[픽스팩 5.0.2 이상]글로벌 보안 설정

이 페이지를 참조하여 보안을 구성하십시오. 보안이 사용 가능이면, 글로벌 레벨에서 보안 설정을 사용할 수 있습니다. 보안이 사용 불가능으로 되어 있으면, WebSphere Application Server 성능이 1 - 20% 증가됩니다. 따라서, 필요하지 않은 경우에는 보안을 사용하지 마십시오.

이 관리 콘솔 페이지를 보려면 보안 > 글로벌 보안을 클릭하십시오.

처음 보안을 구성하는 경우 문제 발생을 방지하려면 문서의 "글로벌 보안 구성"에 있는 단계를 완료하십시오. 일단 보안이 구성된 후에는 레지스트리 또는 인증 메커니즘 패널에 대한 모든 변경사항을 유효성 검증해야 합니다. 적용을 클릭하여 사용자 레지스트리 설정의 유효성을 검증하십시오. 구성된 사용자 레지스트리에 대해 서버 ID를 인증하려는 시도가 수행됩니다. 글로벌 보안을 사용 가능하게 한 후 사용자 레지스트리 설정값의 유효성을 검증하면 처음 서버를 다시 시작할 때 문제점을 없앨 수 있습니다.

구성 탭

사용 가능
서버가 보안 서브시스템을 사용 가능하도록 지정합니다.

일반적으로 WebSphere Application Server 정보에서는 이 플래그를 글로벌 보안 플래그라고 합니다. 보안을 사용 가능하게 하면 인증 메커니즘 구성을 설정하고 선택된 사용자 레지스트리 구성에서 올바른 사용자 ID 및 암호를 지정하십시오.

데이터 유형: 부울
기본값: 사용 불가능
Java 2 보안 강제 실행
Java 2 보안 권한 선택을 사용 가능하게 할지 사용 불가능하게 할지 지정합니다. 기본값으로, Java 2 보안이 사용 불가능합니다. 그러나 글로벌 보안을 사용 가능하게 하면 Java 2 보안이 자동으로 사용 가능하게 됩니다. 글로벌 보안이 사용 가능할지라도 Java 2 보안이 사용 불가능하도록 선택할 수 있습니다.

Java 2 보안을 사용할 수 있고 응용프로그램에 기본 정책에 부여된 것보다 많은 Java 2 보안 권한이 필요한 경우, 응용프로그램의 app.policy 파일 또는 was.policy 파일에 필수 권한이 부여되어야 응용프로그램이 올바르게 실행됩니다. AccessControl 예외는 모든 필수 권한이 있는 응용프로그램에 의해 생성됩니다. Java 2 보안에 대해 잘 모르는 경우, InfoCenter를 참조하거나 Java 2 보안 및 동적 정책 절을 검토하십시오.

글로벌 보안을 사용 가능하게 한 후 서버가 다시 시작되지 않는 경우, 보안을 사용 불가능하게 할 수 있습니다. $<install_root>\bin 디렉토리로 이동하고 wsadmin -conntype NONE 명령을 실행하십시오. wsadmin> 프롬프트에서 securityoff를 입력한 다음 exit를 입력하여 명령 프롬프트로 리턴하십시오. 관리 콘솔을 통해 보안을 사용 불가능하게 하고 서버를 다시 시작하여 부정확한 설정이 있는지 확인하십시오.

데이터 유형: 부울
기본값: 사용 불가능
범위: 사용 가능 또는 사용 불가능
도메인 규정된 사용자 이름 사용
상주하는 보안 도메인으로 규정화할 사용자 이름을 지정합니다.
데이터 유형: 부울
기본값: 사용 불가능
범위: 사용 가능 또는 사용 불가능

[5.0 전용][픽스팩 5.0.1]보안 > 글로벌 보안 구성 패널에서 도메인 규정된 사용자 이름을 지정하면, Enterprise Bean에서 getCallerPrincipal()에 대한 런타임 호출은 두 번 추가된 범주가 있는 규정된 이름을 리턴합니다. 예를 들어, 리턴된 형식은 realm/realm/user입니다. API 호출 시 리턴된 값에서 첫 번째 범주를 제거할 수 있습니다. Servlet API getUserPrincipal()이 제대로 작동합니다.

캐시 제한시간
보안 캐시의 제한시간 값(초)을 지정합니다. 이 값은 연관된 제한시간입니다.

WebSphere Application Server 보안이 사용 가능할 경우, 보안 캐시 제한시간이 성능에 영향을 미칠 수 있습니다. 제한시간 설정은 보안 관련 캐시를 새로 고치는 빈도를 지정합니다. Bean, 사용권한 및 증명서에 관한 보안 정보에 대해 캐시 처리가 이루어집니다. 캐시 제한시간이 만기되면, 캐시된 모든 정보가 무효화됩니다. 정보에 대한 후속 요청은 데이터베이스 조회를 야기합니다. 때로는 정보 수집 시 LDAP 바인드 또는 기본 인증을 호출해야 합니다. 두 호출 모두 성능에 상대적으로 비용이 많이 드는 조작입니다. 사이트에 대한 사용법 패턴과 보안 요구사항을 알아 내어 응용프로그램을 위한 최상의 균형 조건을 판별하십시오.

20분간 성능 테스트를 하는 동안 제한시간을 넘기지 않도록 캐시 제한시간을 설정하면, 성능이 40% 항상됩니다.

데이터 유형: 정수
단위:
기본값: 600
범위: 30초보다 큼
권한 경고 발행
권한 경고 발행이 사용 가능하게 되면, 응용프로그램 전개 및 응용프로그램 시작 시 보안 실행 시간이 경고를 발행하도록 지정합니다(응용프로그램에 사용자 정의 권한이 부여되는 경우). 사용자 정의 사용 권한은 사용자 응용프로그램에 의해 정의된 사용 권한이지 JDK 사용 권한에 의한 것이 아닙니다. JDK 권한은 package java.*javax.*의 권한입니다.

WebSphere 제품은 정책 파일 관리 지원을 제공합니다. 이 제품에는 많은 정책 파일이 있으며, 그 중 일부는 정적이고 일부는 동적입니다. 동적 정책은 특정 유형의 자원에 대한 권한 템플리트입니다. 정의된 기본 코드 또는 동적 정책 템플리트에 사용된 관련 기본 코드가 없습니다. 실제 기본 코드는 구성 및 실행 시간 데이터에서 동적으로 작성됩니다. filter.policy 파 일에는 J2EE 1.3 스펙에 따라서 응용프로그램이 갖지 않아야 하는 권한의 목록이 들어 있습니다.권한에 대한 자세한 정보는 InfoCenter의 Java 2 보안 정책 관리 조항을 참조하십시오.

데이터 유형: 부울
기본값: 사용 불가능
범위: 사용 가능 또는 사용 불가능
활성 프로토콜
보안이 사용 가능한 경우, RMI IIOP(Remote Method Invocation over the Internet Inter-ORB Protocol) 요청에 활성 인증 프로토콜을 지정합니다. 이전 릴리스에서는 SAS(Security Authentication Service) 프로토콜이 유일하게 사용 가능한 프로토콜이었습니다.

CSIv2(Common Secure Interoperability Version 2)라는 OMG(Object Management Group) 프로토콜에서 늘어난 벤더 상호 운영성과 추가 기능을 지원합니다. 보안 도메인의 모든 서버가 버전 5 서버인 경우, CSI를 프로토콜로 지정하는 것이 좋습니다. 일부 서버가 3.x 또는 4.x servers, specify CSI 및 SAS를 지정하십시오.

데이터 유형: 문자열
기본값: BOTH
범위: CSI 및 SAS, CSI
활성 인증 메커니즘
보안이 사용 가능한 경우, 활성 인증 메커니즘을 지정합니다.

WebSphere Application Server, 버전 5는 두 가지 인증 메커니즘(SWAM(Simple WebSphere Authentication Mechanism) 및 LTPA(Lightweight Third Party Authentication))을 지원합니다.

데이터 유형: 문자열
기본값: SWAM(WebSphere Application Server)
범위: SWAM, LTPA
활성 사용자 레지스트리
보안이 사용 가능할 때 활성 사용자 레지스트리를 지정합니다.

다음 사용자 레지스트리 중 하나에 대한 설정을 구성할 수 있습니다.

  • 로컬 운영 체제
  • LDAP 사용자 레지스트리. LDAP 사용자 레지스트리 설정은 사용자와 그룹이 외부 LDAP 디렉토리에 있을 때 사용됩니다. 보안이 사용 가능하고 이들 등록 정보 중 하나가 변경될 때 글로벌 보안 패널로 이동하여 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.
  • 사용자 정의 사용자 레지스트리

데이터 유형: 문자열
기본값: Local OS
범위: Local OS, LDAP, Custom
FIPS 사용   [픽스팩 5.0.2 이상]
FIPS(Federal Information Processing Standard)에서 승인된 암호화 알고리즘을 사용할 수 있습니다.

FIPS 사용이 사용 가능하면, LTPA(Lightweight Third Party Authentication) 구현은 IBMJCEFIPS를 사용합니다. IBMJCEFIPS는 DES, Triple DES 및 AES의 FIPS(Federal Information Processing Standard)에서 승인한 암호 알고리즘을 지원합니다. LTPA 키는 WebSphere Application Server의 이전 릴리스와 거꾸로 호환 가능하더라도, LTPA 토큰은 이전 릴리스와 호환 가능하지 않습니다.

WebSphere Application Server는 IBMJSSEFIPS라는 FIPS에서 승인한 JSSE(Java Secure Socket Extension) 프로바이더를 제공합니다. FIPS에서 승인한 JSSE에는 SSL(Secure Socket Layer) 프로토콜과 호환되지 않으므로 TLS(Transport Layer Security) 프로토콜이 필요합니다. FIPS에서 승인한 JSSE 프로바이더와 TLS 프로토콜을 지정하기 전에 FIPS 사용 선택란을 선택할 경우, 글로벌 보안 패널의 맨 위에 다음과 같은 오류 메시지가 표시됩니다.

보안 정책은 FIPS에서 승인한 암호화 알고리즘만
사용하도록 설정되어 있습니다.
그러나 최소한 하나의 SSL 구성에 FIPS에서 승인한 JSSE 프로바이더를 사용하고 있지 않을 수 있습니다.
FIPS에서 승인한 암호화 알고리즘은 그러한 경우에 사용할 수 없습니다.

이 문제를 수정하려면, 다음 타스크 중 하나를 완료하여 SSL 구성 레퍼토리 패널에서 JSSE 프로바이더 및 보안 프로토콜을 구성하십시오.
  • 보안 > SSL을 클릭하여 기존 구성을 수정합니다.
  • 새로 작성을 클릭하여 새 구성을 작성합니다.

관련 정보

관리 콘솔 단추
관리 콘솔 페이지 기능
관리 콘솔 범위 설정
관리 콘솔 필터 설정
관리 콘솔 환경 설정