서버 또는 셀 레벨에서 토큰 이용자 구성

이 태스크 정보

서버 또는 셀 레벨의 토큰 이용자는 애플리케이션 레벨에 정의되지 않은 보안 토큰의 처리에 필요한 정보를 지정하는 데 사용됩니다. WebSphere® Application Server는 해당 바인딩의 기본값을 제공합니다. 프로덕션 환경에서는 이러한 기본값을 수정해야 합니다.

서버 레벨에서 토큰 이용자를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. 서버 레벨에 대한 기본 바인딩에 액세스하십시오.
    1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
    2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  2. 기본 이용자 바인딩에서 토큰 이용자를 클릭하십시오.
  3. 새로 작성을 클릭하여 토큰 이용자 구성을 작성한 후 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 이용자 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 토큰 이용자 이름 필드에 토큰 이용자 구성에 지정할 고유 이름을 입력하십시오. 예를 들어 sig_cgen을 지정할 수 있습니다. 이 필드는 토큰 이용자 요소의 이름을 지정합니다.
  4. 토큰 이용자 클래스 이름 필드에 클래스 이름을 지정하십시오. 토큰 이용자 클래스는 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 인터페이스를 구현해야 합니다. 토큰 이용자 클래스 이름은 토큰 생성기 클래스 이름과 유사해야 합니다.
    예를 들어, 애플리케이션에 X.509 인증 토큰 이용자가 필요한 경우 토큰 생성기 패널에 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 클래스 이름을 지정하고 이 필드에 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 클래스 이름을 지정할 수 있습니다. WebSphere Application Server는 다음과 같은 기본 토큰 이용자 클래스 구현을 제공합니다.
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    이 구현은 사용자 이름 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    이 구현은 X.509 인증 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    이 구현은 LTPA(Lightweight Third Party Authentication) 토큰을 통합합니다.
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    이 구현은 IDAssertionUsername 토큰을 통합합니다.

    이 구현에 대한 토큰 생성기 클래스는 존재하지 않습니다.

  5. 인증서 경로 옵션을 선택하십시오. 인증서 경로는 PKCS#7로 랩핑된 보안 토큰을 생성하는 데 사용되는 인증서 폐기 목록(CRL)을 지정합니다. WebSphere Application Server에서는 다음과 같은 인증서 경로 옵션을 제공합니다.
    없음
    이 옵션을 선택하면 인증서 경로가 지정되지 않습니다.
    모두 신뢰
    이 옵션을 선택하면 모든 인증이 신뢰됩니다. 수신된 토큰을 이용할 때 인증서 경로 유효성 검증이 처리되지 않습니다.
    전용 서명 정보
    이 옵션을 선택할 경우, 신뢰 앵커 및 인증서 저장소를 지정할 수 있습니다. 신뢰할 수 있는 인증서의 인증서 저장소 또는 신뢰 앵커를 선택할 경우 인증서 경로를 설정하기 전에 콜렉션 인증서 저장소를 구성해야 합니다. 서버 또는 셀 레벨에서 콜렉션 인증서 저장소를 정의하려면 서버 또는 셀 레벨 바인딩에서 콜렉션 인증서 저장소 구성을 참조하십시오.
    1. 신뢰 앵커 필드에서 신뢰 앵커를 선택하십시오. WebSphere Application Server에는 2개의 샘플 신뢰 앵커가 포함되어 있습니다. 그러나 프로덕션 환경에서는 고유의 신뢰 앵커를 구성하는 것이 좋습니다. 신뢰 앵커 구성에 대한 자세한 정보는 서버 또는 셀 레벨에서 신뢰 앵커 구성을 참조하십시오.
    2. 인증서 저장소 필드에서 콜렉션 인증서 저장소를 선택하십시오. WebSphere Application Server에는 샘플 콜렉션 인증서 저장소가 포함되어 있습니다. 없음을 선택하면 콜렉션 인증서 저장소가 지정되지 않습니다. 아직 유효성이 검증되지 않은 신뢰하지 않는 잠정 인증이 포함된 인증서 저장소 목록을 지정하기 위한 정보는 서버 또는 셀 레벨에서 신뢰할 수 있는 ID 평가자 구성을 참조하십시오.
  6. 신뢰할 수 있는 ID 평가자 참조 필드에서 신뢰할 수 있는 ID 평가자를 선택하십시오. 이 필드는 신뢰할 수 있는 ID 평가자 패널에서 정의되는 신뢰할 수 있는 ID 평가자 클래스 이름에 대한 참조를 지정합니다. 신뢰할 수 있는 ID 평가자는 수신된 ID를 신뢰하는지 여부를 판별하는 데 사용됩니다. 없음을 선택하면 이 토큰 이용자 구성에서는 신뢰할 수 있는 ID 평가자가 참조되지 않습니다. 신뢰할 수 있는 ID 평가자를 구성하려면 서버 또는 셀 레벨에서 신뢰할 수 있는 ID 평가자 구성을 참조하십시오.
  7. 생성기측 사용자 이름 토큰에 임시값이 포함된 경우 임시값 확인 옵션을 선택하십시오. 임시값은 사용자 이름 토큰의 반복적인, 권한이 없는 공격을 막을 수 있도록 메시지에 임베드되는 고유 암호 숫자입니다. 임시값 확인 옵션은 토큰 이용자에 사용자 이름 토큰을 지정하고, 생성기측 사용자 이름 토큰에 임시값을 추가한 경우에 사용할 수 있습니다.
  8. 생성기측 사용자 이름 토큰에 시간소인이 포함된 경우 시간소인 확인 옵션을 선택하십시오. 시간소인 확인 옵션은 토큰 이용자에 사용자 이름 토큰을 지정하고, 생성기측 사용자 이름 토큰에 시간소인을 추가한 경우에 사용할 수 있습니다.
  9. 통합 토큰에 대한 값 유형의 로컬 이름을 지정하십시오. 이 항목은 키 ID에서 참조되는 보안 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 이 속성은 키 정보 유형이 키 ID로 선택되었을 때 유효합니다. 키 정보 유형을 지정하려면 서버 또는 셀 레벨에서 이용자 바인딩의 키 정보 구성을 참조하십시오. WebSphere Application Server에서 사용자 이름 토큰 및 X.509 인증서 보안 토큰의 값 유형 로컬 이름을 사전정의했습니다. 사용자 이름 토큰 및 X.509 인증 보안 토큰에 대해 다음 로컬 유형 중 하나를 입력하십시오. 다음 로컬 이름 중 하나를 지정할 경우 값 유형의 URI를 지정할 필요가 없습니다.
    사용자 이름 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509 인증 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath의 X.509 인증서
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7의 CRL 및 X.509 인증서 목록
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    참고: LTPA(Lightweith Third Party Authentication)를 지정하려면 값 유형 로컬 이름과 URI(Uniform Resource Identifier)를 모두 지정해야 합니다. 로컬 이름을 LTPA로 URI를 http://www.ibm.com/websphere/appserver/tokentype/5.0.2로 지정하십시오.
    예를 들어 X.509 인증 토큰을 지정할 때는 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3을 로컬 이름으로 사용할 수 있습니다. 다른 토큰의 로컬 이름을 지정할 때는 값 유형 Qname을 지정해야 합니다(예: uri=http://www.ibm.com/custom, localName=CustomToken).
  10. URI 필드에 값 유형 URI(Uniform Resource Identifier)를 지정하십시오. 이 항목은 키 ID에서 참조되는 보안 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다. 이 속성은 기본 생성기에 대한 키 정보 패널에서 키 정보 유형이 키 ID로 선택되었을 때 유효합니다. 사용자 이름 토큰 또는 X.509 인증 보안 토큰의 토큰 이용자를 지정하면 이 옵션을 지정할 필요가 없습니다. 다른 토큰을 지정할 경우 값 유형 Qname의 URI를 지정해야 합니다.
  11. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오. 토큰 생성기 구성을 저장하면 사용 중인 토큰 이용자에 JAAS(Java™ Authentication and Authorization Service) 구성을 지정할 수 있습니다.
  12. 토큰 생성기 구성의 이름을 클릭하십시오.
  13. 추가 특성에서 JAAS 구성을 클릭하십시오.
  14. JASS 구성 이름 필드에서 JAAS 구성을 선택하십시오. 이 필드는 애플리케이션 로그인 구성에 사용할 JAAS 이름을 지정합니다. 보안 > 글로벌 보안을 클릭하면 JAAS 시스템 및 애플리케이션 구성을 추가로 지정할 수 있습니다. 인증 절에서 JAAS 구성을 클릭한 다음, 애플리케이션 로그인 > 새로 작성 또는 시스템 로그인 > 새로 작성을 클릭하십시오.

    사전 정의된 시스템 또는 애플리케이션 로그인 구성을 제거하지 마십시오. 그러나 이러한 구성 내에서 모듈 클래스 이름을 추가하고 WebSphere Application Server가 각 모듈을 로드하는 순서를 지정할 수 있습니다. WebSphere Application Server에는 다음과 같은 JAAS 구성이 사전 정의되어 있습니다.

    ClientContainer
    이 선택사항은 클라이언트 컨테이너 애플리케이션에서 사용되는 로그인 구성을 지정합니다. 이 구성은 클라이언트 컨테이너의 배치 디스크립터에 정의된 CallbackHandler API(Application Programming Interface)를 사용합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    WSLogin
    이 선택사항은 모든 애플리케이션이 WSLogin 구성을 사용하여 보안 런타임에 대한 인증을 수행할 수 있는지 여부를 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    DefaultPrincipalMapping
    이 선택사항은 J2C(Java 2 Connectors)에서 J2C 인증 데이터 항목에 정의된 프린시펄로 사용자를 맵핑할 때 사용되는 로그인 구성을 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.IDAssertion
    이 선택사항은 버전 5.x 애플리케이션에서 ID 어설션을 사용하여 사용자 이름을 WebSphere Application Server 신임 프린시펄로 맵핑할 수 있도록 지정합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.Signature
    이 선택사항은 버전 5.x 애플리케이션에서 서명된 인증의 식별 이름(DN)을 WebSphere Application Server 신임 프린시펄로 맵핑할 수 있도록 지정합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.LTPA_WEB
    이 선택사항은 서블릿, JSP(JavaServer Pages) 파일과 같은 웹 컨테이너에서 사용되는 로그인 요청을 처리합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.WEB_INBOUND
    이 선택사항은 서블릿, JSP(JavaServer Pages)를 비롯한 웹 애플리케이션에 대한 로그인 요청을 처리합니다. WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.RMI_INBOUND
    이 선택사항은 인바운드 RMI(Remote Method Invocation) 요청의 로그인을 처리합니다. WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.DEFAULT
    이 선택사항은 내부 인증 및 기타 대다수 프로토콜에서 생성되는 인바운드 요청의 로그인을 처리합니다(웹 애플리케이션 및 RMI 요청 제외). WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.RMI_OUTBOUND
    이 선택사항은 com.ibm.CSI.rmiOutboundLoginEnabled 또는 com.ibm.CSIOutboundPropagationEnabled 특성이 true인 경우, 아웃바운드로 다른 서버에 전송되는 RMI 요청을 처리합니다. 이러한 특성은 CSIv2 인증 패널에서 설정됩니다. 이 패널에 액세스하려면 보안 > 글로벌 보안을 클릭하십시오. 인증 절에서 인증 프로토콜 > CSIv2 아웃바운드 인증을 클릭하십시오. com.ibm.CSI.rmiOutboundLoginEnabled 특성을 설정하려면 사용자 정의 아웃바운드 맵핑 옵션을 선택하십시오. com.ibm.CSIOutboundPropagationEnabled 특성을 설정하려면 보안 속성 전달 옵션을 선택하십시오. 이 JAAS 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.X509BST
    이 선택사항은 인증 및 인증서 경로의 유효성을 검사하여 X.509 2진 보안 토큰(BST)을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.PKCS7
    이 선택사항은 PKCS7 오브젝트의 인증서 폐기 목록에서 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.PkiPath
    이 선택사항은 공개 키 인프라(PKI) 경로에서 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.UsernameToken
    이 선택사항은 기본 인증(사용자 이름 및 비밀번호) 데이터를 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.IDAssertionUsernameToken
    이 선택사항은 버전 6 애플리케이션에서 ID 어설션을 사용하여 사용자 이름을 WebSphere Application Server 신임 프린시펄로 맵핑할 수 있도록 지정합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    없음
    이 선택사항은 JAAS 로그인 구성을 지정하지 않을 때 사용합니다.
  15. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.

결과

서버 또는 셀 레벨에서 토큰 이용자를 구성했습니다.

다음에 수행할 작업

서버 또는 셀 레벨에서 이와 유사한 토큰 생성기 구성을 지정해야 합니다.

피드백