서버 또는 셀 레벨에서 토큰 생성기 구성

이 태스크 정보

서버 또는 셀 레벨의 토큰 생성기는 해당 바인딩이 애플리케이션 레벨에서 정의되지 않은 경우 토큰 생성기에 대한 정보를 지정하는 데 사용됩니다. 서명 정보 및 암호화 정보는 토큰 생성기 정보를 공유할 수 있으며 이 때문에 이들 정보가 모두 동일한 레벨에서 정의됩니다. WebSphere® Application Server는 해당 바인딩의 기본값을 제공합니다. 프로덕션 환경에서는 이러한 기본값을 수정해야 합니다.

토큰 생성기를 서버 레벨에서 구성하려면 다음 단계를 수행하십시오.

프로시저

  1. 서버 레벨에 대한 기본 바인딩에 액세스하십시오.
    1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
    2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  2. 기본 생성기 바인딩에서 토큰 생성기를 클릭하십시오.
  3. 새로 작성을 클릭하여 토큰 생성기 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 생성기 구성의 이름을 클릭하여 구성 설정을 편집하십시오. 새 구성을 작성할 경우 토큰 생성기 이름 필드에 토큰 생성기 구성의 고유 이름을 입력하십시오. 예를 들어, sig_tgen을 지정할 수 있습니다. 이 필드에서는 토큰 생성기 요소의 이름을 지정합니다.
  4. 토큰 생성기 클래스 이름 필드에 클래스 이름을 지정하십시오. 토큰 생성기 클래스는 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 인터페이스를 구현해야 합니다. 토큰 생성기 클래스 이름은 토큰 이용자 클래스 이름과 비슷해야 합니다. 예를 들어, 애플리케이션에 X.509 인증 토큰 이용자가 필요한 경우 토큰 이용자 패널에 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 클래스 이름을 지정할 수 있으며 이 필드에 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 클래스 이름을 지정할 수 있습니다. WebSphere Application Server에서는 다음과 같은 기본 토큰 생성기 클래스 구현을 제공합니다.
    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    이 구현에서는 사용자 이름 토큰을 생성합니다.
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    이 구현에서는 X.509 인증 토큰을 생성합니다.
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    이 구현에서는 LTPA(Lightweight Third Party Authentication) 토큰을 생성합니다.
  5. 인증서 경로 옵션을 선택하십시오. 인증서 경로는 인증서 폐기 목록(CRL)을 지정하며, CRL은 CRL과 함께 PKCS#7에 랩핑되는 보안 토큰을 생성하는 데 사용됩니다. WebSphere Application Server에서는 다음과 같은 인증서 경로 옵션을 제공합니다.
    없음
    보안 토큰을 생성하는 데 CRL을 사용하지 않는 경우 이 옵션을 선택하십시오. 토큰 생성기에서 PKCS#7 토큰 유형을 사용하지 않는 경우 반드시 이 옵션을 선택해야 합니다.
    전용 서명 정보
    CRL이 보안 토큰에 랩핑되어 있는 경우 전용 서명 정보를 선택하고 인증서 저장소 필드에서 콜렉션 인증서 저장소 이름을 선택하십시오. 인증서 저장소 필드에는 이미 정의되어 있는 콜렉션 인증서 저장소의 이름이 표시됩니다. 셀 레벨에서 콜렉션 인증서 저장소를 정의하려면 서버 또는 셀 레벨 바인딩에서 콜렉션 인증서 저장소 구성을 참조하십시오.
  6. 토큰 생성기의 사용자 이름 토큰에 임시값을 포함시키려면 임시값 추가 옵션을 선택하십시오. 임시값은 사용자 이름 토큰의 반복적인, 권한이 없는 공격을 막을 수 있도록 메시지에 임베드되는 고유 암호 숫자입니다. 토큰 생성기에 사용자 이름 토큰을 지정하는 경우 임시값 추가 옵션을 사용할 수 있습니다.
  7. 시간소인 추가 옵션을 선택하여 토큰 생성기에서 사용할 사용자 이름 토큰에 시간소인을 포함시키십시오.
  8. 로컬 이름 필드에서 값 유형 로컬 이름을 지정하십시오. 이 항목은 키 ID에서 참조되는 보안 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 키 정보 유형으로 키 ID를 선택한 경우 이 속성이 유효합니다. 키 정보 유형을 지정하려면 서버 또는 셀 레벨에서 생성기 바인딩의 키 정보 구성을 참조하십시오. WebSphere Application Server에서는 다음과 같은 사전 정의된 X.509 인증 토큰 구성을 제공합니다.
    X.509 인증 토큰
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath의 X.509 인증서
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7의 CRL 및 X.509 인증서 목록
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    LTPA의 경우 값 유형 로컬 이름이 LTPA입니다. 로컬 이름에 LTPA를 입력하는 경우 값 유형 URI 필드에도 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 값을 지정해야 합니다.
    예를 들어 X.509 인증 토큰을 지정할 때는 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3을 로컬 이름으로 사용할 수 있습니다.
  9. URI 필드에 값 유형 URI(Uniform Resource Identifier)를 지정하십시오. 이 항목은 키 ID에서 참조되는 보안 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다. 기본 생성기의 키 정보 패널에서 키 정보 유형으로 키 ID를 선택한 경우 이 속성이 유효합니다. X.509 인증 토큰을 지정한 경우 네임스페이스 URI를 지정할 필요가 없습니다. 다른 토큰을 지정한 경우에는 값 유형의 네임스페이스 URI를 지정해야 합니다.
  10. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
  11. 토큰 생성기 구성의 이름을 클릭하십시오.
  12. 추가 특성에서 콜백 핸들러를 클릭하여 콜백 핸들러 특성을 구성하십시오. 콜백 핸들러는 SOAP(Simple Object Access Protocol) 메시지 내의 웹 서비스 보안 헤더에 삽입된 보안 토큰을 확보하는 방법을 지정합니다. 토큰 획득은 보안 토큰을 획득하기 위해 JAAS(Java™ Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler 인터페이스를 활용하는 플러그 가능한 프레임워크입니다.
    1. 콜백 핸들러 클래스 이름 필드에 콜백 핸들러 클래스 구현을 지정하십시오. 이 속성은 보안 토큰 프레임워크를 플러그인하는 데 사용되는 콜백 핸들러 클래스 구현의 이름을 지정합니다. 지정된 콜백 핸들러 클래스는 javax.security.auth.callback.CallbackHandler 클래스를 구현해야 합니다. WebSphere Application Server에서는 다음 기본 콜백 핸들러 구현을 제공합니다.
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      이 콜백 핸들러는 로그인 프롬프트를 사용하여 사용자 이름 및 비밀번호 정보를 수집합니다. 그러나 이 패널에서 사용자 이름과 비밀번호를 지정할 경우 프롬프트가 표시되지 않고 WebSphere Application Server가 사용자 이름과 비밀번호를 토큰 생성기로 리턴합니다. J2EE(Java 2 Platform, Enterprise Edition) 애플리케이션 클라이언트에만 이 구현을 사용하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      이 콜백 핸들러는 프롬프트를 발행하지 않으며 이 패널의 기본 인증 절에 지정된 경우 사용자 이름 및 비밀번호를 리턴합니다. 웹 서비스가 클라이언트 역할을 하는 경우, 이 콜백 핸들러를 사용할 수 있습니다.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      이 콜백 핸들러에서는 표준 입력 프롬프트를 사용하여 사용자 이름 및 비밀번호를 수집합니다. 그러나 사용자 이름 및 비밀번호가 이 패널의 기본 인증 절에서 지정된 경우에는 WebSphere Application Server가 프롬프트를 발행하지 않지만 사용자 이름 및 비밀번호를 토큰 생성기에 리턴합니다. J2EE(Java 2 Platform, Enterprise Edition) 애플리케이션 클라이언트에만 이 구현을 사용하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      이 콜백 핸들러는 실행 도구 호출 주제에서 LTPA(Lightweight Third Party Authentication) 보안 토큰을 얻는 데 사용됩니다. 이 토큰은 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 그러나 사용자 이름 및 비밀번호가 이 패널의 기본 인증 절에서 지정된 경우 WebSphere Application Server가 사용자 이름 및 비밀번호를 인증하여 LTPA 보안 토큰을 얻습니다. 실행 도구 주제에서 보안 토큰을 얻지 않고 이와 같은 방법으로 보안 토큰을 얻습니다. 웹 서비스가 애플리케이션 서버에서 클라이언트 역할을 하는 경우에만 이 콜백 핸들러를 사용하십시오. J2EE 애플리케이션 클라이언트에서는 이 콜백 핸들러를 사용하지 않는 것이 좋습니다.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      이 콜백 핸들러는 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입되는 X.509 인증서를 작성하는 데 사용됩니다. 이 콜백 핸들러에는 키 저장소 파일 및 키 정의가 필수입니다.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      이 콜백 핸들러는 PKCS#7 형식으로 인코드되는 X.509 인증서를 작성하는 데 사용됩니다. 이 인증서는 SOAP 메시지의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 이 콜백 핸들러에는 키 저장소 파일이 필수입니다. 콜렉션 인증서 저장소에 인증서 폐기 목록(CRL)을 지정해야 합니다. CRL은 PKCS#7 형식의 X.509 인증서로 인코드됩니다. 콜렉션 인증서 저장소 구성에 대한 자세한 정보는 서버 또는 셀 레벨 바인딩에서 콜렉션 인증서 저장소 구성을 참조하십시오.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      이 콜백 핸들러는 PkiPath 형식으로 인코드되는 X.509 인증서를 작성하는 데 사용됩니다. 이 인증서는 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 이 콜백 핸들러에는 키 저장소 파일이 필수입니다. 이 콜백 핸들러에서는 CRL이 지원되지 않습니다. 따라서 콜렉션 인증서 저장소가 필수가 아니거나 사용되지 않습니다.

      X.509 인증 토큰의 경우 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 구현을 지정하십시오.

    2. 옵션: ID 어설션 사용 옵션을 선택하십시오. IBM® 확장 배치 디스크립터에 정의된 ID 어설션이 있는 경우 이 옵션을 선택하십시오. 이 옵션은 초기 송신기의 ID만 필수이며 SOAP 메시지의 웹 서비스 보안 헤더에 이 ID가 삽입됨을 표시합니다. 예를 들어, WebSphere Application Server는 사용자 이름 토큰 생성기에서 사용하도록 원래 호출자의 사용자 이름만 전송합니다. X.509 토큰 생성기의 경우 애플리케이션 서버가 원래 서명자 인증만 전송합니다.
    3. 옵션: 실행 도구 ID 사용 옵션을 선택하십시오. 다음 조건이 참인 경우 이 옵션을 선택하십시오.
      • IBM 확장 배치 디스크립터에 정의된 ID 어설션이 있습니다.
      • 다운스트림 호출에 대한 ID 어설션에 사용할 초기 호출자 ID 대신 실행 도구 ID를 사용하십시오.
    4. 옵션: 사용자 ID 및 비밀번호 필드에 기본 인증 사용자 ID 및 비밀번호를 지정하십시오. 이 항목은 콜백 핸들러 구현의 생성자에 전달되는 사용자 이름 및 비밀번호를 지정합니다. WebSphere Application Server에서 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 지정하는 경우 기본 인증 사용자 ID 및 비밀번호가 사용됩니다.
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. 옵션: 키 저장소 비밀번호 및 경로를 지정하십시오. 토큰을 생성하는 데 키 또는 인증서를 사용하는 경우 키 저장소 및 이와 관련된 정보가 필요합니다. 예를 들어, WebSphere Application Server에서 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 선택하는 경우 키 저장소 정보가 필수입니다.
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      키 저장소 파일에는 공개 키 및 개인 키, 루트 인증 기관(CA) 인증서, 중개 CA 인증서 등이 들어 있습니다. 키 저장소 파일에서 검색한 키는 메시지 또는 메시지 일부를 암호화 및 복호화하거나 서명하고 유효성을 검증하는 데 사용됩니다. 키 저장소 파일에서 키를 검색하려면 키 저장소 비밀번호, 키 저장소 경로 및 키 저장소 유형을 지정해야 합니다.

  13. 유형 필드에서 키 저장소 유형을 선택하십시오. WebSphere Application Server에서는 다음 옵션을 제공합니다.
    JKS
    JCE(Java Cryptography Extensions)를 사용 중이지 않으며 키 저장소 파일에서 JKS(Java Key Store) 형식을 사용하는 경우 이 옵션을 사용하십시오.
    JCEKS
    JCE(Java Cryptography Extensions)를 사용할 경우 이 옵션을 사용하십시오.
    PKCS11KS(PKCS11)
    키 저장소 파일에서 PKCS#11 파일 형식을 사용하는 경우 이 형식을 사용하십시오. 이 형식을 사용하는 키 저장소 파일은 암호화 하드웨어에 대한 RSA 키를 포함하고 있거나 암호화 하드웨어를 사용하는 키를 암호화하여 확실히 보호할 수 있도록 합니다.
    PKCS12KS(PKCS12)
    키 저장소 파일에서 PKCS#12 파일 형식을 사용하는 경우 이 옵션을 사용하십시오.
  14. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
  15. 토큰 생성기 구성의 이름을 클릭하십시오.
  16. 추가 특성에서 콜백 핸들러 > 키를 클릭하십시오.
  17. 새로 작성을 클릭하여 키 구성을 작성한 후 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 키 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성할 경우 키 이름 필드에 키 구성의 고유 이름을 입력하십시오. 이 이름은 키 저장소 파일에 저장되는 키 오브젝트의 이름을 가리킵니다.
  18. 키 별명 필드에 키 오브젝트의 별명을 지정하십시오. 키 위치 지정자가 키 저장소에서 키 오브젝트를 검색할 때 이 별명을 사용합니다.
  19. 키 비밀번호 필드에 키와 연관된 비밀번호를 지정하십시오.
  20. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.

결과

서버 또는 셀 레벨에서 토큰 생성기를 구성했습니다.

다음에 수행할 작업

이와 비슷한 토큰 이용자 구성을 지정해야 합니다.

피드백