설명서 문제

• 영역 모드에서 레거시 모드로 되돌릴 수 없는 Access Manager 문제 문서화(6508473)

• 지속 검색 사용 불가능에 대한 상세 정보 문서화(6486927)

• Access Manager 지원 및 비지원 권한 문제 문서화(2143066)

• 쿠키 기반 지속 요청 라우팅 문제 문서화(6476922)

• Windows 2003을 위한 Windows 데스크탑 SSO 구성 문제 문서화(6487361)

• 분산 인증 UI 서버의 비밀번호 설정 단계 문제 문서화(6510859)

• 추가 정보가 필요한 "새 사이트 이름 만들기" 온라인 도움말(2144543)

• Windows 시스템의 관리자 비밀번호 구성 매개 변수(ADMIN_PASSWD) 문제 문서화(6470793)

• 릴리스 노트에 알려진 문제에 대한 해결 방법이 잘못 설명되어 있습니다(6422907).

• AMConfig.properties에서 com.iplanet.am.session.protectedPropertiesList 문제 문서화(6351192)

• LDAPv3 플러그인의 역할 및 필터링된 역할 지원 문제 문서화(6365196)

• AMConfig.properties 파일에서 사용되지 않은 속성 문제 문서화(6344530)

• 서버측의 com.iplanet.am.session.client.polling.enable이 true여서는 안 됩니다(6320475).

• 콘솔 온라인 도움말의 기본 성공 URL이 정확하지 않습니다(6296751).

• XML 암호화를 사용할 수 있게 설정하는 방법 문서화(6275563)

영역 모드에서 레거시 모드로 되돌릴 수 없는 Access Manager 문제 문서화(6508473)

Access Manager 7 2005Q4를 영역 모드로 설치하는 경우 레거시 모드로 되돌릴 수 없습니다.

그러나 Access Manager 7 2005Q4를 레거시 모드로 설치하는 경우에는 -M 옵션을 포함한 amadmin 명령으로 영역 모드로 변경할 수 있습니다. 예를 들면 다음과 같습니다.

amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com

지속 검색 사용 불가능에 대한 상세 정보 문서화(6486927)

Access Manager에서는 지속 검색을 통해 Sun Java System Directory Server 변경 항목에 대한 정보를 받습니다. Access Manager는 기본적으로 서버 시작 시 다음과 같은 지속 검색 연결을 만듭니다.

aci - LDAP 필터(aci=*)를 사용하는 검색에서 aci 속성으로의 변경

sm - sunService 또는 sunServiceComponent 표시자 객체 클래스가 있는 객체를 포함하는 Access Manager 정보 트리 또는 서비스 관리 노드에서의 변경. 예를 들어 보호되는 자원에 대한 액세스 권한을 정의하는 정책을 만들거나 기존 정책에 대한 규칙, 주제, 조건 또는 응답 공급자를 수정할 수 있습니다.

um - 사용자 디렉토리 또는 사용자 관리 노드에서의 변경. 예를 들어 사용자의 이름이나 주소를 변경할 수 있습니다.

---

주의 –

지속 검색이 사용되지 않는 구성 요소는 Directory Server로부터 알림을 받지 않기 때문에 이러한 구성 요소에 대해 지속 검색을 사용하지 않도록 설정하는 것은 권장되지 않습니다. 따라서 Directory Server에서 수행된 특정 구성 요소에 대한 변경 알림이 구성 요소 캐시로 전달되지 않아 해당 구성 요소 캐시의 기능이 상실하게 됩니다.

예를 들어 사용자 디렉토리(um)에서 발생되는 변경 항목에 대한 지속 검색을 사용할 수 없으면 Access Manager 서버는 Directory Server에서 알림을 받지 않습니다. 그 결과로 에이전트는 사용자 속성의 새 값으로 로컬 사용자 캐시를 업데이트하기 위한 알림을 Access Manager로부터 가져오지 않습니다. 다음으로 응용 프로그램이 에이전트에 사용자 속성을 쿼리하면 해당 속성의 이전 값을 받을 수도 있습니다.

이 등록 정보는 반드시 필요한 특별한 경우에만 사용하십시오. 예를 들어 작업 환경에서 세션 서비스 및 인증 서비스와 같은 서비스 중 하나로 값을 변경하는 것과 관련된 서비스 구성 변경이 발생하지 않을 것이라고 확신하는 경우 서비스 관리(sm) 구성 요소에 대한 지속 검색을 사용하지 않도록 설정할 수 있습니다. 그러나 어떤 서비스에 대한 변경이 발생되면 서버를 다시 시작해야 합니다. aci 및 um 값으로 지정되는 동일한 조건이 다른 지속 검색에도 적용됩니다.

---

자세한 내용은 CR# 6363157: 지속 검색이 반드시 필요하지만 새로운 등록 정보로 인해 지속 검색을 사용할 수 없습니다.를 참조하십시오.

Access Manager 지원 및 비지원 권한 문제 문서화(2143066)

권한은 영역 내에 존재하는 역할이나 그룹의 구성원인 관리자에게 부여되는 액세스 권한을 정의합니다. Access Manager를 사용하면 다음과 같은 관리자 유형을 위한 권한을 구성할 수 있습니다.

• 영역 관리자는 아이디 저장소(데이터 저장소) 정의, 인증 구성 및 정책 정의를 포함하여 영역 관련 작업을 모두 수행할 수 있습니다.

• 정책 관리자는 기존 영역에서 정책을 구성할 수 있습니다.

지원되는 권한은 다음과 같습니다.

• 모든 영역 및 정책 등록 정보에 대한 읽기 및 쓰기 권한. 영역 관리자를 위한 읽기 및 쓰기 권한을 정의합니다.

• 정책 등록 정보에 대해서만 읽기 및 쓰기 권한. 정책 관리자를 위한 읽기 및 쓰기 권한을 정의합니다.

• 지원되는 권한 조합: 정책 등록 정보에 대해서만 읽기 및 쓰기 권한 및 데이터 저장소에 대한 읽기 권한. 그 밖의 권한 조합은 지원되지 않습니다.

쿠키 기반 지속 요청 라우팅 문제 문서화(6476922)

Access Manager 서버가 로드 밸런서 배후에 배포되는 경우 쿠키 기반 지속 요청 라우팅은 클라이언트 요청에서 올바르지 않은 Access Manager 서버, 즉 세션을 호스트하고 있지 않은 서버로 경로를 잘못 지정하지 않도록 합니다. 이 기능은 Access Manager 7 2005Q4 패치 3에서 구현되었습니다.

쿠키 기반 지속 요청 라우팅을 사용하지 않는 이전 동작에서는 종종 브라우저 기반이 아닌 클라이언트(예: 원격 Access Manager 클라이언트 SDK를 사용하는 정책 에이전트 및 클라이언트) 요청에서 세션을 호스트하고 있지 않은 Access Manager 서버로 경로를 잘못 지정했습니다. 그런 다음에는 올바른 서버로 요청을 보내기 위해 Access Manager 서버에서 백 채널 통신을 사용하여 해당 세션을 검증해야 했으며, 이로 인해 대개의 경우 성능이 어느 정도 저하되었습니다. 쿠키 기반 지속 요청 라우팅을 사용하면 이러한 백 채널 통신이 필요하지 않으므로 Access Manager 성능을 향상시킵니다.

쿠키 기반 지속 요청 라우팅을 구현하려면 배포된 Access Manager가 사이트로 구성되어야 합니다. 자세한 내용은 Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide의 Configuring an Access Manager Deployment as a Site을 참조하십시오.

쿠키 기반 지속 요청 라우팅을 구성하려면

1. AMConfig.properties 파일에 com.iplanet.am.lbcookie.name 등록 정보를 설정하여 쿠키 이름을 지정합니다. 그런 다음 Access Manager에서 2바이트 서버 아이디(예: 01, 02 및 03)를 사용하여 로드 밸런서 쿠키 값을 생성합니다. 쿠키 이름을 지정하지 않으면 Access Manager에서 기본 이름(amlbcookie)과 2바이트 서버 아이디를 사용하여 로드 밸런서 쿠키 값을 생성합니다.

   Access Manager에서 쿠키 이름을 설정하는 경우 정책 에이전트에 대한 AMAgent.properties 파일에서도 동일한 이름을 사용해야 합니다. 또한 Access Manager 클라이언트 SDK를 사용하는 경우에도 Access Manager 서버에서 사용되는 것과 동일한 쿠키 이름을 사용해야 합니다.

   주: Access Manager에서 2바이트 서버 아이디를 사용하여 쿠키 값을 설정하므로 com.iplanet.am.lbcookie.value 등록 정보는 설정하지 마십시오.

2. 1단계의 쿠키 이름으로 로드 밸런서를 구성합니다. 배포된 Access Manager와 함께 하드웨어 또는 소프트웨어 로드 밸런서를 사용할 수 있습니다.

3. 세션 페일오버가 구현되는 경우 정책 에이전트 및 Access Manager 서버 모두에 대해 com.sun.identity.session.resetLBCookie 등록 정보를 사용하도록 설정합니다.

   • 정책 에이전트의 경우 AMAgent.properties 파일에 해당 등록 정보를 추가하여 사용하도록 설정합니다.

   • Access Manager 서버의 경우 AMConfig.properties 파일에 해당 등록 정보를 추가하여 사용하도록 설정합니다.

   예를 들면 다음과 같습니다.

   com.sun.identity.session.resetLBCookie='true'

   페일오버 상황이 발생하면 해당 세션이 보조 Access Manager 서버의 경로로 지정되고 로드 밸런서 쿠키 값이 보조 Access Manager 서버의 서버 아이디를 사용하여 설정됩니다. 그런 후에 이어지는 해당 세션에 대한 요청은 모두 보조 Access Manager 서버의 경로로 지정됩니다.

Windows 2003을 위한 Windows 데스크탑 SSO 구성 문제 문서화(6487361)

Windows 2003에서 Windows 데스크탑 SSO를 구성하려면 다음 ktpass 명령을 사용합니다. 자세한 내용은 Sun Java System Access Manager 7 2005Q4 관리 설명서의 Windows 데스크탑 SSO 구성을 참조하십시오.

ktpass /out filename /mapuser username 
/princ HTTP/hostname.domainname /crypto encryptiontype /rndpass 
/ptype principaltype /target domainname

예를 들면 다음과 같습니다.

ktpass /out demo.HTTP.keytab 
/mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM 
/crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

구문 정의에 대해서는 다음 사이트를 참조하십시오.

http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true

분산 인증 UI 서버의 비밀번호 설정 단계 문제 문서화(6510859)

다음에 나오는 절차는 Access Manager 서버와 통신하는 분산 인증 UI 서버에 대해 암호화된 비밀번호를 설정하는 방법을 설명합니다.

분산 인증 UI 서버에 대한 비밀번호를 설정하려면

1. Access Manager 서버의 경우:

   1. ampassword -e 유틸리티를 사용하여 amadmin 비밀번호를 암호화합니다. 예를 들어 Solaris 시스템의 경우 다음과 같습니다.

      # cd /opt/SUNWam/bin 
      # ./ampassword -e amadmin-password 
      AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 

      암호화된 이 값을 저장합니다.

   2. Access Manager 서버의 AMConfig.properties 파일로부터 am.encryption.pwd 등록 정보 값을 복사하고 저장합니다. 예를 들면 다음과 같습니다.

      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

2. 분산 인증 UI 서버의 경우 AMConfig.properties 파일에서 다음과 같이 변경합니다.

   1. com.iplanet.am.service.password 등록 정보를 주석으로 처리합니다.

   2. com.iplanet.am.service.secret 등록 정보를 1a단계에서 암호화된 amadmin 비밀번호로 설정합니다.

   3. 1b단계에서 복사한 am.encryption.pwd 및 암호화된 값을 추가합니다. 예를 들면 다음과 같습니다.

      com.sun.identity.agents.app.username=username 
      #com.iplanet.am.service.password=password 
      com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 
      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

3. 분산 인증 UI 서버를 다시 시작합니다.

추가 정보가 필요한 "새 사이트 이름 만들기" 온라인 도움말(2144543)

Access Manager 콘솔 온라인 도움말에서 구성 > 시스템 등록 정보 > 플랫폼에 따른 "새 사이트 이름 만들기"에 맞는 저장 단계가 없습니다. 새 사이트 이름을 추가한 다음 저장을 누르지 않고 인스턴스 이름을 추가하려고 하면 해당 프로세스가 실패하게 됩니다. 따라서 반드시 새 사이트 이름을 추가하고 저장을 누른 다음 인스턴스 이름을 추가해야 합니다.

Windows 시스템의 관리자 비밀번호 구성 매개 변수(ADMIN_PASSWD) 문제 문서화(6470793)

Solaris 및 Linux 시스템의 경우 amsamplesilent 파일의 Access Manager 관리자(amadmin) 비밀번호 구성 매개 변수는 ADMI1NPASSWD입니다. 그러나 Windows 시스템의 경우 AMConfigurator.properties 파일의 해당 매개 변수는ADMIN_PASSWD입니다.

Windows 시스템에서 amconfig.bat을 실행할 경우 ADMINPASSWD 매개 변수가 아니라 ADMIN_PASSWORD 매개 변수를 사용하여 AMConfigurator.properties 파일의 amadmin 비밀번호를 설정합니다.

릴리스 노트에 알려진 문제에 대한 해결 방법이 잘못 설명되어 있습니다(6422907).

웹 서비스 샘플을 실행하면 “자원 오퍼링을 찾을 수 없습니다”라는 메시지가 나타납니다(6359900).에 대한 해결 방법의 3단계가 수정되었습니다.

AMConfig.properties에서 com.iplanet.am.session.protectedPropertiesList 문제 문서화(6351192)

com.iplanet.am.session.protectedPropertiesList 매개 변수를 사용하면 세션 서비스의 SetProperty 메소드를 통해 원격 업데이트에서 특정 핵심 또는 내부 세션 등록 정보를 보호할 수 있습니다. "hidden" 키 보안 매개 변수를 설정하여 다른 Access Manager 기능뿐만 아니라 인증에 참여하기 위한 세션 속성을 사용자 정의할 수 있습니다. 이 매개 변수를 사용하려면

1. 텍스트 편집기를 사용하여 AMConfig.properties 파일에 매개 변수를 추가합니다.

2. 보호할 세션 등록 정보에 매개 변수를 설정합니다. 예를 들면 다음과 같습니다.

   com.iplanet.am.session.protectedPropertiesList = 
   PropertyName1,PropertyName2,PropertyName3
   

3. 값을 적용하려면 Access Manager 웹 컨테이너를 다시 시작합니다.

LDAPv3 플러그인의 역할 및 필터링된 역할 지원 문제 문서화(6365196)

Sun Java System Directory Server에 데이터가 저장되어 있는 경우 해당 패치를 적용한 후 LDAPv3 플러그인에 대한 역할 및 필터링된 역할을 구성할 수 있습니다(CR 6349959 해결). Access Manager 7 2005Q4 관리자 콘솔에서 “LDAPv3 플러그인이 지원하는 유형 및 작업” 필드의 LDAPv3 구성에 다음 값을 입력합니다.

role: read,edit,create,delete
filteredrole: read,edit,create,delete

LDAPv3 구성에서 사용할 예정인 역할 및 필터링된 역할에 따라 위 항목 중 하나 또는 둘 모두 입력할 수 있습니다.

AMConfig.properties 파일에서 사용되지 않은 속성 문제 문서화(6344530)

AMConfig.properties 파일의 다음 속성이 사용되지 않습니다.

com.iplanet.am.directory.host
com.iplanet.am.directory.port

서버측의 com.iplanet.am.session.client.polling.enable이 true여서는 안 됩니다(6320475).

AMConfig.properties 파일에서 서버측의 com.iplanet.am.session.client.polling.enable 등록 정보가 true로 설정되어서는 안 됩니다.

해결 방법: 이 등록 정보가 기본 값인 false로 설정된 후 true로 다시 설정되어서는 안 됩니다.

콘솔 온라인 도움말의 기본 성공 URL이 정확하지 않습니다(6296751).

service.scserviceprofile.iplanetamauthservice.html 온라인 도움말 파일의 기본 성공 URL이 정확하지 않습니다. 기본 성공 URL 필드는 성공적인 인증 후 사용자가 리디렉션되는 URL을 지정하는 다수의 값 목록을 허용합니다. 기본 HTML 유형을 가정하는 URL의 값만 지정할 수 있지만 이 속성의 형식은 clientType|URL입니다.

“/amconsole” 기본값이 올바르지 않습니다.

해결 방법: 올바른 기본값은 “/amserver/console”입니다.

XML 암호화를 사용할 수 있게 설정하는 방법 문서화(6275563)

Bouncy Castle JAR 파일을 사용하여 Access Manager나 Federation Manager의 XML 암호화에서 전송 키를 생성하려면 다음 단계를 따르십시오.

1. 1.5 이전 버전의 JDK를 사용하는 경우 Bouncy Castle 사이트(http://www.bouncycastle.org/)에서 Bouncy Castle JCE 공급자를 다운로드합니다. 예를 들어, JDK 1.4를 사용하면 bcprov-jdk14-131.jar 파일을 다운로드합니다.

2. 이전 단계에서 JAR 파일을 다운로드했으면 jdk_root/jre/lib/ext 디렉토리에 그 파일을 복사합니다.

3. 현지화된 버전의 JDK를 사용하는 경우 사용 중인 버전의 JDK에 적합한 JCE Unlimited Strength Jurisdiction 정책 파일을 Sun 사이트(http://java.sun.com)에서 다운로드합니다. IBM WebSphere를 사용하는 경우 해당 IBM 사이트에서 필요한 파일을 다운로드합니다.

4. 다운로드한 US_export_policy.jar 및 local_policy.jar 파일을 jdk_root/jre/lib/security 디렉토리에 복사합니다.

5. 1.5 이전 버전의 JDK를 사용하는 경우 jdk_root/jre/lib/security/java.security 파일을 편집하여 Bouncy Castle을 공급자 중 하나로 추가합니다. 예를 들면 다음과 같습니다.

   security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider

6. AMConfig.properties 파일에서 다음 등록 정보를 true로 설정합니다.

   com.sun.identity.jss.donotInstallAtHighestPriority=true

7. Access Manager 웹 컨테이너를 다시 시작합니다.

자세한 내용은 아이디 5110285(XML 암호화에 Bouncy Castle JAR 파일 필요)를 참조하십시오.