인증서 인증 속성

인증서 인증 속성은 조직 속성입니다. 서비스 구성에서 이러한 속성에 적용되는 값이 인증서 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 하위 트리에 있는 항목은 조직 속성을 상속하지 않습니다. 인증서 인증 속성은 다음과 같습니다.

LDAP에서 인증서 일치

이 옵션은 로그인 시 제공되는 사용자 인증서가 LDAP 서버에 저장되어 있는지 검사할지 여부를 지정합니다. 일치하는 항목이 발견되지 않을 경우 사용자는 액세스가 거부됩니다. 일치하는 항목이 발견되고 다른 검증이 필요하지 않을 경우 사용자는 액세스가 허가됩니다. 기본값은 인증서 인증 서비스가 사용자 인증서를 검사하지 않는 것입니다.



주	Directory Server에 저장된 인증서는 반드시 유효할 필요는 없으며 인증서 해지 목록에 있어도 됩니다. "CRL에 인증서 일치"를 참조하십시오. 그러나 웹 컨테이너는 로그인할 때 제공되는 사용자 인증서의 유효성을 확인할 수 있습니다.

LDAP를 검색하는 데 사용할 주제 DN의 속성

이 필드는 LDAP에서 인증서를 검색하는 데 사용되는 인증서의 SubjectDN 값 속성을 지정합니다. 이 속성은 사용자 항목을 고유하게 식별해야 합니다. 실제 값은 검색에 사용됩니다. 기본값은 CN입니다.

CRL에 인증서 일치

이 옵션은 LDAP 서버의 인증서 해지 목록(CRL)에 대해 사용자 인증서를 비교할지 여부를 지정합니다. CRL은 발급자 SubjectDN의 속성 이름 중 하나로 찾습니다. 인증서가 CRL에 있는 경우 사용자는 액세스가 거부되고 그렇지 않은 경우에는 액세스가 허용됩니다. 기본적으로 이 속성은 사용 불가능합니다.



주	인증서 소유자가 상태를 변경했고 더 이상 인증서 사용 권한을 갖고 있지 않거나, 인증서 소유자의 개인 키가 손상된 경우 인증서를 해지해야 합니다.

CRL을 검색하는 데 사용할 발급자 DN의 속성

이 필드는 LDAP에서 CRL을 검색하는 데 사용할 수신된 인증서의 발급자 subjectDN 값에 대한 속성을 지정합니다. 이 필드는 CRL에 인증서 일치 속성이 사용 가능한 경우에만 사용됩니다. 실제 값은 검색에 사용됩니다. 기본값은 CN입니다.

OCSP 검증 사용

이 매개 변수는 해당 OCSP 응답자에 연결하여 OCSP 검증을 수행할 수 있게 합니다. OCSP 응답자는 다음과 같이 런타임 도중에 결정됩니다.

com.sun.identity.authentication.ocspCheck가 true이고 OCSP 응답자가 com.sun.identity.authentication.ocsp.repsonder.url 속성에 설정된 경우 이 속성 값이 OCSP 응답자로 사용됩니다.

com.sun.identity.authentication.ocspCheck가 true로 설정되어 있는 경우 및 속성 값이 AMConfig.properties 파일에 설정되지 않은 경우 클라이언트 인증서에 제공된 OCSP 응답자가 OCSP 응답자로 사용됩니다.

com.sun.identity.authentication.ocspCheck가 false로 설정되어 있는 경우 또는 com.sum.identity.authentication.ocspCheck가 true로 설정되어 있지만 OCSP 응답자가 없는 경우 OCSP 검증이 수행되지 않습니다.



주	OCSP 검증을 사용 가능하게 하기 전에 Identity Server 시스템과 OCSP 응답자 시스템의 시간이 최대한 동기화되어 있는지 확인합니다. 또한 Identity Server 시스템의 시간이 OCSP 응답자의 시간보다 느려서는 안 됩니다. 예를 들면 다음과 같습니다. OCSP 응답자 시스템 - 오후 12:00:00 Identity Server 시스템 - 오후 12:00:30

LDAP 서버 및 포트

이 필드는 인증서가 저장되는 LDAP 서버의 이름과 포트 번호를 지정합니다. 기본값은 Identity Server 설치 시 지정된 호스트 이름과 포트입니다. 인증서가 저장되는 모든 LDAP 서버의 호스트 이름과 포트를 사용할 수 있습니다. 형식은 hostname:port입니다.

LDAP 시작 검색 DN

이 필드는 사용자 인증서에 대한 검색을 시작해야 하는 노드의 DN을 지정합니다. 기본값은 없습니다. 이 필드는 모든 유효한 DN을 인식합니다. 여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다.

LDAP 서버 기본 사용자

이 필드는 인증서가 저장되는 LDAP 서버에 대한 기본 사용자(일반적으로 디렉토리 관리자)의 DN을 지정합니다. 이 필드에는 기본값이 없으며 유효한 모든 DN이 인식됩니다. Directory Server에 저장된 인증서 정보를 읽고 검색할 수 있는 권한이 기본 사용자에게 허가되어야 합니다.

LDAP 서버 기본 비밀번호

이 필드는 LDAP 서버 기본 사용자 필드에 지정된 사용자와 연관된 LDAP 비밀번호를 지정합니다. 이 필드에는 기본값이 없으며 지정된 기본 사용자에 대한 유효한 LDAP 비밀번호가 인식됩니다.



주	이 값은 읽을 수 있는 텍스트로 디렉토리에 저장됩니다.

프로필 아이디의 LDAP 속성

이 필드는 올바른 사용자 프로필을 식별하는 데 사용해야 하는 값을 가진 인증서와 일치하는 Directory Server 항목의 속성을 지정합니다. 이 필드에는 기본값이 없으며 사용자 아이디로 사용할 수 있는 사용자 항목의 모든 유효한 속성(예: cn, sn 등)이 인식됩니다.

LDAP 액세스에 대해 SSL 설정

이 옵션은 SSL을 사용하여 LDAP 서버에 액세스할지 여부를 지정합니다. 기본값은 인증서 인증 서비스가 LDAP 액세스에 SSL을 사용하지 않는 것입니다.

사용자 프로필에 액세스하는 데 사용할 인증서의 필드

이 메뉴는 일치하는 사용자 프로필을 검색하는 데 사용해야 할 인증서 주제 DN의 필드를 지정합니다. 예를 들어, 전자 메일 주소를 선택할 경우 인증서 인증 서비스는 사용자 인증서의 emailAddr 속성과 일치하는 사용자 프로필을 검색합니다. 그런 다음, 로그인하는 사용자는 일치하는 프로필을 사용하게 됩니다. 기본값은 주제 CN입니다. 목록에는 다음 항목이 포함되어 있습니다.

사용자 프로필에 액세스하는 데 사용할 인증서의 다른 필드

사용자 프로필에 액세스하는 데 사용할 인증서의 필드 속성 값을 기타로 설정할 경우 이 필드는 수신된 인증서의 subjectDN 값에서 선택할 속성을 지정합니다. 그런 다음, 인증 서비스는 해당 속성의 값과 일치하는 사용자 프로필을 검색합니다.

신뢰할 수 있는 원격 호스트

이 속성은 Identity Server에 인증서를 보내도록 신뢰할 수 있는 호스트 목록을 정의합니다. Identity Server는 인증서가 신뢰할 수 있는 호스트 중 하나에서 온 것인지 확인해야 합니다. 이 구성은 Sun ONE Portal Server에만 사용됩니다.

SSL 포트 번호

이 속성은 Secure Socket Layer의 포트 번호를 지정합니다. 현재 이 속성은 게이트웨이 서블릿에서만 사용됩니다. SSL 포트 번호를 추가하거나 변경하기 이전에 Sun ONE Identity Server Customization and API Guide에서 7장의 "Policy-Based Resource Management" 절을 참조하십시오.

인증 수준

인증 수준은 각 인증 방법에 대해 별도로 설정됩니다. 이 값은 인증을 어느 정도 신뢰할 수 있는지 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다. 기본값은 0입니다.



주	지정된 인증 수준이 없을 경우 SSO 토큰은 핵심 인증 속성인 기본 인증 수준에 지정된 값을 저장합니다. 자세한 내용은 "기본 인증 수준"을 참조하십시오.

18장 인증서 인증 속성