8장 보안 관리

이 장에서는 인증, 권한 부여, 암호화 등 보안과 관련된 작업을 수행하는 방법에 대해 설명합니다.

사용자 인증 사용자 저장소에 사용자 목록, 해당 그룹, 비밀번호를 관리해야 합니다. 브로커 인스턴스마다 다른 사용자 저장소를 사용할 수 있습니다. 이 장의 첫 부분에서는 저장소를 만들고, 채우고, 관리하는 방법에 대해 설명합니다. Message Queue 보안에 대한 소개는 "보안 관리자"를 참조하십시오.

사용자 권한 부여: 액세스 제어 등록 정보 파일 브로커 작업에 대한 각 사용자의 액세스를 사용자 아이디 또는 그룹 멤버쉽에 매핑하는 액세스 제어 등록 정보 파일을 편집해야 합니다. 브로커 인스턴스마다 다른 액세스 제어 등록 정보 파일을 사용할 수 있습니다. 이 장의 두 번째 부분에서는 이 등록 정보 파일을 사용자 정의하는 방법을 설명합니다.

암호화: SSL 기반 서비스를 사용한 작업(엔터프라이즈판) Secure Socket Layer (SSL) 표준 기반의 연결 서비스를 사용하면 클라이언트와 브로커 사이에 전달되는 메시지를 암호화할 수 있습니다. Message Queue에서 암호화를 처리하는 방법에 대한 소개는 "암호화(엔터프라이즈판)"를 참조하십시오. 이 장의 마지막 부분에서는 SSL 기반 연결 서비스를 설정하는 방법에 대해 설명하고 SSL 사용에 대한 추가 정보를 제공합니다.

브로커에서 SSL 키 저장소, LDAP 사용자 저장소, 또는 JDBC 호환 영구 저장소에 대한 액세스 보안을 설정할 때 비밀번호가 필요한 경우에는 다음과 같은 세 가지 방법으로 비밀번호를 입력할 수 있습니다.

브로커가 시작할 때 시스템에서 프롬프트를 표시하게 합니다.

브로커를 시작할 때 명령줄 옵션으로 비밀번호를 전달합니다("브로커 시작" 및 표 5-2 참조).

시스템에서 브로커를 시작할 때 액세스하는 passfile에 비밀번호를 저장합니다("Passfile 사용" 참조).

사용자 인증

사용자가 브로커에 연결하려고 하면 브로커는 제공되는 아이디와 비밀번호를 검사하여 사용자를 인증한 후 각 브로커가 참조하는 브로커별 사용자 저장소의 정보와 일치하면 연결을 허용합니다. 이 저장소의 유형에는 두 가지가 있습니다.

Message Queue와 함께 제공되는 플랫 파일 저장소

이 유형의 사용자 저장소는 사용하기가 매우 쉽습니다. 하지만 보안 공격에 취약하기 때문에 평가 및 개발 목적에만 사용해야 합니다. 사용자 관리자 유틸리티(imqusermgr)를 사용하면 저장소를 채우고 관리할 수 있습니다. 인증을 사용하려면 각 사용자의 아이디, 비밀번호, 사용자 그룹 이름으로 사용자 저장소를 채웁니다.

플랫 파일 사용자 저장소 사용

Message Queue에는 플랫 파일 사용자 저장소와 플랫 파일 사용자 저장소를 채우고 관리할 때 사용할 수 있는 명령줄 도구인 Message Queue 사용자 관리자(imqusermgr)가 제공됩니다. 다음 절에서는 플랫 파일 사용자 저장소에 대해 설명하고 Message Queue 사용자 관리자 유틸리티(imqusermgr)를 사용하여 해당 저장소를 채우고 관리하는 방법을 설명합니다.

사용자 저장소 만들기

플랫 파일 사용자 저장소는 인스턴스별로 고유합니다. 기본 사용자 저장소(passwd)가 시작하는 각 브로커 인스턴스에 대해 만들어집니다. 이 사용자 저장소는 저장소와 연관된 브로커 인스턴스의 이름(instanceName)으로 식별되는 디렉토리에 저장됩니다(부록 A, "Message Queue 데이터의 위치" 참조).

저장소는 다음 표 8-1과 같이 두 개의 항목(행)으로 만들어집니다.

초기 항목을 사용하면 관리자가 개입하지 않고도 설치된 Message Queue 브로커를 즉시 사용할 수 있습니다. 즉, Message Queue 브로커를 사용하기 위해 초기 사용자/비밀번호 설정을 할 필요가 없습니다.

표 8-1 사용자 저장소 초기 항목
사용자 아이디	비밀번호	그룹	상태
admin	admin	admin	active
guest	guest	anonymous	active

초기 guest 사용자 항목을 사용하면 클라이언트에서 기본 guest 사용자 아이디와 비밀번호를 사용하여 브로커 인스턴스에 연결할 수 있습니다(예를 들어 테스트 목적으로).

초기 admin 사용자 항목을 사용하면 imqcmd 명령을 사용하여 기본 admin 사용자 아이디와 비밀번호로 브로커 인스턴스를 관리할 수 있습니다. 이 초기 항목을 업데이트하여 비밀번호를 변경하는 것이 좋습니다("기본 관리자 비밀번호 변경" 참조).

다음 절에서는 플랫 파일 사용자 저장소를 채우고 관리하는 방법을 설명합니다.

사용자 관리자 유틸리티(imqusermgr)

사용자 관리자 유틸리티(imqusermgr)를 사용하면 플랫 파일 사용자 저장소를 편집하거나 채울 수 있습니다.

이 절에서는 기본 imqusermgr 명령 구문을 설명하고, 하위 명령 목록을 제공하고, imqusermgr 명령 옵션을 요약합니다. 다음 절에서는 imqobjmgr 하위 명령을 사용하여 특정 작업을 수행하는 방법에 대해 설명합니다.

imqusermgr을 사용하기 전에 주의해야 할 사항은 다음과 같습니다.

브로커별 사용자 저장소가 없는 경우 해당 브로커 인스턴스를 시작하여 만들어야 합니다.

imqusermgr 명령은 브로커가 설치되는 호스트에서 실행해야 합니다.

저장소에 쓸 수 있는 적절한 권한이 있어야 합니다. Solaris 및 Linux의 경우 해당 브로커 인스턴스를 처음으로 만든 사용자나 루트 사용자여야 합니다.

imqusermgr 명령 구문

-v, 또는 -h 옵션을 지정하는 경우 명령줄에 지정된 하위 명령이 실행되지 않습니다. 예를 들어, 다음 명령을 입력하면 버전 정보는 표시되지만 list 하위 명령은 실행되지 않습니다.

imqusermgr 하위 명령

imqusermgr 명령 옵션 요약

표 8-2 imqusermgr 하위 명령
하위 명령	설명
add [-i instanceName] -u userName -p passwd [-g group] [-s]	지정한(또는 기본) 브로커 인스턴스 저장소에 사용자와 관련 비밀번호를 추가하고 선택적으로 사용자 그룹을 지정합니다.
delete [-i instanceName] -u userName [-s] [-f]	지정한(또는 기본) 브로커 인스턴스 저장소에서 지정한 사용자를 삭제합니다.
list [-i instanceName] [-u userName]	지정한(또는 기본) 브로커 인스턴스 저장소의 지정한 사용자 또는 모든 사용자에 대한 정보를 표시합니다.
update [-i instanceName] -u userName -p passwd [-a state] [-s] [-f] update [-i instanceName] -u userName -a state [-p passwd] [-s] [-f]	지정한(또는 기본) 브로커 인스턴스 저장소에 있는 지정한 사용자의 비밀번호 및/또는 상태를 업데이트합니다.


주	다음 절의 예에서는 기본 브로커 인스턴스인 경우를 가정합니다.

표 8-3 imqusermgr 옵션
옵션	설명
-a active_state	사용자 상태의 활성화 여부를 지정합니다(true/false). true 값은 활성화 상태를 나타내며 기본값입니다.
-f	사용자의 확인 없이 작업을 수행합니다.
-h	사용 도움말을 표시합니다. 명령줄에 있는 명령은 실행되지 않습니다.
-i instanceName	명령이 적용될 브로커 인스턴스 사용자 저장소를 지정합니다. 지정하지 않으면 기본 instanceName, imqbroker가 적용됩니다.
-p passwd	사용자의 비밀번호를 지정합니다.
-g group	사용자 그룹을 지정합니다. 유효한 값에는 admin, user, anonymous가 있습니다.
-s	자동 모드를 설정합니다.
-u userName	사용자 아이디를 지정합니다.
-v	버전 정보를 표시합니다. 명령줄에 있는 명령은 실행되지 않습니다.

그룹

브로커 인스턴스의 사용자 저장소에 사용자 항목을 추가할 때, 사용자에 대해 사전 정의된 admin, user, anonymous의 세 가지 그룹 옵션 중 하나를 지정할 수 있습니다. 그룹을 지정하지 않으면 기본 그룹인 user가 할당됩니다.

admin 그룹. 브로커 관리자에 사용됩니다. 이 그룹에 할당된 사용자는 기본적으로 브로커를 구성하고 관리할 수 있습니다. admin 그룹에 사용자를 두 명 이상 할당할 수도 있습니다.

user 그룹. 관리자가 아닌 일반 Message Queue 클라이언트 사용자에 사용됩니다. 대부분의 클라이언트 사용자는 user 그룹에서 인증된 브로커에 액세스합니다. 기본적으로 이 그룹의 응용 프로그램 클라이언트 사용자는 모든 주제와 대기열에서 메시지를 생성 및 사용하거나 모든 대기열의 메시지를 찾아볼 수 있습니다.

anonymous 그룹. 브로커에 알려진 사용자 아이디를 사용하지 않는(클라이언트 응용 프로그램에서 사용하는 실제 사용자의 아이디를 알지 못하기 때문일 수 있음) Message Queue 클라이언트에 사용됩니다. 이 그룹은 대부분의 FTP 서버에 있는 anonymous 계정과 유사합니다. anonymous 그룹에 한 번에 한 사용자만 할당할 수 있습니다. 액세스 제어를 통해 이 그룹의 액세스 권한을 user 그룹에 비해 제한하거나 배포할 때 이 그룹에서 사용자를 제거해야 합니다.

사용자의 그룹을 변경하려면, 사용자 항목을 삭제한 후 그 사용자에 다른 항목을 추가하여 새 그룹을 지정해야 합니다.

상태

사용자를 저장소에 추가하면 그 사용자는 기본적으로 활성 상태가 됩니다. 사용자를 비활성 상태로 만들려면 update 명령을 사용해야 합니다. 예를 들어, 다음 명령은 사용자 JoeD를 비활성 상태로 만듭니다.

비활성 상태인 사용자의 항목은 저장소에 보존되지만, 비활성 상태인 사용자가 새 연결을 열 수는 없습니다. 사용자가 비활성 상태일 때 같은 이름을 가진 다른 사용자를 추가하면 작업이 실패합니다. 비활성 사용자 항목을 삭제하거나, 새 사용자의 이름을 변경하거나, 새 사용자에게 다른 이름을 사용해야 합니다. 그러면 중복되는 사용자 아이디를 추가하지 않게 됩니다.

사용자 아이디 및 비밀번호 형식

사용자 아이디와 비밀번호는 다음과 같은 지침을 따라야 합니다.

사용자 아이디는 표 8-4에 있는 문자를 포함할 수 없습니다.

표 8-4 사용자 아이디 및 비밀번호에 유효하지 않은 문자
문자	설명
*	별표
,	쉼표
:	콜론

사용자 아이디 및 비밀번호에 줄바꿈이나 캐리지 리턴 문자가 포함되지 않아야 합니다.

이름 또는 비밀번호에 공백이 포함된 경우에는 이름 또는 비밀번호 전체를 따옴표로 묶어야 합니다.

이름 또는 비밀번호는 최소 한 문자 이상이어야 합니다.

명령 쉘에서 명령줄에 입력할 수 있는 문자 수가 제한되어 있는 것 외에는 비밀번호 또는 사용자 아이디에 적용되는 길이 제한은 없습니다.

사용자 저장소 채우기 및 관리

저장소에 사용자를 추가하려면 add 하위 명령을 사용합니다. 예를 들어, 다음 명령은 기본 브로커 인스턴스 사용자 저장소에 비밀번호가 sesame인 사용자 Katharine을 추가합니다.

저장소에서 사용자를 삭제하려면 delete 하위 명령을 사용합니다. 예를 들어, 다음 명령은 Bob이라는 사용자를 삭제합니다.

사용자의 비밀번호 또는 상태를 변경하려면 update 하위 명령을 사용합니다. 예를 들어, 다음 명령은 Katharine의 비밀번호를 alladin으로 변경합니다.

하나 이상의 사용자에 대한 정보를 나열하려면 list 명령을 사용합니다. 다음 명령은 isa라는 사용자에 대한 정보를 표시합니다.

기본 관리자 비밀번호 변경

보안을 위해 admin의 기본 비밀번호를 혼자만 아는 값으로 변경해야 합니다. 그러려면 imqusermgr 도구를 사용해야 합니다.

다음 명령은 mybroker 브로커 인스턴스의 기본 비밀번호를 grandpoobah로 변경합니다.

브로커 인스턴스가 실행 중일 때 명령줄 도구 중 하나를 실행하여 변경 사항의 적용 여부를 빠르게 확인할 수 있습니다. 예를 들어, 다음 명령이 작동해야 합니다.

비밀번호를 변경한 후에 관리 콘솔을 포함한 Message Queue 관리 도구를 사용하려면 새 비밀번호를 제공해야 합니다.

사용자 저장소에 LDAP 서버 사용

사용자 저장소에 LDAP 서버를 사용하려면 인스턴스 구성 파일에서 특정 브로커 등록 정보를 설정해야 합니다. 이 등록 정보를 사용하면 사용자가 브로커 인스턴스에 연결하거나 특정 메시징 작업을 수행하려 할 때 브로커 인스턴스가 LDAP 서버로부터 사용자 및 그룹에 대한 정보를 쿼리할 수 있습니다. 인스턴스 구성 파일(config.properties)은 구성 파일이 연관된 브로커 인스턴스의 이름(instanceName)으로 식별되는 디렉토리에 있습니다(부록 A, "Message Queue 데이터의 위치" 참조).

LDAP 서버를 사용하도록 구성 파일을 편집하는 방법

다음 등록 정보를 설정하여 LDAP 사용자 저장소를 사용하고 있음을 지정합니다.

imq.authentication.basic.user_repository=ldap

imq.authentication.type 등록 정보를 설정하여 클라이언트에서 브로커로 전달되는 비밀번호를 base64 인코딩(basic) 또는 MD5 다이제스트(digest) 중 어느 쪽으로 할 것인지 결정합니다. 사용자 저장소에 LDAP 디렉토리를 사용하는 경우에는 인증 유형을 basic으로 설정해야 합니다. 예를 들면 다음과 같습니다.

imq.authentication.type=basic

LDAP 액세스를 제어하는 브로커 등록 정보도 설정해야 합니다. 브로커의 인스턴스 구성 파일에 저장되는 이러한 등록 정보에 대한 설명은 표 8-5에 나와 있습니다. Message Queue에서는 JNDI API를 사용하여 LDAP 디렉토리 서버와 통신합니다. 이러한 등록 정보에 사용되는 구문과 용어에 대한 자세한 내용은 JNDI 설명서를 참조하십시오. Message Queue에서는 Sun JNDI LDAP 공급자를 사용하며 단순 인증을 사용합니다.

Message Queue는 LDAP 인증 페일오버를 지원하므로 인증을 시도할 LDAP 디렉토리 서버 목록을 지정할 수 있습니다(표 8-5의 imq.user.repos.ldap.server 등록 정보 참조).

표 8-5 LDAP 관련 등록 정보
등록 정보	설명
imq.user_repository. ldap.server	LDAP 서버의 host:port입니다. host는 디렉토리 서버를 실행 중인 호스트의 정규화된 DNS 이름을 지정하고 port는 디렉토리 서버에서 통신에 사용하는 포트 번호를 지정합니다. 페일오버 서버 목록을 지정하려면 다음 구문을 사용합니다. host1:port1 ldap://host2:port2 ldap://host3:port3... 여기서 목록의 항목을 공백으로 구분합니다. 첫 번째 항목 다음의 각 페일오버 서버 주소는 ldap로 시작합니다.
imq.user_repository. ldap.principal	브로커에서 검색할 디렉토리 서버에 바인드할 때 사용하는 고유 이름입니다. 디렉토리 서버에서 익명 검색을 허용하는 경우에는 이 등록 정보에 값을 할당할 필요가 없습니다.
imq.user_repository. ldap.password	브로커에서 사용하는 고유 이름에 연결된 비밀번호입니다. 이 등록 정보는 passfile에만 지정할 수 있습니다("Passfile 사용" 참조). 여러 방법으로 비밀번호를 제공할 수 있습니다. 가장 안전한 방법은 브로커가 비밀번호를 묻는 프롬프트를 표시하게 하는 것입니다. passfile을 사용하고 passfile을 읽기 방지하는 방법은 덜 안전합니다. imqbrokerd -ldappassword 명령줄 옵션을 사용하여 비밀번호를 지정하는 방법이 가장 안전하지 않습니다. 디렉토리 서버가 익명 검색을 허용하는 경우에는 비밀번호가 필요 없습니다.
imq.user_repository. ldap.base	사용자 항목에 사용되는 디렉토리 기반입니다.
imq.user_repository. ldap.uidattr	사용자를 고유하게 식별하는 값을 가진 공급자별 속성 식별자입니다. uid, cn 등이 있습니다.
imq.user_repository. ldap.usrfilter	JNDI 검색 필터(논리식으로 표현된 검색 쿼리)입니다. 사용자에 대해 검색 필터를 지정하면 브로커에서 검색 범위를 좁혀 효율을 높일 수 있습니다. 자세한 내용은 http://java.sun.com/products/jndi/tutorial에 있는 JNDI 자습서를 참조하십시오. 이 등록 정보는 설정하지 않아도 됩니다.
imq.user_repository. ldap.grpsearch	그룹 검색의 사용 여부를 지정하는 부울 값입니다. 사용자를 그룹에 연결할 수 있는지 확인하려면 LDAP 공급자가 제공하는 설명서를 참조하십시오. Message Queue에서는 중첩 그룹이 지원되지 않습니다. 기본값: false
imq.user_repository. ldap.grpbase	그룹 항목에 사용되는 디렉토리 기반입니다.
imq.user_repository. ldap.gidattr	그룹 이름을 값으로 가진 공급자별 속성 식별자입니다.
imq.user_repository. ldap.memattr	그룹 구성원의 고유 이름을 값으로 가진 그룹 항목 내의 속성 식별자입니다.
imq.user_repository. ldap.grpfiltler	JNDI 검색 필터(논리식으로 표현된 검색 쿼리)입니다. 그룹에 대해 검색 필터를 지정하면 브로커에서 검색 범위를 좁혀 효율을 높일 수 있습니다. 자세한 내용은 다음 위치의 JNDI 자습서를 참조하십시오. http://java.sun.com/products/jndi/tutorial 이 등록 정보는 설정하지 않아도 됩니다.
imq.user_repository. ldap.timeout	검색의 시간 제한(초)을 지정하는 정수입니다. 기본적으로 180초로 설정됩니다.
imq.user_repository. ldap.ssl.enabled	브로커가 LDAP 서버와 통신할 때 SSL 프로토콜을 사용해야 하는지 여부를 지정하는 부울 값입니다. 기본적으로 이 값은 false로 설정됩니다.

샘플(기본) LDAP 사용자 저장소의 관련 등록 정보 설정을 보려면 브로커의 default.properties 파일을 참조하십시오.

필요한 경우에는 액세스 제어 등록 정보 파일에서 사용자/그룹과 규칙을 편집해야 합니다. 액세스 제어 등록 정보 파일 사용에 대한 자세한 내용은 "사용자 권한 부여: 액세스 제어 등록 정보 파일"을 참조하십시오.

연결 인증 및 그룹 검색 중 브로커가 SSL을 통해 LDAP 디렉토리 서버와 통신하도록 하려면 LDAP 서버에서 SSL을 활성화한 후 브로커 구성 파일에서 다음 등록 정보를 설정해야 합니다.

LDAP 서버가 SSL 통신에 사용하는 포트를 지정합니다. 예를 들면 다음과 같습니다.

imq.user_repository.ldap.server=myhost:7878

브로커 등록 정보 imq.user_repository.ldap.ssl.enabled
를 true로 설정합니다.

사용자 권한 부여:
액세스 제어 등록 정보 파일

사용자는 브로커 인스턴스에 연결한 후 메시지를 생성하거나, 대상에서 메시지를 사용하거나, 대기열 대상에서 메시지를 찾아볼 수 있습니다. 사용자가 이러한 작업을 시도하면 브로커는 브로커별 액세스 제어 등록 정보 파일(ACL 파일)을 검토하여 해당 사용자가 작업을 수행할 권한이 있는지 확인합니다. ACL 파일에는 특정 사용자(또는 사용자 그룹)가 어떤 작업을 수행할 수 있는지를 지정하는 규칙이 포함되어 있습니다. 기본적으로 인증된 모든 사용자는 모든 대상에서 메시지를 생성하고 사용할 수 있습니다. ACL 파일을 편집하여 이런 작업을 특정 사용자 및 그룹으로 제한할 수 있습니다.

액세스 제어 등록 정보 파일 작성

ACL 파일은 인스턴스에 고유합니다. 기본 파일(accesscontrol.properties)이 시작하는 각 브로커 인스턴스에 대해 만들어집니다. 이 ACL 등록 정보 파일은 ACL 파일이 연결된 브로커 인스턴스의 이름(instanceName)으로 식별되는 디렉토리에 저장됩니다(부록 A, "Message Queue 데이터의 위치" 참조).

ACL 파일은 Java 등록 정보 파일과 같은 형식으로 구성됩니다. 먼저 파일 버전을 정의하는 것으로 시작하여 다음 세 개 섹션에서 액세스 제어 규칙을 지정합니다.

연결 액세스 제어

대상 액세스 제어

대상 자동 작성 액세스 제어

version 등록 정보는 ACL 등록 정보 파일의 버전을 정의하며 이 항목은 변경할 수 없습니다.

액세스 규칙의 기본 구문, 권한을 계산하는 방법 및 ACL 파일에서 액세스 제어를 지정하는 세 개 섹션에 대한 설명이 아래에 나와 있습니다.

액세스 규칙 구문

ACL 등록 정보 파일에서 액세스 제어는 대상 및 연결 서비스와 같이 보호된 자원에 대해 특정 사용자 또는 그룹이 갖는 액세스를 정의합니다. 액세스 제어는 규칙 또는 규칙 집합으로 나타내며 각 규칙은 Java 등록 정보로 표시됩니다.

표 8-6 액세스 규칙의 구문 요소
요소	설명
resourceType	connection, queue 또는 topic 중 하나입니다.
resourceVariant	resourceType에서 지정한 유형의 인스턴스입니다. 예를 들면 myQueue가 있습니다. 와일드카드 문자(*)를 사용하여 모든 연결 서비스 유형 또는 모든 대상을 나타낼 수 있습니다.
operation	값은 표현할 액세스 규칙의 종류에 따라 달라집니다.
access	allow 또는 deny 중 하나입니다.
principalType	user 또는 group 중 하나입니다. 자세한 내용은 "그룹"을 참조하십시오.
principals	규칙의 왼쪽에 지정한 액세스를 갖는 사람입니다. principalType이 user이면 개별 사용자 또는 사용자 목록(쉼표로 구분)이 될 수 있고, principalType이 group이면 한 그룹 또는 그룹 목록(쉼표로 구분)이 될 수 있습니다. 와일드카드 문자(*)를 사용하여 모든 사용자 또는 모든 그룹을 나타낼 수 있습니다.

다음 규칙은 모든 사용자가 q1이라는 이름의 대기열에 메시지를 보낼 수 있다는 것을 나타냅니다.

queue.q1.produce.allow.user=*

다음 규칙은 모든 사용자가 모든 대기열에 메시지를 보낼 수 있다는 것을 나타냅니다.

queue.*.produce.allow.user=*



주	ASCII가 아닌 사용자, 그룹 또는 대상 이름을 지정하려면 유니코드 제어(\uXXXX) 표기를 사용해야 합니다. ACL 파일을 편집한 후 ASCII 인코딩이 아닌 이름으로 저장한 경우에는 Java native2ascii 도구를 사용해서 해당 파일을 ASCII로 변환할 수 있습니다. 자세한 내용은 http://java.sun.com/j2se/1.4/docs/guide/intl/faq.html을 참조하십시오.

권한 계산

일련의 규칙으로 나타내는 권한을 계산할 때에는 다음과 같은 원리가 적용됩니다.

구체적인 액세스 규칙은 일반적인 액세스 규칙을 대체합니다. 다음 두 규칙을 적용하고 나면 모두가 모든 대기열에 전송할 수 있지만 Bob은 tq1에 전송할 수 없습니다.

queue.*.produce.allow.user=*

queue.tq1.produce.deny.user=Bob

명시된 principal로 지정한 액세스는 * principal로 지정한 액세스를 대체합니다. 다음 규칙은 tq1에서 메시지를 생성할 권한을 Bob에게는 거부하지만 다른 모든 사람에게는 허용합니다.

queue.tq1.produce.allow.user=*

queue.tq1.produce.deny.user=Bob

사용자에 대한 * principal 규칙은 그룹에 대한 해당 * principal을 대체합니다. 예를 들어, 다음 두 규칙은 인증된 모든 사용자가 tq1에 메시지를 보낼 수 있도록 허용합니다.

queue.tq1.produce.allow.user=*

queue.tq1.produce.deny.group=*

사용자에게 부여된 액세스 권한은 사용자 그룹에 부여된 액세스 권한을 대체합니다. 다음 예에서 Bob이 User의 구성원이라면 Bob은 tq1에 대해 메시지를 생성할 권한이 거부되지만, User의 다른 모든 구성원은 메시지를 생성할 수 있습니다.

queue.tq1.produce.allow.group=User

queue.tq1.produce.deny.user=Bob

액세스 규칙을 통해 명확하게 부여되지 않은 모든 액세스 권한은 거부됩니다. 예를 들어, ACL 파일에 액세스 규칙이 없으면 모든 사용자의 모든 작업이 거부됩니다.

같은 사용자 또는 그룹에 권한을 거부하고 허용하면 설정이 서로 상쇄됩니다. 예를 들어, 다음과 같은 두 규칙이 있으면 Bob은 q1을 찾아볼 수 없습니다.

queue.q1.browse.allow.user=Bob

queue.q1.browse.deny.user=Bob

왼쪽의 같은 규칙이 여러 개 있는 경우에는 마지막 항목만 적용됩니다.

연결 액세스 제어

ACL 등록 정보 파일의 연결 액세스 제어 섹션에는 브로커의 연결 서비스에 대한 액세스 제어 규칙이 있습니다. 연결 액세스 제어 규칙의 구문은 다음과 같습니다.

resourceVariant에 정의할 수 있는 값은 NORMAL과 ADMIN 두 가지입니다. 기본적으로 NORMAL 유형에는 모든 사용자가 액세스할 수 있지만 ADMIN 유형의 연결 서비스에는 그룹이 admin인 사용자만 액세스할 수 있습니다.

연결 액세스 제어 규칙을 편집하여 사용자의 연결 액세스 권한을 제한할 수 있습니다. 예를 들어, 다음 규칙에서는 NORMAL에 대한 Bob의 액세스를 거부하지만 다른 모든 사람은 허용합니다.

별표(*) 문자를 사용해서 인증된 모든 사용자 또는 그룹을 지정할 수 있습니다.

서비스 유형을 직접 만들 수는 없으며 NORMAL과 ADMIN 상수에서 지정하는 사전 정의된 유형만 사용할 수 있습니다.

대상 액세스 제어

액세스 제어 등록 정보 파일의 대상 액세스 제어 섹션에는 대상 기반의 액세스 제어 규칙이 있습니다. 이 규칙은 누가(사용자/그룹) 어디에서(대상) 무엇을(작업) 할 수 있는지 결정합니다. 이 규칙으로 규제되는 액세스 유형에는 대기열로 메시지 보내기, 주제에 메시지 게시, 대기열에서 메시지 받기, 주제에 가입, 대기열에서 메시지 찾아보기가 포함됩니다.

기본적으로 모든 사용자 또는 그룹은 모든 대상에 대해 모든 유형의 액세스를 갖습니다. 특정 대상 액세스 규칙을 추가하거나 기본 규칙을 편집할 수 있습니다. 이 절의 나머지 부분에서는 규칙을 직접 작성하기 위해 알아야 하는 대상 액세스 규칙의 구문에 대해 설명합니다.

하나 이상의 사용자 또는 하나 이상의 그룹에 액세스를 허용할 수 있습니다.

다음 예에서는 여러 종류의 대상 액세스 제어 규칙을 보여 줍니다.

표 8-7 대상 액세스 제어 규칙의 요소
구성 요소	설명
resourceType	queue 또는 topic 중 하나여야 합니다.
resourceVariant	대상 이름 또는 모든 대기열이나 모든 주제를 나타내는 모든 대상(*)입니다.
operation	produce, consume 또는 browse 중 하나여야 합니다.
access	allow 또는 deny 중 하나여야 합니다.
principalType	user 또는 group 중 하나여야 합니다.

모든 사용자가 모든 대기열 대상에 메시지를 보낼 수 있도록 허용합니다.

queue.*.produce.allow.user=*

user 그룹의 어떤 구성원도 Admissions 주제에 가입하지 못하게 합니다.

topic.Admissions.consume.deny.group=user

대상 자동 작성 액세스 제어

ACL 등록 정보 파일의 마지막 섹션에는 브로커에서 대상을 자동 작성하는 사용자 또는 그룹을 지정하는 액세스 규칙이 있습니다.

사용자가 아직 존재하지 않는 대상에서 공급자 또는 메시지 사용자를 만든 경우, 브로커의 자동 작성 등록 정보가 활성화되어 있고 물리적 대상이 아직 존재하지 않으면 브로커가 해당 대상을 만듭니다.

기본적으로 모든 사용자 또는 그룹은 브로커가 대상을 자동 작성하도록 할 수 있습니다. 이 권한은 다음과 같은 규칙으로 지정합니다.

ACL 파일을 편집하여 이 유형의 액세스를 제한할 수도 있습니다.

대상 자동 작성 액세스 규칙의 일반 구문은 다음과 같습니다.

예를 들어, 다음 규칙은 브로커가 Snoopy를 제외한 모든 사람에 대해 주제 대상을 자동 작성하도록 허용합니다.

대상 자동 작성 규칙의 효과와 대상 액세스 규칙의 효과 사이에 모순이 없도록 해야 합니다. 예를 들어, 1) 어떤 사용자도 대상으로 메시지를 보낼 수 없도록 대상 액세스 규칙을 변경했는데 2) 대상의 자동 작성은 허용했다면, 브로커에서는 대상이 없는 경우 대상을 만들기는 하지만 메시지를 그 대상으로 전달하지는 않습니다.

암호화: SSL 기반 서비스를 사용한 작업(엔터프라이즈판)

Message Queue 엔터프라이즈판은 Secure Socket Layer (SSL) 표준에 따라 TCP/IP (ssljms 및 ssladmin)와 HTTP (httpsjms)를 통해 연결 서비스를 지원합니다. 이러한 SSL 기반 연결 서비스를 사용하면 클라이언트와 브로커 사이에서 보내는 메시지를 암호화할 수 있습니다. 현재 Message Queue 릴리스는 자체 서명된 서버 인증서를 기반으로 한 SSL 암호화를 지원합니다.

SSL 기반 연결 서비스를 사용하려면 키 도구 유틸리티(imqkeytool)를 사용해서 개인 키/공용 키 쌍을 생성해야 합니다. 이 유틸리티는 브로커에 대해 연결을 요청하는 모든 클라이언트로 전달되는, 자체 서명된 인증서에 공용 키를 포함합니다. 그러면 클라이언트에서 이 인증서를 사용하여 암호화된 연결을 설정합니다.

Message Queue의 SSL 기반 연결 서비스가 개념은 비슷하지만, 설정 방법에는 몇 가지 차이점이 있습니다. 따라서 TCP/IP와 HTTP에서의 보안 연결에 대한 내용은 뒤의 절에서 별도로 설명합니다.

TCP/IP에서 SSL 기반 서비스 설정

TCP/IP에서 직접 보안 연결을 제공하는 SSL 기반 연결 서비스에는 세 가지가 있습니다.

ssljms 이 연결 서비스는 클라이언트와 브로커 간에 암호화된 보안 연결을 통해 메시지를 전달할 때 사용됩니다.

ssladmin 이 연결 서비스는 명령줄 관리 도구인 Message Queue 명령 유틸리티(imqcmd)와 브로커 간에 암호화된 보안 연결을 만들 때 사용됩니다. 관리 콘솔(imqadmin)에서는 보안 연결이 지원되지 않습니다.

클러스터 이 연결 서비스는 클러스터의 브로커 간에 암호화된 보안 연결을 통해 메시지를 전달할 때 사용됩니다("브로커간 연결 보안" 참조).

SSL 기반 연결 서비스를 설정하는 방법

자체 서명된 인증서를 생성합니다.

브로커에서 ssljms 연결 서비스, ssladmin 연결 서비스 또는 클러스터 연결 서비스를 활성화합니다.

브로커를 시작합니다.

클라이언트를 구성하고 실행합니다(ssljms 연결 서비스에만 적용).

ssljms와 ssladmin 연결 서비스를 설정하는 절차는 4단계의 클라이언트 구성 및 실행을 제외하면 서로 같습니다.

1단계. 자체 서명된 인증서 생성

Message Queue의 SSL 지원은 클라이언트가 알려지고 신뢰할 수 있는 서버와 통신한다는 가정 하에 전송 데이터를 보호하기 위한 것입니다. 따라서 자체 서명된 인증서만을 사용해서 SSL이 구현됩니다.

imqkeytool 명령을 실행하여 브로커에 자체 서명된 인증서를 생성합니다. ssljms 연결 서비스, ssladmin 연결 서비스 또는 클러스터 연결 서비스에 같은 인증서를 사용할 수 있습니다. 명령 프롬프트에서 다음을 입력합니다.

유틸리티는 필요한 정보를 묻는 메시지를 표시합니다(Unix 시스템에서 키 저장소를 만들 권한을 가지려면 imqkeytool을 수퍼유저(root)로 실행해야 할 수 있음).

imqkeytool은 키 저장소 비밀번호, 일부 조직 정보 및 사용자의 확인을 묻는 메시지를 차례로 표시합니다. 확인이 끝나면 키 쌍을 생성하는 동안 일시 중지됩니다. 그런 다음 특정 키 쌍을 잠글 비밀번호(키 비밀번호)를 묻습니다. 이 프롬프트에 대한 응답으로 Return 키를 눌러야 합니다. 그러면 키 비밀번호가 키 저장소 비밀번호와 동일하게 지정됩니다.


주	입력한 비밀번호를 기억해야 합니다. 나중에 브로커를 시작할 때 이 비밀번호를 제공해야 브로커가 키 저장소를 열 수 있습니다. 키 저장소 비밀번호를 passfile에 저장할 수도 있습니다("Passfile 사용" 참조).

imqkeytool을 실행하면 JDK keytool 유틸리티가 실행되어 자체 서명된 인증서를 생성하고 생성된 인증서를 부록 A, "Message Queue 데이터의 위치"와 같이 운영 체제에 따라 다른 디렉토리에 있는 Message Queue의 키 저장소에 넣습니다.

키 저장소의 형식은 JDK1.2 keytool 유틸리티에서 지원하는 것과 같습니다.

Message Queue 키 저장소의 구성 가능한 등록 정보는 표 8-8에 나와 있습니다(등록 정보 구성 지침은 5장, "브로커 시작 및 구성" 참조).

문제를 해결하기 위해 키 쌍을 다시 생성해야 할 수도 있습니다. 예를 들면 다음과 같습니다.

표 8-8 키 저장소 등록 정보
등록 정보 이름	설명
imq.keystore.file. dirpath	SSL 기반 서비스의 경우: 키 저장소 파일이 있는 디렉토리의 경로를 지정합니다. 기본값: 부록 A, "Message Queue 데이터의 위치" 참조
imq.keystore.file.name	SSL 기반 서비스의 경우: 키 저장소 파일의 이름을 지정합니다. 기본값: keystore
imq.keystore.password	SSL 기반 서비스의 경우: 키 저장소 비밀번호를 지정합니다. 이 등록 정보는 passfile에만 지정될 수 있습니다("Passfile 사용" 참조). 다양한 방법으로 비밀번호를 제공할 수 있습니다. 가장 보안된 방법은 브로커가 사용자에게 비밀번호를 묻게 하는 것입니다. passfile을 사용하고 passfile을 읽기 보호하는 방법은 보안 수준이 낮습니다. 보안 수준이 가장 낮은 방법은 imqbrokerd -ldappassword 명령줄 옵션을 사용하여 비밀번호를 지정하는 것입니다.

키 저장소 비밀번호를 잊은 경우

브로커를 시작할 때 SSL 기반 서비스를 초기화할 수 없고 다음과 같은 예외가 발생하는 경우
java.security.UnrecoverableKeyException: Cannot recover key.

키 쌍을 다시 생성하는 방법

부록 A, "Message Queue 데이터의 위치"에 나와 있는 위치에 있는 브로커의 키 저장소를 제거합니다.

imqkeytool을 다시 실행하여 "1단계. 자체 서명된 인증서 생성"의 설명과 같이 키 쌍을 생성합니다.

2단계. 브로커에서 SSL 기반 서비스 활성화

브로커에서 SSL 기반 서비스를 활성화하려면 imq.service.activelist 등록 정보에 ssljms 또는 ssladmin을 추가해야 합니다.

브로커에서 SSL 기반 서비스를 활성화하는 방법


주	SSL 기반 클러스터 연결 서비스는 imq.service.activelist 등록 정보 대신 imq.cluster.transport 등록 정보를 사용하여 활성화합니다. "브로커간 연결 보안"을 참조하십시오.

브로커의 인스턴스 구성 파일을 엽니다.

인스턴스 구성 파일은 구성 파일이 연관된 브로커 인스턴스의 이름(instanceName)으로 식별되는 디렉토리에 있습니다(부록 A, "Message Queue 데이터의 위치" 참조).

.../instances/instanceName/props/config.properties

imq.service.activelist 등록 정보에 항목을 추가하고(항목이 아직 없는 경우) 목록에 SSL 기반 서비스를 포함시킵니다.

기본적으로 이 등록 정보에는 jms 및 admin 연결 서비스가 포함됩니다. 활성화할 서비스에 따라 ssljms 및/또는 ssladmin 연결 서비스를 추가해야 합니다.

imq.service.activelist=jms,admin,ssljms,ssladmin

3단계. 브로커 시작

브로커를 시작하며 키 저장소 비밀번호를 제공합니다. 비밀번호는 다음 중 한 가지 방법으로 제공할 수 있습니다.

브로커를 시작할 때 비밀번호를 묻는 프롬프트가 표시되게 합니다.

imqbrokerd
Please enter Keystore password: mypassword

imqbrokerd 명령에 -password 옵션을 사용합니다.

imqbrokerd -password mypassword

브로커를 시작할 때 액세스하는 passfile 파일("Passfile 사용" 참조)에 비밀번호를 입력합니다. 먼저 다음과 같은 브로커 구성 등록 정보를 설정해야 합니다("인스턴스 구성 파일 편집" 참조).

imq.passfile.enabled=true

passfile 관련 브로커 등록 정보의 목록을 보려면 표 2-6을 참조하십시오.

SSL을 사용하는 브로커나 클라이언트를 시작할 때 몇 초간 CPU 사이클을 과도하게 사용하는 경우가 있을 수 있습니다. 이것은 Message Queue에서 SSL 구현에 JSSE (Java Secure Socket Extension)를 사용하기 때문입니다. JSSE에서는 java.security.SecureRandom()을 사용하여 난수를 생성합니다. 이 방법은 초기 난수 시드를 만드는 동안 상당한 시간을 소비하기 때문에 CPU 사용량이 많아지게 됩니다. 시드를 만들고 나면 CPU 수준이 정상으로 돌아갑니다.

4단계. SSL기반 클라이언트 구성 및 실행

마지막으로 보안 연결 서비스를 사용하도록 클라이언트를 구성해야 합니다. 클라이언트의 종류에는 사용하는 연결 서비스에 따라 ssljms를 사용하는 응용 프로그램 클라이언트와 ssladmin을 사용하는 Message Queue 관리 클라이언트(예: imqcmd)의 두 가지가 있습니다. 다음 절에서 이 두 가지에 대해 별도로 설명합니다.

응용 프로그램 클라이언트

클라이언트의 클래스 경로에 필요한 Secure Socket Extension (JSSE) jar 파일이 있는지 확인하고 ssljms 연결 서비스를 사용하도록 지정해야 합니다.

클라이언트에서 (JSSE 및 JNDI 지원이 기본적으로 제공되는) J2SDK1.4를 사용하지 않는 경우에는 클라이언트의 클래스 경로에 다음 jar 파일이 있는지 확인합니다.

jsse.jar, jnet.jar, jcert.jar, jndi.jar

클라이언트의 클래스 경로에 다음 Message Queue jar 파일이 있는지 확인합니다.

imq.jar, jms.jar

클라이언트를 시작하고 브로커의 ssljms 서비스에 연결합니다. 이 작업을 수행하는 방법 중 하나는 다음과 같은 명령을 입력하는 것입니다.

java -DimqConnectionType=TLS clientAppName

imqConnectionType을 설정하면 연결에서 SSL을 사용하게 됩니다.

클라이언트 응용프로그램에서의 ssljms 연결 서비스 사용에 대한 자세한 내용은 Message Queue Java Client Developer's Guide의 관리 대상 객체 사용에 대한 장을 참조하십시오.

관리 클라이언트(imqcmd)

imqcmd를 사용할 때 -secure 옵션을 포함하면 보안 관리 연결을 설정할 수 있습니다(표 6-2 참조). 예를 들면 다음과 같습니다.

여기서 adminName과 adminPassword는 Message Queue 사용자 저장소의 유효한 항목입니다(플랫 파일 저장소를 사용하는 경우 "기본 관리자 비밀번호 변경" 참조).

연결 서비스를 나열하는 것은 ssladmin 서비스가 실행 중이며 다음 출력과 같이 보안 관리 연결을 성공적으로 설정할 수 있다는 것을 보여주는 방법입니다.

HTTP에서 SSL 서비스 설정

이 SSL 기반 연결 서비스(httpsjms)에서 클라이언트와 브로커는 HTTPS 터널 서블릿을 통해 보안 연결을 설정합니다. HTTPS 지원의 구조와 구현에 대한 설명은 부록 C, "HTTP/HTTPS 지원(엔터프라이즈판)"을 참조하십시오.

Passfile 사용

필요한 비밀번호를 묻는 프롬프트를 표시하거나 imqbrokerd 명령에 해당 비밀번호를 제공하지 않고 브로커를 시작하려면 필요한 비밀번호를 passfile에 넣습니다. 그런 다음 브로커를 시작할 때 -passfile 옵션을 사용하여 이 passfile을 지정할 수 있습니다.

passfile은 비밀번호를 포함하는 단순 텍스트 파일입니다. 이 파일은 암호화되지 않기 때문에 비밀번호를 수동으로 제공하는 것보다 덜 안전합니다. 하지만 파일에 대한 권한 설정을 통해 해당 파일을 볼 수 있는 권한을 제한할 수 있습니다. passfile의 권한은 브로커를 시작하는 사용자가 이 파일을 읽을 수 있도록 설정해야 합니다.

passfile에는 표 8-9에 있는 것과 같은 비밀번호를 포함할 수 있습니다.

비밀번호	설명
imq.keystore.password	SSL 기반 서비스의 키 저장소 비밀번호를 지정합니다(표 8-8 참조).
imq.user_repository.ldap. password	구성된 LDAP 사용자 저장소에 바인드할 수 있도록 브로커에 할당한 고유 이름에 연결되는 비밀번호를 지정합니다(표 8-5 참조).
imq.persist.jdbc.password	필요한 경우 데이터베이스 연결을 여는 비밀번호를 지정합니다(표 B-1 참조).

이전 목차 색인 다음
Sun Java System Message Queue 3.5 SP1 관리 설명서