인증 메커니즘 및 만기

이 페이지에서 서버 사이에 정보를 교환하는 데 사용되는 인증 메커니즘을 구성하고 공유 키를 지정할 수 있습니다. 또한 인증 정보가 유효한 시간 길이를 지정하고 단일 사인온 구성을 지정할 수도 있습니다.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증 아래에서 인증 메커니즘 및 만기 > LTPA를 클릭하십시오.
이 페이지에서 특성을 구성한 후 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용 가능한 범주 정의 아래에서 해당 레지스트리가 구성되었는지 확인하십시오.
  3. 적용을 클릭하십시오. 보안이 사용 가능하고 이들 특성 중 하나가 변경되는 경우 글로벌 보안 패널로 리턴하고 적용을 클릭하여 변경사항의 유효성을 검증하십시오.
키 세트 그룹

공용, 개인용 및 공유 키의 그룹을 지정합니다. Application Server는 이 키 그룹을 통해 여러 세트의 LTPA(Lightweight Third Party Authentication) 키를 관리합니다.

키 생성

구성된 키 스토어에 새 LTPA 키 세트를 생성할지 여부와 런타임을 새 키로 갱신할지 여부를 지정합니다. 기본적으로, LTPA 키는 90일마다(요일로 구성 가능) 스케줄에 따라 재생성됩니다.

각각의 새 LTPA 키 세트는 키 세트 그룹과 연관된 키 스토어에 저장됩니다. 키의 최대 수(또는 하나도 가능)를 구성할 수 있습니다. 하지만 적어도 두 개의 키를 구성할 것을 권장합니다. 이 경우 새 키가 분배되는 동안 이전 키를 유효성 검증에 사용할 수 있습니다.

보안을 사용 가능하게 하는 동안에는 이 단계가 필요하지 않습니다. 첫 번째 서버 시작 도중 기본 키 세트가 작성됩니다. 키 생성 이벤트 도중 노드가 다운된 경우 다시 시작 전에 노드를 Deployment Manager와 동기화해야 합니다.

인증 캐시 제한시간

캐시에 있는 인증된 신임이 유효한 기간을 지정합니다. 이 시간은 서버 사이에 전달된 신임의 제한시간 값 필드에 지정된 시간보다 작아야 합니다.

Application Server 인프라 보안이 사용 가능할 경우, 인증 캐시 제한시간이 성능에 영향을 미칠 수 있습니다. 제한시간 설정은 보안 관련 캐시를 새로 고치는 빈도를 지정합니다. Bean, 사용 권한 및 증명서에 관한 보안 정보에 대해 캐시 처리가 이루어집니다. 캐시 제한시간이 만기되면 제한시간 내에 액세스하지 못한 모든 캐시된 정보가 캐시에서 제거됩니다. 정보에 대한 후속 요청은 데이터베이스 조회를 야기합니다. 때로는 정보 수집 시 LDAP(Lightweight Directory Access Protocol) 바인드 또는 기본 인증을 호출해야 합니다. 두 호출 모두 성능에 있어 상대적으로 비용이 많이 드는 조작입니다. 사이트에 대한 사용법 패턴과 보안 요구사항을 알아 내어 응용프로그램을 위한 최상의 균형 조건을 판별하십시오.

인증 캐시 제한시간 값과 orb 요청 제한시간 값 간에 관계가 없습니다.

[AIX Solaris HP-UX Linux Windows] [iSeries] 20분간 성능 테스트를 하는 동안 20분 간 제한시간을 넘기지 않도록 인증 캐시 제한시간을 설정하면 성능이 40% 향상됩니다.

데이터 유형 정수
단위 분 및 초
기본값 10분
범위: 30초보다 큼
서버 사이에 전달된 신임의 제한시간 값

다른 서버의 서버 신임이 유효한 기간을 지정합니다. 이 기간이 만기되면 기타 서버의 서버 신임을 재확인해야 합니다.

인증 캐시 제한시간 필드에 지정된 값보다 큰 값을 필드에 지정합니다.

데이터 유형 정수
단위 분 및 초
기본값 120분
범위: 5 - 35971 사이의 정수
암호

SSO 특성 파일에서 LTPA 키를 암호화하고 암호 해독하는 데 사용되는 암호를 입력하십시오. 가져오는 도중 이 암호는 다른 LTAP 서버(예를 들어, 다른 Application Server 셀, Lotus® Domino® Server 등)에서 키를 내보내는 데 사용한 암호와 일치해야 합니다. 내보내는 동안, 가져오기 작업을 수행할 때 지정할 수 있도록 이 암호를 기억하십시오.

키를 생성하거나 가져온 후 키는 LTPA 토큰을 암호화 및 암호 해독하는 데 사용할 수 있습니다. 암호를 변경할 때마다 확인 또는 적용 클릭 시 새 LTPA 키 세트가 자동 생성됩니다. 구성 변경사항이 저장된 후에는 새 키 세트가 사용됩니다.

데이터 유형 문자열
암호 확인

LTPA 키를 암호화하고 암호 해독하는 데 사용되는 확인 암호를 지정합니다.

이러한 키를 다른 Application Server 관리 도메인 구성으로 가져올 때와 Lotus Domino Server의 SSO를 구성할 때 이 암호를 사용하십시오.

데이터 유형 문자열
완전한 키 파일 이름

키를 가져오거나 내보낼 때 사용되는 파일의 이름을 지정합니다.

완전한 파일 이름을 입력한 후 키 가져오기 또는 키 내보내기를 클릭하십시오.

데이터 유형 문자열
내부 서버 ID

서버 사이의 프로세스 간 통신에 사용되는 서버 ID를 지정합니다. 서버 ID는 원격으로 전송될 때 LTPA 토큰으로 보호됩니다. 내부 서버 ID를 편집하여 여러 Application Server 관리 도메인(셀)에 걸쳐 서버 ID와 동일하게 만들 수 있습니다. 기본적으로 이 ID는 셀 이름입니다.

이 내부 서버 ID는 버전 6.1 이상 환경에서만 사용해야 합니다. 버전이 혼합된 셀의 경우, 상호운영성을 위해 서버 사용자 ID와 서버 암호를 사용해야 합니다.

상호운영성을 위해 서버 사용자 ID와 암호로 다시 전환하려면 다음 단계를 수행하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 범주 정의 드롭 다운 목록을 클릭하고 사용자 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 저장소에 저장되는 서버 ID 옵션을 선택하고 유효한 레지스트리 ID 및 암호를 입력하십시오.

[z/OS] 서버 ID 자동 생성 옵션 또는 z/OS® 시작 타스크에 대한 사용자 ID 옵션 중 하나를 지정할 수 있습니다.

데이터 유형 문자열
키 가져오기

서버가 새 LTPA 키를 가져오는지 여부를 지정합니다.

다중 Application Server 도메인(셀) 사이에서 Application Server 제품의 SSO(Single Sign On)를 지원하려면 도메인 사이에 LTPA 키와 암호를 공유하십시오. 키 가져오기 옵션을 사용하여 다른 도메인에서 LTPA 키를 가져올 수 있습니다. 셀 중 하나에서 파일로 LTPA 키를 내보냅니다. LTPA 키의 새 세트를 가져오려면 다음 단계를 완료하십시오.
  1. 암호 및 암호 확인 필드에 해당 암호를 입력하십시오.
  2. 확인을 클릭하고 저장을 클릭하십시오.
  3. 키 가져오기를 클릭하기 전에 완전한 키 파일 이름 필드에 LTPA 키가 있는 디렉토리 위치를 입력하십시오.
  4. 확인 또는 적용을 클릭하지 않고 설정을 저장하십시오.
키 내보내기

서버가 LTPA 키를 내보내는지 여부를 지정합니다.

다중 Application Server 도메인(셀) 사이에서 WebSphere® 제품의 단일 사인온(SSO)을 지원하려면 도메인 사이에 LTPA 키와 암호를 공유하십시오. LTPA 키를 다른 도메인으로 내보내려면 키 내보내기 옵션을 사용하십시오.

LTPA 키를 내보내려면, 보안을 사용 가능하게 하여 시스템이 실행되고 LTPA를 사용하고 있는지 확인하십시오. 완전한 키 파일 이름 필드에 파일 이름을 입력하고 키 내보내기를 클릭하십시오. 암호화된 키가 지정된 파일에 저장됩니다.

서버 사이에 SWAM-no 인증된 통신 사용 [AIX Solaris HP-UX Linux Windows]

SWAM(Simple WebSphere Authentication Mechanism)을 지정합니다. 인증된 신임은 서버 사이에 전달됩니다. 호출자 프로세스가 원격 메소드를 호출할 경우 ID가 확인되지 않습니다. EJB 메소드의 보안 사용 권한에 따라 인증 실패가 발생할 수 있습니다.

SWAM은 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다. 서버 사이의 인증된 통신에 LTPA를 사용할 것을 권장합니다.




표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 태스크


파일 이름: usec_authmechandexpire.html