 런타임 데이터에서 동적으로 작성됩니다. filter.policy 파일에는 응용프로그램이 J2EE 1.4 스펙에 따르지 않게 할 사용 권한의 목록이 들어 있습니다. 사용 권한에 대한 자세한 정보는 Java 2 보안 정책 파일에 대한 관련 링크를 참조하십시오.
기본값: | 사용 불가능 |
민감한 JCA(Java Connector Architecture) 맵핑 인증 데이터에 대한 응용프로그램 액세스를 제한하려면 이 옵션을 사용 가능으로 설정하십시오.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
자원 인증 데이터에 대한 액세스 제한 옵션은 WSPrincipalMappingLoginModule 구현의 기본 프린시펄 맵핑에 세분화된 Java 2 보안 권한 검사를 추가합니다. Java 2 보안을 사용하여 로컬 자원에 대한 액세스 제한 및 자원 인증 데이터에 대한 액세스 제한 옵션이 사용 가능한 경우, JAAS(Java Authentication and Authorization Service) 로그인 시 직접 WSPrincipalMappingLoginModule 구현을 사용하는 J2EE(Java 2 Platform, Enterprise Edition) 응용프로그램에 명시적 권한을 부여해야 합니다.
기본값: | 사용 불가능 |
활성 사용자 저장소의 현재 설정을 지정합니다.
이 필드는 읽기 전용입니다.
사용 가능한 사용자 계정 저장소를 지정합니다.
구성된 후 사용자 저장소 사용 가능
LDAP 또는 사용자 레지스트리 사용자 정의는
UNIX® 비루트 사용자로 실행하거나
다중 노드 환경에서 실행할 경우에 필요합니다.
구성된
RACF®(Resource Access Control Facility) 또는
SAF(System Authorization Facility) 준수 보안 서버를 Application Server 사용자 레지스트리로 사용하려면
이 설정을 지정하십시오.
localOS는
UNIX 플랫폼에서 비루트로 실행 중일 때 또는
다중 노드에 있을 때는 사용할 수 없습니다.
로컬 운영 체제 레지스트리는
도메인 제어기 또는 단일 시스템에 상주하는 Network Deployment 셀을
사용하는 경우에만 유효합니다. 후자의 경우 셀에 있는 여러
노드를 여러 시스템에 분산할 수 없습니다. 로컬 OS 사용자 레지스트리를 사용하는 이 구성이 유효하지 않기 때문입니다.
사용자 및 그룹이 외부 LDAP 디렉토리에 상주할 때 독립형 LDAP 레지스트리 설정을 사용하려면 이 설정을 지정하십시오. 보안이 사용 가능하고 이 특성 중 일부가 변경되는 경우, 글로벌 보안 패널에서 보안 > 글로벌 보안 패널로 이동한 후 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.
기본값: | 사용 불가능 |
글로벌 보안 설정을 구성하려면 선택하십시오.
인증 아래에서 웹 및 SIP 보안을 펼쳐서 다음에 대한 링크를 보십시오.
웹 인증에 대한 설정을 지정하려면 선택하십시오.
단일 사인온(SSO)에 대한 구성 값을 지정하려면 선택하십시오.
SSO 지원을 사용하여 웹 사용자는 WebSphere Application Server 자원(예: HTML (JSP(JavaServer Pages) 파일, 서블릿, 엔터프라이즈 Bean) 및 Lotus® Domino® 자원에 액세스할 때 한 번만 인증받을 수 있습니다.
SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)는 웹 클라이언트와 서버가 통신을 허용하는 데 사용되는 웹 인증 프로토콜을 조정하는 방법을 제공합니다.
신뢰 연관에 대한 설정을 지정하려면 선택하십시오. 신뢰 연관은 역방향 프록시 서버를 Application Server에 연결하는 데 사용됩니다.
글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
인증 아래에서 RMI/IIOP 보안을 펼쳐서 다음에 대한 링크를 보십시오.
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 이 서버가 승인하는 연결에 대한 전송 설정 및 이 서버가 수신한 요청에 대한 인증 설정을 지정하려면 선택하십시오.
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 서버에서 최기화한 연결에 대한 전송 설정 및 서버에서 전송한 요청에 대한 인증 설정을 지정하려면 선택하십시오.
인증 아래에서 JAAS(Java Authentication and Authorization Service)를 펼쳐서 다음에 대한 링크를 보십시오.
JAAS에서 사용되는 로그인 구성을 정의하려면 선택합니다.
다른 응용프로그램에서 사용할 수 있으므로 ClientContainer, DefaultPrincipalMapping 및 WSLogin 로그인 구성을 제거하지 마십시오. 이러한 구성을 제거하는 경우 다른 응용프로그램이 실패할 수 있습니다.
인증 메커니즘, 프린시펄 맵핑 및 신임 맵핑을 포함하여 시스템 자원에서 사용하는 JAAS 로그인 구성을 정의하려면 선택합니다.
JAAS(Java Authentication and Authorization Service) J2C(Java 2 Connector) 인증 데이터에 대한 설정을 지정하려면 선택하십시오.
글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
Application Server가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택합니다.
서버 간에 교환되는 인증 정보 암호화에는 LTPA(Lightweight Third-Party Authentication) 메커니즘이 포함됩니다.
Application Server가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택합니다.
Application Server가 안전한 방법으로 한 서버에서 다른 서버로 데이터를 전송할 수 있도록 인증 정보를 암호화하려면 선택합니다.
서버 간에 교환되는 인증 정보 암호화에는 KRB5 또는 LTPA 메커니즘이 포함됩니다.
인증 캐시 설정을 설정하려면 선택하십시오.
메소드(예: getUserPrincipal() 메소드)에서 리턴되는 사용자 이름이 이 이름이 상주하는 보안 범주로 규정되도록 지정합니다.
보안 도메인 링크를 사용하여 사용자 응용프로그램에 대한 추가 보안 구성을 구성하십시오.
예를 들어, 사용자 응용프로그램 세트에 글로벌 레벨에서 사용되는 것과 다른 사용자 레지스트리를 사용하려면 해당 사용자 레지스트리로 보안 구성을 작성하고 해당 응용프로그램 세트와 연관시키십시오. 이러한 추가 보안 구성은 다양한 범위(셀, 클러스터/서버, SIBus)와 연관될 수 있습니다. 보안 구성이 범위와 연관되면, 해당 범위의 모든 사용자 응용프로그램이 이 보안 구성을 사용합니다. 자세한 정보는 다중 보안 도메인의 내용을 읽어 보십시오.
각각의 보안 속성에 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
기본 권한 구성 또는 외부 권한 프로바이더를 사용할지 여부를 지정하려면 선택하십시오.
외부 프로바이더는 J2EE(Java(TM) 2 Platform, Enterprise Edition) 권한을 처리할 수 있도록 JACC(Java Authorization Contract for Containers) 스펙을 기반으로 해야 합니다. JACC 권한 프로바이더로 외부 보안 프로바이더를 구성하지 않는 한 권한 프로바이더 패널에서 설정을 수정하지 마십시오.
이름이 특성 키이고 값이 문자열인 데이터의 이름-값 쌍을 지정하려면 선택하십시오.
표시된(온라인) 링크는 인터넷에 액세스해야 합니다.