서비스 구성

이 장에서는 Sun™ ONE Identity Server의 서비스 관리 기능에 대해 설명합니다. 서비스 구성 인터페이스를 사용하면 Identity Server 콘솔 디스플레이 설정을 구성할 수 있을 뿐만 아니라 모든 Identity Server 서비스와 해당 값(기본 및 사용자 정의 모두)을 보고, 관리하고, 구성할 수 있습니다. 이 장은 다음 내용으로 구성되어 있습니다.

서비스 정의

서비스는 공통 이름 아래 정의된 속성 그룹입니다. 속성은 서비스가 조직에 제공하는 매개 변수를 정의합니다. 예를 들어, 급여 관리 서비스를 개발할 경우 개발자는 사원 이름, 시간당 급료, 세금 공제 등을 정의하는 속성을 포함하도록 지정할 수 있습니다. 조직에 서비스가 등록되면 해당 조직은 이러한 속성을 사용하여 서비스 항목을 구성할 수 있습니다.

Identity Server는 XML (Extensible Markup Language)을 사용하여 서비스를 정의합니다. 서비스 관리 서비스 문서 유형 정의(sms.dtd)는 서비스 XML 파일의 구조를 정의합니다. 이 파일은 다음 디렉토리에 있습니다.

Identity Server 서비스 정의에 대한 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

Identity Server 서비스

Identity Server에 제공되는 기본 서비스는 다음 디렉토리에 있는 XML 파일에 정의됩니다.

또는

/etc/opt/SUNWam/config/xml

서비스 구성 인터페이스를 통해 구성된 경우 이러한 서비스 중 일부는 Identity Server 응용 프로그램에 대한 값을 정의합니다. 나머지 서비스는 Identity Server에서 구성된 특정 조직에 등록되며 조직에 대한 기본값을 정의하는 데 사용됩니다.

관리 서비스

관리 서비스를 사용하면 응용 프로그램 수준(Identity Server 응용 프로그램의 기본 설정 또는 옵션 메뉴와 비슷함)과 구성된 조직 수준(구성된 조직에만 해당되는 기본 설정 또는 옵션) 모두에서 콘솔을 구성할 수 있습니다.

인증 서비스

기본 모듈을 포함하여 10개의 인증 모듈이 있습니다. 관리자는 이 모듈을 사용하여 정의된 각 조직에서 사용자의 인증을 확인하는 데 사용할 방법을 선택할 수 있습니다.

익명

이 모듈을 사용하면 아이디와 비밀번호를 지정하지 않고 로그인할 수 있습니다. 익명 연결은 서버에 대한 액세스를 제한하고 관리자에 의해 사용자 정의됩니다.

인증서 기반

이 모듈을 사용하면 개인 디지털 인증서(PDC)를 통해 로그인할 수 있습니다.



주	Application Server의 6.1 릴리스 배포에서는 인증서 인증 서비스가 지원되지 않습니다.

핵심

이 모듈은 Identity Server 인증 서비스에 대한 일반 구성 기본입니다. 특정 서비스를 사용하려면 이 모듈을 등록하여 구성해야 합니다. 관리자는 이 모듈을 사용하여 익명, 인증서 기반, HTTP 기본, LDAP, 구성원, NT, RADIUS, SafeWord, SecurID 및 Unix 서비스에 구체적으로 설정되지 않은 경우에 선택될 기본값을 정의할 수 있습니다.

HTTP 기본

이 모듈은 HTTP 프로토콜에서 지원하는 기본 제공 인증인 기본 인증을 사용합니다.

LDAP

이 모듈에서는 비밀번호를 특정 LDAP 항목에 연결하는 작업인 LDAP 바인드를 사용하여 인증할 수 있습니다.

구성원(자동 등록)

이 모듈에서는 로그인 및 비밀번호를 사용하여 새 사용자를 자동 등록하여 인증합니다.

이 모듈에서는 Windows NT™/2000™ 서버를 사용하여 사용자를 인증할 수 있습니다. NT 인증 모듈을 실현하려면 Samba Client (smbclient) 2.2.2를 다운로드하여 설치해야 합니다.

RADIUS

이 모듈에서는 외부 RADIUS (Remote Authentication Dial-In User Service) 서버를 사용하여 사용자를 인증할 수 있습니다.

RADUIS 인증 서비스를 Sun ONE Application Server에서 사용하려면 Application Server의 service.policy 파일을 구성해야 합니다. 이에 대한 지침은 "인증 옵션"을 참조하십시오.

SafeWord

이 모듈에서는 Secure Computing의 SafeWord™ 또는 SafeWord PremierAccess™ 인증 서버를 사용하여 사용자를 인증할 수 있습니다.

SafeWord 인증 서비스를 Sun ONE Application Server에서 사용하려면 Application Server의 service.policy 파일을 구성해야 합니다. 이에 대한 지침은 "인증 옵션"을 참조하십시오.

SecurID

이 모듈은 RSA ACE/Server® 인증 소프트웨어 및 SecurID® 인증자를 사용하여 사용자를 인증할 수 있게 합니다. Solaris x86에서는 이 서비스가 지원되지 않습니다.

Unix

이 모듈은 Unix® 서버에서 사용자의 UNIX 아이디와 비밀번호를 사용하여 사용자를 인증할 수 있게 합니다.



주	Unix 인증 서비스는 Windows 2000 플랫폼에서 지원되지 않습니다.

인증 구성 서비스

인증 구성 서비스를 사용하면 역할, 사용자, 서비스 및 조직에 대한 인증을 구성하여 인증 모듈의 우선 순위를 결정하는 규칙을 설정할 수 있습니다.

클라이언트 검색 서비스

클라이언트 검색 서비스를 사용하면 Identity Server에서 액세스하는 브라우저의 클라이언트 유형을 검색할 수 있으며 관리자가 해당 클라이언트 유형을 기반으로 장치를 추가 및 구성할 수 있습니다.

국제화 설정 서비스

국제화 설정은 서로 다른 문자 세트에 대해 Identity Server를 구성하는 등록 정보를 포함합니다.

로깅 서비스

로깅 서비스에서는 관리자가 Identity Server 응용 프로그램 로깅 함수 값을 구성합니다. 이러한 값의 예로는 로그 파일 크기, 로그 파일 위치 등이 있습니다.

이름 지정 서비스

이름 지정 서비스는 세션, 인증, 로깅 등과 같은 다양한 Identity Server 서비스에 대한 요청 알림과 URL, 플러그 인 및 구성을 가져오고 설정하는 데 사용됩니다.

비밀번호 재설정 서비스

비밀번호 재설정 서비스를 사용하면 사용자가 잊어버린 비밀번호를 수신하거나 Identity Server에 의해 보호되는 지정된 서비스 또는 응용 프로그램에 액세스하기 위한 비밀번호를 재설정할 수 있습니다. 최상위 수준 관리자에 의해 정의되는 비밀번호 재설정 서비스 속성은 사용자 검증 자격 증명("비밀 문제" 형식)을 제어하고, 새 비밀번호 알림 또는 기본 비밀번호 알림 관련 기법을 제어하고, 잘못된 사용자 검증에 대한 가능한 잠금 간격을 설정합니다.

플랫폼 서비스

플랫폼 서비스에서는 서버를 Identity Server 응용 프로그램에 추가할 수 있을 뿐만 아니라 Identity Server 응용 프로그램의 최상위에 기타 옵션을 적용할 수 있습니다.

정책 구성 서비스

정책 구성 서비스는 정책 관리 및 정책 평가 중에 정책 프레임워크에서 사용할 값을 정의합니다.

SAML 서비스

SAML (Security Assertion Markup Language) 서비스는 보안 기관 간에 보안 명제를 교환하여, 인증 및 인증 서비스를 제공하는 여러 플랫폼 간에 상호 운용성을 구축할 수 있도록 프레임워크를 정의합니다.

세션 서비스

세션 서비스는 인증된 사용자 세션에 대한 값(예: 최대 세션 시간, 최대 유휴 시간)을 정의합니다.

사용자 서비스

기본 사용자 기본 설정은 사용자 서비스를 통해 정의됩니다. 여기에는 표준 시간대, 로켈, DN 시작 보기 등이 포함됩니다.

속성 유형

Identity Server 서비스를 구성하는 속성은 동적, 정책, 사용자, 조직 또는 전역 유형 중 하나로 분류됩니다. 이러한 유형을 사용하여 각 서비스의 속성을 다시 분류하면 서비스 스키마를 보다 일관성 있게 배열하고 서비스 매개 변수를 보다 쉽게 관리할 수 있습니다.

동적 속성

Identity Server에서 구성한 역할 또는 조직에 동적 속성을 할당할 수 있습니다. 역할이 사용자에게 할당되거나 사용자가 조직에 만들어지면 동적 속성이 해당 사용자의 특성이 됩니다. 예를 들어, 조직의 사원에 대한 역할을 만들 경우 이 역할에는 조직의 주소와 팩스 번호가 포함될 수 있으며 이 두 항목은 모든 사원에 대해 정적으로 유지됩니다. 해당 역할이 각 사원에게 할당되면 각 사원들은 이러한 동적 속성을 상속합니다.

사용자 속성

이러한 속성은 각 사용자에게 직접 할당되며, 역할이나 조직으로부터 상속되지 않으므로 일반적으로 사용자마다 다릅니다. 사용자 속성의 예로는 사용자 아이디, 사원 번호 및 비밀번호가 있습니다. amUser.xml 파일을 수정하여 사용자 서비스에서 사용자 속성을 추가하거나 제거할 수 있습니다. 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

조직 속성

조직 속성은 조직에만 할당됩니다. 따라서, 이러한 속성은 동적 속성의 역할을 하지만 하위 트리의 항목에 상속되지 않는다는 점에서 동적 속성과는 다릅니다. 또한 조직 속성에는 객체 클래스가 연결되지 않습니다. 인증은 하위 트리 또는 사용자 수준이 아니라 조직 수준으로 수행되기 때문에 인증 서비스에 나열된 속성은 조직 속성으로 정의됩니다.

전역 속성

전역 속성은 Identity Server 구성 전체에 적용됩니다. 전역 속성의 목표는 Identity Server 응용 프로그램을 사용자 정의하는 것이므로 이러한 값은 사용자, 역할 또는 조직에 적용할 수 없습니다. Identity Server 구성에는 전역 속성 인스턴스가 하나만 있습니다. 전역 속성에는 객체 클래스가 연결되지 않습니다. 전역 속성의 예로는 Identity Server에서 데이터에 액세스하는 데 사용할 수 있는 로그 파일 크기, 로그 파일 위치, 포트 번호, 서버 URL 등이 있습니다.

정책 속성

정책 속성은 서비스와 관련된 액세스 제어 작업(또는 권한)을 지정합니다. 이러한 작업 또는 권한은 정책에 규칙을 추가할 때 규칙에 포함됩니다.

서비스 구성 인터페이스

서비스는 서비스 구성 모듈을 통해 구성 및 관리됩니다. Identity Server 기본 서비스 패키지에 포함되지 않은 조직별 서비스는 XML (Identity Server 서비스 문서 유형 정의 또는 DTD를 기반으로 함)을 사용하여 작성한 다음 기타 구성 머리글 아래의 인터페이스에 추가될 수 있습니다. 이 작업을 수행하는 방법은 기본 서비스와 해당 속성의 정의를 설명하는 3부, "속성 참조 설명서"에서 확인할 수 있습니다.

서비스 구성 모듈은 서비스 구성을 전역 수준으로 표시하기 위한 것입니다. 즉 서비스 구성 모듈은 등록 여부에 관계 없이 Identity Server에서 사용 가능한 모든 서비스의 기본 구성에 대한 보기입니다. 조직에서 서비스가 등록되고 활성화되면 서비스에 할당된 초기 기본 데이터가 해당 서비스의 서비스 구성 페이지에 표시됩니다. 그림 3-1은 그래픽 사용자 인터페이스의 스크린샷입니다.

서비스 구성 모듈을 선택하여 서비스 구성 보기에 액세스합니다. 이동 프레임에 정의된 모든 Identity Server 서비스의 목록이 표시됩니다. 서비스에 대한 전역 기본값을 설정하려면 서비스 이름 옆에 있는 등록 정보 화살표를 선택합니다. 서비스에 대한 속성이 데이터 프레임에 표시됩니다.

3장 서비스 구성