4장
웹 컨테이너 및 웹 응용 프로그램용 J2EE 기반 보안

이 장에서는 Sun ONE Web Server 6.1 웹 컨테이너 및 웹 응용 프로그램용 J2EE 기반 보안의 기본 기능에 대해 설명합니다. 우선 Web Server가 지원하는 두 가지 기본 인증 및 권한 모델인 ACL(Access Control List) 기반 모델과 J2EE/서브릿 기반 보안 모델에 대해 설명합니다. 또한 Sun ONE Web Server 6.1의 새로운 기능에 대해 설명합니다. 이 기능을 사용하면 두 보안 시스템의 이익을 활용할 수 있는 Java 응용 프로그램을 구현할 수 있습니다.

이 장의 나머지 부분에서 J2EE/서브릿 구성 문제에 대해 설명하며, 또한 관련 보안 사항은 다음 장에서 설명합니다.

인증서 및 공용 키 암호화: 6장, "인증서 및 키 사용"
ACL 기반 보안: 9장, "서버 액세스 제어"

이 장은 다음 내용으로 구성되어 있습니다.

Sun ONE Web Server 보안 설명
ACL 기반 액세스 제어 개요
J2EE/서브릿 기반 액세스 제어 개요
영역 기반 보안
영역 구성 방법
기본 영역 지정
프로그램적 보안 사용
J2EE/서브릿 인증 모델의 사용 시기 결정

---

Sun ONE Web Server 보안 설명

인증, 권한, 액세스 제어 등 다양한 보안 서비스 및 기법을 통하여 Web Server에 상주하는 리소스를 보호할 수 있습니다.

인증은 신분을 확인하는 과정입니다. 권한은 개인 또는 단체에게 제한된 리소스에 대한 액세스를 허용하는 것으로 액세스 제어 기법이 이러한 제한을 집행합니다. 인증과 권한은 다양한 보안 모델과 서비스로 집행할 수 있습니다.

Sun ONE Web Server 6.1은 HTTP 엔진이 제공하는 ACL기반 보안 모델과 웹 컨테이너가 제공하는 J2EE Servlet 버전 2.3 표준 기반 보안 모델의 두 가지 보안 모델을 지원합니다.

이 두 모델은 Sun ONE Web Server 6.1 프로세스와 같은 시간 동안 지속됩니다. 각 모델은 클라이언트 인증 및 권한 보안 서비스를 모두 지원합니다.

Sun ONE Web Server 웹 컨테이너는 JAAS(Java Authentication and Authorization Service) 기반 영역 기법을 통하여 클라이언트 인증을 제공하며 J2EE 역할 기반 기법을 통하여 권한을 제공합니다. 원시 영역은 Sun ONE Web Server 6.1이 제공하는 영영 중 하나입니다. 이 영역은 두 가지 보안 모델을 잇는 다리 역할을 합니다.

Sun ONE Web Server 6.1은 선언적 보안과 프로그램적 보안을 모두 지원합니다.

Sun ONE Web Server 6.1은 J2EE 플랫폼의 기능을 활용하여 응용 프로그램 구성 요소를 개발 및 어셈블링한 존재와 운영 환경에서 응용 프로그램을 구성한 존재 사이의 선언적 계약을 정의합니다. 응용 프로그램 보안의 맥락에서 응용 프로그램 제공업체는 보안 요구 사항이 응용 프로그램 구성시 만족될 수 있는 방식으로 응용 프로그램의 보안 요구 사항을 선언해야 합니다. 응용 프로그램에서 사용되는 보안적 보안 기법은 구현 기술자(deployment descriptor)라는 문서에 선언적 구문으로 명시됩니다. 이에 따라 응용 프로그램 구현자는 컨테이너 특정 도구를 채택하여 구현 기술자에 있는 응용 프로그램 요구 사항을 J2EE 컨테이너에 의하여 구현된 보안 기법으로 매핑합니다. Sun ONE Web Server 6.1의 웹 응용 프로그램용 구현 기술자 파일은 web.xml 및 sun-web.xml 파일에 있습니다.

프로그램적 보안은 보안 인식 응용 프로그램이 만든 보안 결정을 말합니다. 프로그램적 보안은 응용 프로그램의 보안 모델을 명시하는 데 선언적 보안만으로는 부족한 경우에 유용합니다. 예를 들어 응용 프로그램의 권한 결정은 하루의 시간, 호출의 매개 변수 또는 웹 구성 요소의 내부 상태 등에 따라 결정될 수 있습니다. 다른 응용 프로그램의 경우에는 데이터베이스에 저장된 사용자 정보에 따라 액세스를 제한할 수 있습니다.

이 장의 나머지에서는 Sun ONE Web Server 6.1에서 지원되는 인증 및 권한의 주요 개념에 대해 살펴봅니다.

AC 기반 액세스 제어: ACL 기반 액세스 제어 개요
J2EE 기반 액세스 제어: J2EE/서브릿 기반 액세스 제어 개요
기본 영역 지원: 원시 영역
프로그램적 보안: 프로그램적 보안 사용

---

ACL 기반 액세스 제어 개요

AC 기반 액세스 제어는 서버 액세스 제어에서 자세히 설명합니다. 다음에서는 주요 개념의 개요를 간단히 설명합니다.

Sun ONE Web Server 6.1은 로컬에 저장된 ACL(access control list)을 사용하여 인증 및 권한을 지원합니다. 이 ACL에는 리소스에 대해 사용자에게 부여할 액세스 권한이 기술되어 있습니다. 예를 들어, ACL에 있는 항목에 따라 John이라는 사용자에게 특정 폴더 mics에 대한 읽기 권한을 부여할 수 있습니다.

acl "path=/export/user/990628.1/docs/misc/";

authenticate (user,group) {

database = "default";

method = "basic";

};

deny (all) (user=?nyone?;

allow (read) (user = "John");

Sun ONE Web Server 6.1의 핵심 ACL은 기본, SSL 및 다이제스트 등 세 가지 인증 유형을 지원합니다.

기본 인증은 보통 텍스트로 전달된 아이디 및 비밀번호 목록에 따라 달라집니다. SSL 방법을 사용하려면 브라우저에 사용자 인증서가 있어야 하며, 여기에는 사용자의 공용키와 이름, 전자 메일 등의 기타 사용자 정보가 있습니다. 다이제스트 인증은 암호화 기법을 사용하여 사용자의 신분 증명을 암호화합니다.

ACL 기반 액세스 모델의 기본 기능은 아래와 같습니다.

ACL기반 인증 및 권한은 다음 구성 파일을 사용합니다.
server-install/httpacl/*.acl 파일
server-install/userdb/dbswitch.conf
server-install/server-instance/config/server.xml
인증서 데이터베이스는 auth-db 모듈에 의하여 제공되며, 이 모듈은 dbswitch.conf 파일에서 구성됩니다.
인증 및 권한 부여는 ACL이 구성된 경우 server-install/httpacl/*.acl에 설정된 액세스 제어 규칙에 따라 수행됩니다. 적용되는 인증 규칙은 해당 요청을 처리하는(server.xml의 적절한 VS 항목의 구성 대로) 가상 서버에 해당하는 ACL 파일에 정의됩니다. Sun ONE Web Server 6.1 Administrator's Configuration File Reference의 ACLFILE 요소와 VS 요소의 aclids 등록 정보를 참조하십시오. 보통 이들 파일은 /httpacl/ 디렉토리에 있으나 server.xml 구성을 변경하는 경우에는 다른 위치에 있을 수도 있습니다.

또한, Sun ONE Web Server 6.1 SSL 엔진은 외부 암호 하드웨어를 지원하여 SLL 처리 부하를 줄이고 최적의 조작 방지 키 저장소를 제공합니다.

액세스 제어와 외부 암호화 하드웨어에 대한 자세한 내용은 서버 액세스 제어를 참조하십시오.

---

J2EE/서브릿 기반 액세스 제어 개요

J2EE/서브릿 기반 액세스 제어는 Sun ONE Web Server 6.1 Programmer's Guide to Web Applications에서 자세히 설명합니다. 다음 절에서는 주요 개념의 개요를 간단히 설명합니다.

Sun ONE Web Server 6.1은 ACL 기반 인증을 제공하는 것 외에 J2EE 1.3 표준에 정의된 보안 모델을 활용하여 안전한 Java 웹 응용 프로그램을 개발하고 배치하는데 도움이 되는 여러 기능을 제공합니다.

보통 J2EE 기반 웹 응용 프로그램은 다음으로 구성되며 이들의 일부분 또는 전체에 대한 액세스를 제한할 수 있습니다.

서브릿
JSP(JavaServer Pages) 구성 요소
HTML 문서
이미지 파일이나 압축 보관 등의 기타 리소스

J2EE/서브릿 기반 액세스 제어 인프라에는 보안 영역이 사용되어야 합니다. 사용자가 웹 서버를 통하여 응용 프로그램의 액세스 보호 부분에 액세스하려는 경우 웹 컨테이너는 사용자에게 신분 정보를 요구합니다. 그 후, 이 특정 응용 프로그램용 보안 서비스에서 현재 사용 중인 영역에 대한 검증으로 정보를 전달합니다.

J2EE/서브릿 기반 액세스 모델의 기본 기능은 아래와 같습니다.

J2EE/서브릿 기반 인증은 다음 구성 파일을 사용합니다.
웹 응용 프로그램 개발 기술 파일 web.xml 및 sun-web.xml
server-install/server-instance/config/server.xml
인증은 xerver.xml 파일의 AUTHREALM 항목을 통하여 구성된 Java 보안 영역에 의해 수행됩니다.
액세스 제어 규칙이 개발 기술 파일 web.xml에 설정된 경우에는 이 규칙에 따라 인증이 수행됩니다.

다음 절에서는 보안 영역의 개념에 대해 간단히 설명합니다. J2EE 보안 모델과 영역 기반 인증에 대한 자세한 내용은 Sun ONE Web Server 6.1 Programmer's Guide to Web Applications를 참조하십시오.

---

영역 기반 보안

J2EE 기반 보안 모델은 사용자를 확인하고 인증하는 보안 영역을 제공합니다. 사용자 정보는 배후의 보안 영역에서 가져옵니다. 영역 기반 보안은 두 가지 측면으로 구성됩니다.

영역 기반 사용자 인증. 배후 영역을 통하여 사용자를 검증합니다.
역할 기반 인증. 사용자에게 역할을 지정하며, 지정한 역할에 따라 리소스에 대한 액세스를 부여 또는 제한합니다.

영역 기반 사용자 인증

인증 과정은 보안 도메인이라고 하는 배후의 영역을 통하여 사용자를 검증합니다. 영역은 일련의 사용자, 그룹 매핑(선택) 및 인증 요청을 검증할 수 있는 인증 로직으로 구성됩니다. 구성된 영역에 의하여 인증 요청이 검증되고 보안 컨텍스트가 설정되면 이는 urn-as 조건에 의하여 재설정되지 않는 한 모든 후속 인증 결정에 적용됩니다.

서버 인스턴스의 구성된 영역 수에는 제한이 없습니다. 구성 정보는 server.xml 파일의 AUTHREALM 요소에 있습니다.

Sun ONE Web Server에서 인증 서비스는 JAAS에 구축되며, 이는 플러그 인 가능한 보안 도메인을 제공합니다. Sun ONE Web Server 6.1의 Java 인증 영역은 Sun ONE Application 7.0 영역과 호환됩니다.

Sun ONE Web Server 6.1이 제공하는 영역:

LDAP 영역
파일 영역
Solaris 영역
인증서 영역
사용자 정의 영역
원시 영역

LDAP 영역

ldap 영역을 사용하여 사용자 보안 정보용으로 LDAP 데이터베이스를 사용할 수 있습니다. LDAP 디렉토리 서비스는 고유한 아이디를 가진 속성의 컬렉션입니다. ldap 영역은 프로덕션 시스템을 구현하는데 이상적입니다.

ldap 영역에 대해 사용자를 인증하려면 반드시 LDAP 디렉토리에 원하는 사용자를 만들어야 합니다. 이 작업은 Administration Server의 Users and Groups 탭이나 LDAP 디렉토리 제품의 관리 콘솔에서 할 수 있습니다. 자세한 내용은 LDAP 기반 인증 데이터베이스에 신규 사용자 생성을 참조하십시오.

파일 영역

file 영역은 Sun ONE Web Server를 처음 설치할 때 기본으로 설정되는 영역입니다. 이 영역은 설정이 쉽고 간단하여 개발자에게 매우 편리합니다.

파일 영역은 텍스트 파일에 저장된 사용자 데이터를 기준으로 사용자를 인증합니다. 파일 영역은 다음의 인증 데이터베이스를 지원합니다.

keyfile 스타일 데이터베이스
htaccess 스타일 데이터베이스
digest 스타일 데이터베이스

다양한 파일 기반 인증 데이터베이스에 대한 자세한 내용은 <add>를 참조하십시오.

파일 영역에서 사용되는 사용자 정보는 비어있는 상태로 시작하므로 파일 영역을 사용하기 전에 반드시 사용자를 추가해야 합니다. 이 작업에 대한 자세한 내용은 키 파일 인증 데이터베이스에 신규 사용자 생성을 참조하십시오.

Solaris 영역

solaris 영역을 사용하면 Solaris 아이디 + 비밀번호 데이터를 사용하여 인증할 수 있습니다. 이 영역은 Solaris 9에서만 지원됩니다. 이 영역은 Solaris 9 운영 환경에 있는 사용자 데이터를 사용하므로 별도 데이터베이스를 설정하는 추가 작업을 하지 않아도 됩니다.

인증서 영역

인증서 영역은 SSL 인증을 지원합니다. 인증서 영역은 Sun ONE Web Server의 보안 컨텍스트에 사용자 아이디를 설정하며 클라이언트 인증서에 있는 사용자 데이터를 입력합니다. 그런 후, J2EE 컨테이너는 각 사용자의 인증서에 있는 사용자 DN을 기준으로 인증 프로세스를 처리합니다. 인증서 영역은 X.509 인증서를 통한 SSL 또는 TLS 클라이언트 인증으로 사용자를 인증합니다.

서버 및 클라이언트 인증서 설정에 대한 자세한 내용은 인증서 기반 인증을 참조하십시오.

사용자 정의 영역

Oracle 등의 기타 데이터베이스용 영역을 구축하면 플러그 인 가능한 JAAS 로그인 모듈과 영역 구현을 사용하여 필요에 맞는 영역을 만들 수 있습니다. 참고로 클라이언트측 JAAS 로그인 모듈은 Sun ONE Web Server에서 사용하는 데 적합하지 않습니다.

Sun ONE web Server 6.1의 예제 영역을 템플리트로 참조하십시오.

원시 영역

원시 영역은 특별 영역으로 핵심 ACL 기반 인증 모델과 J2EE/서브릿 인증 모델 사이의 다리 역할을 합니다. Java 웹 응용 프로그램용 원시 영역을 사용하여 ACL 하위 시스템이 인증을 수행할 수 있도록 할뿐 아니라 Java 웹 응용 프로그램에서 이를 사용할 수 있도록 합니다.

인증 작업이 시작되면 원시 영역이 이 인증을 해당 코어 인증 하위 시스템으로 넘깁니다. 사용자가 볼 때 이는 예를 들어 LDAP 영역이 인증을 구성된 LDAP로 넘기는 것과 같습니다. 원시 영역이 그룹 구성원 조회를 처리하는 경우 또한 코어 인증 하위 시스템으로 이 작업을 넘깁니다. Java 웹 모듈 및 개발자의 관점에서 원시 영역은 웹 모듈과 함께 사용할 수 있는 기타 Java 영역과 다르지 않습니다.

원시 영역이 인증을 코어에 위임하므로 몇 가지 추가 구성이 필요합니다. 자세한 내용은 원시 영역 구성을 참조하십시오.

Sun ONE Web Server 6.1 Programmer's Guide to Web Applications에서 J2EE 보안 영역 및 보안 영역 구성에 사용할 수 있는 구성 매개 변수에 대해 자세히 설명합니다.

역할 기반 인증

Java Servlet 2.3 표준은 다양한 J2EE 응용 프로그램 리소스에 대한 액세스를 제한하는 액세스 제어 규칙 설정 방법을 정의합니다.

역할을 제한된 영역으로 매핑

J2EE 액세스 제어는 역할을 기준으로 합니다. 특정 HTML 페이지, 서브릿, JSP 등에 대한 액세스를 제한하려면 반드시 다음을 정의해야 합니다.

웹 모듈 기술자(web.xml)의 목록에 따른 제한 영역
각 제한 영역에 대한 액세스를 허용할 역할(web.xml)
사용자 및 그룹을 역할에 매핑하여 특정 사용자가 제한된 영역에 액세스할 수 있는지의 여부를 결정(sun-web.xml)

사용자는 여러 가지 역할을 가질 수 있으며 사용자에게 최소한 하나의 역할이 지정되어 있음이 확인되면 해당 영역에 대한 액세스가 허용됩니다.

webapps/security 디렉토리에 있는 예제에는 Sun ONE Web Server 6.1의 다양한 액세스 제한이 템플리트로 구성되어 있습니다. Servlet 역할 기반 보안에 대한 자세한 내용은 Servelet 2.3 표준을 참조하십시오.

역할별 액세스 제어 정의

J2EE 응용 프로그램 역할은 요약으로 특정 응용 프로그램에 적용됩니다. 응용 프로그램을 권한 있는 사용자에게만 액세스가 제한된 실제 환경에서 실행하려면 반드시 아이디를 sun-web.xml 기술자에 있는 역할과 매핑해야 합니다. 다음과 같은 방법을 사용합니다.

책임 매핑 - 아이디 또는 여러 개의 이름을 sun-web.xml의 역할로 직접 매핑합니다. 이 방법은 시험용으로 편리하지만 각 역할의 사용자 수 제한을 넘어 확장될 수 없습니다.

그룹 매핑 - 아이디 또는 여러 개의 이름을 하나 이상의 그룹을 통하여 sun-web.xml의 역할로 직접 매핑합니다. 예를 들어 그룹 이름은 engineers, managers, staff 등이 될 수 있습니다. 그룹에 속한 인증된 사용자는 응용 프로그램 역할에 지정됩니다. 사용 중인 영역 구현(또는 참고인 데이터베이스)은 해당 그룹에 속한 사용자를 결정해야 한다는 점에 유의하십시오.

책임자(사용자)가 서브릿이나 JSP 등의 특정 웹 리소스를 요청하면 웹 컨테이너는 구현 기술자 파일에서 리소스에 연결된 보안 제한 또는 권한을 확인하여 책임자에게 액세스 권한이 있는지 결정합니다.

역할 매핑 항목은 모듈 기술자에 있는 사용자 또는 그룹으로 역할을 매핑합니다. 예를 들면 다음과 같습니다.

<sun-web-app>

 <security-role-mapping>

 <role-name>manager</role-name>

 <principal-name>jsmith</principal-name>

 <group-name>divmanagers</group-name>

</sun-web-app>

구현 기술자 파일에 대한 자세한 내용은 Sun ONE Web Server 6.1 Programmer's Guide to Web Applications를 참조하십시오.

---

영역 구성 방법

다음 중 한가지 방법으로 영역을 구성할 수 있습니다.

관리 인터페이스 사용
server.xml 파일 편집

관리 인터페이스 사용

Administration 인터페이스를 사용하여 영역을 구성하려면 다음과 같이 합니다.

Administration Server 인터페이스에서 관리하려는 서버 인스턴스에 액세스한 후 Java 탭을 누릅니다.
Security Realms 링크를 누릅니다.

기본적으로 다음의 영역이 제공됩니다.

- file

- native

- ldap

영역을 추가하려면 New 버튼을 누릅니다. 영역을 삭제하려면 영역 옆의 선택란을 선택하고 확인을 누릅니다. 영역을 편집하려면 영역 이름을 누릅니다.
영역을 추가하거나 편집하는 경우 영역의 이름, 클래스 이름, 등록 정보 및 사용자를 입력(파일 영역만 해당)한 후 확인 버튼을 누릅니다.
OK를 누릅니다.

server.xml 파일 편집

기본 영역은 배경에서 server.xml 파일의 SECURITY 요소에 설정됩니다. SECURITY 구성은 다음과 같습니다.

<SECURITY defaultrealm="file" anonymousrole="ANYONE"
      audit="false">
   <AUTHREALM name="file"
         classname="com.iplanet.ias.security.auth.realm.file.FileRealm">
      <property name="file" value="instance_dir/config/keyfile"/>
      <property name="jaas-context" value="fileRealm"/>
   </AUTHREALM>
   ...
</SECURITY>

defaultrealm 속성은 서버가 기본으로 사용하는 영역을 가리킵니다. 기본 영역은 자체의 web.xml에서 유효한 영역을 제공하지 않는 모든 웹 응용 프로그램에 의하여 사용됩니다. 반드시 AUTHREALM 이름으로 구성된 영역 중 하나를 가리켜야 합니다. 기본은 파일 영역입니다.

audit 플래그에 따라 감사 정보를 기록할 것인지 결정됩니다. 플래그가 true로 설정되면 서버가 모든 인증 및 권한 이벤트에 대한 감사 메시지를 기록합니다.

영역 구성을 변경하는 경우 반드시 서버를 다시 시작하여 변경 사항이 적용되도록 합니다.

server.xml 파일에 대한 자세한 내용은 Sun ONE Web Server 6.1 Administrator's Configuration File Reference를 참조하십시오.

원시 영역 구성

다른 영역과 마찬가지로 server.xml의 SECURITY 요소에 있는 AUTHREALM 요소를 사용하여 원시 영역을 구성할 수 있습니다. 예를 들면 다음과 같습니다.

<AUTHREALM name="native" classname="com.sun.enterprise.security.auth.realm.webcore.NativeRealm">

 <PROPERTY name="auth-db" value="mykeyfile">

 <PROPERTY name="jaas-context" value="nativeRealm"/>

</AUTHREALM>

auth-db 등록 정보는 원시 영역이 모든 인증 요청을 위임할 코어 응용 프로그램 데이터베이스를 가리키며, 이 예의 경우 "mykeyfile"이라는 이름의 인증 데이터베이스입니다. 이 등록 정보는 선택 사항입니다. 지정되지 않는 경우 코어 인증 엔진은 기본 auth-db를 사용하여 원시 영역에서 수신되는 모든 요청을 처리합니다. 대부분의 영역과 마찬가지로 jaas-context 등록 정보는 사용되는 JAAS 로그인 컨텍스트(login.conf에 정의)를 가리킵니다.

원시 영역에는 다른 구성이 필요하지 않습니다. 그러나 요청이 코어 인증 데이터베이스로 위임되므로 특정 인증 데이터베이스 또한 반드시 적절하게 구성되어야 합니다. 이 부분의 나머지에서는 코어 인증 데이터베이스의 구성 예를 살펴봅니다.

코어 (원시) 인증 데이터베이스를 구성하려면 server.xml의 VS 요소에 반드시 auth-db 이름을 데이터베이스 이름으로 매핑하는 USERDB 요소가 포함되어야 합니다. 예를 들면 다음과 같습니다.

<VS id="https-plaza.com" ....

....

 <USERDB id="mykeyfile" database="myalt"/>

....

</VS>

참고로 auth-db 등록정보가 지정되지 않은 경우(이 경우 "default"를 사용) USERDB 항목의 id="default"를 임의의 데이터베이스 이름으로 매핑할 수 있습니다. 매핑이 없는 경우에는 default로 매핑됩니다.

다음, install-root/userdb/dbswitch.conf 파일에 반드시 myalt 데이터베이스용 구성이 있어야 합니다. 다음 예에서는 myalt를 파일 기반 인증 데이터베이스로 정의합니다.

directory myalt file

myalt:syntax keyfile

myalt:keyfile /local/ws61/https-plaza.com/config/keyfile

위의 구성은 원시 영역에만 국한되지 않습니다. 원시 영역은 유효한 인증 디렉토리 구성을 대상 인증 데이터베이스로 사용할 수 있습니다. 따라서 원시 영역은 원시 LDAP 인증 데이터베이스 또는 심지어 사용자 정의 원시 인증 데이터베이스로 위임될 수 있습니다.

주	Sun ONE Web Server 6.1의 경우 웹 응용 프로그램에는 LDAP를 인증 엔진으로 사용하기 위한 두 가지 서로 다른 기법이 있습니다. Java LDAP 영역 사용 원시 LDAP 인증 데이터베이스로 위임되도록 구성된 Java 원시 영역 사용

---

기본 영역 지정

기본 영역은 자체의 web.xml 구현 기술자 파일에 유효한 대체 영역이 지정되지 않은 모든 웹 응용 프로그램용 인증 이벤트를 처리하는 데 사용됩니다. 서버 인스턴스용으로 사용할 인증 영역을 지정하려면 다음과 같이 합니다.

Server Manager에 액세스하고 Java 탭을 선택합니다.
Java Security 링크를 누릅니다.
다음 정보를 설정합니다.
기본 영역. 이 서버 인스턴스용으로 사용 중인 인증 영역(AUTHREALM 이름 속성)을 지정합니다.
익명 역할(선택). 기본 또는 익명 역할의 이름으로 사용됩니다.
감사 사용(선택). true인 경우 감사 정보를 제공할 추가 로깅이 수행됩니다. 감사 정보의 내용은 다음과 같습니다.
인증 성공 및 실패 이벤트
서브릿 액세스 허가 및 거부
로그 수준(선택). 오류 로그에 기록될 메시지의 유형을 제어합니다.
OK를 누릅니다.

---

프로그램적 보안 사용

영역이 제공하는 컨테이너 관리 인증에 더하여 Sun ONE Web Server 6.1은 또한 프로그램적 로그인 인터페이스를 통하여 액세스된 관리 인증을 지원합니다. 이 인터페이스는 영역 인프라에 맞지 않는 사용자 정의 인증 모델을 지원합니다. 또한 J2EE 응용 프로그램은 프로그램적 로그인을 사용하여 자체용 인증 컨텍스트를 직접 설정할 수 있습니다. 그러나 이러한 방법은 응용 프로그램의 이식성과 관리 용이성을 떨어뜨리므로 권장하지 않습니다.

응용 프로그램용 프로그램적 로그인 기법을 시작할려면 ProgrammaticLoginPermission 허용이 필요합니다. 이 권한은 표준 J2EE 기법이 아니므로 구현된 응용 프로그램의 기본 권한으로 부여될 수는 없습니다.

Sun ONE Web Server 6.1은 Security Manager를 지원합니다. Security Manager는 서버를 처음 설치할 때 기본적으로 사용하지 않도록 설정됩니다. 서버 인스턴스에서 Java Security Manager를 사용하도록 설정한 경우 프로그램적 로그인을 사용하는 모든 웹 응용 프로그램에 이 권한을 부여해야 합니다.

해당 응용 프로그램에 필요한 권한을 허용하려면 server.policy 파일을 편집해야 합니다.

server.xml 파일의 표준 Java 정책 항목을 지정하여 정책 지원을 사용하도록 설정할 수 있습니다.

<JVMOPTIONS>-Djava.security.manager</JVMOPTIONS>

<JVMOPTIONS>-Djava.security.policy=install-root/https-servername/config/server.policy</JVMOPTIONS>

server.policy 파일에 대한 자세한 내용은 Sun ONE Web Server 6.1 Programmer's Guide to Web Applications를 참조하십시오.

---

J2EE/서브릿 인증 모델의 사용 시기 결정

이 부분은 J2EE/서브릿 기반 인증 모델을 사용하도록 결정해야 하는 주변 조건을 이해하는데 도움이 되도록 만들어졌습니다.

J2EE/서브릿 인증 모델 사용:

보통 대부분의 신규 J2EE/서브릿 기반 응용 프로그램에 사용합니다.
변경할 계획이 없는 기존 .war 파일에 사용합니다.
현재 또는 미래에 J2EE/서브릿 호환성이 중요한 웹 응용 프로그램을 만들 때 사용합니다.
ACL이 형식 기반 인증을 지원하지 않으므로 형식 기반 인증을 사용하려 할 때 사용합니다.

ACL 기반 인프라를 사용하는 경우라도 여전히 원시 영역 Java 영역을 사용하여 사용자 신분을 입력함으로써 서브릿용으로 사용할 수 있도록 할 수 있습니다.

이전      목차      색인      다음

---

Copyright 2004 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.