보안 서비스

Message Queue 서비스는 각 브로커 인스턴스에 대한 인증 및 권한 부여(액세스 제어)를 지원하고 암호화 기능도 지원합니다.

• 인증은 검증된 사용자만 브로커에 연결할 수 있게 합니다.

• 권한 부여는 자원에 액세스하고 특정 작업을 수행할 권한을 갖는 사용자나 그룹을 지정합니다.

• 암호화는 연결을 통한 전달 중 메시지가 훼손되지 않게 보호합니다.

인증 및 권한 부여는 사용자 이름, 비밀번호 및 그룹 멤버쉽 등 메시징 시스템의 사용자에 대한 정보가 있는 저장소에 따라 다릅니다. 또한 사용자 또는 그룹의 특정 작업에 대한 권한을 부여하기 위해 브로커는 사용자 또는 그룹이 수행할 수 있는 작업을 지정하는 액세스 제어 등록 정보 파일을 확인해야 합니다. 브로커에서 사용자를 인증하고 작업 권한을 부여할 때 필요한 정보를 설정해야 합니다.

그림 3–3에서는 브로커에서 인증 및 권한 부여를 수행할 때 필요한 구성 요소를 보여 줍니다.

그림 3–3 보안 관리자 지원

그림 3–3과 같이, Message Queue 서비스와 함께 제공된 플랫 파일 사용자 저장소에 사용자 데이터를 저장할 수 있습니다. 또는 기존의 LDAP 저장소에 플러그인할 수 있습니다. 브로커 등록 정보를 설정하여 선택 사항을 나타냅니다.

• 플랫 파일 저장소를 선택할 경우 저장소 관리에 imqusermgr 유틸리티를 사용해야 합니다. 이 옵션은 사용하기 쉬우며 기본적으로 제공됩니다.

• 기존 LDAP 서버를 사용하려면 LDAP 공급업체에서 제공하는 도구를 사용하여 사용자 저장소를 채우고 관리합니다. 또한 브로커가 LDAP 서버에서 사용자 및 그룹 정보를 쿼리할 수 있도록 브로커 인스턴스 구성 파일의 등록 정보를 설정해야 합니다.

  확장성이 중요하거나 여러 브로커에서 공유할 저장소가 필요한 경우 LDAP 옵션이 편리합니다. 브로커 클러스터를 사용하는 경우에도 마찬가지입니다.

인증 및 권한 부여

클라이언트가 연결을 요청할 경우 이 클라이언트는 사용자 이름 및 비밀번호를 제공해야 합니다. 브로커는 지정된 이름과 비밀번호를 사용자 저장소에 저장된 이름 및 비밀번호와 비교합니다. 클라이언트에서 브로커로 비밀번호가 전송될 때 이 비밀번호는 기본 64 인코딩이나 메시지 다이제스트(MD5) 해싱을 사용하여 인코딩됩니다. MD5는 플랫 파일 저장소에 사용되며, 기본 64는 LDAP 저장소에 필요합니다. LDAP를 사용하는 경우 보안 TLS 프로토콜을 사용할 수 있습니다. 각 연결 서비스가 개별적으로 사용하는 인코딩 유형을 구성하거나 브로커 전체에 대한 인코딩을 설정하기 위해 브로커 등록 정보를 설정할 수 있습니다.

사용자가 어떤 작업을 수행하려고 하면, 브로커는 사용자의 이름 및 그룹 멤버쉽(사용자 저장소에 있음)을 해당 작업 액세스를 위해 지정된 사용자의 이름과 그룹 멤버쉽(액세스 제어 등록 정보 파일에 있음)과 대조 확인합니다. 액세스 제어 등록 정보 파일은 다음 작업에 대한 사용자 또는 그룹의 권한을 지정합니다.

• 브로커에 연결

• 대상 액세스: 소비자, 제작자 또는 특정 대상이나 모든 대상에 대한 대기열 브라우저 작성

• 대상 자동 작성

브로커 등록 정보를 설정하여 다음 정보를 지정할 수 있습니다.

• 액세스 제어의 사용 여부

• 액세스 제어 파일의 이름

• 비밀번호 인코딩 방법

• 클라이언트가 브로커의 인증 요청에 응답하는 데 걸리는 시간

• 보안 연결에 필요한 정보

암호화

클라이언트와 브로커 사이에 전송되는 메시지를 암호화하려면 SSL(Secure Socket Layer) 표준 기반의 연결 서비스를 사용해야 합니다. SSL은 SSL 사용 가능 브로커와 SSL 사용 가능 클라이언트 사이에 암호화된 연결을 설정함으로써 연결 수준에서의 보안을 제공합니다.

브로커 등록 정보를 설정하여 사용되는 SSL 키 저장소의 보안 등록 정보와 비밀번호 파일의 이름 및 위치를 지정할 수 있습니다.