이전      목차      색인      다음
Sun Java System Access Manager 6 2005Q1 관리 설명서

19장
인증서 인증 속성

인증서 인증 속성은 조직 속성입니다. 서비스 구성에서 이러한 속성에 적용되는 값이 인증서 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 하위 트리에 있는 항목은 조직 속성을 상속하지 않습니다. 인증서 인증 속성은 다음과 같습니다.

LDAP에서 인증서 일치
LDAP에서 인증서 검색 시 사용되는 주제 DN 속성
CRL에 인증서 일치
LDAP에서 CRL 검색 시 사용되는 발급자 DN 속성
OCSP 검증 사용 가능
인증서가 저장되는 LDAP 서버
LDAP 검색 시작 DN
LDAP 서버 기본 사용자
LDAP 서버 기본 비밀번호
프로필 아이디의 LDAP 속성
LDAP 액세스에 SSL 사용
사용자 프로필 액세스에 사용되는 인증서 필드
사용자 프로필 액세스에 사용되는 기타 인증서 필드
신뢰할 수 있는 원격 호스트
SSL 포트 번호
인증 수준

LDAP에서 인증서 일치

이 옵션은 로그인 시 제공되는 사용자 인증서가 LDAP 서버에 저장되어 있는지 검사할지 여부를 지정합니다. 일치하는 항목이 발견되지 않을 경우 사용자는 액세스가 거부됩니다. 일치하는 항목이 발견되고 다른 검증이 필요하지 않을 경우 사용자는 액세스가 허가됩니다. 기본값은 인증서 인증 서비스가 사용자 인증서를 검사하지 않는 것입니다.

주	Directory Server에 저장된 인증서는 반드시 유효할 필요는 없으며 인증서 해지 목록에 있어도 됩니다. CRL에 인증서 일치를 참조하십시오. 그러나 웹 컨테이너는 로그인할 때 제공되는 사용자 인증서의 유효성을 확인할 수 있습니다.

LDAP에서 인증서 검색 시 사용되는 주제 DN 속성

이 필드는 LDAP에서 인증서를 검색하는 데 사용되는 인증서의 SubjectDN 값 속성을 지정합니다. 이 속성은 사용자 항목을 고유하게 식별해야 합니다. 실제 값은 검색에 사용됩니다. 기본값은 CN입니다.

CRL에 인증서 일치

이 옵션은 LDAP 서버의 인증서 해지 목록(CRL)에 대해 사용자 인증서를 비교할지 여부를 지정합니다. CRL은 발급자 SubjectDN의 속성 이름 중 하나로 찾습니다. 인증서가 CRL에 있는 경우 사용자는 액세스가 거부되고 그렇지 않은 경우에는 액세스가 허용됩니다. 기본적으로 이 속성은 사용 불가능합니다.

주	인증서 소유자가 상태를 변경했고 더 이상 인증서 사용 권한을 갖고 있지 않거나, 인증서 소유자의 개인 키가 손상된 경우 인증서를 해지해야 합니다.

LDAP에서 CRL 검색 시 사용되는 발급자 DN 속성

이 필드는 LDAP에서 CRL을 검색하는 데 사용되는 수신된 인증서의 발급자 subjectDN 값에 대한 속성을 지정합니다. 이 필드는 CRL에 인증서 일치 속성이 사용 가능한 경우에만 사용됩니다. 실제 값은 검색에 사용됩니다. 기본값은 CN입니다.

CRL 업데이트용 HTTP 매개 변수

이 필드는 CRL 업데이트를 위해 서블릿에서 CRL을 얻기 위한 HTTP 매개 변수를 지정합니다. 이러한 매개 변수에 대한 자세한 내용은 해당 CA의 관리자에게 문의하십시오.

OCSP 검증 사용 가능

이 매개 변수를 사용하여 해당 OCSP 응답자에 연결하여 OCSP 검증을 수행할 수 있습니다. OCSP 응답자는 다음과 같이 런타임 도중에 결정됩니다.

com.sun.identity.authentication.ocspCheck가 true이고 OCSP 응답자가 com.sun.identity.authentication.ocsp.repsonder.url 속성에 설정된 경우 이 속성 값이 OCSP 응답자로 사용됩니다.
com.sun.identity.authentication.ocspCheck가 true로 설정되어 있는 경우 및 속성 값이 AMConfig.properties 파일에 설정되지 않은 경우 클라이언트 인증서에 제공된 OCSP 응답자가 OCSP 응답자로 사용됩니다.

com.sun.identity.authentication.ocspCheck가 false로 설정되어 있는 경우 또는 com.sum.identity.authentication.ocspCheck가 true로 설정되어 있지만 OCSP 응답자가 없는 경우 OCSP 검증이 수행되지 않습니다.

주	OCSP 검증을 사용할 수 있도록 하기 전에 Access Manager 시스템과 OCSP 응답자 시스템의 시간이 최대한 동기화되어 있는지 확인합니다. 또한 Access Manager 시스템의 시간이 OCSP 응답자의 시간보다 느려서는 안 됩니다. 예를 들면 다음과 같습니다. OCSP 응답자 시스템 - 오후 12:00:00 Access Manager 시스템 - 오후 12:00:30

인증서가 저장되는 LDAP 서버

이 필드는 인증서가 저장되는 LDAP 서버의 이름과 포트 번호를 지정합니다. 기본값은 Access Manager 설치 시 지정된 호스트 이름과 포트입니다. 인증서가 저장되는 모든 LDAP 서버의 호스트 이름과 포트를 사용할 수 있습니다. 형식은 hostname:port입니다.

LDAP 검색 시작 DN

이 필드는 사용자 인증서에 대한 검색을 시작해야 하는 노드의 DN을 지정합니다. 기본값은 없습니다. 이 필드는 모든 유효한 DN을 인식합니다. 여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다. 형식은 다음과 같습니다.

servername|search dn

여러 항목이 있는 경우

servername1|search dn servername2|search dn servername3|search dn...

동일한 검색에서 여러 사용자가 발견될 경우 인증은 실패합니다.

LDAP 서버 기본 사용자

이 필드는 인증서가 저장되는 LDAP 서버에 대한 기본 사용자의 DN을 지정합니다. 이 필드에는 기본값이 없으며 유효한 모든 DN이 인식됩니다. Directory Server에 저장된 인증서 정보를 읽고 검색할 수 있는 권한이 기본 사용자에게 허가되어야 합니다.

LDAP 서버 기본 비밀번호

이 필드는 LDAP 서버 기본 사용자 필드에 지정된 사용자와 연관된 LDAP 비밀번호를 지정합니다. 이 필드에는 기본값이 없으며 지정된 기본 사용자에 대한 유효한 LDAP 비밀번호가 인식됩니다.

주	이 값은 읽을 수 있는 텍스트로 디렉토리에 저장됩니다.

프로필 아이디의 LDAP 속성

이 필드는 올바른 사용자 프로필을 식별하는 데 사용해야 하는 값을 가진 인증서와 일치하는 Directory Server 항목의 속성을 지정합니다. 이 필드에는 기본값이 없으며 사용자 아이디로 사용할 수 있는 사용자 항목의 모든 유효한 속성(예: cn, sn 등)이 인식됩니다.

LDAP 액세스에 SSL 사용

이 옵션은 SSL을 사용하여 LDAP 서버에 액세스할지 여부를 지정합니다. 기본값은 인증서 인증 서비스가 LDAP 액세스에 SSL을 사용하지 않는 것입니다.

사용자 프로필 액세스에 사용되는 인증서 필드

이 메뉴는 일치하는 사용자 프로필을 검색하는 데 사용해야 할 인증서 주제 DN의 필드를 지정합니다. 예를 들어, email address를 선택할 경우 인증서 인증 서비스는 사용자 인증서의 email address 속성과 일치하는 사용자 프로필을 검색합니다. 그런 다음, 로그인하는 사용자는 일치하는 프로필을 사용하게 됩니다. 기본값은 subject CN입니다. 목록에는 다음 항목이 포함되어 있습니다.

전자 메일 주소
주제 CN
주제 DN
주제 UID
기타

사용자 프로필 액세스에 사용되는 기타 인증서 필드

사용자 프로필 액세스에 사용되는 인증서 필드 속성 값을 other로 설정할 경우 이 필드는 수신된 인증서의 subjectDN 값에서 선택할 속성을 지정합니다. 그런 다음, 인증 서비스는 해당 속성의 값과 일치하는 사용자 프로필을 검색합니다.

신뢰할 수 있는 원격 호스트

이 속성은 Access Manager에 인증서를 보내도록 신뢰할 수 있는 호스트 목록을 정의합니다. Access Manager는 인증서가 신뢰할 수 있는 호스트 중 하나에서 온 것인지 확인해야 합니다. 이 구성은 Sun Java System Portal Server에만 사용됩니다.

이 속성은 다음 값을 가집니다.

없음. 이 속성이 사용 불가능하게 됩니다. 기본적으로 이 값이 설정됩니다.
모두. 모든 클라이언트 IP 주소로부터 Portal Server 게이트웨이 스타일의 인증서 인증을 허용합니다.
IP 주소. Portal Server 게이트웨이 스타일의 인증서 인증 요청을 허용할 IP 주소를 나열합니다(게이트웨이의 IP 주소). 이 속성은 조직별로 구성할 수 있습니다.

SSL 포트 번호

이 속성은 Secure Socket Layer의 포트 번호를 지정합니다. 현재 이 속성은 게이트웨이 서블릿에서만 사용됩니다. SSL 포트 번호를 추가하거나 변경하기 이전에 Access Manager Developer’s Guide에서 7장의 "Policy-Based Resource Management" 절을 참조하십시오.

인증 수준

인증 수준은 각 인증 방법에 대해 별도로 설정됩니다. 이 값은 인증을 어느 정도 신뢰할 수 있는지 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다. 기본값은 0입니다.

주	지정된 인증 수준이 없을 경우 SSO 토큰은 핵심 인증 속성인 기본 인증 수준에 지정된 값을 저장합니다. 자세한 내용은 기본 인증 수준을 참조하십시오. 2005Q1 릴리스에서는 이 기능이 제대로 수행되지 않지만 이전 릴리스에서는 제대로 수행됩니다.

이전      목차      색인      다음

---

부품 번호: 819-1939. Copyright 2005 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.