35장
정책 구성 서비스 속성

정책 구성 서비스 속성은 전역 속성과 조직 속성으로 구성됩니다. 전역 속성에 적용되는 값은 Sun ONE Identity Server 구성 전체에 걸쳐 적용되며 구성된 모든 조직이 상속합니다. (전역 속성의 목표는 Identity Server 응용 프로그램을 사용자 정의하는 것이므로 이러한 값은 역할이나 조직에 직접 적용할 수 없습니다.) 서비스 관리에서 조직 속성에 적용된 값이 정책 구성의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 항목은 조직 속성을 상속하지 않습니다. 정책 구성 속성은 다음과 같이 구분됩니다.

전역 속성
조직 속성

---

전역 속성

정책 구성 서비스의 전역 속성은 다음과 같습니다.

자원 비교기

자원 비교기

이 속성은 정책 규칙 정의에 지정된 자원을 비교하는 데 사용되는 자원 비교기 정보를 지정합니다. 자원 비교는 정책 작성과 평가에 모두 사용됩니다. 이 속성은 다음 값을 포함합니다.

serviceType	비교기를 사용해야 하는 서비스를 지정합니다.
class	자원 비교 알고리즘을 구현하는 java 클래스를 정의합니다.
wildcard	자원 이름에 정의할 수 있는 와일드카드를 지정합니다.
delimiter	자원 이름에 사용되는 분리자를 지정합니다.
caseSensitivity	두 자원의 비교에서 대소문자를 구분하는지 아니면 무시하는지 여부를 지정합니다. False인 경우 대소문자를 무시하며 True인 경우 대소문자를 구분합니다.

---

조직 속성

정책 구성 서비스의 조직 속성은 다음과 같습니다.

LDAP 서버 및 포트
LDAP 기본 DN
LDAP 사용자 기본 DN
Identity Server 역할 기본 DN
LDAP 바인드 DN
LDAP 바인드 비밀번호
LDAP 바인드 비밀번호(확인)
LDAP 조직 검색 필터
LDAP 조직 검색 범위
LDAP 그룹 검색 필터
LDAP 그룹 검색 범위
LDAP 사용자 검색 필터
LDAP 사용자 검색 범위
LDAP 역할 검색 필터
LDAP 역할 검색 범위
Identity Server 역할 검색 범위
LDAP 조직 검색 속성
LDAP 그룹 검색 속성
LDAP 사용자 검색 속성
LDAP 역할 검색 속성
검색에서 반환되는 최대 결과 수
검색 시간 초과(초)
LDAP SSL 사용 가능
LDAP 연결 풀 최소 크기
LDAP 연결 풀 최대 크기
선택한 정책 주제
선택한 정책 조건
선택한 정책 참조
주제 결과 수명
사용자 별칭 사용 가능

LDAP 서버 및 포트

이 필드는 정책 주제(예: LDAP 사용자, LDAP 역할, LDAP 그룹 등)를 검색하는 데 사용할 Identity Server를 설치하는 동안 지정된 주 LDAP 서버의 호스트 이름과 포트 번호를 지정합니다. 형식은 hostname:port입니다. 예를 들면 다음과 같습니다.

machine1.example.com:389

여러 LDAP 서버 호스트에 대한 페일오버 구성의 경우 이 값은 공백으로 구분된 호스트 목록일 수 있습니다. 형식은 hostname1:port1 hostname2:port2...입니다.

예를 들면 다음과 같습니다.

machine1.example1.com:389 machine2.example1.com:389

여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다. 이렇게 지정해야 특정 Identity Server가 특정 Directory Server와 대화하도록 구성할 수 있습니다.

형식은 servername|hostname:port입니다.

예를 들면 다음과 같습니다.

machine1.example1.com|machine1.example1.com:389

machine1.example2.com|machine1.example2.com:389

페일오버 구성의 경우:

machine1.example1.com|machine1.example1.com:389 machine2.example.com1:389

machine1.example2.com|machine1.example2.com:389 machine2.example2.com:389

주	값 목록을 사용하여 여러 서버를 지원하도록 이 속성을 변경했습니다. 6.0 SP1 릴리스에서는 이 속성이 단일 값만을 사용했습니다. 이렇게 하면 6.0SP1과 6.1이 단일 배포 환경에서 공존하게 할 경우 특히, Identity Server 6.0 SP1 인스턴스가 6.1 DIT를 가리키는 시나리오에서 문제가 발생할 수 있습니다. 성공적인 공존을 위해 이 속성에 단일 LDAP 서버만 있는지 확인합니다.

LDAP 기본 DN

이 필드는 검색이 시작되는 LDAP 서버의 기본 DN을 지정합니다. 기본값은 Identity Server 설치의 최상위 수준 조직입니다.

LDAP 사용자 기본 DN

이 속성은 검색을 시작할 LDAP 서버의 LDAP 사용자 주제에 사용되는 기본 DN을 지정합니다. 기본값은 Identity Server 설치 기본의 최상위 수준 조직입니다.

Identity Server 역할 기본 DN

이 속성은 검색을 시작할 LDAP 서버의 Identity Server 역할 주제에 사용되는 기본 DN을 지정합니다. 기본값은 Identity Server 설치 기본의 최상위 수준 조직입니다.

LDAP 바인드 DN

이 필드는 LDAP 서버의 바인드 DN을 지정합니다.

LDAP 바인드 비밀번호

이 속성은 LDAP 서버에 바인드하는 데 사용되는 비밀번호를 정의합니다. 기본적으로 설치하는 동안 입력된 amldapuser 비밀번호가 바인드 사용자로 사용됩니다.

LDAP 바인드 비밀번호(확인)

LDAP 바인드 비밀번호를 확인합니다.

LDAP 조직 검색 필터

조직 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 기본값은 (objectclass=sunMangagedOrganization)입니다.

LDAP 조직 검색 범위

이 속성은 조직 항목을 찾는 데 사용되는 범위를 정의합니다. 이 범위는 다음 중 하나가 되어야 합니다.

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (기본값)

LDAP 그룹 검색 필터

그룹 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 기본값은 (objectclass=groupOfUniqueNames)입니다.

LDAP 그룹 검색 범위

이 속성은 그룹 항목을 찾는 데 사용되는 범위를 정의합니다. 이 범위는 다음 중 하나가 되어야 합니다.

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (기본값)

LDAP 사용자 검색 필터

사용자 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 기본값은 (objectclass=inetorgperson)입니다.

LDAP 사용자 검색 범위

이 속성은 사용자 항목을 찾는 데 사용되는 범위를 정의합니다. 이 범위는 다음 중 하나가 되어야 합니다.

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (기본값)

LDAP 역할 검색 필터

역할에 대한 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 기본값은 (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions))입니다.

LDAP 역할 검색 범위

이 속성은 역할에 대한 항목을 찾는 데 사용되는 범위를 정의합니다. 이 범위는 다음 중 하나가 되어야 합니다.

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (기본값)

Identity Server 역할 검색 범위

이 속성은 Identity Server 역할 주제에 대한 항목을 찾는 데 사용되는 범위를 정의합니다. 이 범위는 다음 중 하나가 되어야 합니다.

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (기본값)

LDAP 조직 검색 속성

이 필드는 조직에서 검색을 수행하는 속성 유형을 정의합니다. 기본값은 o입니다.

LDAP 그룹 검색 속성

이 필드는 그룹에서 검색을 수행하는 속성 유형을 정의합니다. 기본값은 cn입니다.

LDAP 사용자 검색 속성

이 필드는 사용자에서 검색을 수행하는 속성 유형을 정의합니다. 기본값은 uid입니다.

LDAP 역할 검색 속성

이 필드는 역할에서 검색을 수행하는 속성 유형을 정의합니다. 기본값은 cn입니다.

검색에서 반환되는 최대 결과 수

이 필드는 검색에서 반환되는 최대 결과 수를 정의합니다. 기본값은 100입니다. 검색 제한이 지정된 양을 초과할 경우 해당 지점까지 발견된 항목이 반환됩니다.

검색 시간 초과(초)

이 속성은 검색 시간 초과가 발생하기 전까지의 시간을 지정합니다. 검색이 지정된 시간을 초과할 경우 해당 시점까지 발견된 항목이 반환됩니다.

LDAP SSL 사용 가능

이 속성은 LDAP 서버가 SSL을 실행 중인지 여부를 지정합니다. 선택할 경우 SSL이 사용 가능하고 선택하지 않을 경우(기본값) SSL이 사용 불가능합니다.

LDAP 연결 풀 최소 크기

이 속성은 LDAP 서버 속성에 지정된 대로 Directory Server에 연결하는 데 사용되는 연결 풀의 최소 크기를 지정합니다. 기본값은 1입니다.

LDAP 연결 풀 최대 크기

이 속성은 LDAP 서버 속성에 지정된 대로 Directory Server에 연결하는 데 사용되는 연결 풀의 최대 크기를 지정합니다. 기본값은 10입니다.

선택한 정책 주제

이 속성을 사용하면 조직의 정책 정의에 사용할 수 있는 주제 유형 집합을 선택할 수 있습니다.

선택한 정책 조건

이 속성을 사용하면 조직의 정책 정의에 사용할 수 있는 조건 유형 집합을 선택할 수 있습니다.

선택한 정책 참조

이 속성을 사용하면 조직의 정책 정의에 사용할 수 있는 참조 유형 집합을 선택할 수 있습니다.

주제 결과 수명

이 속성은 단일 사인 온(SSO) 토큰에 기반한 동일한 정책 요청을 평가하기 위해 캐시된 주제 결과를 사용할 수 있는 시간(분)을 지정합니다.

초기에 SSO 토큰에 대해 정책을 평가할 때 주어진 사용자에 정책을 적용할 수 있는지 여부를 확인하기 위해 해당 정책의 주제 인스턴스를 평가합니다. SSO 토큰 아이디가 키로 사용되는 주제 결과는 정책에 캐시됩니다. 주제 결과 수명 속성에 지정된 시간 내에 동일한 SSO 토큰 아이디의 동일한 정책에 대해 다른 평가가 수행되면 정책 프레임워크는 주제 인스턴스를 평가하는 대신 캐시된 주제 결과를 검색합니다. 따라서 정책 평가를 위한 시간이 크게 줄어듭니다.

사용자 별칭 사용 가능

이 속성은 원격 Directory Server에서 자원 주제 구성원이 로컬 사용자의 별칭을 지정하는 자원을 보호하는 정책을 만들 경우에 사용 가능으로 지정해야 합니다.

예를 들어, 원격 Directory Server에서 uid=rmuser를 만든 다음 rmuser를 Identity Server의 로컬 사용자(예: uid=luser)에 별칭으로 추가할 경우에 이 속성을 사용 가능으로 지정해야 합니다. rmuser로 로그인하면 세션이 로컬 사용자(luser)에 만들어지고 정책이 성공적으로 적용됩니다.

이전      목차      색인      다음

---

Copyright 2003 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.