Sun Java System Access Manager 7 2005Q4 관리 설명서

Windows 데스크탑 SSO

Windows 데스크탑 SSO 인증 모듈은 Windows 2000™에 사용되는 커버로스 기반 인증 플러그 인 모듈입니다. 이 모듈을 사용하면 KDC(Kerberos Distribution Center)에 대해 이미 인증을 받은 사용자는 로그인 조건(싱글 사인 온)을 다시 제출하지 않고도 Access Manager에 대해 인증을 받을 수 있습니다.

사용자는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 프로토콜을 통해 Access Manager에 커버로스 토큰을 제공합니다. 이 인증 모듈을 통해 Access Manager에 커버로스 기반 싱글 사인 온을 수행하려면 사용자는 클라이언트측에서 자신을 인증하도록 SPNEGO 프로토콜을 지원해야 합니다. 일반적으로 이 프로토콜을 지원하는 사용자는 이 모듈을 사용하여 Access Manager에 인증할 수 있습니다. 클라이언트측 토큰의 가용성에 따라 이 모듈은 SPENGO 토큰 또는 커버로스 토큰(두 경우 모두 동일한 프로토콜)을 제공합니다. Windows 2000 이상에서 실행되는 Microsoft Internet Explorer(5.01 이상)는 현재 이 프로토콜을 지원합니다. 또한 Mozilla 1.4 on Solaris(9 및 10)도 SPNEGO 지원 기능이 있으나 Solaris에서 SPNEGO를 지원하지 않으므로 반환되는 토큰은 커버로스 토큰뿐입니다.


주 –

커버로스 V5 인증 모듈의 새 기능을 활용하려면 JDK 1.4 이상을 사용하고 이 SPNEGO 모듈에서 커버로스 기반 SSO를 수행하려면 Java GSS API를 사용해야 합니다.


Internet Explorer의 알려진 제한 사항

WindowsDesktopSSO 인증용으로 Microsoft Internet Explorer 6.x를 사용하고, 브라우저에 WindowsDesktopSSO 모듈에서 구성된 KDC 영역과 일치하는 사용자의 커버로스/SPNEGO 토큰에 대한 액세스 권한이 없는 경우 브라우저가 WindowsDesktopSSO 모듈 인증에 실패하면 다른 모듈에 대해 올바르게 작동하지 않습니다. 이 문제의 직접적인 원인은 Internet Explorer에서 WindowsDesktopSSO 모듈 실패 후 다른 모듈의 콜백이 프롬프트에 표시되는 경우에도 브라우저에서 이를 Access Manager에 전달할 수 없기 때문이며, 이러한 불능 상태는 브라우저를 다시 시작할 때까지 계속됩니다. 즉 null 사용자 자격 증명 때문에 WindowsDesktopSSO 실패 후 수신한 모든 모듈도 실패합니다.

자세한 내용은 다음 설명서를 참조하십시오.

http://support.microsoft.com/default.aspx?scid=kb;en-us;308074

http://www.wedgetail.com/jcsi/sso/doc/guide/troubleshooting.html#ieNTLM

Windows 데스크탑 SSO 구성

Windows 데스크탑 SSO 인증을 활성화하는 두 단계 프로세스는 다음과 같습니다.

  1. Windows 2000 도메인 제어기에서 사용자를 생성합니다.

  2. Internet Explorer를 설정합니다.

ProcedureWindows 2000 도메인 제어기에서 사용자를 생성하려면

단계
  1. 도메인 제어기에서 Access Manager 인증 모듈에 사용할 사용자 계정을 만듭니다.

    1. 시작 메뉴에서 프로그램>관리 도구로 이동합니다.

    2. 활성 디렉토리 사용자 및 컴퓨터를 선택합니다.

    3. 사용자 아이디(로그인 이름)가 Access Manager 호스트 이름인 새 사용자를 만듭니다. Access Manager 호스트 이름에는 도메인 이름이 포함되지 않아야 합니다.

  2. 사용자 계정을 서비스 공급자 이름과 연결하고 Access Manager가 설치된 시스템으로 키탭 파일을 내보냅니다. 이를 수행하려면 다음 명령을 실행합니다.


    ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out 
    
    hostname.host.keytab
    
    ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass 
    
    password -mapuser userName-out hostname
    
    .HTTP.keytab

    ktpass 명령에는 다음과 같은 매개 변수가 사용됩니다.

    hostname. Access Manager를 실행하는 호스트 이름(도메인 이름 없음)입니다.

    domainname . Access Manager 도메인 이름

    DCDOMAIN. 도메인 제어기의 도메인 이름입니다. Access Manager 도메인 이름과 다를 수도 있습니다.

    password . 사용자 계정의 비밀번호입니다. ktpass에서는 비밀번호를 확인하지 않으므로 비밀번호가 정확한지 확인합니다.

    userName. 사용자 계정 아이디입니다. 호스트 이름과 같아야 합니다.


    주 –

    두 키탭 파일이 모두 안전하게 보존되는지 확인합니다.


    서비스 템플리트 값은 다음 예와 비슷해야 합니다.

    서비스 기본: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM

    키탭 파일 이름:/tmp/machine1.HTTP.keytab

    커버로스 영역: ISQA.EXAMPLE.COM

    커버로스 서버 이름:machine2.EXAMPLE.com

    도메인 이름과 함께 기본 반환:false

    인증 수준: 22

  3. 서버를 다시 시작합니다.

Procedure Internet Explorer를 설정하려면

이 단계는 Microsoft Internet Explorer™ 6 이상에 적용됩니다. 이전 버전을 사용하는 경우 Access Manager가 브라우저의 인터넷 영역에 있고 고유 Windows 인증을 사용하는지 확인하십시오.

단계
  1. 도구 메뉴에서 인터넷 옵션>고급/보안>보안으로 이동합니다.

  2. 통합된 Windows 인증 사용 옵션을 선택합니다.

  3. 보안>로컬 인터넷으로 이동합니다.

    1. 사용자 지정 수준을 선택합니다. 사용자 인증/로그온 창에서 인트라넷 영역에서만 자동으로 로그온 옵션을 선택합니다.

    2. 사이트로 가서 옵션을 모두 선택합니다.

    3. 고급을 누르고 로컬 영역에 Access Manager를 추가합니다(아직 추가되지 않은 경우).