이 페이지에서 서버가 자원에 액세스하는 클라이언트에 대해 지원할 기능을 지정할 수 있습니다.
수신 요청 또는 전송에 포함된 인증 정보의 유형을 구성할 경우 공통 보안 상호운영성(CSI) 인바운드 통신 설정을 사용하십시오.
로그인 요청 중 보안 속성 전파에 대한 지원을 지정합니다. 이 옵션을 선택하면 애플리케이션 서버는 로그인 요청에 대한 추가 정보(예: 사용된 인증 강도) 및 요청자의 ID와 위치를 보관합니다.
이 옵션을 선택하지 않으면 Application Server는 다운스트림 서버로 전파할 추가 로그인 정보를 승인하지 않습니다.
정보 | 값 |
---|---|
기본값: | 사용 가능 |
ID 어설션이 다운스트림 EJB(Enterprise JavaBeans) 호출 중에 한 서버에서 다른 서버로 ID를 검증하는 방법임을 지정합니다.
이 서버는 업스트림 서버를 신뢰하므로 신뢰하는 ID를 다시 인증하지 않습니다. ID 어설션은 기타 모든 인증 유형보다 우선순위가 높습니다.
ID 어설션은 속성 계층에서 수행되며 서버에서만 적용됩니다. 서버에서 판별되는 프린시펄은 우선순위 규칙을 기초로 합니다. ID 어설션이 사용되는 경우, ID는 항상 속성 계층에서 파생됩니다. ID 어설션 없이 기본 인증이 사용되는 경우, ID는 항상 메시지 계층에서 파생됩니다. 마지막으로 SSL 클라이언트 인증서 인증이 기본 인증 또는 ID 어설션 없이 수행되는 경우 ID는 전송 계층에서 파생됩니다.
신뢰된 ID는 엔터프라이즈 Bean에 대한 RunAs 모드로 판별되는 호출 신임입니다. RunAs 모드가 클라이언트인 경우, ID는 클라이언트의 ID입니다. RunAs 모드가 시스템인 경우, 서버 ID가 됩니다. RunAs 모드가 지정됨인 경우 ID는 지정된 ID입니다. 수신 중인 서버는 ID 토큰에서 ID를 수신하며 또한 클라이언트 인증 토큰에 전송 중인 서버 ID를 수신합니다. 수신 서버는 신뢰 서버 ID 항목 상자를 통해 신뢰된 ID로서 전송 서버 ID의 유효성을 검증합니다. 파이프(|)로 분리된 프린시펄 이름의 목록을 입력하십시오(예: serverid1|serverid2|serverid3).
모든 ID 토큰 유형은 활성 사용자 레지스트리의 사용자 ID 필드로 맵핑됩니다. ITTPrincipal ID 토큰의 경우, 이 토큰은 사용자 ID 필드와 하나씩 맵핑됩니다. ITTDistinguishedName ID 토큰의 경우 첫 번째 등호의 값이 사용자 ID 필드에 맵핑됩니다. ITTCertChain ID 토큰의 경우, 첫 번째 등호의 식별 이름 값이 사용자 ID 필드에 맵핑됩니다.
LDAP 사용자 레지스트리에 인증될 때, LDAP 필터는 ITTCertChain 및 ITTDistinguishedName 유형의 ID가 레지스트리에 맵핑되는 방법을 결정합니다. 토큰 유형이 ITTPrincipal인 경우, 프린시펄은 LDAP 레지스트리의 UID 필드에 맵핑됩니다.
정보 | 값 |
---|---|
기본값: | 사용 불가능 |
기본값은 선택되어 있지 않습니다. 선택하면, 보안 사용자 정의 특성 com.ibm.websphere.security.certdn.useRACMAPMappingToSAF가 true로 설정됩니다.
전송 서버에서 수신 서버로 전송되는 신뢰된 ID를 지정하십시오.
이 서버에 ID 어설션을 수행할 수 있도록 신뢰된 서버 관리자 사용자 ID의 파이프로 구분된(|) 목록을 지정합니다(예: serverid1|serverid2|serverid3). 애플리케이션 서버는 이전 버전과의 호환성을 위해 목록 분리문자로 쉼표(,) 문자를 지원합니다. 애플리케이션 서버는 파이프 문자(|)가 유효한 신뢰 서버 ID를 찾지 못하는 경우 쉼표 문자를 점검합니다.
이 목록을 사용하여 서버가 신뢰되는지 여부를 결정하십시오. 서버가 목록에 있는 경우에도 전송 서버의 ID 토큰을 승인하려면 전송 서버가 수신 서버에서 인증되어야 합니다.
정보 | 값 |
---|---|
데이터 유형: | String |
인증은 메소드 요청 중 클라이언트와 서버 간에 초기 연결이 작성되는 동안 발생함을 지정합니다.
전송 계층에서 SSL(Secure Socket Layer) 클라이언트 인증서 인증이 발생합니다. 메시지 계층에서 기본 인증(사용자 ID 및 비밀번호)이 사용됩니다. 클라이언트 인증서 인증은 일반적으로 메시지 계층 인증보다 잘 수행하지만 몇 가지 추가 설정이 필요합니다. 이 추가 단계에는 서버가 연결되는 각 클라이언트의 서명자 인증을 신뢰하는지 확인하는 작업이 포함됩니다. 클라이언트에서 인증 기관(CA)을 사용하여 개인 인증서를 작성하면 SSL 신뢰 파일의 서버 서명자 섹션에 CA 루트 인증서만 필요합니다.
인증서가 LDAP(Lightweight Directory
Access Protocol) 사용자 레지스트리에서 인증될 때, 식별 이름(DN)은 LDAP를 구성할 때
지정된 필터를 기본으로 맵핑됩니다. 인증서가
로컬 OS 사용자 레지스트리에 인증되는 경우, 일반적으로 공통 이름인 인증서에 있는
식별 이름(DN)의 첫 번째 속성이 레지스트리의 사용자 ID에 맵핑됩니다.
인증서가 로컬 OS 사용자 레지스트리에
인증되는 경우 해당 인증서는 레지스트리의 사용자 ID에 맵핑됩니다.
클라이언트 인증서의 ID는 다른 인증 계층이 서버에 없는 경우에만 사용됩니다.
기본값은 선택되어 있지 않습니다. 선택하면 보안 사용자 정의 특성인 com.ibm.websphere.security.certificate.useRACMAPMappingToSAF가 true로 설정됩니다.
클라이언트가 연결된 전송 중 하나를 사용하여 서버에 대한 연결을 처리할지 여부를 지정합니다.
서버가 지원하는 인바운드 전송으로 SSL(Secure Sockets Layer), TCP/IP 또는 둘 다 선택할 수 있습니다. TCP/IP를 지정하면 서버가 TCP/IP만 지원하며 SSL 연결을 승인할 수 없습니다. SSL 지원을 지정하면, 이 서버가 TCP/IP 또는 SSL 연결을 지원할 수 있습니다. SSL-필수를 지정하면 이 서버와 통신 중인 서버가 SSL을 사용해야 합니다.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
정보 | 값 |
---|---|
기본값: | SSL 필수 |
범위: | TCP/IP, SSL 필수, SSL-지원 |
인바운드 연결을 위해 선택할 사전 정의된 SSL 설정 목록을 지정합니다.
정보 | 값 |
---|---|
데이터 유형: | String |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
범위: | SSL 구성 레퍼토리에 구성되는 모든 SSL 설정 |
Kerberos, LTPA 또는 기본 인증을 사용하여 클라이언트 대 서버 인증을 지정합니다.
기본 인증 및 LTPA를 선택하고 활성 인증 메커니즘이 LTPA인 경우 사용자 이름, 비밀번호 및 LTPA 토큰이 승인됩니다.
기본 인증 및 KRB5를 선택하고 활성 인증 메커니즘이 KRB5인 경우 사용자 이름, 비밀번호, Kerberos 토큰 및 LTPA 토큰이 승인됩니다.
기본 인증을 선택하지 않은 경우 사용자 이름 및 비밀번호가 서버에서 승인되지 않습니다.
인바운드 인증에 사용할 시스템 로그인 구성의 유형을 지정합니다.
보안 > 글로벌 보안을 클릭하여 사용자 정의 로그인 모듈을 추가할 수 있습니다. 인증에서 JAAS(Java Authentication and Authorization Service) > 시스템 로그인을 클릭하십시오.
대부분 성능 향상을 위해 사용되는 Stateful 세션을 사용 가능하도록 하려면 이 옵션을 선택하십시오.
클라이언트와 서버 간의 첫 번째 접속은 완전하게 인증되어야 합니다. 반면 유효한 세션인 모든 후속 접속은 보안 정보를 다시 사용합니다. 클라이언트는 컨텍스트 ID를 서버에 전달하고, 이 ID는 세션 조회에 사용됩니다. 컨텍스트 ID 범위는 고유성을 보증하는 연결입니다. 보안 세션이 유효하지 않고 인증 재시도가 사용 가능할 때마다 기본적으로 사용 가능하며 클라이언트측 보안 인터셉터가 클라이언트측 세션을 무효화하고 사용자가 인식하지 못하는 사이에 요청을 다시 제출합니다. 이러한 상황은 세션이 서버에 없는 경우에 발생할 수 있습니다(예: 서버가 실패하고 조작을 재개함). 이 값이 사용 불가능하게 되면 각 메소드 호출을 다시 인증해야 합니다.
정보 | 값 |
---|---|
기본값: | 사용 가능 |
영역에 대해 인바운드 신뢰를 설정하려면 이 링크를 선택하십시오. 인바운드 인증 영역 설정은 CSIv2에 특정하지 않으며, 여러 보안 도메인에 대해 인바운드 신뢰를 부여할 영역을 구성할 수도 있습니다.
인바운드 인증은 인바운드 요청에 대해 승인된 인증 유형을 결정하는 구성을 나타냅니다. 이 인증은 클라이언트가 네임 서버에서 검색하는 IOR(Interoperable Object Reference)로 알립니다.