9장 주제 관리

주제 인터페이스를 사용해 영역 내 기본적인 아이디 관리를 할 수 있습니다. 주제 인터페이스에서 만든 모든 아이디는 Access Manager 아이디 주제 유형으로 만든 정책의 주제 정의에 사용할 수 있습니다.

생성 및 수정할 수 있는 아이디는 다음과 같습니다.

• 사용자

• 에이전트

• 필터링된 역할

• 역할

• 그룹

사용자

사용자는 개인의 아이디를 나타냅니다. 그룹의 사용자를 생성 및 제거할 수 있으며 역할 및/또는 그룹에 사용자를 추가 또는 제거할 수 있습니다. 사용자에게 서비스를 할당할 수도 있습니다.

사용자를 만들거나 수정하려면

단계

1. 사용자 탭을 누릅니다.

2. 새로 만들기를 누릅니다.

3. 다음 필드에 데이터를 입력합니다.

   UserId. 이 필드에는 사용자가 Access Manager에 로그인할 때 사용하는 이름을 입력합니다. 이 등록 정보는 DN 값이 아닐 수 있습니다.

   이름.이 필드는 사용자의 이름을 가집니다.

   성. 이 필드에는 사용자의 성을 입력합니다.

   전체 이름. 이 필드는 사용자의 전체 이름을 가집니다.

   비밀번호.이 필드는 사용자 아이디 필드에 지정된 이름의 비밀번호를 가집니다.

   비밀번호(확인). 비밀번호를 확인합니다.

   사용자 상태.이 옵션은 사용자에게 Access Manager를 통한 인증이 허용되었는지 여부를 나타냅니다.

4. 만들기를 누릅니다.

5. 사용자가 생성되면 사용자의 이름을 눌러 사용자 정보를 편집할 수 있습니다. 사용자 속성에 대한 자세한 내용은 사용자 속성을 참조하십시오. 다음을 수행할 수 있습니다.

   • 사용자를 만들거나 수정하려면

   • 역할 및 그룹에 사용자를 추가하려면

   • 아이디에 서비스를 추가하려면

역할 및 그룹에 사용자를 추가하려면

단계

1. 수정할 사용자의 이름을 누릅니다.

2. 역할 또는 그룹을 선택합니다. 이미 사용자에게 할당된 역할과 그룹만 표시됩니다.

3. 사용 가능한 목록에서 역할 또는 그룹을 선택하고 추가를 누릅니다.

4. 선택된 목록에 역할 또는 그룹이 표시되면 저장을 누릅니다.

아이디에 서비스를 추가하려면

단계

1. 서비스를 추가할 아이디를 선택합니다.

2. 서비스 탭을 누릅니다.

3. 추가를 누릅니다.

4. 선택한 아이디 유형에 따라 다음과 같은 서비스 목록이 표시됩니다.

   • 인증 구성

   • 검색 서비스

   • 리버티 개인 프로필 서비스

   • 세션

   • 사용자

5. 추가할 서비스를 선택하고 다음을 누릅니다.

6. 서비스에 대한 속성을 편집합니다. 서비스 정의에 대한 설명을 참조하려면 4단계에서 서비스 이름을 누릅니다.

7. 마침을 누릅니다.

에이전트

Access Manager 정책 에이전트는 허용되지 않은 침입으로부터 웹 서버 및 웹 프록시 서버의 컨텐트를 보호합니다. 또한 관리자가 구성한 정책을 기반으로 서비스 및 웹 자원에 대한 액세스를 제어합니다.

에이전트 객체는 정책 에이전트 프로필을 정의하고 Access Manager 자원을 보호하는 특정 에이전트에 대한 인증 및 기타 프로필 정보를 Access Manager에서 저장할 수 있게 합니다. 관리자는 Access Manager 콘솔을 사용해 에이전트 프로필을 확인, 작성, 수정 및 삭제할 수 있습니다.

에이전트 객체 만들기 페이지는 에이전트가 Access Manager에 대해 인증할 때 사용한 UID/비밀번호를 정의하는 곳입니다. 같은 Access Manager를 사용하는 AM/WS 설정이 여러 개 있는 경우 다른 에이전트에 대해 여러 아이디를 활성화하고 이들을 Access Manager와 별개로 활성화 및 비활성화하는 옵션을 제공합니다. 또한 각 컴퓨터에서 AMAgent.properties를 편집하지 않고 에이전트에 대한 일부 기본 설정 값을 중앙에서 관리할 수 있습니다.

에이전트를 만들거나 수정하려면

단계

1. 에이전트 탭을 누릅니다.

2. 새로 만들기를 누릅니다.

3. 다음과 같은 필드에 값을 입력합니다.

   이름.에이전트의 이름 또는 아이디를 입력합니다. 에이전트가 Access Manager에 로그인할 때 사용할 이름입니다. 멀티바이트 이름은 사용할 수 없습니다.

   비밀번호. 에이전트의 비밀번호를 입력합니다. 이 비밀번호는 LDAP 인증 도중에 에이전트가 사용하는 비밀번호와는 달라야 합니다.

   비밀번호 확인. 비밀번호를 확인합니다.

   장치 상태.에이전트의 장치 상태를 입력합니다. 활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증되어 Access Manager와 통신할 수 있습니다. 비활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증될 수 없습니다.

4. 만들기를 누릅니다.

5. 에이전트를 만든 후에는 다음과 같은 필드를 추가로 편집할 수 있습니다.

   설명.에이전트에 대한 간단한 설명을 입력합니다. 예를 들어 에이전트 인스턴스 이름이나 에이전트가 보호하고 있는 응용 프로그램의 이름을 입력할 수 있습니다.

   에이전트 키 값. 키/값 쌍을 사용하여 에이전트 등록 정보를 설정합니다. Access Manager는 이 등록 정보를 사용하여 사용자의 자격 증명 명제에 대한 에이전트 요청을 받습니다. 현재는 하나의 등록 정보만 유효하며 다른 모든 등록 정보는 무시됩니다. 다음 형식을 사용합니다.

   agentRootURL=http:// server_name:port/

고유 정책 에이전트 아이디 만들기

기본적으로 신뢰할 수 있는 환경에서 여러 정책 에이전트를 만드는 경우 정책 에이전트에는 동일한 UID 및 비밀번호가 포함됩니다. UID 및 비밀번호를 공유하므로 Access Manager는 에이전트를 구분할 수 없어 세션 쿠키를 가로챌 수 있는 상태로 열어 둘 수 있습니다.

아이디 공급자가 타사 또는 기업 내 허용되지 않은 그룹에 의해 개발된 응용 프로그램(또는 서비스 제공업체)에 사용자에 대한 인증, 권한 부여 및 프로필 정보를 제공하는 경우 취약점이 발생할 수 있습니다. 예상되는 보안 문제는 다음과 같습니다.

• 모든 응용 프로그램은 동일한 http 세션 쿠키를 공유합니다. 이렇게 되면 rogue 응용 프로그램이 세션 쿠키를 하이재킹하여 다른 응용 프로그램에 대해 사용자를 가장할 수 있습니다.

• 응용 프로그램이 https 프로토콜을 사용하지 않는 경우 세션 쿠키는 네트워크 도청에 취약합니다.

• 단 하나의 응용 프로그램이라도 해킹당하는 경우 전체 인프라의 보안이 손상될 위험이 있습니다.

• 감염된 응용 프로그램은 세션 쿠키를 사용하여 사용자에 대한 프로필 속성을 가져와서 수정할 수 있습니다. 사용자가 관리 권한을 가진 경우 응용 프로그램은 보다 많은 손상을 입을 수 있습니다.

고유 정책 에이전트 아이디를 만들려면

단계

1. Access Manager 관리 콘솔을 사용하여 각 에이전트에 대한 항목을 만듭니다.

2. 에이전트를 만들 때 입력한 비밀번호에 대해 다음 명령을 실행합니다. 이 명령은 에이전트가 설치된 호스에서 호출되어야 합니다.

   AccessManager-base/SUNWam/agents/bin/crypt_util agent123

   이 명령을 실행하면 다음과 같은 출력이 표시됩니다.

   WnmKUCg/y3l404ivWY6HPQ==

3. AMAgent.properties를 변경하여 새 값을 적용한 다음 에이전트를 다시 시작합니다. 예:

   # The username and password to use for the Application 
   
   authentication module.
   
   
   
   com.sun.am.policy.am.username = agent123
   
   com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ==
   
   
   
   # Cross-Domain Single Sign On URL
   
   # Is CDSSO enabled.
   
   com.sun.am.policy.agents.cdsso-enabled=true
   
   
   
   # This is the URL the user will be redirected to after successful login
   
   # in a CDSSO Scenario.
   
   com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port
   
   /amserver/cdcservlet

4. 새 값을 반영하기 위해 Access Manager를 설치한 AMConfig.properties를 변경한 다음 Access Manager를 다시 시작합니다. 예:

   com.sun.identity.enableUniqueSSOTokenCookie=true
   
   com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer
   
    
   
   com.sun.identity.authentication.uniqueCookieDomain=.example.com

5. Access Manager 콘솔에서 구성>플랫폼을 선택합니다.

6. 쿠키 도메인 목록에서 쿠키 도메인 이름을 다음과 같이 변경합니다.

   1. 기본 iplanet.com 도메인을 선택한 다음 제거를 누릅니다.

   2. Access Manager 설치의 호스트 이름을 입력한 다음 추가를 누릅니다.

      예: server.example.com

      다음과 같이 브라우저에 설정된 두 개의 쿠키가 표시됩니다.

      • iPlanetDirectoryPro – server.example.com(호스트 이름)

      • sunIdentityServerAuthNServer – example.com(호스트 이름)

필터링된 역할

필터링된 역할은 LDAP 필터를 사용하여 작성된 동적 역할입니다. 모든 사용자가 필터를 통해 걸러져 역할 작성 시 역할에 할당됩니다. 필터는 항목의 임의 속성 값 쌍(예: ca=user*)을 찾아 해당 속성을 포함하는 사용자를 역할에 자동으로 할당합니다.

필터링된 역할을 만들려면

단계

1. 이동 창에서 역할을 만들 조직으로 이동합니다.

2. 새로 만들기를 누릅니다.

3. 필터링된 역할의 이름을 입력합니다.

4. 검색 조건에 대한 정보를 입력합니다.

   예:

   (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

   필터를 비워두면 기본적으로 다음과 같은 역할이 생성됩니다.

   (objectclass = inetorgperson)

5. 만들기를 눌러 필터 조건에 기초한 검색을 시작합니다. 필터 조건에 의해 정의된 아이디가 자동으로 역할에 할당됩니다.

6. 필터링된 역할이 생성되면 역할의 이름을 눌러 역할에 속한 사용자를 확인합니다. 또한 서비스 탭을 눌러 역할에 서비스를 추가할 수도 있습니다.

역할

역할의 구성원은 역할을 소유하는 LDAP 항목입니다. 역할의 기준 자체는 속성과 함께 LDAP 항목으로 정의되며 항목의 고유 이름(DN) 속성에 의해 식별됩니다. 역할을 만들면 서비스와 사용자를 직접 추가할 수 있습니다.

역할을 만들거나 수정하려면

단계

1. 역할 탭을 누릅니다.

2. 역할 목록에서 새로 만들기를 누릅니다.

3. 역할의 이름을 입력합니다.

4. 만들기를 누릅니다.

역할 또는 그룹에 사용자를 추가하려면

단계

1. 사용자를 추가할 역할 또는 그룹의 이름을 누릅니다.

2. 사용자 탭을 누릅니다.

3. 사용 가능한 목록에서 추가할 사용자를 선택한 다음 추가를 누릅니다.

4. 선택된 목록에 사용자가 표시되면 저장을 누릅니다.

그룹

그룹은 공통적인 기능, 특징 또는 관심을 가지는 사용자의 집합을 나타냅니다. 일반적으로 이 그룹에는 연관된 권한이 없습니다. 그룹은 두 가지 수준 즉, 조직 내에서와 다른 관리 대상 그룹 내에서 존재할 수 있습니다.

그룹을 만들거나 수정하려면

단계

1. 그룹 탭을 누릅니다.

2. 그룹 목록에서 새로 만들기를 누릅니다.

3. 그룹의 이름을 입력합니다.

4. 만들기를 누릅니다.

   그룹을 만들면 그룹 이름 및 사용자 탭을 차례로 눌러 그룹에 사용자를 추가할 수 있습니다.