Sun Java System Calendar Server 6 2005Q4 관리 설명서

9장 단일 사인 온 구성

이 장에서는 단일 사인 온(SSO)을 구성하는 방법을 설명합니다.

SSO(단일 사인 온)에서는 사용자가 한 번만 인증하면 다시 인증할 필요 없이 신뢰할 수 있는 여러 응용 프로그램을 사용할 수 있습니다. Calendar Server와 Messaging Server를 비롯한 Sun Java System 통신 서버는 다음과 같이 SSO를 구현할 수 있습니다.

Access Manager를 통한 SSO 구성

Calendar Server와 Messaging Server를 포함하는 Sun Java Enterprise System 서버에서는 Sun Java System Access Manager(릴리스 6 2003Q4) 이상)를 사용하여 SSO를 구현할 수 있습니다.

Access Manager는 Sun Java Enterprise System 서버를 위한 SSO 게이트웨이 역할을 합니다. 즉 서버에 SSO가 제대로 구성된 경우 Access Manager에 로그인한 사용자는 다른 Sun Java Enterprise System 서버에 액세스할 수 있습니다.

Calendar Server에서 SSO 사용

단계

Access Manager와 Directory Server가 설치 및 구성되어 있는지 확인합니다. 이러한 제품의 설치 및 구성에 대한 자세한 내용은 Sun Java Enterprise System 2005Q4 Installation Guide for UNIX를 참조하십시오.

Access Manager를 통한 SSO 구성에 표시된 매개 변수를 설정한 후 값이 적용되도록 Calendar Server를 다시 시작하여 Calendar Server에 대해 SSO를 구성합니다. 필요하다면 각 매개 변수를 설정할 때 주석 문자(!)를 제거합니다.

주 –
local.calendar.sso.amnamingurl 매개 변수 설정 시 정규화된 Access Manager 이름을 사용해야 합니다.

Messaging Server에 대해 SSO를 구성하려면 Sun Java System Messaging Server 6 2005Q4 Administration Guide를 참조하십시오.

사용자는 Directory Server LDAP 사용자 아이디 및 비밀번호를 사용하여 Access Manager에 로그인합니다. Calendar Server나 Messaging Server와 같은 다른 서버를 통해 로그인하는 사용자는 SSO를 사용하여 다른 Sun Java Enterprise System 서버에 액세스할 수 없습니다.

로그인한 사용자는 적합한 URL을 사용하여 Communications Express를 통해 Calendar Server에 액세스할 수 있습니다. 또한 서버에 SSO가 제대로 구성되었다면 Messaging Server와 같은 다른 Sun Java Enterprise System 서버에도 액세스할 수 있습니다.

매개 변수	설명
local.calendar.sso.amnamingurl	Access Manager SSO 이름 지정 서비스의 URL을 지정합니다. 기본값은 다음과 같습니다. "http://`AccessManager`:`port`/amserver /namingservice" 여기서 `AccessManager`는 Access Manager의 정규화된 이름이며 `port`는 Access Manager 포트 번호입니다.
local.calendar.sso.amcookiename	Access Manager SSO 쿠키의 이름을 지정합니다. 기본값은 `"iPlanetDirectoryPro"`입니다.
local.calendar.sso.amloglevel	Access Manager SSO의 로그 수준을 지정합니다. 범위는 1(무음)부터 5(세부 정보 표시)입니다. 기본값은 “3“입니다.
local.calendar.sso.logname	Access Manager SSO API 로그 파일의 이름을 지정합니다. 기본값은 `“am_sso.log”`입니다.
local.calendar.sso.singlesignoff	Calendar Server에서 Access Manager로의 단일 사인 온을 사용 가능(“yes“) 또는 사용 불가능(“no“)하게 합니다. 사용 가능한 경우, Calendar Server에서 로그아웃한 사용자는 Access Manager에서도 로그아웃되며 Access Manager를 통해 시작했던 다른 모든 세션(Messaging Server webmail 세션 등)도 종료합니다. Access Manager는 인증 게이트웨이이므로 SSO(단일 사인 온)는 항상 Access Manager에서 Calendar Server로 활성화됩니다. 기본값은 “yes“입니다.

Access Manager의 SSO 사용 시 고려 사항

Access Manager 세션이 유효한 경우에만 달력 세션이 유효합니다. 사용자가 Access Manager에서 로그아웃하면 달력 세션은 자동으로 종료됩니다(단일 사인 오프).
SSO 응용 프로그램은 동일한 도메인에 있어야 합니다.
SSO 응용 프로그램은 Access Manager 인증 URL(이름 지정 서비스)에 액세스할 수 있어야 합니다.
브라우저는 쿠키를 지원해야 합니다.
Sun Java System Portal Server 게이트웨이를 사용하는 경우 다음 Calendar Server 매개 변수를 설정합니다.
- service.http.ipsecurity="no"
- render.xslonclient.enable="no"

통신 서버 Trusted Circle 기술을 통한 SSO 구성

Communications Servers Trusted Circle 기술을 통해(즉 Access Manager를 거치지 않고) SSO를 구성할 경우 다음 사항을 고려합니다.

신뢰할 수 있는 각 응용 프로그램은 SSO가 구성되어야 합니다.
default.html 페이지가 브라우저의 캐시에 있다면 SSO는 제대로 실행되지 않습니다. SSO를 사용하기 전에 반드시 브라우저에 default.html 페이지를 다시 로드합니다. 예를 들어, Netscape Navigator에서는 Shift 키를 누른 채로 Reload를 누릅니다.
SSO는 기본 URL에 대해서만 실행됩니다. 예를 들어, http://servername과 같은 URL에 대해서는 실행되지 않습니다.

다음 표에서는 통신 서버 Trusted Circle 기술을 사용하는 SSO를 위한 Calendar Server 구성 매개 변수를 설명합니다.

표 9–1 통신 서버 Trusted Circle 기술을 사용하는 Calendar Server SSO 매개 변수


매개 변수	설명
`sso.enable`	SSO를 사용 가능하게 하려면 이 매개 변수를 기본값인 "1"로 설정해야 합니다. "0"이면 SSO를 사용할 수 없습니다.
`sso.appid`	이 매개 변수는 특정 Calendar Server 설치의 고유 응용 프로그램 아이디를 지정합니다. 또한 신뢰할 수 있는 각 응용 프로그램은 고유 응용 프로그램 아이디를 가져야 합니다. 기본값은 `"ics50"`입니다.
`sso.appprefix`	이 매개 변수는 SSO 쿠키 형식 지정에 사용될 접두어 값을 지정합니다. 신뢰할 수 있는 모든 응용 프로그램에서 동일한 값을 사용해야 합니다. Calendar Server는 이 접두어를 갖는 SSO 쿠키만 인식하기 때문입니다. 기본값은 `"ssogrp1"`입니다.
`sso.cookiedomain`	이 매개 변수는 브라우저가 특정 도메인의 서버로만 쿠키를 보내게 합니다. 이 값은 반드시 마침표(.)로 시작되어야 합니다.
`sso.singlesignoff`	기본값인 `“true”`를 지정하면 클라이언트가 로그아웃할 때 해당 클라이언트 중 sso.appprefix에서 구성한 값과 일치하는 접두어 값을 가진 모든 SSO 쿠키가 지워집니다.
`sso.userdomain`	이 매개 변수는 사용자 SSO 인증의 일부로 도메인을 설정합니다.
sso.`appid`.url = "`verifyurl`"	이 매개 변수는 Calendar Server 구성에서 피어 SSO 호스트에 대한 확인 URL 값을 설정합니다. 신뢰할 수 있는 각각의 피어 SSO 호스트에 대해 하나의 매개 변수가 필요합니다. 이 매개 변수는 다음을 포함합니다. 응용 프로그램 아이디(`appid`)는 SSO 쿠키가 받아들여지는 각각의 피어 SSO 호스트를 식별합니다. URL 확인(`verifyurl`)에는 호스트 URL, 호스트 포트 번호 및 `VerifySSO?`(끝부분의 물음표(`?`) 포함)가 포함됩니다. 이 예에서 Calendar Server 응용 프로그램 아이디는 `ics50`이고, 호스트 URL은 `sesta.com`이며 포트는 `8883`입니다. Messenger Express 응용 프로그램 아이디는 `msg50`이고, 호스트 URL은 `sesta.com`이며 포트는 `8882`입니다. 예를 들면 다음과 같습니다. sso.ics50.url= "http://sesta.com:8883 /VerifySSO?" sso.msg50.url= "http://sesta.com:8882 /VerifySSO?"

다음 표에서는 통신 서버 Trusted Circle 기술을 사용하는 SSO를 위한 Messaging Server 구성 매개 변수를 설명합니다.

표 9–2 통신 서버 Trusted Circle 기술을 사용하는 Calendar Server SSO 매개 변수


매개 변수	설명
`local.webmail.sso.enable`	SSO를 사용하려면 이 매개 변수가 0이 아닌 값으로 설정되어야 합 니다.
`local.webmail.sso.prefix`	이 매개 변수는 HTTP 서버가 설정하는 SSO 쿠키의 형식 지정에 사용할 접두어를 지정합니다. 예를 들면 다음과 같습니다. `ssogrp1`
`local.webmail.sso.id`	이 매개 변수는 Messaging Server에 대해 고유한 응용 프로그램 아이디(예: `msg50`)를 지정합니다. 또한 신뢰할 수 있는 각 응용 프로그램은 고유 응용 프로그램 아이디를 가져야 합니다.
`local.webmail.sso.cookiedomain`	이 매개 변수는 HTTP 서버가 설정하는 모든 SSO 쿠키의 쿠키 도메인 값을 지정합니다.
`local.webmail.sso.singlesignoff`	값이 0이 아니면 클라이언트가 로그아웃할 때 해당 클라이언트 중 `local.webmail.sso.prefix`에 구성된 값과 일치하는 접두어 값을 가진 모든 SSO 쿠키가 지워집니다.
`local.sso.appid.url=` `verifyurl`	이 매개 변수는 Messaging Server 구성에서 피어 SSO 호스트의 확인 URL 값을 설정합니다. 신뢰할 수 있는 각각의 피어 SSO 호스트에 대해 하나의 매개 변수가 필요합니다. 이 매개 변수는 다음 항목을 포함합니다. 응용 프로그램 아이디(`appid`)는 SSO 쿠키가 받아들여지는 각각의 피어 SSO 호스트를 식별합니다. URL 확인(`verifyurl`)에는 호스트 URL, 호스트 포트 번호 및 `VerifySSO?`(끝부분의 물음표( `?`) 포함)가 포함됩니다. 예를 들면 다음과 같습니다. `local.sso.ics50.verifyurl=` `http://sesta.com:8883/VerifySSO?` 이 예에서 Calendar Server 응용 프로그램 아이디는 `ics50`이고, 호스트 URL은 `sesta.com`이며 포트는 `8883`입니다. `local.sso.msg50.verifyurl=` `http://sesta.com:8882/VerifySSO?` 이 예에서 Messaging Server 응용 프로그램 아이디는 `msg50`이고 호스트 URL은 `sesta.com`이며 포트는 `8882`입니다.

Messaging Server에 대해 SSO를 구성하는 방법에 대한 자세한 내용은 Sun Java System Messaging Server 6 2005Q4 Administration Guide를 참조하십시오.