test

Sun Java System Web Server 7.0 관리자 설명서

액세스 제어 항목(ACE) 추가

이 절에서는 선택한 구성에 대해 새 액세스 제어 항목(ACE)을 추가하는 과정에 대해 설명합니다.

  1. 구성 탭을 누르고 구성을 선택합니다.

  2. 액세스 제어 하위 탭 > 액세스 제어 목록 하위 탭을 누릅니다.

  3. 새로 만들기 버튼을 누릅니다.

  4. 액세스 제어 항목(ACE) 아래에 있는 새로 만들기 버튼을 누릅니다.

다음 ACE 매개 변수를 구성합니다.

표 7–3 ACE 매개 변수

매개 변수

설명

액세스

  • 허용은 사용자 또는 시스템이 요청된 자원에 액세스할 수 있음을 나타냅니다.

  • 거부는 사용자 또는 시스템이 자원에 액세스할 수 없음을 나타냅니다.

    서버는 ACE(Access Control Expressions) 목록 전체를 확인하여 액세스 권한을 판단합니다.

사용자

1.모든 사용자 — 인증이 없습니다. 모든 사용자에게 액세스를 허용합니다.

2. 인증 DB의 모든 사용자 — 인증 데이터베이스에 지정된 모든 사용자에게 액세스를 허용합니다.

3. 인증 DB의 다음 사용자만 — 인증 DB에서 선택된 사용자에 대해서만 액세스를 허용합니다.

이름, 성 및 전자 메일 주소와 같은 공통 속성을 기반으로 인증 DB를 쿼리할 수 있습니다. 

그룹

그룹 인증을 사용하면 사용자가 액세스 제어 규칙에 지정된 자원에 액세스하기 전에 사용자 이름 및 비밀번호를 입력하라는 프롬프트가 표시됩니다. 

이 옵션을 사용하여 특정 그룹에 대한 액세스를 제한합니다. 

시작 호스트

요청을 보내는 컴퓨터를 기준으로 Administration Server 또는 웹 사이트에 대한 액세스를 제한할 수 있습니다. 

요청을 보내는 컴퓨터를 기준으로 Administration Server 또는 웹 사이트에 대한 액세스를 제한할 수 있습니다. 

  • 모든 위치는 모든 사용자 및 시스템에 대한 액세스를 허용합니다.

  • 다음 위치에서만은 특정 호스트 이름 또는 IP 주소에 대한 액세스를 제한할 수 있습니다.

다음 위치에서만 옵션을 선택하는 경우에는 호스트 이름 또는 IP 주소 필드에 와일드카드 패턴 또는 쉼표로 분리된 목록을 입력합니다. 호스트 이름을 기준으로 제한하는 것이 IP 주소를 기준으로 제한하는 것보다 유연성이 큽니다. 사용자의 IP 주소가 변경되더라도 목록을 업데이트할 필요가 없습니다. 그러나 IP 주소를 기준으로 제한하는 것이 더욱 안전합니다. 연결된 클라이언트에 대한 DNS 조회가 실패하면 호스트 이름 제한은 사용할 수 없습니다. 

컴퓨터의 호스트 이름 또는 IP 주소를 검색하는 와일드카드 패턴에는 * 와일드카드만 사용할 수 있습니다. 예를 들어, 특정 도메인에 있는 모든 컴퓨터를 허용하거나 거부하려면 해당 도메인에 있는 모든 호스트와 일치하는 와일드카드 패턴(예: *.sun.com)을 입력합니다. Administration Server에 액세스하는 수퍼유저를 위해 다른 호스트 이름 및 IP 주소를 설정할 수 있습니다.

호스트 이름의 경우 *는 반드시 이름의 전체 구성 요소를 대체해야 합니다. 즉, *.sun.com은 사용할 수 있지만 *users.sun.com은 사용할 수 없습니다. 호스트 이름에 *를 사용하는 경우 가장 왼쪽에 표시해야 합니다.

예를 들어, *.sun.com은 사용할 수 있지만 users.*.com은 사용할 수 없습니다. IP 주소의 경우 *는 반드시 주소의 전체 바이트를 대체해야 합니다. 예를 들어 198.95.251.*는 사용할 수 있지만 198.95.251.3*는 사용할 수 없습니다. IP 주소에 *를 사용하는 경우 가장 오른쪽에 표시해야 합니다. 예를 들어 198.*는 사용할 수 있지만 198.*.251.30은 사용할 수 없습니다.

권한

액세스 권한은 웹 사이트의 파일 및 디렉토리에 대한 액세스를 제한합니다. 모든 액세스 권한을 허용 또는 거부하는 규칙 외에 부분적인 액세스 권한을 허용 또는 거부하는 규칙을 지정할 수 있습니다. 예를 들어, 사용자에게 파일에 대한 읽기 전용 액세스 권한을 허용하면 사용자가 정보를 볼 수 있지만 파일을 변경할 수는 없습니다. 

  • 모든 액세스 권한은 기본값이며 모든 권한을 허용하거나 거부합니다.

  • 다음 권한만에서는 허용 또는 거부할 권한을 조합하여 선택할 수 있습니다.

    • 읽기 권한은 사용자가 HTTP 메소드인 GET, HEAD, POST 및 INDEX를 비롯한 파일을 볼 수 있도록 허용합니다.

    • 쓰기는 사용자가 HTTP 메소드 PUT,DELETE,MKDIR,RMDIR 및MOVE를 포함하여 파일을 변경 및 삭제할 수 있게 합니다. 파일을 삭제하려면 사용자에게 반드시 쓰기 및 삭제 권한이 있어야 합니다.

    • 실행은 사용자가 서버측 응용 프로그램(예: CGI 프로그램, Java 애플릿 및 에이전트)을 실행할 수 있게 합니다.

    • 삭제는 쓰기 권한을 가진 사용자가 파일 또는 디렉토리를 삭제할 수 있게 합니다.

    • 목록은 사용자가 index.html 파일을 포함하지 않는 디렉토리의 파일 목록에 액세스할 수 있도록 허용합니다.

    • 정보는 사용자가 URI에 대한 정보(예: http_head)를 받을 수 있게 합니다.

계속

서버는 ACE(Access Control Expression) 목록 전체를 확인하여 액세스 권한을 판단합니다. 예를 들어, 첫 번째 ACE는 보통 모든 사용자를 거부합니다. 첫 번째 ACE가 "계속"으로 설정된 경우 서버는 목록에 있는 두 번째 ACE를 확인하며, 일치하는 경우 다음 ACE를 사용합니다.  

계속이 선택되지 않은 경우 자원에 대한 모든 사용자의 액세스가 거부됩니다. 서버는 일치하지 않는 ACE를 발견하거나 일치하지만 계속으로 설정되지 않은 ACE를 발견할 때까지 계속해서 목록을 검색합니다. 마지막으로 일치되는 ACE에 따라 액세스의 허용 또는 거부가 결정됩니다.