Access Manager 7 2005Q4 패치 2

Access Manager 7 2005Q4 패치 2(개정판 02)에서는 패치에 포함된 README 파일에 나열된 대로 많은 문제를 해결했습니다. 패치 2에는 또한 다음과 같은 새로운 기능 및 알려진 문제점이 포함되어 있습니다.

패치 2의 새로운 기능

• 사용자 관리, Identity 저장소 및 서비스 관리 캐시의 새 등록 정보

• 연합 서비스 공급자를 위한 새 등록 정보

• LDAP 필터 조건 지원

패치 2의 알려진 문제점 및 제한 사항

• CR# 6283582: 로그인 실패 횟수가 Access Manager 인스턴스 간에 공유되지 않습니다.

• CR# 6293673: 세션 시간 초과 알림을 보낼 때 원래 세션 정보를 유지해야 합니다.

• CR# 6244578: Access Manager는 브라우저 쿠키 지원이 비활성/사용할 수 없을 경우 사용자에게 경고해야 합니다.

• CR# 6236892: 로그인 뒤에 CDCServlet이 AuthNResponse를 처리하는 동안 사용할 이미지/텍스트 자리 표시자

• CR# 6363157: 지속 검색이 반드시 필요하지만 새로운 등록 정보로 인해 지속 검색을 사용할 수 없습니다.

• CR# 6385696: 기존 및 새로운 IDP 및 SP가 보이지 않습니다.

사용자 관리, Identity 저장소 및 서비스 관리 캐시의 새 등록 정보

패치 2에는 사용자 관리(Access Manager SDK), Identity 저장소(IdRepo) 및 서비스 관리 캐시에 대한 다음과 같은 새로운 등록 정보가 포함되어 있습니다. 이러한 등록 정보를 사용하면 배포 요구 사항에 따라 서로 다른 캐시를 개별적으로 활성화 및 비활성화하고 캐시 항목에 대한 TTL(time to live)을 설정할 수 있습니다.

표 3 사용자 관리, Identity 저장소 및 서비스 관리 캐시의 새 등록 정보

등록 정보	설명
캐시를 활성화 및 비활성화하는 새 등록 정보
com.iplanet.am.sdk.caching.enabled	Identity 저장소(IdRepo), 사용자 관리 및 서비스 관리 캐시를 활성화(true) 또는 비활성화(false)하는 전역 등록 정보입니다. true이거나 등록 정보가 AMConfig.properties 파일에 없는 경우 세 개의 캐시가 모두 활성화됩니다.
주 특정 캐시를 활성화 또는 비활성화하는 다음의 세 등록 정보는 이전의 전역 등록 정보가 false로 설정된 경우에만 적용됩니다.
com.sun.identity.amsdk.cache.enabled	사용자 관리(Access Manager SDK) 캐시만 활성화(true) 또는 비활성화(false)합니다.
com.sun.identity.idm.cache.enabled	Identity 저장소(IdRepo) 캐시만 활성화(true) 또는 비활성화(false)합니다.
com.sun.identity.sm.cache.enabled	서비스 관리 캐시만 활성화(true) 또는 비활성화(false)합니다.
TTL의 새 사용자 관리 캐시 등록 정보
com.iplanet.am.sdk.cache.entry.expire.enabled	사용자 관리 캐시의 만료 시간(다음의 두 등록 정보에 의해 정의됨)을 활성화(true) 또는 비활성화(false)합니다.
com.iplanet.am.sdk.cache.entry.user.expire.time	사용자 관리 캐시의 사용자 항목이 마지막 수정 후 유효한 상태로 유지되는 시간(분)을 지정합니다. 즉, 이 지정된 시간이 경과된 후(마지막 수정 또는 디렉토리에서 읽은 후) 캐시된 항목의 데이터가 만료됩니다. 그런 다음, 이러한 항목의 데이터에 대한 새 요청을 디렉토리에서 읽습니다.
com.iplanet.am.sdk.cache.entry.default.expire.time	사용자 관리 캐시의 비 사용자 항목이 마지막 수정 후 유효한 상태로 유지되는 시간(분)을 지정합니다. 즉, 이 지정된 시간이 경과된 후(마지막 수정 또는 디렉토리에서 읽은 후) 캐시된 항목의 데이터가 만료됩니다. 그런 다음, 이러한 항목의 데이터에 대한 새 요청을 디렉토리에서 읽습니다. TTL의 새 Identity 저장소 캐시 등록 정보
com.sun.identity.idm.cache.entry.expire.enabled	IdRepo 캐시의 만료 시간(다음의 두 등록 정보에 의해 정의됨)을 활성화(true) 또는 비활성화(false)합니다.
com.sun.identity.idm.cache.entry.default.expire.time	IdRepo 캐시의 비 사용자 항목이 마지막 수정 후 유효한 상태로 유지되는 시간(분)을 지정합니다. 즉, 이 지정된 시간이 경과된 후(마지막 수정 또는 저장소에서 읽은 후) 캐시된 항목의 데이터가 만료됩니다. 그런 다음, 이러한 항목의 데이터에 대한 새 요청을 저장소에서 읽습니다.

새 캐싱 등록 정보 사용

Access Manager 7 2005Q4 패치는 새 캐싱 등록 정보를 AMConfig.properties 파일에 자동으로 추가하지 않습니다.

새 캐싱 등록 정보를 사용하려면

1. 텍스트 편집기를 사용하여 플랫폼에 따라 다음 디렉토리에 있는 AMConfig.properties 파일에 등록 정보 및 값을 추가합니다.

   • Solaris 시스템: /etc/opt/SUNWam/config

   • Linux 시스템: /etc/opt/sun/identity/config

2. 값을 적용하려면 Access Manager 웹 컨테이너를 다시 시작합니다.

연합 서비스 공급자를 위한 새 등록 정보

새로운 com.sun.identity.federation.spadapter 등록 정보는 서비스 공급자측의 연합 처리 과정에 응용 프로그램별 처리를 추가하는 com.sun.identity.federation.plugins.FederationSPAdapter를 위한 구현 클래스를 정의합니다.

CR# 6385696: 기존 및 새로운 IDP 및 SP가 보이지 않습니다.를 참조하십시오.

LDAP 필터 조건 지원

패치 2에 LDAP 필터 조건 지원이 추가되었습니다. 정책 관리자는 정책을 정의할 때 조건에 LDAP 필터를 지정할 수 있습니다. 해당 정책은 사용자의 LDAP 항목이 조건에 지정된 LDAP 필터를 충족하는 경우에만 사용자에 적용됩니다. 정책 구성 서비스에 지정된 디렉토리부터 사용자의 LDAP 항목이 조회됩니다.

LDAP 필터 조건을 등록하고 사용하려면 Access Manager 7 패치 2를 설치한 후에 Solaris 시스템의 기본 디렉토리에 설치된 Access Manager와 함께 표시되는 다음 명령을 실행합니다.

# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-s /etc/opt/SUNWam/AddLDAPFilterCondition.xml
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml

패치 5 주 Access Manager 7 2005Q4 패치 5를 추가하고 updateschema.sh 스크립트를 실행했으면 amadmin을 사용하여 이러한 파일을 로드하지 않아도 됩니다. 자세한 내용은 새로운 updateschema.sh 스크립트로 LDIF 및 XML 파일 로드를 참조하십시오.

CR# 6283582: 로그인 실패 횟수가 Access Manager 인스턴스 간에 공유되지 않습니다.

Access Manager 7 패치 2가 설치되었으면 Solaris 시스템의 기본 디렉토리에 설치된 Access Manager와 함께 표시되는 다음 명령을 실행합니다.

# cd DirectoryServer-base/shared/bin
# ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort 
-D "cn=Directory Manager" -w DirectoryMangerPassword 
-a -f /etc/opt/SUNWam/accountLockout.ldif
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/accountLockoutData.xml

DirectoryServer-base의 기본값은 Solaris 시스템에서는 /var/opt/mps/serverroot이고 Linux 시스템에서는 /var/opt/sun/directory-server입니다.

패치 5 주 Access Manager 7 2005Q4 패치 5를 추가하고 updateschema.sh 스크립트를 실행했으면 amadmin을 사용하여 이러한 파일을 로드하지 않아도 됩니다. 자세한 내용은 새로운 updateschema.sh 스크립트로 LDIF 및 XML 파일 로드를 참조하십시오.

CR# 6293673: 세션 시간 초과 알림을 보낼 때 원래 세션 정보를 유지해야 합니다.

AMConfig.properties 파일의 새로운 com.sun.identity.session.property.doNotTrimList 등록 정보는 쉼표로 분리된 세션 등록 정보 이름을 포함할 수 있습니다. 세션이 시간 초과되면 이 목록에 정의된 등록 정보는 세션이 삭제되기 전에 액세스할 수 있도록 잘리지 않습니다. 예를 들면 다음과 같습니다.

com.sun.identity.session.property.doNotTrimList=UserId,HostName

CR# 6244578: Access Manager는 브라우저 쿠키 지원이 비활성/사용할 수 없을 경우 사용자에게 경고해야 합니다.

AMConfig.properties 파일의 새로운 com.sun.identity.am.cookie.check 등록 정보는 서버가 브라우저의 쿠키 지원/쿠키 활성 여부를 확인할지 여부를 지정합니다. true 값을 사용하면 서버는 브라우저에서 쿠키 지원/쿠키 활성 여부를 확인하고 지원하지 않거나 활성화되지 않은 경우 오류 페이지를 표시합니다. 서버가 인증 기능에 쿠키를 사용하지 않는 모드를 지원하는 경우 이 값은 false(기본값)로 설정해야 합니다.

CR# 6236892: 로그인 뒤에 CDCServlet이 AuthNResponse를 처리하는 동안 사용할 이미지/텍스트 자리 표시자

다음과 같은 새로운 등록 정보가 AMConfig.properties 파일에 추가되었으며 CDCServlet으로 읽을 수 있습니다.

• com.iplanet.services.cdc.WaitImage.display가 true로 설정된 경우 CDSSO 시나리오에서 사용자가 보호된 페이지를 기다리는 동안 브라우저가 이미지를 표시합니다. 기본값은 false입니다.

• com.iplanet.services.cdc.WaitImage.name은 이미지 이름을 지정합니다. 기본값은 waitImage.gif입니다. 이미지는 login_images 디렉토리로 복사됩니다.

• com.iplanet.services.cdc.WaitImage.width는 이미지 너비를 지정합니다. 기본값은 420입니다.

• com.iplanet.services.cdc.WaitImage.height는 이미지 높이를 지정합니다. 기본값은 120입니다.

CR# 6363157: 지속 검색이 반드시 필요하지만 새로운 등록 정보로 인해 지속 검색을 사용할 수 없습니다.

AMConfig.properties 파일의 새로운 com.sun.am.event.connection.disable.list 등록 정보는 사용하지 않도록 설정할 이벤트 연결을 지정합니다. 값(대소문자 구분)은 다음과 같을 수 있습니다.

aci - LDAP 필터(aci=*)를 사용하는 검색에서 aci 속성으로의 변경

sm - sunService 또는 sunServiceComponent 표시자 객체 클래스가 있는 객체를 포함하는 Access Manager 정보 트리 또는 서비스 관리 노드에서의 변경. 예를 들어 보호되는 자원에 대한 액세스 권한을 정의하는 정책을 만들거나 기존 정책에 대한 규칙, 주제, 조건 또는 응답 공급자를 수정할 수 있습니다.

um - 사용자 디렉토리 또는 사용자 관리 노드에서의 변경. 예를 들어 사용자의 이름이나 주소를 변경할 수 있습니다.

예를 들어 Access Manager 정보 트리 또는 서비스 관리 노드로의 변경에 대해 지속 검색을 사용할 수 없도록 설정하려면 다음을 수행합니다.

com.sun.am.event.connection.disable.list=sm

여러 개의 값을 지정하려면 각각의 값을 쉼표로 구분합니다.

---

주의 –

지속 검색을 수행하면 Directory Server에서 약간의 성능 오버헤드가 발생합니다. 이러한 성능 오버헤드를 일부라도 제거하는 것이 작업 환경에 정말로 중요하다고 생각하면 com.sun.am.event.connection.disable.list 등록 정보를 사용하여 지속 검색을 하나 이상 사용하지 않도록 설정하면 됩니다.

그러나 지속 검색을 사용하지 않도록 설정하기 전에 앞에서 설명한 제한 사항을 반드시 알고 있어야 합니다. 지속 검색을 사용하지 않도록 설정해야 하는 경우를 제외하고는 이 등록 정보를 변경하지 않는 것이 가장 좋습니다. 원래 이 등록 정보는 2.1 J2EE 에이전전트가 여러 개 사용될 때 각 에이전트마다 이러한 지속 검색을 설정하고 있기 때문에 Directory Server에서 발생하는 오버헤드를 피하기 위해 도입되었습니다. 이제는 2.2 J2EE에서 더 이상 이러한 지속 검색을 설정하지 않으므로 이 등록 정보를 사용할 필요가 없습니다.

자세한 내용은 지속 검색 사용 불가능에 대한 상세 정보 문서화(6486927)를 참조하십시오.

---

CR# 6385696: 기존 및 새로운 IDP 및 SP가 보이지 않습니다.

AMConfig.properties 파일의 새로운 com.sun.identity.federation.spadapter 등록 정보는 응용 프로그램이 명제 및 응답 정보를 얻는 위치인 연합 서비스 제공자 어댑터의 기본 구현을 지정합니다. 예를 들면 다음과 같습니다.

com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter