에이전트

Access Manager 정책 에이전트는 허용되지 않은 침입으로부터 웹 서버 및 웹 프록시 서버의 컨텐트를 보호합니다. 또한 관리자가 구성한 정책을 기반으로 서비스 및 웹 자원에 대한 액세스를 제어합니다.

에이전트 객체는 정책 에이전트 프로필을 정의하고 Access Manager 자원을 보호하는 특정 에이전트에 대한 인증 및 기타 프로필 정보를 Access Manager에서 저장할 수 있게 합니다. 관리자는 Access Manager 콘솔을 사용해 에이전트 프로필을 확인, 작성, 수정 및 삭제할 수 있습니다.

에이전트 객체 만들기 페이지는 에이전트가 Access Manager에 대해 인증할 때 사용한 UID/비밀번호를 정의하는 곳입니다. 같은 Access Manager를 사용하는 AM/WS 설정이 여러 개 있는 경우 다른 에이전트에 대해 여러 아이디를 활성화하고 이들을 Access Manager와 별개로 활성화 및 비활성화하는 옵션을 제공합니다. 또한 각 컴퓨터에서 AMAgent.properties를 편집하지 않고 에이전트에 대한 일부 기본 설정 값을 중앙에서 관리할 수 있습니다.

에이전트를 만들거나 수정하려면

단계

1. 에이전트 탭을 누릅니다.

2. 새로 만들기를 누릅니다.

3. 다음과 같은 필드에 값을 입력합니다.

   이름.에이전트의 이름 또는 아이디를 입력합니다. 에이전트가 Access Manager에 로그인할 때 사용할 이름입니다. 멀티바이트 이름은 사용할 수 없습니다.

   비밀번호. 에이전트의 비밀번호를 입력합니다. 이 비밀번호는 LDAP 인증 도중에 에이전트가 사용하는 비밀번호와는 달라야 합니다.

   비밀번호 확인. 비밀번호를 확인합니다.

   장치 상태.에이전트의 장치 상태를 입력합니다. 활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증되어 Access Manager와 통신할 수 있습니다. 비활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증될 수 없습니다.

4. 만들기를 누릅니다.

5. 에이전트를 만든 후에는 다음과 같은 필드를 추가로 편집할 수 있습니다.

   설명.에이전트에 대한 간단한 설명을 입력합니다. 예를 들어 에이전트 인스턴스 이름이나 에이전트가 보호하고 있는 응용 프로그램의 이름을 입력할 수 있습니다.

   에이전트 키 값. 키/값 쌍을 사용하여 에이전트 등록 정보를 설정합니다. Access Manager는 이 등록 정보를 사용하여 사용자의 자격 증명 명제에 대한 에이전트 요청을 받습니다. 현재는 하나의 등록 정보만 유효하며 다른 모든 등록 정보는 무시됩니다. 다음 형식을 사용합니다.

   agentRootURL=http:// server_name:port/

고유 정책 에이전트 아이디 만들기

기본적으로 신뢰할 수 있는 환경에서 여러 정책 에이전트를 만드는 경우 정책 에이전트에는 동일한 UID 및 비밀번호가 포함됩니다. UID 및 비밀번호를 공유하므로 Access Manager는 에이전트를 구분할 수 없어 세션 쿠키를 가로챌 수 있는 상태로 열어 둘 수 있습니다.

아이디 공급자가 타사 또는 기업 내 허용되지 않은 그룹에 의해 개발된 응용 프로그램(또는 서비스 제공업체)에 사용자에 대한 인증, 권한 부여 및 프로필 정보를 제공하는 경우 취약점이 발생할 수 있습니다. 예상되는 보안 문제는 다음과 같습니다.

• 모든 응용 프로그램은 동일한 http 세션 쿠키를 공유합니다. 이렇게 되면 rogue 응용 프로그램이 세션 쿠키를 하이재킹하여 다른 응용 프로그램에 대해 사용자를 가장할 수 있습니다.

• 응용 프로그램이 https 프로토콜을 사용하지 않는 경우 세션 쿠키는 네트워크 도청에 취약합니다.

• 단 하나의 응용 프로그램이라도 해킹당하는 경우 전체 인프라의 보안이 손상될 위험이 있습니다.

• 감염된 응용 프로그램은 세션 쿠키를 사용하여 사용자에 대한 프로필 속성을 가져와서 수정할 수 있습니다. 사용자가 관리 권한을 가진 경우 응용 프로그램은 보다 많은 손상을 입을 수 있습니다.

고유 정책 에이전트 아이디를 만들려면

단계

1. Access Manager 관리 콘솔을 사용하여 각 에이전트에 대한 항목을 만듭니다.

2. 에이전트를 만들 때 입력한 비밀번호에 대해 다음 명령을 실행합니다. 이 명령은 에이전트가 설치된 호스에서 호출되어야 합니다.

   AccessManager-base/SUNWam/agents/bin/crypt_util agent123

   이 명령을 실행하면 다음과 같은 출력이 표시됩니다.

   WnmKUCg/y3l404ivWY6HPQ==

3. AMAgent.properties를 변경하여 새 값을 적용한 다음 에이전트를 다시 시작합니다. 예:

   # The username and password to use for the Application 
   
   authentication module.
   
   
   
   com.sun.am.policy.am.username = agent123
   
   com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ==
   
   
   
   # Cross-Domain Single Sign On URL
   
   # Is CDSSO enabled.
   
   com.sun.am.policy.agents.cdsso-enabled=true
   
   
   
   # This is the URL the user will be redirected to after successful login
   
   # in a CDSSO Scenario.
   
   com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port
   
   /amserver/cdcservlet

4. 새 값을 반영하기 위해 Access Manager를 설치한 AMConfig.properties를 변경한 다음 Access Manager를 다시 시작합니다. 예:

   com.sun.identity.enableUniqueSSOTokenCookie=true
   
   com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer
   
    
   
   com.sun.identity.authentication.uniqueCookieDomain=.example.com

5. Access Manager 콘솔에서 구성>플랫폼을 선택합니다.

6. 쿠키 도메인 목록에서 쿠키 도메인 이름을 다음과 같이 변경합니다.

   1. 기본 iplanet.com 도메인을 선택한 다음 제거를 누릅니다.

   2. Access Manager 설치의 호스트 이름을 입력한 다음 추가를 누릅니다.

      예: server.example.com

      다음과 같이 브라우저에 설정된 두 개의 쿠키가 표시됩니다.

      • iPlanetDirectoryPro – server.example.com(호스트 이름)

      • sunIdentityServerAuthNServer – example.com(호스트 이름)