SPNEGO 웹 인증 사용

SPNEGO(Simple and Protected GSS-API Negotiation)를 WebSphere® Application Server의 웹 인증기로 설정할 수 있습니다.

SPNEGO 웹 인증은 SPNEGO 토큰 사용을 조정하여 클라이언트-서버 싱글 사인온을 제공합니다.

이 관리 콘솔 페이지를 보려면 보안>글로벌 보안을 클릭하십시오. 인증에서 웹 및 SIP 보안을 펼친 후 SPNEGO 웹 인증을 클릭하십시오.

애플리케이션 서버에 대한 별명 호스트 이름 사용

Application Server의 별명 호스트 이름을 SPNEGO 단일 사인온의 실제 호스트 이름으로 해석할 수 있도록 합니다. 애플리케이션 서버에 대한 별명 호스트 이름이 없는 경우에는 이 기능을 사용 불가능하게 하십시오. 또한 애플리케이션 서버의 별명 호스트 이름이 있지만 별명 호스트 이름을 실제 호스트 이름으로 해석할 수 없는 경우 이 기능을 사용하지 않도록 설정해야 합니다.

이 옵션이 사용 가능한 경우, 애플리케이션 서버의 구성을 변경하지 않고 DNS에서 별명 이름을 동적으로 추가하거나 수정할 수 있습니다. SPNEGO 구성을 통해 별명 호스트 이름을 설정할 필요가 없습니다. 애플리케이션 서버는 HTTP 요청이 수신될 때 DNS 검색을 수행하고, 별명 호스트 이름이 SPNEGO 싱글 사인온에 대해 이미 구성된 호스트 이름으로 해석되면 애플리케이션 서버에서 계속 해당 요청을 처리합니다.

애플리케이션 서버는 실제 호스트 이름의 Kerberos SPN(service principal name)이 Kerberos 키 탭 파일에 있다고 예상합니다.

별명 호스트 이름이 있고 이 옵션을 사용 불가능하도록 설정한 경우 별명 호스트 이름의 SPN이 키 탭 파일에 있는 경우 SPNEGO 구성을 통해 별명 호스트 이름을 설정하십시오.

정보
기본값: 사용 불가능

SPNEGO 동적 업데이트

애플리케이션 서버를 다시 시작하지 않고 SPNEGO 변경이 발생하는 경우 SPNEGO 런타임을 동적으로 업데이트할 수 있습니다.

참고: 이 옵션은 SPNEGO 사용 옵션을 선택하지 않은 경우 사용이 불가능합니다.
정보
기본값: 사용 불가능

SPNEGO 사용

SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 Application Server의 웹 인증기로 지정합니다.

정보
기본값: 사용 불가능

애플리케이션 인증 메커니즘으로 폴백 허용

SPNEGO가 웹 인증기로 WebSphere Application Server에 먼저 로그인하는 데 사용되도록 지정합니다. 하지만 로그인에 실패하면, 애플리케이션 인증 메커니즘이 WebSphere Application Server에 로그인하는 데 사용됩니다.

문제점 방지 문제점 방지: [업데이트 됨- 2013년 6월]SPNEGO 토큰을 수신한 경우에만 폴백을 허용합니다. SPNEGO 토큰이 전송되지 않은 경우 폴백은 발생하지 않습니다.[업데이트 됨- 2013년 6월]gotcha

이 옵션은 SPNEGO 사용 옵션을 선택하지 않은 경우 사용이 불가능합니다.

정보
기본값: 사용 불가능

전체 경로를 포함한 Kerberos 구성 파일

전체 경로를 포함한 Kerberos 구성 파일 이름입니다. 찾아보기를 클릭하여 찾을 수 있습니다.

Kerberos 클라이언트 구성 파일 krb5.conf 또는 krb5.ini에는 원하는 영역에 대한 KDC(Key Distribution Center) 위치를 포함하여 Kerberos 구성 정보가 있습니다. krb5.conf 파일은 krb5.ini 파일을 사용하는 Windows 운영 체제를 제외한 모든 플랫폼의 기본 이름입니다.

정보
데이터 유형: String

전체 경로를 포함한 Kerberos 키 탭 파일 이름

전체 경로를 포함한 Kerberos 키 탭 파일 이름입니다. 찾아보기를 클릭하여 찾을 수 있습니다.

Kerberos 키 탭 파일에는 하나 이상의 Kerberos 서비스 프린시펄 이름 및 키가 포함되어 있습니다. 기본 키 탭 파일은 krb5.keytab입니다. 호스트에서 권한이 부여된 사용자만이 읽을 수 있는 로컬 디스크에 Kerberos 키탭 파일을 저장함으로서 이를 보호하는 것이 중요합니다. 자세한 정보는 Kerberos 서비스 프린시펄 이름 및 키탭 파일 작성의 내용을 읽어 보십시오.

Kerberos 키 탭 파일을 지정하지 않으면 Kerberos 구성 파일에 정의된 기본 키 탭 파일이 사용됩니다.

정보
데이터 유형: String

SAF RACMAP 프로파일을 사용하여 SAF ID에 Kerberos 프린시펄 맵핑

SPNEGO 토큰의 Kerberos 프린시펄을 SAF 사용자에게 맵핑합니다. 여기서 Kerberos 프린시펄 및 Kerberos 영역은 SAF 제품의 RACMAP 프로파일에 지정되어 있습니다. 이 옵션을 선택하려면 SAF 제품이 ID 맵핑을 지원해야 합니다.

참고: 이 선택은 z/OS 보안 제품이 SAF ID 맵핑을 지원하고, 활성 사용자 레지스트리가 로컬 OS이고, 셀에 WebSphere Application Server 버전 8.5 이전 모드가 없는 경우에만 표시됩니다.

기본값은 선택되어 있지 않습니다. 선택하면 보안 사용자 정의 특성인 com.ibm.websphere.security.spnego.useRACMAPMappingToSAF가 true로 설정됩니다.



파일 이름: usec_kerb_SPNEGO_config.html