Sun Java System Application Server 9.1 관리 설명서

비밀번호 보안 관리

Application Server에서 특정 도메인에 대한 사양을 포함하는 domain.xml 파일에는 기본적으로 Sun Java System 메시지 대기열 브로커의 비밀번호가 일반 텍스트로 포함되어 있습니다. 이 비밀번호를 포함하는 domain.xml 파일의 요소는 jms-host 요소의 admin-password 속성입니다. 설치 시, 이 비밀번호를 변경할 수 없기 때문에 보안에 큰 영향을 미치지 않습니다.

그러나 관리 콘솔을 사용하여 사용자와 자원을 추가하고 이 사용자와 자원에 비밀번호를 지정합니다. 예를 들어, 데이터베이스에 액세스하기 위한 비밀번호처럼 이 비밀번호 중 일부는 domain.xml 파일에 일반 텍스트로 기록됩니다. 이 비밀번호를 domain.xml 파일에 일반 텍스트로 기록하면 보안 위험이 있을 수 있습니다. admin-password 속성이나 데이터베이스 비밀번호와 같은 domain.xml의 비밀번호를 암호화할 수 있습니다. 보안 비밀번호 관리에 대한 지침은 다음 내용을 참조하십시오.

domain.xml 파일의 비밀번호 암호화

domain.xml 파일의 비밀번호를 암호화하려면 다음 단계를 수행합니다.

  1. domain.xml 파일이 있는 디렉토리(기본적으로 domain-dir/config)에서 다음의 asadmin 명령을 실행합니다.


    asadmin create-password-alias --user admin alias-name
    

    예를 들면 다음과 같습니다.


    asadmin create-password-alias --user admin jms-password

    비밀번호 프롬프트(이 경우 admin)가 표시됩니다. 자세한 내용은 create-password-alias, list-password-aliases, delete-password-alias 명령에 대한 설명서 페이지를 참조하십시오.

  2. domain.xml의 비밀번호를 제거하고 바꿉니다. asadmin set 명령을 사용하여 이를 수행합니다. 다음은 이러한 용도로 set 명령을 사용하는 예입니다.


    asadmin set --user admin server.jms-service.jms-host.
    default_JMS_host.admin-password='${ALIAS=jms-password}'

    주 –

    위의 예와 같이 별칭 비밀번호를 작은 따옴표로 묶습니다.


  3. 관련 도메인을 위해 Application Server를 다시 시작합니다.

암호화된 비밀번호를 사용하여 파일 보호

일부 파일에는 파일 시스템 권한을 사용하여 보호해야 하는 암호화된 비밀번호가 포함되어 있습니다. 이 파일에는 다음 내용이 포함되어 있습니다.

마스터 비밀번호 변경

마스터 비밀번호(MP)는 전체적으로 공유하는 비밀번호입니다. 마스터 비밀번호는 인증에 사용되지 않고 네트워크를 통해 전송되지 않습니다. 이 비밀번호는 전체적인 보안의 중앙 지점입니다. 필요할 경우 수동으로 입력하도록 선택하거나 파일에 숨길 수 있습니다. 비밀번호는 시스템에서 가장 중요한 데이터입니다. 이 파일을 제거하여 마스터 비밀번호 요구를 강제로 실행할 수 있습니다. 마스터 비밀번호를 변경하면 마스터 비밀번호가 Java JCEKS 유형 키 저장소인 마스터 비밀번호 키 저장소에 다시 저장됩니다.

마스터 비밀번호를 변경하려면 다음 단계를 수행합니다.

  1. 도메인의 Application Server를 중지합니다. asadmin change-master-password 명령을 사용하여 이전 비밀번호와 새 비밀번호에 대한 메시지를 표시한 다음 모든 하위 종속 항목을 다시 암호화합니다. 예를 들면 다음과 같습니다.


    asadmin change-master-password>
    Please enter the master password>
    Please enter the new master password>
    Please enter the the new master password again>
  2. Application Server를 다시 시작합니다.


    주의 – 주의 –

    이 때 실행 중인 서버 인스턴스를 시작해서는 안되며, 해당 노드의 SMP 에이전트가 변경될 때까지 실행 중인 서버 인스턴스를 다시 시작해서는 안 됩니다. SMP를 변경하기 전에 서버 인스턴스를 다시 시작한 경우 서버 인스턴스가 시작되지 않습니다.


  3. 노드 에이전트 및 관련된 서버를 한 번에 하나씩 중지합니다. asadmin change-master-password 명령을 다시 실행한 다음 노드 에이전트 및 관련된 서버를 다시 시작합니다.

  4. 모든 노드 에이전트를 주소 지정할 때까지 다음 노드 에이전트를 계속합니다. 이런 방법으로 변경 사항 롤백이 수행됩니다.

마스터 비밀번호 및 키 저장소 작업

마스터 비밀번호는 보안 키 저장소에 대한 비밀번호입니다. 새 Application Server 도메인을 만들 때 자체 서명된 인증서가 새로 생성되고 마스터 비밀번호를 사용하여 잠근 관련 키 저장소에 저장됩니다. 마스터 비밀번호가 기본값이 아닌 경우 start-domain 명령을 실행하면 마스터 비밀번호를 입력하라는 메시지가 표시됩니다. 올바른 마스터 비밀번호를 입력하면 도메인이 시작됩니다.

도메인과 연관된 노드 에이전트를 만들면 노드 에이전트는 데이터를 도메인과 동기화합니다. 그러는 동안 키 저장소도 함께 동기화됩니다. 이 노드 에이전트가 제어하는 모든 서버 인스턴스는 키 저장소를 열어야 합니다. 이 저장소는 기본적으로 도메인 만들기 프로세스에서 만들어진 저장소와 동일하므로 이와 동일한 마스터 비밀번호를 사용해야 열립니다. 그러나 마스터 비밀번호 자체는 동기화되지 않지만, 즉 마스터 비밀번호가 동기화 중 노드 에이전트에 전송되지 않지만 노드 에이전트에 로컬로 사용할 수 있어야 합니다. 이에 따라 노드 에이전트 만들기 및/또는 시작 시 마스터 비밀번호를 입력하라는 메시지가 표시되며, 이때 도메인 만들기/시작 시에 입력한 것과 동일한 비밀번호를 입력해야 합니다. 도메인의 마스터 비밀번호가 변경되면 이 도메인과 연관된 모든 노드 에이전트에 대해 동일한 단계를 수행하여 해당 마스터 비밀번호를 변경해야 합니다.

관리 비밀번호 변경

관리 비밀번호 암호화는 비밀번호 보안 관리에 설명되어 있습니다. 관리 비밀번호를 암호화할 것을 강력하게 권장합니다. 암호화하기 전에 관리 비밀번호를 변경하려면 asadmin set 명령을 사용합니다. 다음은 이러한 용도로 set 명령을 사용하는 예입니다.


asadmin set --user admin server.jms-service.jms-host.default_JMS_host.admin-password=new_pwd

관리 콘솔을 사용하여 관리 비밀번호를 변경하는 방법은 관리 콘솔 온라인 도움말을 참조하십시오.