CSIv2(Common Secure Interoperability Version 2) 인바운드 통신 설정

이 페이지에서 서버가 자원에 액세스하는 클라이언트에 대해 지원할 기능을 지정할 수 있습니다.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증에서 RMI/IIOP 보안 > CSIv2 인바운드 통신을 클릭하십시오.

수신 요청 또는 전송에 포함된 인증 정보의 유형을 구성할 경우 CSI(Common Secure Interoperability) 인바운드 통신 설정을 사용하십시오.

인증 기능에는 동시에 사용할 수 있는 다음과 같은 세 가지 인증 레이어가 포함됩니다.
보안 속성 전파

로그인 요청 중 보안 속성 전파에 대한 지원을 지정합니다. 이 옵션을 선택하면 Application Server는 로그인 요청에 대한 추가 정보(예: 사용된 인증 강도) 및 요청자의 ID와 위치를 보관합니다.

이 옵션을 선택하지 않으면 Application Server는 다운스트림 서버로 전파할 추가 로그인 정보를 승인하지 않습니다.

기본값: 사용 가능
중요사항: 복제 서비스를 사용할 경우, 보안 속성 전파 옵션이 사용 가능한지 확인하십시오.
ID 신뢰 사용

ID 가정검증이 다운스트림 EJB(엔터프라이즈 JavaBeans™) 호출 중에 한 서버에서 다른 서버로 ID를 검증하는 방법임을 지정합니다.

이 서버는 업스트림 서버를 신뢰하므로 신뢰하는 ID를 다시 인증하지 않습니다. ID 신뢰는 기타 모든 인증 유형보다 우선순위가 높습니다.

ID 신뢰는 속성 레이어에서 수행되며 서버에서만 적용됩니다. 서버에서 판별되는 프린시펄은 우선순위 규칙을 기초로 합니다. ID 가정검증이 사용되는 경우, ID는 항상 속성 레이어에서 파생됩니다. ID 가정검증 없이 기본 인증이 사용되는 경우, ID는 항상 메시지 레이어에서 파생됩니다. 마지막으로 SSL 클라이언트 인증서 인증이 기본 인증 또는 ID 신뢰 없이 수행되는 경우 ID는 전송 레이어에서 파생됩니다.

신뢰된 ID는 엔터프라이즈 Bean에 대한 RunAs 모드로 판별되는 호출 신임입니다. RunAs 모드가 클라이언트인 경우, ID는 클라이언트의 ID입니다. RunAs 모드가 시스템인 경우, 서버 ID가 됩니다. RunAs 모드가 지정됨인 경우 ID는 지정된 ID입니다. 수신 중인 서버는 ID 토큰에서 ID를 수신하며 또한 클라이언트 인증 토큰에 전송 중인 서버 ID를 수신합니다. 수신 서버는 신뢰 서버 ID 항목 상자를 통해 신뢰된 ID로서 전송 서버 ID의 유효성을 검증합니다. 파이프(|)로 분리된 프린시펄 이름의 목록을 입력하십시오(예: serverid1|serverid2|serverid3).

모든 ID 토큰 유형은 활성 사용자 레지스트리의 사용자 ID 필드로 맵핑됩니다. ITTPrincipal ID 토큰의 경우, 이 토큰은 사용자 ID 필드와 하나씩 맵핑됩니다. ITTDistinguishedName ID 토큰의 경우 첫 번째 등호의 값이 사용자 ID 필드에 맵핑됩니다. ITTCertChain ID 토큰의 경우, 첫 번째 등호의 식별 이름 값이 사용자 ID 필드에 맵핑됩니다.

LDAP 사용자 레지스트리에 인증될 때, LDAP 필터는 ITTCertChain 및 ITTDistinguishedName 유형의 ID가 레지스트리에 맵핑되는 방법을 결정합니다. 토큰 유형이 ITTPrincipal인 경우, 프린시펄은 LDAP 레지스트리의 UID 필드에 맵핑됩니다.

기본값: 사용 불가능
신뢰 ID

전송 서버에서 수신 서버로 전송되는 신뢰된 ID를 지정하십시오.

이 서버에 ID 신뢰를 수행할 수 있도록 신뢰된 서버 관리자 사용자 ID의 파이프로 구분된(|) 목록을 지정합니다(예: serverid1|serverid2|serverid3). Application Server는 이전 버전과의 호환성을 위해 목록 분리문자로 쉼표(,) 문자를 지원합니다. Application Server는 파이프 문자(|)가 유효한 신뢰 서버 ID를 찾지 못하는 경우 쉼표 문자를 점검합니다.

이 목록을 사용하여 서버가 신뢰되는지 여부를 결정하십시오. 서버가 목록에 있는 경우에도 전송 서버의 ID 토큰을 승인하려면 전송 서버가 수신 서버에서 인증되어야 합니다.

데이터 유형: 문자열
클라이언트 인증서 인증

인증은 메소드 요청 중 클라이언트와 서버 간에 초기 연결이 작성되는 동안 발생함을 지정합니다.

전송 레이어에서 SSL(Secure Socket Layer) 클라이언트 인증서 인증이 발생합니다. 메시지 레이어에서 기본 인증(사용자 ID 및 암호)이 사용됩니다. 클라이언트 인증서 인증은 일반적으로 메시지 레이어 인증보다 잘 수행하지만 몇 가지 추가 설정이 필요합니다. 이 추가 단계에는 서버가 연결되는 각 클라이언트의 서명자 인증을 신뢰하는지 확인하는 작업이 포함됩니다. 클라이언트에서 인증 기관(CA)을 사용하여 개인 인증서를 작성하면 SSL 신뢰 파일의 서버 서명자 섹션에 CA 루트 인증서만 필요합니다.

[AIX Solaris HP-UX Linux Windows] [iSeries] 인증서가 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리에서 인증될 때, 식별 이름(DN)은 LDAP를 구성할 때 지정된 필터를 기본으로 맵핑됩니다. 인증서가 로컬 OS 사용자 레지스트리에 인증되는 경우, 일반적으로 공통 이름인 인증서에 있는 식별 이름(DN)의 첫 번째 속성이 레지스트리의 사용자 ID에 맵핑됩니다.

[z/OS] 인증서가 로컬 OS 사용자 레지스트리에 인증되는 경우 해당 인증서는 레지스트리의 사용자 ID에 맵핑됩니다.

클라이언트 인증서의 ID는 다른 인증 레이어가 서버에 없는 경우에만 사용됩니다.

불필요
클라이언트가 이 서버로 SSL(Secure Sockets Layer) 클라이언트 증명 인증을 시도할 수 없도록 지정합니다.
지원됨
이 서버에 연결 중인 클라이언트가 SSL 클라이언트 인증을 사용하여 인증할 수 있도록 지정합니다. 그러나 서버는 이러한 인증 유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 대신에 익명 또는 기본 인증을 사용합니다.
[z/OS] 주: 서버의 CSIv2 인바운드 인증에 대해 "지원됨"이 설정되면, 클라이언트 인증서가 인증에 사용됩니다.
필수
이 서버에 연결 중인 클라이언트가 메소드를 호출하기 전에 SSL 클라이언트 인증을 사용하여 인증해야 하도록 지정합니다.
전송

클라이언트가 연결된 전송 중 하나를 사용하여 서버에 대한 연결을 처리할지 여부를 지정합니다.

서버가 지원하는 인바운드 전송으로 SSL(Secure Sockets Layer), TCP/IP 또는 둘 다 선택할 수 있습니다. TCP/IP를 지정하면 서버가 TCP/IP만 지원하며 SSL 연결을 승인할 수 없습니다. SSL 지원을 지정하면, 이 서버가 TCP/IP 또는 SSL 연결을 지원할 수 있습니다. SSL-필수를 지정하면 이 서버와 통신 중인 서버가 SSL을 사용해야 합니다.

주: 버전 6.0.x 및 이전 노드가 둘 다 셀에 존재하지 않을 경우 이 옵션이 z/OS® 플랫폼에서 사용 가능하지 않습니다.
TCP/IP
TCP/IP를 선택하면 서버는 TCP/IP 리스너 포트만 열고 모든 인바운드 요청에는 SSL 보호가 없습니다.
SSL 필수
SSL 필수를 선택하면, 서버는 SSL 리스너 포트만 열고 모든 인바운드 요청은 SSL을 사용하여 수신됩니다.
SSL 지원
SSL 지원을 선택하면, 서버는 TCP/IP 및 SSL 리스너 포트를 모두 열고 대부분의 인바운드 요청은 SSL(Secure Sockets Layer)을 사용하여 수신됩니다.
다음 포트에 수정된 포트 번호를 제공합니다. 포트 번호가 0인 경우에는 동적 지정이 런타임 시 작성됩니다. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

기본값: SSL 지원
범위: TCP/IP, SSL 필수, SSL-지원
SSL 설정

인바운드 연결을 위해 선택할 사전 정의된 SSL 설정 목록을 지정합니다.

[z/OS] 주: 버전 6.0.x 및 이전 노드가 둘 다 셀에 존재하지 않을 경우 이 옵션이 z/OS 플랫폼에서 사용 가능하지 않습니다.
데이터 유형: 문자열
[AIX Solaris HP-UX Linux Windows] [iSeries] 기본값: DefaultSSLSettings
[z/OS] 기본값: DefaultIIOPSSL
범위: SSL 구성 레퍼토리에 구성되는 모든 SSL 설정
메시지 레이어 인증

다음 옵션은 메시지 레이어 인증에 사용 가능합니다.
불필요
이 서버가 사용자 ID 및 암호 인증을 승인할 수 없도록 지정합니다.
지원됨
이 서버와 통신 중인 클라이언트가 사용자 ID 및 암호를 지정할 수 있도록 지정합니다. 그러나 이러한 인증 유형 없이도 메소드를 호출할 수 있습니다. 예를 들어, 대신에 익명 또는 클라이언트 인증을 사용합니다.
필수
이 서버와 통신 중인 클라이언트가 모든 메소드 요청에 대해 사용자 ID 및 암호를 지정해야 하도록 지정합니다.
클라이언트의 서버 인증 도구:

Kerberos, LTPA 또는 기본 인증을 사용하여 클라이언트 대 서버 인증을 지정합니다.

다음 옵션은 클라이언트 대 서버 인증에 사용 가능합니다.
Kerberos(KRB5)
Kerberos를 인증 메커니즘으로 지정하도록 선택하십시오. 먼저 Kerberos 인증 메커니즘을 구성해야 합니다. 자세한 정보를 보려면 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성의 내용을 읽어 보십시오.
LTPA
LTPA 토큰 인증을 지정하도록 선택하십시오.
기본 인증
기본 인증은 GSSUP(Generic Security Services Username Password)입니다. 이러한 인증 유형에는 일반적으로 인증을 위한 클라이언트에서 서버로의 사용자 ID 및 암호 전송이 포함됩니다.

기본 인증LTPA를 선택하고 활성 인증 메커니즘이 LTPA인 경우 사용자 이름, 암호 및 LTPA 토큰이 승인됩니다.

기본 인증KRB5를 선택하고 활성 인증 메커니즘이 KRB5인 경우 사용자 이름, 암호, Kerberos 토큰 및 LTPA 토큰이 승인됩니다.

기본 인증을 선택하지 않은 경우 사용자 이름 및 암호가 서버에서 승인되지 않습니다.

로그인 구성

인바운드 인증에 사용할 시스템 로그인 구성의 유형을 지정합니다.

보안 > 글로벌 보안을 클릭하여 사용자 정의 로그인 모듈을 추가할 수 있습니다. 인증에서 JAAS(Java™ Authentication and Authorization Service) > 시스템 로그인을 클릭하십시오.

Stateful 세션

대부분 성능 향상을 위해 사용되는 Stateful 세션을 사용 가능하도록 하려면 이 옵션을 선택하십시오.

클라이언트와 서버 간의 첫 번째 접속은 완전하게 인증되어야 합니다. 반면 유효한 세션인 모든 후속 접속은 보안 정보를 다시 사용합니다. 클라이언트는 컨텍스트 ID를 서버에 전달하고, 이 ID는 세션 조회에 사용됩니다. 컨텍스트 ID 범위는 고유성을 보증하는 연결입니다. 보안 세션이 유효하지 않고 인증 재시도가 사용 가능할 때마다 기본적으로 사용 가능하며 클라이언트측 보안 인터셉터가 클라이언트측 세션을 무효화하고 사용자가 인식하지 못하는 사이에 요청을 다시 제출합니다. 이러한 상황은 세션이 서버에 없는 경우에 발생할 수 있습니다(예: 서버가 실패하고 조작을 재개함). 이 값이 사용 불가능하게 되면 각 메소드 호출을 다시 인증해야 합니다.

기본값: 사용 가능
신뢰 인증 범주 - 인바운드

범주에 대해 인바운드 신뢰를 설정하려면 이 링크를 선택합니다. 인바운드 인증 범주 설정은 CSIv2에 특정하지 않으며, 여러 보안 도메인에 대해 인바운드 신뢰를 부여할 범주를 구성할 수도 있습니다.

인바운드 인증은 인바운드 요청에 대해 어떤 유형의 인증이 승인되는지 결정하는 구성을 나타냅니다. 이 인증은 클라이언트가 네임 서버에서 검색하는 IOR(Interoperable Object Reference)로 알립니다.




표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 태스크
관련 참조
JAAS(Java Authentication and Authorization Service)의 시스템 로그인 구성 항목 설정
인증 메커니즘 및 만기


파일 이름: usec_inbound.html