액세스 제어 구성

자원

이름 지정/URI/경로. 액세스 제한을 설정해야 하는 자원의 유형을 선택하고 값을 지정합니다. URI 자원 예 — “/sales”. 경로 자원 예 — “/usr/sun/server4/docs/cgi-bin/*”. 

인증 DB

인증 데이터베이스를 사용하여 서버가 사용자를 인증하는 데 사용할 데이터베이스를 선택할 수 있습니다.

기본값은 keyfile입니다.

인증 방법

1. Basic — HTTP Basic 방법을 사용하여 클라이언트에서 인증 정보를 가져옵니다. 서버에 대해 SSL을 사용하는 경우 사용자 이름 및 암호는 네트워크를 통해서만 암호화됩니다.

2. SSL — 클라이언트 인증서를 사용하여 사용자를 인증합니다. 이 방법을 사용하려면 반드시 서버에 SSL을 사용해야 합니다. 암호화를 사용하는 경우 Basic과 SSL 메소드를 조합할 수 있습니다.

3. Digest — 사용자 이름과 비밀번호를 일반 텍스트로 보내지 않고 브라우저가 사용자 이름과 비밀번호를 기준으로 인증하는 방법을 제공하는 인증 기법을 사용합니다. 브라우저는 MD5 알고리즘을 사용하여 웹 서버에서 제공하는 사용자 비밀번호 및 일부 정보를 사용하는 Digest 값을 만듭니다. Digest를 사용하려면 배후의 auth-db에서도 digest를 지원해야 합니다. 즉, digestfile을 사용하는 파일 auth-db 또는 Digest 인증 플러그인이 설치된 LDAP auth-db를 의미합니다.

4. 기타 — 액세스 제어 API를 사용하여 만들어진 사용자 정의 메소드를 사용합니다.

인증 확인 프롬프트

인증 확인 프롬프트 옵션을 사용하여 인증 대화 상자에 표시되는 메시지 텍스트를 입력할 수 있습니다. 이 텍스트를 사용하여 사용자가 입력해야 하는 내용을 설명할 수 있습니다. 브라우저에 따라 사용자는 프롬프트의 처음 40자 정도만 볼 수 있습니다.

웹 브라우저는 일반적으로 사용자 이름과 비밀번호를 캐시하고 프롬프트 텍스트에 연결합니다. 사용자가 동일한 프롬프트를 가지는 서버의 파일 및 디렉토리에 액세스하는 경우에는 사용자 이름과 비밀번호를 다시 입력하지 않아도 됩니다. 특정 파일 및 디렉토리에 대해 사용자 인증을 원하는 경우 간단히 해당 자원에 대한 ACL용 프롬프트를 변경하면 됩니다. 

거부된 액세스 응답

자원에 대한 액세스가 거부되었을 때의 응답 작업을 지정합니다. 

1. 기본 메시지로 응답 — 서버의 표준 액세스 거부 메시지를 표시하는 경우 이 옵션을 선택합니다. 

2. URL로 응답 — 요청을 다른 외부 URL 또는 오류 페이지로 전달하는 경우 이 옵션을 선택합니다. 

wadm> set-acl --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --vs=config1_vs_1 --config=config1 
--aclfile=aclfile1

액세스

• 허용은 사용자 또는 시스템이 요청된 자원에 액세스할 수 있음을 나타냅니다.

• 거부는 사용자 또는 시스템이 자원에 액세스할 수 없음을 나타냅니다.

  서버는 ACE(Access Control Expression) 목록 전체를 확인하여 액세스 권한을 판단합니다.

사용자

1.모든 사용자 — 인증이 없습니다. 모든 사용자에게 액세스를 허용합니다.

2. 인증 DB의 모든 사용자 — 인증 데이터베이스에 지정된 모든 사용자에게 액세스를 허용합니다.

3. 인증 DB의 다음 사용자만 — 인증 DB에서 선택된 사용자에 대해서만 액세스를 허용합니다.

이름, 성 및 전자 메일 주소와 같은 공통 속성을 기반으로 인증 DB를 쿼리할 수 있습니다. 

그룹

그룹 인증을 사용하면 사용자가 액세스 제어 규칙에 지정된 자원에 액세스하기 전에 사용자 이름 및 비밀번호를 입력하라는 프롬프트가 표시됩니다. 

이 옵션을 사용하여 특정 그룹에 대한 액세스를 제한합니다. 

시작 호스트

요청을 보내는 컴퓨터를 기준으로 Administration Server 또는 웹 사이트에 대한 액세스를 제한할 수 있습니다. 

요청을 보내는 컴퓨터를 기준으로 Administration Server 또는 웹 사이트에 대한 액세스를 제한할 수 있습니다. 

• 모든 위치는 모든 사용자 및 시스템에 대한 액세스를 허용합니다.

• 다음 위치에서만은 특정 호스트 이름 또는 IP 주소에 대한 액세스를 제한할 수 있습니다.

다음 위치에서만 옵션을 선택하는 경우에는 호스트 이름 또는 IP 주소 필드에 와일드카드 패턴 또는 쉼표로 분리된 목록을 입력합니다. 호스트 이름을 기준으로 제한하는 것이 IP 주소를 기준으로 제한하는 것보다 유연성이 큽니다. 사용자의 IP 주소가 변경되더라도 목록을 업데이트할 필요가 없습니다. 그러나 IP 주소를 기준으로 제한하는 것이 더욱 안전합니다. 연결된 클라이언트에 대한 DNS 조회가 실패하면 호스트 이름 제한은 사용할 수 없습니다. 

컴퓨터의 호스트 이름 또는 IP 주소를 검색하는 와일드카드 패턴에는 * 와일드카드만 사용할 수 있습니다. 예를 들어, 특정 도메인에 있는 모든 컴퓨터를 허용하거나 거부하려면 해당 도메인에 있는 모든 호스트와 일치하는 와일드카드 패턴(예: *.sun.com)을 입력합니다. Administration Server에 액세스하는 수퍼유저를 위해 다른 호스트 이름 및 IP 주소를 설정할 수 있습니다.

호스트 이름의 경우 *는 반드시 이름의 전체 구성 요소를 대체해야 합니다. 즉, *.sun.com은 사용할 수 있지만 *users.sun.com은 사용할 수 없습니다. 호스트 이름에 *를 사용하는 경우 가장 왼쪽에 표시해야 합니다.

예를 들어, *.sun.com은 사용할 수 있지만 users.*.com은 사용할 수 없습니다. IP 주소의 경우 *는 반드시 주소의 전체 바이트를 대체해야 합니다. 예를 들어 198.95.251.*는 사용할 수 있지만 198.95.251.3*는 사용할 수 없습니다. IP 주소에 *를 사용하는 경우 가장 오른쪽에 표시해야 합니다. 예를 들어 198.*는 사용할 수 있지만 198.*.251.30은 사용할 수 없습니다.

권한

액세스 권한은 웹 사이트의 파일 및 디렉토리에 대한 액세스를 제한합니다. 모든 액세스 권한을 허용 또는 거부하는 규칙 외에 부분적인 액세스 권한을 허용 또는 거부하는 규칙을 지정할 수 있습니다. 예를 들어, 사용자에게 파일에 대한 읽기 전용 액세스 권한을 허용하면 사용자가 정보를 볼 수 있지만 파일을 변경할 수는 없습니다. 

• 모든 액세스 권한은 기본값이며 모든 권한을 허용하거나 거부합니다.

• 다음 권한만에서는 허용 또는 거부할 권한을 조합하여 선택할 수 있습니다.

  • 읽기 권한은 사용자가 HTTP 메소드인 GET, HEAD, POST 및 INDEX를 비롯한 파일을 볼 수 있도록 허용합니다.

  • 쓰기는 사용자가 HTTP 메소드 PUT,DELETE,MKDIR,RMDIR 및MOVE를 포함하여 파일을 변경 및 삭제할 수 있게 합니다. 파일을 삭제하려면 사용자에게 반드시 쓰기 및 삭제 권한이 있어야 합니다.

  • 실행은 사용자가 서버측 응용 프로그램(예: CGI 프로그램, Java 애플릿 및 에이전트)을 실행할 수 있도록 합니다.

    POST는 실행 권한에만 매핑됩니다.

  • 삭제는 쓰기 권한을 가진 사용자가 파일 또는 디렉토리를 삭제할 수 있게 합니다.

  • 목록은 사용자가 index.html 파일을 포함하지 않는 디렉토리의 파일 목록에 액세스할 수 있도록 허용합니다.

  • 정보는 사용자가 URI에 대한 정보(예: http_head)를 받을 수 있게 합니다 .

계속

서버는 ACE(Access Control Expression) 목록 전체를 확인하여 액세스 권한을 판단합니다. 예를 들어, 첫 번째 ACE는 보통 모든 사용자를 거부합니다. 첫 번째 ACE가 "계속"으로 설정된 경우 서버는 목록에 있는 두 번째 ACE를 확인하며, 일치하는 경우 다음 ACE를 사용합니다. 

계속이 선택되지 않은 경우 자원에 대한 모든 사용자의 액세스가 거부됩니다. 서버는 일치하지 않는 ACE를 발견하거나 일치하지만 계속으로 설정되지 않은 ACE를 발견할 때까지 계속해서 목록을 검색합니다. 마지막으로 일치되는 ACE에 따라 액세스의 허용 또는 거부가 결정됩니다.