8장   보안 관리

이 장에서는 인증, 권한 부여, 암호화 등 보안과 관련된 작업을 수행하는 방법에 대해 설명합니다.

사용자 인증    사용자 저장소에 사용자 목록, 해당 그룹, 비밀번호를 관리해야 합니다. 이 장의 첫 부분에서는 저장소를 만들고, 채우고, 관리하는 방법에 대해 설명합니다. Sun™ ONE Message Queue (MQ) 보안에 대한 소개는 "보안 관리자"를 참조하십시오.

사용자 권한 부여    브로커 작업에 대한 사용자 액세스를 사용자 아이디 또는 그룹에 매핑하는 등록 정보 파일을 편집해야 합니다. 이 장의 두 번째 부분에서는 이 등록 정보 파일을 사용자 정의하는 방법을 설명합니다.

암호화: SSL 서비스 설정    Secure Socket Layer (SSL) 표준 기반의 연결 서비스를 사용하면 클라이언트와 브로커 사이에 전달되는 메시지를 암호화할 수 있습니다. MQ에서 암호화를 처리하는 방법에 대한 소개는 "암호화(엔터프라이즈판)"를 참조하십시오. 이 장의 마지막 부분에서는 SSL 기반 연결 서비스를 설정하는 방법에 대해 설명하고 SSL 사용에 대한 추가 정보를 제공합니다.

브로커에서 SSL 키 저장소, LDAP 사용자 저장소, 또는 JDBC 호환 영구 저장소에 대한 액세스를 확보할 때 비밀번호가 필요한 경우에는 다음과 같은 세 가지 방법으로 비밀번호를 얻을 수 있습니다.

• 브로커가 시작할 때 시스템에서 프롬프트를 표시하게 합니다.
• 브로커를 시작할 때 명령줄 옵션으로 비밀번호를 전달합니다("브로커 시작" 및 표 5-2 참조).
• 시스템에서 브로커를 시작할 때 액세스하는 passfile에 비밀번호를 저장합니다("Passfile 사용" 참조).

사용자 인증

---

사용자가 브로커에 연결하려고 하면 브로커는 제공되는 아이디와 비밀번호를 검사하여 사용자를 인증한 후 브로커가 참조하는 사용자 저장소의 정보와 일치하면 연결을 허용합니다. 이 저장소의 유형에는 두 가지가 있습니다.

• MQ와 함께 제공되는 플랫 파일 저장소

이 유형의 사용자 저장소는 사용하기가 매우 쉽습니다. 하지만 보안 공격에 취약하기 때문에 평가 및 개발 목적에만 사용해야 합니다. 사용자 관리자 유틸리티(imqusermgr)를 사용하면 저장소를 채우고 관리할 수 있습니다. 인증을 사용하려면 각 사용자의 아이디, 비밀번호, 사용자 그룹 이름으로 사용자 저장소를 채웁니다.

사용자 저장소의 설정 및 관리에 대한 자세한 내용은 "플랫 파일 사용자 저장소 사용"을 참조하십시오.

• LDAP 서버

사용자 저장소에 LDAP v2 또는 v3 프로토콜을 사용하는 기존 또는 새 LDAP 디렉토리 서버가 될 수 있습니다. 플랫 파일 저장소만큼 사용이 쉽지는 않지만 안전하기 때문에 작업 환경에 적합합니다.

LDAP 사용자 저장소를 사용하는 경우에는 LDAP 공급업체에서 제공하는 도구를 사용하여 사용자 저장소를 채우고 관리해야 합니다. 자세한 내용은 "사용자 저장소에 LDAP 서버 사용"을 참조하십시오.

플랫 파일 사용자 저장소 사용

MQ에는 플랫 파일 사용자 저장소와 플랫 파일 사용자 저장소를 채우고 관리할 때 사용할 수 있는 명령줄 도구인 MQ 사용자 관리자(imqusermgr)가 제공됩니다. 다음 절에서는 플랫 파일 사용자 저장소와 해당 초기 항목, 그리고 저장소를 채우고 관리하는 방법에 대해 설명합니다.

기본 플랫 파일 저장소는 다음 위치에 있습니다.

IMQ_HOME/etc/passwd (Solaris의 경우 /etc/imq/passwd)

저장소는 다음 표와 같이 두 항목(행)이 이미 정의된 상태로 제공됩니다.

표 8-1    사용자 저장소 초기 항목 

사용자 아이디	비밀번호	그룹	상태
admin	admin	admin	active
guest	guest	anonymous	active

초기 항목을 사용하면 관리자가 개입하지 않고도 설치된 MQ 브로커를 즉시 사용할 수 있습니다. 즉, MQ 브로커를 사용하기 위해 초기 사용자/비밀번호 설정을 할 필요가 없습니다.

초기 guest 사용자 항목을 사용하면 JMS 클라이언트에서 기본 guest 사용자 아이디와 비밀번호를 사용하여 브로커에 연결할 수 있습니다(예를 들어 테스트 목적으로).

초기 admin 사용자 항목을 사용하면 imqcmd 명령을 사용하여 기본 admin 사용자 아이디와 비밀번호로 브로커를 관리할 수 있습니다. 이 초기 항목을 업데이트하여 비밀번호를 변경하는 것이 좋습니다.

사용자 관리자 유틸리티를 사용하면 먼저 브로커를 구성 또는 시작하지 않고도 플랫 파일 사용자 저장소를 편집하거나 채울 수 있습니다. 사용자 관리자 유틸리티를 사용하기 위한 유일한 요구 사항은 브로커를 설치한 호스트에서 실행해야 하고 저장소에 쓰려면 적절한 권한이 있어야 한다는 것입니다.

• Solaris의 경우, 사용자 관리자 유틸리티는 루트 사용자나 Solaris 역할 기반 액세스 제어를 통해 액세스가 허용된 루트가 아닌 사용자로 실행할 수 있습니다. 이러한 액세스를 허용하려면 루트 사용자가 다음과 같이 /etc/user_attr에 항목을 입력해야 합니다.

username::::type=normal;profiles=Message Queue Management

그러면 지정한 사용자가 MQ 권한 프로필에 추가됩니다. 이 기능을 사용하려면 먼저 프로필 셸(pfsh, pfksh, pfcsh)을 실행해야 합니다. 예를 들면 다음과 같습니다.

% /usr/bin/pfsh

그런 다음 원하는 사용자 관리자(imqusermgr) 명령을 실행해야 합니다.

Solaris 역할 기반 액세스 제어에 대한 자세한 내용은 다음을 참조하십시오. http://docs.sun.com/
?q=Rights+Profile&p=/doc/806-4078/6jd6cjrvl&a=view)

• Windows의 경우에는 설치 후 운영 체제에서 사용자 이름 기반의 권한 속성을 제어하지 않기 때문에 모든 사용자가 사용자 저장소 파일에 쓰기를 수행할 수 있습니다.

다음 절에서는 플랫 파일 사용자 저장소를 채우고 관리하는 방법을 설명합니다.

사용자 관리자 유틸리티(imqusermgr)

사용자 관리자 유틸리티를 사용하면 파일 기반 사용자 저장소를 관리할 수 있습니다. 이 절에서는 기본 imqusermgr 명령 구문을 설명하고, 하위 명령 목록을 제공하고, imqusermgr 명령 옵션을 요약합니다. 다음 절에서는 imqobjmgr 하위 명령을 사용하여 특정 작업을 수행하는 방법에 대해 설명합니다.

명령 구문

imqusermgr 명령의 일반 구문은 다음과 같습니다.

imqusermgr subcommand [options]
imqusermgr -h
imqusermgr -v

-v, 또는 -h 옵션을 지정하는 경우 명령줄에 지정된 하위 명령이 실행되지 않습니다. 예를 들어, 다음 명령을 입력하면 버전 정보는 표시되지만 list 하위 명령은 실행되지 않습니다.

imqusermgr list -v

imqusermgr 하위 명령

표 8-2에는 imqusermgr 하위 명령이 나열되어 있습니다.

표 8-2    imqusermgr 하위 명령 

하위 명령	설명
add -u name -p passwd [-g group] [-s]	저장소에 사용자와 관련 비밀번호를 추가하고 선택적으로 사용자 그룹을 지정합니다.
delete -u name [-s] [-f]	지정한 사용자를 저장소에서 삭제합니다.
list [-u name]	지정한 사용자 또는 모든 사용자에 대한 정보를 표시합니다.
update -u name -p passwd [-a state] [-s] [-f] update -u name -a state [-p passwd] [-s] [-f]	지정한 사용자의 비밀번호 및/또는 상태를 업데이트합니다.

imqusermgr 명령 옵션 요약

표 8-3에는 imqusermgr 명령의 옵션이 나열되어 있습니다.

표 8-3    imqusermgr 옵션  

옵션	설명
-a active_state	사용자 상태의 활성화 여부를 지정합니다(true/false). true 값은 활성화 상태를 나타내며 기본값입니다.
-f	사용자의 확인 없이 작업을 수행합니다.
-h	사용 도움말을 표시합니다. 명령줄에 있는 명령은 실행되지 않습니다.
-p passwd	사용자의 비밀번호를 지정합니다.
-g group	사용자 그룹을 지정합니다. 유효한 값에는 admin, user, anonymous가 있습니다.
-s	자동 모드를 설정합니다.
-u name	사용자 아이디를 지정합니다.
-v	버전 정보를 표시합니다. 명령줄에 있는 명령은 실행되지 않습니다.

그룹

저장소에 사용자 항목을 추가할 때, 관리자는 사용자에 대해 사전 정의된 admin, user, anonymous의 세 가지 그룹 중 하나를 지정할 수 있습니다. 그룹을 지정하지 않으면 기본 그룹인 user가 할당됩니다.

• admin 그룹은 브로커 관리자에 사용됩니다. 이 그룹에 할당된 사용자는 기본적으로 브로커를 구성하고 관리할 수 있습니다. 관리자는 admin 그룹에 사용자를 두 명 이상 할당할 수도 있습니다.
• user 그룹은 일반(관리 외의) JMS 클라이언트 응용 프로그램에 사용됩니다. 대부분의 MQ 클라이언트 응용 프로그램은 user 그룹에서 인증된 브로커에 액세스합니다. 따라서 클라이언트 응용 프로그램은 기본적으로 모든 주제와 대기열에 해당하는 메시지를 생성 및 사용하거나 모든 대기열의 메시지를 찾아볼 수 있습니다.
• anonymous 그룹은 브로커에 알려진 사용자 아이디를 사용하지 않는(응용 프로그램에서 사용하는 실제 사용자의 아이디를 알지 못하기 때문일 수 있음) JMS 클라이언트 응용 프로그램에 사용됩니다. 이 그룹은 대부분의 FTP 서버에 있는 anonymous 계정과 유사합니다. 관리자는 anonymous 그룹에 한 번에 한 사용자만 할당할 수 있습니다. 액세스 제어를 통해 이 그룹의 액세스 권한을 사용자 그룹에 비해 작게 설정하거나 배포할 때 이 그룹에서 사용자를 제거해야 합니다.

사용자의 그룹을 변경하려면, 관리자가 사용자 항목을 삭제한 후 그 사용자에 다른 항목을 추가하여 새 그룹을 지정해야 합니다.

그룹의 구성원이 수행할 수 있는 작업을 정의하는 액세스 규칙을 지정할 수 있습니다. 자세한 내용은 "사용자 권한 부여: 액세스 제어 등록 정보 파일"을 참조하십시오.

상태

관리자가 사용자를 저장소에 추가하면 그 사용자는 기본적으로 활성 상태가 됩니다. 사용자를 비활성 상태로 만들려면 관리자가 update 명령을 사용해야 합니다. 예를 들어, 다음 명령을 통해 사용자 JoeD가 비활성 상태가 됩니다.

imqusermgr update -u JoeD -a false

비활성 상태인 사용자의 항목은 저장소에 보존되지만, 비활성 상태인 사용자가 새 연결을 열 수는 없습니다. 사용자가 비활성 상태일 때 관리자가 같은 이름을 가진 다른 사용자를 추가하면 작업이 실패합니다. 관리자는 비활성 상태인 사용자 항목을 삭제하거나, 새 사용자의 이름을 변경하거나, 또는 새 사용자에게 다른 이름을 사용해야 합니다. 그러면 관리자가 중복되는 이름 또는 비밀번호를 추가하지 않게 됩니다.

사용자 아이디 및 비밀번호 형식

사용자 아이디와 비밀번호는 다음과 같은 지침을 따라야 합니다.

• 사용자 아이디와 비밀번호에는 표 8-4에 있는 문자를 포함할 수 없습니다.

표 8-4    사용자 아이디 및 비밀번호에 유효하지 않은 문자 

문자	설명
*	별표
,	쉼표
:	콜론

• 사용자 아이디 및 비밀번호에 줄바꿈이나 캐리지 리턴 문자가 포함되지 않아야 합니다.
• 이름 또는 비밀번호에 공백이 포함된 경우에는 이름 또는 비밀번호 전체를 따옴표로 묶어야 합니다.
• 이름 또는 비밀번호는 최소 한 문자 이상이어야 합니다.
• 명령 셸에서 명령줄에 입력할 수 있는 문자 수가 제한되어 있는 것 외에는 비밀번호 또는 사용자 아이디에 적용되는 길이 제한은 없습니다.

사용자 저장소 채우기 및 관리

저장소에 사용자를 추가하려면 add 하위 명령을 사용합니다. 예를 들어, 다음 명령은 비밀번호가 sesame인 Katharine이라는 사용자를 추가합니다.

imqusermgr add -u Katharine -p sesame -g user

저장소에서 사용자를 삭제하려면 delete 하위 명령을 사용합니다. 예를 들어, 다음 명령은 Bob이라는 사용자를 삭제합니다.

imqusermgr delete -u Bob

사용자의 비밀번호 또는 상태를 변경하려면 update 하위 명령을 사용합니다. 예를 들어, 다음 명령은 Katharine의 비밀번호를 alladin으로 변경합니다.

imqusermgr update -u Katharine -p alladin

하나 이상의 사용자에 대한 정보를 나열하려면 list 명령을 사용합니다. 다음 명령은 isa라는 사용자에 대한 정보를 표시합니다.

imqusermgr list -u isa

---

---------------------------------- User Name    Group     Active State ---------------------------------- isa          admin    true

---

다음 명령은 모든 사용자에 대한 정보를 나열합니다.

imqusermgr list

---

-------------------------------------- User Name    Group        Active State -------------------------------------- testuser3    user         true testuser2    user         true testuser1    user         true isa          admin        true admin        admin        true guest        anonymous    true testuser5    user         false testuser4    user         false

---

기본 관리자 비밀번호 변경

보안을 위해 admin의 기본 비밀번호를 혼자만 아는 값으로 변경해야 합니다. 그러려면 imqusermgr 도구를 사용해야 합니다.

다음 명령은 기본 비밀번호를 grandpoobah로 변경합니다.

imqusermgr update -u admin -p grandpoobah

브로커가 실행 중일 때 명령줄 도구 중 하나를 실행하여 변경 사항의 적용 여부를 빠르게 확인할 수 있습니다. 예를 들어, 다음 명령은

imqcmd list svc -u admin -p grandpoobah

이전 비밀번호 사용이 실패하더라도 제대로 작동해야 합니다.

비밀번호를 변경한 후에 관리 콘솔을 포함한 관리 도구를 사용하려면 새 비밀번호를 제공해야 합니다.

사용자 저장소에 LDAP 서버 사용

사용자 저장소에 LDAP 서버를 사용하려면 인스턴스 구성 파일에서 특정 브로커 등록 정보를 설정해야 합니다. 이 등록 정보를 사용하면 사용자가 브로커에 연결하거나 특정 작업을 수행하려 할 때 브로커가 LDAP 서버로부터 사용자 및 그룹에 대한 정보를 쿼리할 수 있습니다. 인스턴스 구성 파일은 다음 위치에 있습니다.

IMQ_VARHOME/instances/brokerName/props/config.properties
(Solaris의 경우 /var/imq/instances/brokerName/props/config.properties)

LDAP 서버를 사용하도록 구성 파일을 편집하는 방법

1. 다음 등록 정보를 설정하여 LDAP 사용자 저장소를 사용하고 있음을 지정합니다.

imq.authentication.basic.user_repository=ldap

2. imq.authentication.type 등록 정보를 설정하여 클라이언트에서 브로커로 전달되는 비밀번호를 base64 인코딩(basic) 또는 MD5 digest (digest) 중 어느 쪽으로 할 것인지 결정합니다. 사용자 저장소에 LDAP 디렉토리를 사용하는 경우에는 인증 유형을 basic으로 설정해야 합니다. 예를 들면 다음과 같습니다.

imq.authentication.type=basic

3. LDAP 액세스를 제어하는 브로커 등록 정보도 설정해야 합니다. 브로커의 인스턴스 구성 파일에 저장되는 이러한 등록 정보에 대한 설명은 표 8-5에 나와 있습니다. MQ에서는 JNDI API를 사용하여 LDAP 디렉토리 서버와 통신합니다. 이러한 등록 정보에 사용되는 구문과 용어에 대한 자세한 내용은 JNDI 설명서를 참조하십시오. MQ 3.0.1에서는 Sun JNDI LDAP 공급자를 사용하며 단순 인증을 사용합니다.

표 8-5    LDAP 관련 등록 정보 

등록 정보	설명
imq.user_repository. ldap.server	LDAP 서버의 host:port입니다. host는 디렉토리 서버를 실행 중인 호스트의 정규화된 DNS 이름을 지정합니다. port는 디렉토리 서버에서 통신에 사용하는 포트 번호를 지정합니다.
imq.user_repository. ldap.principal	브로커에서 검색할 디렉토리 서버에 바인드할 때 사용하는 고유 이름입니다. 디렉토리 서버에서 익명 검색을 허용하는 경우에는 이 등록 정보에 값을 할당할 필요가 없습니다.
imq.user_repository. ldap.password	브로커에서 사용하는 고유 이름에 연결된 비밀번호입니다. passfile에만 지정될 수 있습니다("Passfile 사용" 참조). 보안을 강화하려면 브로커가 비밀번호를 묻는 프롬프트를 표시하게 하거나 imqbrokerd -ldappassword 명령줄 옵션을 사용하여 비밀번호를 지정합니다. 디렉토리 서버가 익명 검색을 허용하는 경우에는 비밀번호가 필요 없습니다.
imq.user_repository. ldap.base	사용자 항목에 사용되는 디렉토리 기반입니다.
imq.user_repository. ldap.uidattr	사용자를 고유하게 식별하는 값을 가진 공급자별 속성 식별자입니다. uid, cn 등이 있습니다.
imq.user_repository. ldap.usrfilter	JNDI 검색 필터(논리식으로 표현된 검색 쿼리)입니다. 사용자에 대해 검색 필터를 지정하면 브로커에서 검색 범위를 좁혀 효율을 높일 수 있습니다. 자세한 내용은 http://java.sun.com/products/jndi/tutorial에 있는 JNDI 자습서를 참조하십시오. 이 등록 정보는 설정하지 않아도 됩니다.
imq.user_repository. ldap.grpsearch	그룹 검색의 사용 여부를 지정하는 부울 값입니다. 사용자를 그룹에 연결할 수 있는지 확인하려면 LDAP 공급자가 제공하는 설명서를 참조하십시오. MQ 3.0.1에서는 중첩 그룹이 지원되지 않습니다. 기본값: false
imq.user_repository. ldap.grpbase	그룹 항목에 사용되는 디렉토리 기반입니다.
imq.user_repository. ldap.gidattr	그룹 이름을 값으로 가진 공급자별 속성 식별자입니다.
imq.user_repository. ldap.memattr	그룹 구성원의 고유 이름을 값으로 가진 그룹 항목 내의 속성 식별자입니다.
imq.user_repository. ldap.grpfiltler	JNDI 검색 필터(논리식으로 표현된 검색 쿼리)입니다. 그룹에 대해 검색 필터를 지정하면 브로커에서 검색 범위를 좁혀 효율을 높일 수 있습니다. 자세한 내용은 다음 위치의 JNDI 자습서를 참조하십시오. http://java.sun.com/products/ jndi/tutorial 이 등록 정보는 설정하지 않아도 됩니다.
imq.user_repository. ldap.timeout	검색의 시간 제한(초)을 지정하는 정수입니다. 기본적으로 180초로 설정됩니다.
imq.user_repository. ldap.ssl.enabled	브로커가 LDAP 서버와 통신할 때 SSL 프로토콜을 사용해야 하는지 여부를 지정하는 부울 값입니다. 기본적으로 이 값은 false로 설정됩니다.

샘플(기본) LDAP 사용자 저장소의 관련 등록 정보 설정을 보려면 브로커의 default.properties 파일을 참조하십시오.

4. 필요한 경우에는 액세스 제어 등록 정보 파일에서 사용자/그룹과 규칙을 편집해야 합니다. 액세스 제어 등록 정보 파일 사용에 대한 자세한 내용은 "사용자 권한 부여: 액세스 제어 등록 정보 파일"을 참조하십시오.
5. 연결 인증 및 그룹 검색 중 브로커가 SSL을 통해 LDAP 디렉토리 서버와 통신하도록 하려면 LDAP 서버에서 SSL을 활성화한 후 브로커 구성 파일에서 다음 등록 정보를 설정해야 합니다.

• LDAP 사용자 저장소 등록 정보에 보안 포트를 지정합니다. 예를 들면 다음과 같습니다.

imq.user_repository.ldap.server=myhost:7878

• 브로커 등록 정보 imq.user_repository.ldap.ssl.enabled를 true로 설정합니다.

사용자 권한 부여: 액세스 제어 등록 정보 파일

---

사용자는 브로커에 연결한 후 메시지를 생성하거나, 대상에서 메시지를 사용하거나, 대기열 대상에서 메시지를 찾아보는 경우가 있습니다. 사용자가 이러한 작업을 시도하면 브로커는 액세스 제어 등록 정보 파일(ACL 파일)을 검토하여 해당 사용자가 작업을 수행할 권한이 있는지 확인합니다. ACL 파일에는 특정 사용자(또는 사용자 그룹)가 어떤 작업을 수행할 수 있는지를 지정하는 규칙이 포함되어 있습니다. 기본적으로 인증된 모든 사용자는 모든 대상에서 메시지를 생성하고 사용할 수 있습니다. 액세스 제어 등록 정보 파일을 편집하여 이런 작업을 특정 사용자 및 그룹으로 제한할 수 있습니다.

ACL 파일은 사용자 정보가 플랫 파일 저장소에 있는지, LDAP 저장소에 있는지와 관계 없이 모두 사용할 수 있습니다. 기본 ACL 등록 정보 파일은 브로커와 함께 설치됩니다. 이름은 accesscontrol.properties이며 설치 프로그램에서 다음 디렉토리에 설치합니다.

IMQ_HOME/etc (Solaris의 경우 /etc/imq)

ACL 파일은 Java 등록 정보 파일과 같은 형식으로 구성됩니다. 먼저 파일 버전을 정의하는 것으로 시작하여 다음 세 개 섹션에서 액세스 제어 규칙을 지정합니다.

• 연결 액세스 제어
• 대상 액세스 제어
• 대상 자동 작성 액세스 제어

version 등록 정보는 ACL 등록 정보 파일의 버전을 정의하며 이 항목은 변경할 수 없습니다.

version=JMQFileAccessControlModel/100

액세스 규칙의 기본 구문, 권한을 계산하는 방법 및 ACL 파일에서 액세스 제어를 지정하는 세 개 섹션에 대한 설명이 아래에 나와 있습니다.

액세스 규칙 구문

ACL 등록 정보 파일에서 액세스 제어는 대상 및 연결 서비스와 같이 보호된 자원에 대해 특정 사용자 또는 그룹이 갖는 액세스를 정의합니다. 액세스 제어는 규칙 또는 규칙 집합으로 나타내며 각 규칙은 Java 등록 정보로 표시됩니다.

이 규칙의 기본 구문은 다음과 같습니다.

resourceType.resourceVariant.operation.access.principalType = principals

표 8-6에서는 구문 규칙의 요소에 대해 설명합니다.

표 8-6    액세스 규칙의 구문 요소 

요소	설명
resourceType	connection, queue 또는 topic 중 하나입니다.
resourceVariant	resourceType에서 지정한 유형의 인스턴스입니다. 예를 들면 myQueue가 있습니다. 와일드카드 문자(*)를 사용하여 모든 연결 서비스 유형 또는 모든 대상을 나타낼 수 있습니다.
operation	값은 표현할 액세스 규칙의 종류에 따라 달라집니다.
access	allow 또는 deny 중 하나입니다.
principalType	user 또는 group 중 하나입니다. 자세한 내용은 "그룹"을 참조하십시오.
principals	규칙의 왼쪽에 지정한 액세스를 갖는 사람입니다. principalType이 user이면 개별 사용자 또는 사용자 목록(쉼표로 구분)이 될 수 있고, principalType이 group이면 한 그룹 또는 그룹 목록(쉼표로 구분)이 될 수 있습니다. 와일드카드 문자(*)를 사용하여 모든 사용자 또는 모든 그룹을 나타낼 수 있습니다.

다음은 액세스 규칙의 몇 가지 예입니다.

• 다음 규칙은 모든 사용자가 q1이라는 이름의 대기열에 메시지를 보낼 수 있다는 것을 나타냅니다.

queue.q1.produce.allow.user=*

• 다음 규칙은 모든 사용자가 모든 대기열에 메시지를 보낼 수 있다는 것을 나타냅니다.

queue.*.produce.allow.user=*

---

주	ASCII가 아닌 사용자, 그룹 또는 대상 이름을 지정하려면 유니코드 제어(\uXXXX) 표기를 사용해야 합니다. ACL 파일을 편집한 후 ASCII 인코딩이 아닌 이름으로 저장한 경우에는 Java native2ascii 도구를 사용해서 해당 파일을 ASCII로 변환할 수 있습니다. 자세한 내용은 http://java.sun.com/j2se/1.3/docs/guide/intl/faq.html을 참조하십시오.

---

권한 계산

일련의 규칙으로 나타내는 권한을 계산할 때에는 다음과 같은 원리가 적용됩니다.

• 구체적인 액세스 규칙은 일반적인 액세스 규칙을 대체합니다. 다음 두 규칙을 적용하고 나면 모두가 모든 대기열에 전송할 수 있지만 Bob은 tq1에 전송할 수 없습니다.

queue.*.produce.allow.user=*

queue.tq1.produce.deny.user=Bob

• 명시된 principal로 지정한 액세스는 * principal로 지정한 액세스를 대체합니다. 다음 규칙은 tq1에서 메시지를 생성할 권한을 Bob에게는 거부하지만 다른 모든 사람에게는 허용합니다.

queue.tq1.produce.allow.user=*

queue.tq1.produce.deny.user=Bob

• 사용자에 대한 * principal 규칙은 그룹에 대한 해당 * principal을 대체합니다. 예를 들어, 다음 두 규칙은 인증된 모든 사용자가 tq1에 메시지를 보낼 수 있도록 허용합니다.

queue.tq1.produce.allow.user=*

queue.tq1.produce.deny.group=*

• 사용자에게 부여된 액세스 권한은 사용자 그룹에 부여된 액세스 권한을 대체합니다. 다음 예에서 Bob이 User의 구성원이라면 Bob은 tq1에 대해 메시지를 생성할 권한이 거부되지만, User의 다른 모든 구성원은 메시지를 생성할 수 있습니다.

queue.tq1.produce.allow.group=User

queue.tq1.produce.deny.user=Bob

• 액세스 규칙을 통해 명확하게 부여되지 않은 모든 액세스 권한은 거부됩니다. 예를 들어, ACL 파일에 액세스 규칙이 없으면 모든 사용자의 모든 작업이 거부됩니다.
• 같은 사용자 또는 그룹에 권한을 거부하고 허용하면 설정이 서로 상쇄됩니다. 예를 들어, 다음과 같은 두 규칙이 있으면 Bob은 q1을 찾아볼 수 없습니다.

queue.q1.browse.allow.user=Bob

queue.q1.browse.deny.user=Bob

다음과 같은 두 규칙이 있으면 User 그룹은 q5에서 메시지를 사용할 수 없습니다.

queue.q5.consume.allow.group=User

queue.q5.consume.deny.group=User

• 왼쪽의 같은 규칙이 여러 개 있는 경우에는 마지막 항목만 적용됩니다.

연결 액세스 제어

ACL 등록 정보 파일의 연결 액세스 제어 섹션에는 브로커의 연결 서비스에 대한 액세스 제어 규칙이 있습니다. 연결 액세스 제어 규칙의 구문은 다음과 같습니다.

connection.resourceVariant.access.principalType = principals

resourceVariant에 정의할 수 있는 값은 NORMAL과 ADMIN 두 가지입니다. 기본적으로 NORMAL 유형에는 모든 사용자가 액세스할 수 있지만 ADMIN 유형의 연결 서비스에는 그룹이 admin인 사용자만 액세스할 수 있습니다.

연결 액세스 제어 규칙을 편집하여 사용자의 연결 액세스 권한을 제한할 수 있습니다. 예를 들어, 다음 규칙에서는 NORMAL에 대한 Bob의 액세스를 거부하지만 다른 모든 사람은 허용합니다.

connection.NORMAL.deny.user=Bob

connection.NORMAL.allow.user=*

별표(*) 문자를 사용해서 인증된 모든 사용자 또는 그룹을 지정할 수 있습니다.

서비스 유형을 직접 만들 수는 없으며 NORMAL과 ADMIN 상수에서 지정하는 사전 정의된 유형만 사용할 수 있습니다.

대상 액세스 제어

액세스 제어 등록 정보 파일의 대상 액세스 제어 섹션에는 대상 기반의 액세스 제어 규칙이 있습니다. 이 규칙은 누가(사용자/그룹) 어디에서(대상) 무엇을(작업) 할 수 있는지 결정합니다. 이 규칙으로 규제되는 액세스 유형에는 대기열로 메시지 보내기, 주제에 메시지 게시, 대기열에서 메시지 받기, 주제에 가입, 대기열에서 메시지 찾아보기가 포함됩니다.

기본적으로 모든 사용자 또는 그룹은 모든 대상에 대해 모든 유형의 액세스를 갖습니다. 특정 대상 액세스 규칙을 추가하거나 기본 규칙을 편집할 수 있습니다. 이 절의 나머지 부분에서는 규칙을 직접 작성하기 위해 알아야 하는 대상 액세스 규칙의 구문에 대해 설명합니다.

대상 규칙의 구문은 다음과 같습니다.

resourceType.resourceVariant.operation.access.principalType = principals

표 8-7에서는 이러한 요소에 대해 설명합니다.

표 8-7    대상 액세스 제어 규칙의 요소

구성 요소	설명
resourceType	queue 또는 topic 중 하나여야 합니다.
resourceVariant	대상 이름 또는 모든 대기열이나 모든 주제를 나타내는 모든 대상(*)입니다.
operation	produce, consume 또는 browse 중 하나여야 합니다.
access	allow 또는 deny 중 하나여야 합니다.
principalType	user 또는 group 중 하나여야 합니다.

하나 이상의 사용자 또는 하나 이상의 그룹에 액세스를 허용할 수 있습니다.

다음 예에서는 여러 종류의 대상 액세스 제어 규칙을 보여줍니다.

• 모든 사용자가 모든 대기열 대상에 메시지를 보낼 수 있도록 허용합니다.

queue.*.produce.allow.user=*

• user 그룹의 어떤 구성원도 Admissions 주제에 가입하지 못하게 합니다.

topic.Admissions.consume.deny.group=user

대상 자동 작성 액세스 제어

ACL 등록 정보 파일의 마지막 섹션에는 브로커에서 대상을 자동 작성하는 사용자 또는 그룹을 지정하는 액세스 규칙이 있습니다.

사용자가 아직 존재하지 않는 대상에서 공급자 또는 메시지 사용자를 만든 경우, 브로커의 자동 작성 등록 정보가 활성화되어 있고 물리적 대상이 아직 존재하지 않으면 브로커가 해당 대상을 만듭니다.

기본적으로 모든 사용자 또는 그룹은 브로커가 대상을 자동 작성하도록 할 수 있습니다. 이 권한은 다음과 같은 규칙으로 지정합니다.

queue.create.allow.user=*

topic.create.allow.user=*

ACL 파일을 편집하여 이 유형의 액세스를 제한할 수도 있습니다.

대상 자동 작성 액세스 규칙의 일반 구문은 다음과 같습니다.

resourceType.create.access.principalType = principals

여기서 resourceType은 queue 또는 topic입니다.

예를 들어, 다음 규칙은 브로커가 Snoopy를 제외한 모든 사람에 대해 주제 대상을 자동 작성하도록 허용합니다.

topic.create.allow.user=*

topic.create.deny.user=Snoopy

대상 자동 작성 규칙의 효과와 대상 액세스 규칙의 효과 사이에 모순이 없도록 해야 합니다. 예를 들어, 1) 어떤 사용자도 대상으로 메시지를 보낼 수 없도록 대상 액세스 규칙을 변경했는데 2) 대상의 자동 작성은 허용했다면, 브로커에서는 대상이 없는 경우 대상을 만들기는 하지만 메시지를 그 대상으로 전달하지는 않습니다.

암호화: SSL 서비스를 사용한 작업(엔터프라이즈판)

---

MQ 엔터프라이즈판은 Secure Socket Layer (SSL) 표준에 따라 TCP/IP (ssljms 및 ssladmin)와 HTTP (httpsjms)에서 연결 서비스를 지원합니다. 이러한 SSL 기반 연결 서비스를 사용하면 클라이언트와 브로커 사이에서 보내는 메시지를 암호화할 수 있습니다. 현재 MQ 릴리스는 자체 서명된 서버 인증서를 기반으로 한 SSL 암호화를 지원합니다.

SSL 기반 연결 서비스를 사용하려면 키 도구 유틸리티(imqkeytool)를 사용해서 개인 키/공용 키 쌍을 생성해야 합니다. 이 유틸리티는 브로커에 대해 연결을 요청하는 모든 클라이언트로 전달되는, 자체 서명된 인증서에 공용 키를 포함합니다. 그러면 클라이언트에서 이 인증서를 사용하여 암호화된 연결을 설정합니다.

MQ의 SSL 기반 연결 서비스가 개념은 비슷하지만, 설정 방법에는 몇 가지 차이점이 있습니다. 따라서 TCP/IP와 HTTP에서의 보안 연결에 대한 내용은 뒤의 절에서 별도로 설명합니다.

TCP/IP에서 SSL 서비스 설정

TCP/IP에서 직접 보안 연결을 제공하는 SSL 기본 연결 서비스에는 두 가지가 있습니다.

ssljms    이 연결 서비스는 클라이언트와 브로커 사이에서 암호화된 보안 연결을 통해 JMS 메시지를 전달할 때 사용됩니다.

ssladmin   

이 연결 서비스는 명령줄 관리 도구인 명령 유틸리티(imqcmd)와 브로커 사이에서 암호화된 보안 연결을 만들 때 사용됩니다. 관리 콘솔(imqadmin)에서는 보안 연결이 지원되지 않습니다.

ssljms 연결 서비스를 설정하는 방법

1. 자체 서명된 인증서를 생성합니다.
2. 브로커에서 ssljms 연결 서비스를 활성화합니다.
3. 브로커를 시작합니다.
4. 클라이언트를 구성하고 실행합니다.

ssljms와 ssladmin 연결 서비스를 설정하는 절차는 4단계의 클라이언트 구성 및 실행을 제외하면 서로 같습니다.

각 단계에 대해서는 뒤에서 자세히 설명합니다.

1단계. 자체 서명된 인증서 생성

MQ 3.0.1의 SSL 지원은 클라이언트가 알려지고 신뢰할 수 있는 서버와 통신한다는 가정하에 전송 데이터를 보호하기 위한 것입니다. 따라서 MQ 3.0.1에서는 자체 서명된 인증서만을 사용해서 SSL이 구현됩니다.

imqkeytool 명령을 실행하여 브로커에 자체 서명된 인증서를 생성합니다. ssljms와 ssladmin 연결 서비스 모두에 같은 인증서를 사용할 수 있습니다. 명령 프롬프트에서 다음을 입력합니다.

imqkeytool -broker

유틸리티는 필요한 정보를 묻는 메시지를 표시합니다. (Unix 시스템에서 키 저장소를 만들 권한을 가지려면 imqkeytool을 수퍼유저(루트)로 실행해야 할 수도 있습니다.)

imqkeytool은 키 저장소 비밀번호, 일부 조직 정보 및 사용자의 확인을 묻는 메시지를 차례로 표시합니다. 확인이 끝나면 키 쌍을 생성하는 동안 일시 중지됩니다. 그런 다음 특정 키 쌍을 잠글 비밀번호(키 비밀번호)를 묻습니다. 이 프롬프트에 대한 응답으로 Return 키를 눌러야 합니다. 그러면 키 비밀번호가 키 저장소 비밀번호와 동일하게 지정됩니다.

---

주	입력한 비밀번호를 기억해야 합니다. 나중에 브로커를 시작할 때 이 비밀번호를 제공해야 브로커가 키 저장소를 열 수 있습니다. 키 저장소 비밀번호를 passfile에 저장할 수도 있습니다("Passfile 사용" 참조).

---

imqkeytool을 실행하면 JDK keytool 유틸리티를 실행하여 자체 서명된 인증서를 생성하고 생성된 키를 다음 위치의 MQ 키 저장소에 넣을 수 있습니다.

IMQ_HOME/etc/keystore (Solaris의 경우 /etc/imq/keystore)

키 저장소의 형식은 JDK1.2 keytool 유틸리티에서 지원하는 것과 같습니다.

MQ 키 저장소의 구성 가능한 등록 정보는 표 8-8에 나와 있습니다(등록 정보 구성 지침은 5장, "브로커 시작 및 구성" 참조).

표 8-8    키 저장소 등록 정보 

등록 정보 이름	설명
imq.keystore.file. dirpath	SSL 기반 서비스의 경우: 키 저장소 파일이 있는 디렉토리의 경로를 지정합니다. 기본값: IMQ_HOME/etc (Solaris의 경우 /etc/imq/)
imq.keystore.file.name	SSL 기반 서비스의 경우: 키 저장소 파일의 이름을 지정합니다. 기본값: keystore
imq.keystore.password	SSL 기반 서비스의 경우: 키 저장소 비밀번호를 지정합니다. passfile에만 저장할 수 있습니다("Passfile 사용" 참조). 보안을 강화하려면 브로커가 비밀번호를 묻는 프롬프트를 표시하게 하거나 imqbrokerd -password 명령줄 옵션을 사용하여 비밀번호를 지정합니다.

문제를 해결하기 위해 키 쌍을 다시 생성해야 할 수도 있습니다. 예를 들면 다음과 같습니다.

• 키 저장소 비밀번호를 잊은 경우
• 브로커를 시작할 때 SSL 서비스를 초기화할 수 없고 다음과 같은 예외가 발생하는 경우
  java.security.UnrecoverableKeyException: Cannot recover key.

이 예외는 "1단계. 자체 서명된 인증서 생성"에서 자체 서명된 인증서를 생성할 때 지정한 키 저장소 비밀번호와 입력한 키 저장소 비밀번호가 다른 경우에 발생할 수 있습니다.

키 쌍을 다시 생성하는 방법

1. 다음 위치에서 브로커의 키 저장소를 제거합니다.

IMQ_HOME/etc/keystore (Solaris의 경우 /etc/imq/keystore)

2. imqkeytool을 다시 실행하여 "1단계. 자체 서명된 인증서 생성"의 설명과 같이 키 쌍을 생성합니다.

2단계. 브로커에서 SSL 기반 서비스 활성화

브로커에서 SSL 서비스를 활성화하려면 imq.service.activelist 등록 정보에 ssljms (ssladmin)를 추가해야 합니다.

1. 브로커의 인스턴스 구성 파일을 엽니다. 이 파일은 다음 위치에 있습니다.

IMQ_VARHOME/instances/brokerName/props/config.properties
(Solaris의 경우 /var/imq/instances/brokerName/props/config.properties)

여기서 brokerName은 브로커 인스턴스의 이름입니다.

2. ssljms 또는 ssladmin 값 또는 두 값 모두를 원하는 서비스에 따라 imq.service.activelist 등록 정보에 추가합니다.

imq.service.activelist=jms,admin,httpjms,ssljms, ssladmin

3단계. 브로커 시작

브로커를 시작하며 키 저장소 비밀번호를 제공합니다. 비밀번호는 다음 중 한 가지 방법으로 제공할 수 있습니다.

• 브로커를 시작할 때 비밀번호를 묻는 프롬프트가 표시되게 합니다.

imqbrokerd
Please enter Keystore password: mypassword

• imqbrokerd 명령에 -password 옵션을 사용합니다.

imqbrokerd -password mypassword

• 브로커를 시작할 때 액세스하는 passfile 파일("Passfile 사용" 참조)에 비밀번호를 입력합니다. 먼저 다음과 같은 브로커 구성 등록 정보를 설정해야 합니다("인스턴스 구성 파일 편집" 참조).

imq.passfile.enabled=true

이 등록 정보가 설정되면 두 가지 중 한 가지 방법으로 passfile에 액세스할 수 있습니다.

• passfile의 위치를 imqbrokerd 명령에 전달합니다.

imqbrokerd -passfile /tmp/mypassfile

• -passfile 옵션 없이 브로커를 시작하되, 다음의 두 브로커 구성 등록 정보를 사용해서 passfile의 위치를 지정합니다.

imq.passfile.dirpath=/tmp

imq.passfile.name=mypassfile

passfile 관련 브로커 등록 정보의 목록을 보려면 표 2-6을 참조하십시오.

SSL을 사용하는 브로커나 클라이언트를 시작할 때 몇 초간 CPU 사이클을 과도하게 사용하는 경우가 있을 수 있습니다. 이것은 MQ에서 SSL 구현에 JSSE (Java Secure Socket Extension)를 사용하기 때문입니다. JSSE에서는 java.security.SecureRandom()을 사용하여 난수를 생성합니다. 이 방법은 초기 난수 시드를 만드는 동안 상당한 시간을 소비하기 때문에 CPU 사용량이 많아지게 됩니다. 시드를 만들고 나면 CPU 수준이 정상으로 돌아갑니다.

4단계. SSL기반 클라이언트 구성 및 실행

마지막으로 보안 연결 서비스를 사용하도록 클라이언트를 구성해야 합니다. 클라이언트의 종류에는 사용하는 연결 서비스에 따라 ssljms를 사용하는 JMS 클라이언트와 ssladmin을 사용하는 MQ 관리 명령 유틸리티(imqcmd)의 두 가지가 있습니다. 다음 절에서 이 두 가지에 대해 별도로 설명합니다.

JMS 클라이언트

클라이언트의 클래스 경로에 필요한 Secure Socket Extension (JSSE) jar 파일이 있는지 확인하고 ssljms 연결 서비스를 사용하도록 지정해야 합니다.

1. 클라이언트에서 (JSSE 및 JNDI 지원이 기본적으로 제공되는) J2SDK1.4를 사용하지 않는 경우에는 클라이언트의 클래스 경로에 다음 jar 파일이 있는지 확인합니다.

jsse.jar, jnet.jar, jcert.jar, jndi.jar

2. 클라이언트의 클래스 경로에 다음 MQ jar 파일이 있는지 확인합니다.

imq.jar, jms.jar

3. 클라이언트를 시작하고 브로커의 ssljms 서비스에 연결합니다. 이 작업을 수행하는 방법 중 하나는 다음과 같은 명령을 입력하는 것입니다.

java -DimqConnectionType=TLS clientAppName

imqConnectionType을 설정하면 연결에서 SSL을 사용하게 됩니다.

클라이언트 응용 프로그램에서의 ssljms 연결 서비스 사용에 대한 자세한 내용은 MQ Developer's Guide의 관리 객체 사용에 대한 장을 참조하십시오.

명령 유틸리티(imqcmd)

imqcmd를 사용할 때 -secure 옵션을 포함하면 보안 관리 연결을 설정할 수 있습니다(표 6-2 참조). 예를 들면 다음과 같습니다.

imqcmd list svc -b hostName:port -u adminName -p adminPassword -secure

여기서 adminName과 adminPassword는 MQ 사용자 저장소의 유효한 항목입니다(플랫 파일 저장소를 사용하는 경우 "기본 관리자 비밀번호 변경" 참조).

이 예에서 연결 서비스를 나열하는 것은 ssladmin 서비스가 실행 중이며 다음 출력과 같이 보안 관리 연결을 성공적으로 설정할 수 있다는 것을 보여주는 방법입니다.

---

Listing all the services on the broker specified by: Host                 Primary Port localhost            7676 Service Name     Port Number       Service State admin            33984 (dynamic)   RUNNING httpjms          -                 UNKNOWN httpsjms         -                 UNKNOWN jms              33983 (dynamic)   RUNNING ssladmin         35988 (dynamic)   RUNNING ssljms           dynamic           UNKNOWN Successfully listed services.

---

HTTP에서 SSL 서비스 설정

이 SSL 기반 연결 서비스(httpsjms)에서 클라이언트와 브로커는 HTTPS 터널 서브릿을 통해 보안 연결을 설정합니다. HTTPS 지원의 구조와 구현에 대한 설명은 부록 B "HTTP/HTTPS 지원(엔터프라이즈판)"을 참조하십시오.

Passfile 사용

---

필요한 비밀번호를 묻는 프롬프트를 표시하거나 imqbrokerd 명령에 해당 비밀번호를 제공하지 않고 브로커를 시작하려면 필요한 비밀번호를 passfile에 넣습니다.

passfile은 비밀번호를 포함하는 단순 텍스트 파일입니다. 이 파일은 암호화되지 않기 때문에 비밀번호를 수동으로 제공하는 것보다 덜 안전합니다. 하지만 파일에 대한 권한 설정을 통해 해당 파일을 볼 수 있는 권한을 제한할 수 있습니다. passfile의 권한은 브로커를 시작하는 사용자가 이 파일을 읽을 수 있도록 설정해야 합니다.

passfile에는 표 8-9에 있는 것과 같은 비밀번호를 포함할 수 있습니다.

표 8-9    Passfile의 비밀번호

비밀번호	설명
imq.keystore.password	SSL 기반 서비스의 키 저장소 비밀번호를 지정합니다.
imq.user_repository.ldap. password	구성된 LDAP 사용자 저장소에 바인드할 수 있도록 브로커에 할당한 고유 이름에 연결되는 비밀번호를 지정합니다.
imq.persist.jdbc.password	필요한 경우 데이터베이스 연결을 여는 비밀번호를 지정합니다.

다음 위치에 샘플 passfile이 있습니다.

IMQ_HOME/etc/passfile.sample (Solaris의 경우 /etc/imq/passfile.sample)