이 페이지에서 도메인의 보안 속성을 구성하고 셀 자원에 도메인을 지정할 수 있습니다. 각각의 보안 속성에 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 관리 콘솔 페이지를 보려면 보안 > 보안 도메인을 클릭하십시오. 보안 도메인 콜렉션 페이지에서, 구성할 기존 도메인을 선택하고 새 도메인을 작성하거나 기존 도메인을 복사하십시오.
다중 보안 도메인에 대한 개요와 이 버전의 WebSphere® Application Server에 지원되는 방식에 대해 자세히 알아보려면 다중 보안 도메인을 참조하십시오.
도메인의 고유 이름을 지정합니다. 처음 제출한 후에는 이 이름을 편집할 수 없습니다.
도메인 이름은 셀 내에서 고유해야 하며 유효하지 않은 문자를 포함할 수 없습니다.
도메인에 대한 설명을 지정합니다.
셀 토폴로지를 표시하려면 선택하십시오. 전체 셀에 보안 도메인을 지정하거나 특정 클러스터, 노드 및 서비스 통합 버스를 선택하여 보안 도메인에 포함할 수 있습니다.
모든 범위를 선택하는 경우, 전체 셀 토폴로지가 표시됩니다.
지정 범위를 선택하면, 현재 도메인에 지정된 서버 및 클러스터가 포함된 셀 토폴로지가 표시됩니다.
명시적으로 지정된 도메인의 이름이 자원 옆에 나타납니다. 선택란이 선택되어 있으면 자원이 현재 도메인에 지정되어 있음을 나타냅니다. 또한 기타 자원을 선택하고 적용 또는 확인을 클릭하여 현재 도메인에 지정할 수 있습니다.
선택되지 않은(사용 불가능) 자원은 현재 도메인에 지정되지 않음을 의미하며 다른 도메인에서 제거해야 현재 도메인에 사용할 수 있습니다.
자원에 명시적으로 지정된 도메인이 없는 경우 셀에 지정된 도메인이 사용됩니다. 셀에 지정된 도메인이 없을 경우 해당 자원이 글로벌 설정을 사용합니다.
클러스터 멤버를 개별적으로 도메인에 지정할 수 없습니다. 입력 클러스터가 동일한 도메인을 사용합니다.
응용프로그램 보안 사용 가능을 선택하여 사용자 응용프로그램에 보안을 사용 또는 사용 안함으로 설정하십시오. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 선택사항이 사용 불가능할 경우, 보안 도메인에 있는 모든 EJB 및 웹 응용프로그램이 더 이상 보호되지 않습니다. 사용자 인증이 없는 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능할 경우, 보안 도메인에 있는 모든 EJB 및 웹 응용프로그램에 J2EE 보안이 적용됩니다. J2EE 보안은 글로벌 보안 구성에서 글로벌 보안이 사용 가능으로 설정된 경우에만 적용됩니다(즉, 글로벌 레벨에서 글로벌 보안을 사용 가능으로 설정해야 응용프로그램 보안을 사용 가능으로 설정할 수 있음).
사용자 환경에서 응용프로그램에 대한 보안을 사용 가능하게 합니다. 이 유형의 보안은 인증하는 응용프로그램 사용자에 대한 응용프로그램 분리 및 요구사항을 제공합니다.
WebSphere Application Server의 이전 릴리스에서는 사용자가 글로벌 보안을 사용 가능하도록 설정한 경우 관리 보안과 응용프로그램 보안 둘 다 사용 가능했습니다. WebSphere Application Server 버전 6.1에서는 이전 글로벌 보안 표기가 관리 보안 및 응용프로그램 보안으로 분할되어 별도로 사용 가능하도록 설정할 수 있습니다.
이 분할의 결과로, WebSphere Application Server 클라이언트는 대상 서버에서의 응용프로그램 보안 사용 불가능 여부를 알아야 합니다. 관리 보안은 기본적으로 사용 가능합니다. 기본적으로 응용프로그램 보안은 사용 불가능합니다. 응용프로그램 보안이 사용 가능하도록 하려면 관리 보안을 사용 가능하도록 설정해야 합니다. 응용프로그램 보안은 관리 보안이 사용 가능할 때만 적용됩니다.
이 선택사항이 사용 불가능할 경우, 보안 도메인에 있는 모든 EJB 및 웹 응용프로그램이 더 이상 보호되지 않습니다. 사용자 인증이 없는 자원에 액세스가 부여됩니다. 이 선택사항이 사용 가능할 경우, 보안 도메인에 있는 모든 EJB 및 웹 응용프로그램에 J2EE 보안이 적용됩니다. J2EE 보안은 글로벌 보안 구성에서 글로벌 보안이 사용 가능으로 설정된 경우에만 적용됩니다(즉, 글로벌 레벨에서 글로벌 보안을 사용 가능으로 설정해야 응용프로그램 보안을 사용 가능으로 설정할 수 있음).
Java™ 2 보안 사용을 선택하여 도메인 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정하거나 Java 2 보안 관련 특성을 지정 또는 추가하십시오. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이 선택사항은 프로세스(JVM) 레벨에서 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정하므로 모든 응용프로그램(관리 응용프로그램 및 사용자 응용프로그램)이 Java 2 보안을 사용 가능 또는 사용 불가능으로 설정할 수 있습니다.
사용 중인 글로벌 보안 설정을 지정하려면 선택하십시오.
이 옵션을 선택하여 도메인에 정의된 설정(예: 응용프로그램 및 Java 2 보안을 사용 가능으로 설정하고 범주 규정된 인증 데이터를 사용할 옵션)을 지정하십시오.
Java 2 보안 권한 검사의 사용 가능 또는 사용 불가능 여부를 지정하려면 선택하십시오. 기본적으로 로컬 자원에 대한 액세스는 제한되지 않습니다. 응용프로그램 보안이 사용 가능할지라도 Java 2 보안이 사용 불가능하도록 선택할 수 있습니다.
Java 2 보안을 사용하여 로컬 자원에 대한 액세스 제한 옵션을 사용할 수 있고 응용프로그램이 기본 정책에 부여된 것보다 많은 Java 2 보안 권한을 필요로 하는 경우, 응용프로그램을 올바르게 실해하려면 응용프로그램의 app.policy 파일 또는 was.policy 파일에 필수 권한을 부여해야 합니다. AccessControl 예외는 모든 필수 권한이 없는 응용프로그램에 의해 생성됩니다.
응용프로그램 전개 및 응용프로그램 시작 시 보안 실행 시간이 경고 옵션을 발행하도록 지정합니다(응용프로그램에 사용자 정의 권한이 부여되는 경우). 사용자 정의 사용 권한은 Java API 사용 권한이 아닌 사용자 응용프로그램에서 정의한 사용 권한입니다. Java API 사용 권한은 java.* 및 javax.* 패키지의 사용 권한입니다.
Application Server는 정책 파일 관리 지원을 제공합니다. 이 제품에서는 많은 정책 파일을 제공하며, 이 파일 중 일부는 정적이고 일부는 동적입니다. 동적 정책은 특정 유형의 자원에 대한 권한 템플리트입니다. 코드 기본이 정의되지 않았으며 동적 정책 템플리트에 사용된 관련 코드 기본이 없습니다. 실제 기본 코드는 구성 및 런타임 데이터에서 동적으로 작성됩니다. filter.policy 파일에는 응용프로그램이 J2EE 1.4 스펙에 따르지 않게 할 사용 권한의 목록이 들어 있습니다.
Java 2 보안이 사용 가능하지 않으면 이 옵션을 사용할 수 없습니다.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
자원 인증 데이터에 대한 액세스 제한 옵션은 WSPrincipalMappingLoginModule 구현의 기본 프린시펄 맵핑에 세분화된 Java 2 보안 권한 검사를 추가합니다. Java 2 보안을 사용하여 로컬 자원에 대한 액세스 제한 및 자원 인증 데이터에 대한 액세스 제한 옵션이 사용 가능한 경우, JAAS(Java Authentication and Authorization Service) 로그인 시 직접 WSPrincipalMappingLoginModule 구현을 사용하는 J2EE(Java 2 Platform, Enterprise Edition) 응용프로그램에 명시적 권한을 부여해야 합니다.
기본값: | 사용 불가능 |
이 섹션을 통해 보안 도메인의 사용자 레지스트리를 구성할 수 있습니다. 도메인 레벨에서 사용되는 연합 레지스트리를 제외한 모든 레지스트리를 별도로 구성할 수 있습니다. 연합 저장소는 글로벌 레벨에서만 구성할 수 있지만 도메인 레벨에서 사용할 수 있습니다.
도메인 레벨에서 레지스트리를 구성할 때 레지스트리에 고유한 범주 이름을 정의할 수 있습니다. 범주 이름은 사용자 레지스트리를 구분합니다. 범주 이름은 여러 위치에 사용됩니다(예: 사용자에게 메시지를 표시하는 Java 클라이언트 로그인 패널, 인증 캐시, 기본 인증을 사용할 때).
글로벌 구성 레벨에서 사용자 레지스트리의 범주가 작성됩니다. WebSphere Application Server의 이전 릴리스에서는 하나의 사용자 레지스트리만이 시스템에 구성되었습니다. 여러 개의 보안 도메인이 있는 경우 시스템에 다중 레지스트리를 구성할 수 있습니다. 이러한 도메인에서 범주가 고유하도록 하려면 보안 도메인에 고유한 범주 이름을 구성하십시오. 고유한 범주 이름이 자동으로 작성되도록 선택할 수도 있습니다(확실히 고유할 경우). 후자의 경우, 범주 이름은 사용되는 레지스트리를 기준으로 합니다.
신뢰 연관에 대한 설정을 지정하려면 선택하십시오. 신뢰 연관은 역방향 프록시 서버를 Application Server에 연결하는 데 사용됩니다.
신뢰 연관을 사용하면 IBM® WebSphere Application Server 보안 및 써드파티 보안 서버의 통합이 가능해집니다. 더 구체적으로, 역방향 프록시 서버가 프론트 엔드 인증 서버 역할을 수행하는 반면, 이 제품은 자체 권한 정책을 프록시 서버에서 전달한 결과 신임에 적용합니다.
Tivoli® Access Manager의 신뢰 연관 인터셉터는 글로벌 레벨에서만 구성할 수 있습니다. 도메인 구성에서도 이 신뢰 연관 인터셉터를 사용할 수 있지만 다른 버전의 신뢰 연관 인터셉터를 사용할 수 없습니다. Tivoli Access Manager의 신뢰 연관 인터셉터 인스턴스 하나만 시스템에 존재할 수 있습니다.
이 옵션을 선택하여 역방향 프록시 서버의 신뢰 정보에 액세스하거나 지정하십시오.
IBM WebSphere Application Server 보안 및 써드파티 보안 서버의 통합을 사용 가능하게 하려면 선택하십시오. 더 구체적으로, 역방향 프록시 서버가 프론트 엔드 인증 서버 역할을 수행하는 반면, 이 제품은 자체 권한 정책을 프록시 서버에서 전달한 결과 신임에 적용합니다.
웹 인증 메커니즘으로 SPNEGO(Simple and Protected GSS-API Negotiation)에 대한 설정을 지정합니다.
웹 자원 인증에 SPNEGO를 구성할 수 있는 SPNEGO 웹 인증을 도메인 레벨에서 구성할 수 있습니다.
RMI/IIOP(Remote Method Invocation over the Internet Inter-ORB Protocol)에 대한 설정을 지원합니다.
오브젝트 요청 브로커(ORB)는 IIOP(Internet InterORB Protocol)를 사용하여 클라이언트와 서버 간의 상호작용을 관리합니다. 클라이언트는 네트워크 분산 환경에서 요청을 작성하고 서버로부터 응답을 수신할 수 있습니다.
이러한 속성을 도메인 레벨에서 구성하면, 편의상 글로벌 레벨에서 RMI/IIOP 보안 구성이 복사됩니다. 도메인 레벨에서 구분되도록 속성을 변경할 수 있습니다. CSIv2 인바운드 통신의 전송 레이어 설정은 글로벌 레벨과 도메인 레벨 둘 다에 동일해야 합니다. 동일하지 않을 경우, 도메인 레벨 속성이 프로세스의 모든 응용프로그램에 적용됩니다.
프로세스가 다른 범주의 프로세스와 통신할 때 해당 서버가 아웃바운드 신뢰 범주 목록에 없으면 LTPA 인증 및 전파 토큰이 다운스트림 서버에 전파됩니다. 이 작업은 CSIv2 아웃바운드 통신 패널의 신뢰 인증 범주 – 아웃바운드 링크를 사용하여 수행할 수 있습니다.
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 이 서버가 승인하는 연결에 대한 전송 설정 및 이 서버가 수신한 요청에 대한 인증 설정을 지정하려면 선택하십시오.
WebSphere Application Server를 사용하면 인바운드 및 아웃바운드 인증 요청에 대해 IIOP(Internet Inter-ORB Protocol) 인증을 지정할 수 있습니다. 인바운드 요청에 대해 기본 인증과 같은 허용되는 인증 유형을 지정할 수 있습니다.
OMG(Object Management Group) CSI(Common Secure Interoperability) 인증 프로토콜을 사용하여 서버에서 최기화한 연결에 대한 전송 설정 및 서버에서 전송한 요청에 대한 인증 설정을 지정하려면 선택하십시오.
WebSphere Application Server를 사용하면 인바운드 및 아웃바운드 인증 요청에 대해 IIOP(Internet Inter-ORB Protocol) 인증을 지정할 수 있습니다. 아웃바운드 요청의 경우 다운스트림 서버에 대한 요청에 사용되는 인증 유형, ID 신뢰 또는 로그인 구성과 같은 특성을 지정할 수 있습니다.
이 옵션을 선택하여 JAAS에 사용되는 로그인 구성을 정의하십시오.
JAAS 응용프로그램 로그인, JAAS 시스템 로그인, JAAS J2C 인증 데이터 별명은 모두 도메인 레벨에서 구성할 수 있습니다. 기본적으로, 시스템의 모든 응용프로그램은 글로벌 레벨에서 구성된 JAAS 로그인에 액세스할 수 있습니다. 보안 런타임이 도메인 레벨에서 먼저 JAAS 로그인이 있는지 검사합니다. JAAS 로그인이 없으면 글로벌 보안 구성에서 JAAS 로그인을 검사합니다. 보안 도메인에서 응용프로그램에 단독으로 사용되는 로그인을 지정해야 하는 경우에만 JAAS 로그인을 구성하십시오.
JAAS 및 사용자 정의 특성의 경우, 글로벌 속성이 도메인에 사용자 정의되면 사용자 응용프로그램에서 계속 사용할 수 있습니다.
ClientContainer, DefaultPrincipalMapping 및 WSLogin 로그인 구성을 다른 응용프로그램에서 사용할 수 있으므로 제거하지 마십시오. 이러한 구성이 제거되면 다른 응용프로그램이 실패합니다.
이 옵션을 선택하여 도메인에 정의된 설정(예: 응용프로그램 및 Java 2 보안을 사용 가능으로 설정하고 범주 규정된 인증 데이터를 사용할 옵션)을 지정하십시오.
JAAS 시스템 로그인에 대한 구성 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 구성 설정을 사용자 정의할 수 있습니다.
이 옵션을 선택하여 인증 메커니즘, 프린시펄 맵핑 및 신임 맵핑을 비롯하여 시스템 자원에 사용되는 JAAS 로그인 구성을 정의하십시오.
JAAS J2C 인증 데이터에 대한 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
J2EE(Java 2 Platform, Enterprise Edition) 커넥터 인증 데이터 항목은 자원 어댑터 및 JDBC(Java DataBase Connectivity) 데이터 소스에서 사용합니다.
이 옵션을 선택하여 도메인에 정의된 설정(예: 응용프로그램 및 Java 2 보안을 사용 가능으로 설정하고 범주 규정된 인증 데이터를 사용할 옵션)을 지정하십시오.
도메인 레벨에서 적용해야 하는 다양한 캐시 설정을 지정합니다.
권한 프로바이더에 대한 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
도메인 레벨에서 외부 써드파티 JACC(Java Authorization Contract for Containers) 프로바이더를 구성할 수 있습니다. Tivoli Access Manager의 JACC 프로바이더는 글로벌 레벨에서만 구성할 수 있습니다. 보안 도메인이 권한 프로바이더를 다른 JACC 프로바이더 또는 내장된 기본 권한으로 대체하지 않으면 계속 이 JACC 프로바이더를 사용할 수 있습니다.
기본 권한 또는 JACC 프로바이더를 사용하는 외부 권한을 선택하십시오. 구성 단추는 JACC 프로바이더를 사용하는 외부 권한을 선택하는 경우에만 사용할 수 있습니다.
SAF(System Authorization Facility) 권한의 경우,
도메인 레벨에서 SAF 프로파일 접두부를 설정하는 경우 서버 레벨에서
적용되므로 모든 응용프로그램(관리 응용프로그램 및 사용자 응용프로그램)이
해당 서버에 이 값을 사용 가능 또는 사용 불가능으로 설정할 수 있습니다.
z/OS®에 대한 설정을 지정합니다. 글로벌 보안 설정을 사용하거나 도메인에 대한 설정을 사용자 정의할 수 있습니다.
이름이 특성 키이고 값이 문자열인 데이터의 이름-값 쌍을 지정하려면 선택하십시오.
글로벌 레벨에 있는 사용자 정의 특성과 다른 사용자 특성 또는 새 사용자 정의 특성을 도메인 레벨에 설정하십시오. 기본적으로, 시스템의 모든 응용프로그램은 글로벌 보안 구성에 있는 모든 사용자 정의 특성에 액세스할 수 있습니다. 보안 런타임 코드가 도메인 레벨에서 먼저 사용자 정의 특성이 있는지 검사합니다. 사용자 정의 특성이 없으면 글로벌 보안 구성에서 사용자 정의 특성을 가져옵니다.
기본 정책 세트 바인딩을 클릭하여 도메인 기본 프로바이더 및 클라이언트 바인딩을 설정하십시오.
표시된(온라인) 링크는 인터넷에 액세스해야 합니다.