이전      목차      색인      다음
Sun Java System Access Manager 6 2005Q1 관리 설명서

20장
핵심 인증 속성

핵심 인증 서비스는 모든 기본 인증 서비스뿐만 아니라 모든 사용자 정의 인증 모듈 속성에 대한 기본 서비스입니다. 핵심 인증은 모든 형태의 인증을 사용하려는 각 조직에 대해 서비스로 구성되어야 합니다. 핵심 인증 속성은 전역 속성과 조직 속성으로 구성됩니다. 전역 속성에 적용되는 값은 Sun Java System Access Manager 구성 전체에 걸쳐 적용되어 구성된 모든 조직이 상속합니다. 전역 속성의 목표는 Access Manager 응용 프로그램을 사용자 정의하는 것이므로 이러한 값은 역할이나 조직에 직접 적용할 수 없습니다. 서비스 구성에서 조직 속성에 적용되는 값이 핵심 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 추가한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 추가 후 변경할 수 있습니다. 조직의 항목은 조직 속성을 상속하지 않습니다. 핵심 인증 속성은 다음과 같이 구분됩니다.

전역 속성
조직 속성

---

전역 속성

핵심 인증 서비스의 전역 속성은 다음과 같습니다.

플러그 가능 인증 모듈 클래스
지원되는 클라이언트용 인증 모듈
LDAP 연결 풀 크기
기본 LDAP 연결 풀 크기

플러그 가능 인증 모듈 클래스

이 필드는 Access Manager 플랫폼 내에서 구성된 모든 조직에서 사용할 수 있는 인증 모듈의 Java 클래스를 지정합니다. 기본적으로 여기에는 LDAP, SafeWord, SecurID, 응용 프로그램, 익명, HTTP 기본, 구성원, Unix, 인증서, NT, RADIUS 및 Windows 데스크탑 SSO가 포함됩니다. 또한 AMLoginModule SPI 또는 JAAS LoginModule SPI를 구현하여 사용자 정의 인증 모듈을 작성할 수 있습니다. 자세한 내용은 Access Manager Developer’s Guide를 참조하십시오. 새 서비스를 정의하려면 새로운 각 인증 서비스의 전체 클래스 이름(패키지 이름 포함)을 지정하는 텍스트 문자열을 이 필드에 입력해야 합니다.

지원되는 클라이언트용 인증 모듈

이 속성은 특정 클라이언트에 대해 지원되는 인증 모듈 목록을 지정합니다. 형식은 다음과 같습니다.

clientType | module1,module2,module3

이 속성은 클라이언트 검색이 사용 가능한 경우에 적용됩니다.

LDAP 연결 풀 크기

이 속성은 특정 LDAP 서버와 포트에서 사용되는 최소 및 최대 연결 풀을 지정합니다. 이 속성은 LDAP 및 구성원 인증 서비스에만 사용됩니다. 형식은 다음과 같습니다.

host:port:min:max

주	이 연결 풀은 serverconfig.xml에 구성된 SDK 연결 풀과 다릅니다.

기본 LDAP 연결 풀 크기

이 속성은 모든 LDAP 인증 모듈 구성과 함께 사용되는 기본 최소 및 최대 연결 풀을 설정합니다. 호스트와 포트에 대한 항목이 LDAP 연결 풀 크기 속성에 존재할 경우 LDAP 연결 기본 풀 크기의 최소 및 최대 설정이 사용됩니다.

---

조직 속성

핵심 인증 서비스의 조직 속성은 다음과 같습니다.

조직 인증 모듈
사용자 프로필
관리자 인증 구성
사용자 프로필 동적 작성 기본 역할
영구 쿠키 모드 사용 가능
영구 쿠키 최대 시간
모든 사용자를 위한 사용자 컨테이너
별칭 검색 속성 이름
기본 인증 수준
아이디 지정 속성
기본 인증 로켈
조직 인증 구성
로그인 실패 잠금 모드 사용 가능
로그인 실패 잠금 수
로그인 실패 잠금 간격
잠금 알림을 보낼 전자 메일 주소
N회 실패 후 사용자에게 경고
로그인 실패 잠금 기간
잠금 속성 이름
잠금 속성 값
기본 성공 로그인 URL
기본 실패 로그인 URL
인증 사후 처리 클래스
사용자 아이디 생성 모드 사용 가능
플러그 가능 아이디 생성기 클래스

조직 인증 모듈

이 목록에서는 조직에 등록되어 사용할 수 있는 인증 모듈을 지정합니다. 각 관리자는 각 특정 조직에 대한 인증 유형을 선택할 수 있습니다. 여러 인증 모듈이 유연성을 제공하지만 사용자는 자신의 로그인 설정이 선택된 인증 모듈에 적합한지 확인해야 합니다. 기본 인증은 LDAP입니다. Access Manager에 포함된 인증 서비스는 다음과 같습니다.

주	관리자가 핵심 및 인증 모듈 템플리트를 작성하고 작성된 조직에서 이러한 사실을 알려야만 해당 조직이 제대로 작동합니다.

사용자 프로필

이 옵션을 사용하면 사용자 프로필의 옵션을 지정할 수 있습니다.

필수 - 인증에 성공한 경우 Access Manager와 함께 설치된 로컬 Directory Server에 사용자의 프로필이 있어야만 인증 서비스가 SSO 토큰을 발급하도록 지정합니다.
Dynamic - 인증에 성공한 경우 사용자 프로필이 아직 존재하지 않는다면 인증 서비스에서 이를 만들도록 지정합니다. 그런 다음 SSO 토큰이 발급됩니다. 사용자 프로필은 Access Manager와 함께 설치된 로컬 Directory Server에 만들어집니다.
Dynamic With User Alias - 인증에 성공한 경우 인증 서비스에서 사용자 별칭 목록 속성을 사용하여 사용자 프로필을 만듭니다.
Ignore - 인증 서비스가 성공적인 인증을 위해 SSO 토큰을 발급하는 데 사용자 프로필이 필요하지 않도록 지정합니다.

관리자 인증 구성

편집 링크를 클릭하면 관리자에 대해서만 인증 서비스를 정의할 수 있습니다. 관리자의 인증 모듈이 최종 사용자의 모듈과 달라야 하는 경우 이 속성을 사용할 수 있습니다. 이 속성에 구성된 모듈은 Access Manager 콘솔에 액세스할 때 선택됩니다. 예를 들면 다음과 같습니다.

http://servername.port/console_deploy_uri

사용자 프로필 동적 작성 기본 역할

이 필드는 사용자 프로필 기능을 통해 동적 작성을 선택한 경우 프로필이 작성되는 새 사용자에게 할당되는 역할을 지정합니다. 기본값은 없습니다. 관리자는 새 사용자에게 할당할 역할의 DN을 지정해야 합니다.

주	지정된 역할은 인증이 구성되고 있는 조직 아래에 있어야 합니다. 이 역할은 Access Manager 또는 LDAP 역할 중 하나일 수 있지만 필터링된 역할일 수는 없습니다. 사용자에게 특정 서비스가 자동으로 할당되게 하려면 사용자 프로필에 필수 서비스를 구성해야 합니다.

영구 쿠키 모드 사용 가능

이 옵션은 사용자가 브라우저를 다시 시작하고 자신의 인증된 세션으로 돌아갈 수 있는지 여부를 결정합니다. 영구 쿠키 모드 사용 가능을 사용 가능하게 하여 사용자 세션을 유지할 수 있습니다. 영구 쿠키 모드 사용 가능을 사용 가능하게 하면 영구 쿠키가 만료되거나 사용자가 명시적으로 로그아웃할 때까지 사용자 세션이 만료되지 않습니다. 만료 시간은 영구 쿠키 최대 시간에 지정됩니다. 기본값은 영구 쿠키 모드가 사용 가능하지 않고 인증 서비스가 메모리 쿠키만 사용하는 것입니다.

주	로그인 URL에서 iPSPCookie=yes 매개 변수를 사용하여 클라이언트가 영구 쿠키를 명시적으로 요청해야 합니다.

영구 쿠키 최대 시간

이 필드는 그 이후에 영구 쿠키가 만료되는 간격을 지정합니다. 해당 확인란을 선택하여 영구 쿠키 모드 사용 가능을 사용 가능하게 해야 합니다. 이 간격은 사용자의 세션이 성공적으로 인증되었을 때 시작됩니다. 기본값은 2147483 (초)입니다. 이 필드는 0에서 2147483 사이의 모든 정수 값을 가집니다.

모든 사용자를 위한 사용자 컨테이너

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 필드의 값은 프로필을 검색하는 위치를 지정합니다. 일반적으로 이 값은 기본 사용자 컨테이너의 DN이 됩니다. 조직에 추가되는 모든 사용자 항목은 조직의 기본 사용자 컨테이너에 자동으로 추가됩니다. 기본값은 ou=People이며 일반적으로 조직 이름과 루트 접두어로 완성됩니다. 이 필드는 모든 조직 구성 단위의 유효한 DN을 가집니다.

주	인증은 다음 작업을 차례로 수행하여 사용자 프로필을 검색합니다. 기본 사용자 컨테이너에서 검색 기본 조직에서 검색 별칭 검색 속성 이름 속성을 사용하여 기본 조직에서 사용자 검색 최종 검색은 인증에 사용되는 아이디가 프로필의 이름 지정 속성이 아닐 수 있는 SSO 경우에 대한 것입니다. 예를 들어, 사용자는 jn10191의 Safeword 아이디를 사용하여 인증할 수 있지만 해당 프로필은 uid=jamie일 수 있습니다.

별칭 검색 속성 이름

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 필드는 아이디 지정 속성에 지정된 첫 번째 LDAP 속성에 대한 검색에서 일치하는 사용자 프로필을 찾지 못한 경우 검색할 두 번째 LDAP 속성을 지정합니다. 주로 이 속성은 인증 모듈에서 반환된 사용자 아이디가 아이디 지정 속성에 지정된 것과 다를 경우에 사용됩니다. 예를 들어, RADIUS 서버는 abc1234를 반환하지만 아이디는 abc일 수 있습니다. 이 필드에는 기본값이 없으며 유효한 모든 LDAP 속성(예: cn)이 사용될 수 있습니다.

아이디 지정 속성

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 속성 값은 검색에 사용할 LDAP 속성을 지정합니다. 기본적으로 Access Manager는 사용자 항목이 uid 속성에 의해 식별된다고 가정합니다. Directory Server가 다른 속성(예: givenname)을 사용할 경우 이 필드에 속성 이름을 지정합니다.

기본 인증 로켈

이 필드는 인증 서비스에 사용되는 기본 언어 서브 타입을 지정합니다. 기본값은 en_US입니다. 유효한 언어 서브 타입 목록은 표 20-1에서 확인할 수 있습니다.

	다른 로켈을 사용하려면 해당 로켈에 대한 모든 인증 템플리트를 먼저 만들어야 합니다. 그런 다음 이러한 템플리트에 대해 새 디렉토리를 만들어야 합니다. 자세한 내용은 로그인 URL 매개 변수를 참조하십시오.

표 20-1
지원되는 언어 로켈 

언어 태그	언어
af	아프리칸스어
be	벨로루시어
bg	불가리아어
ca	카탈로니아어
cs	체코어
da	덴마크어
de	독일어
el	그리스어
en	영어
es	스페인어
eu	바스크어
fi	핀란드어
fo	페로어
fr	프랑스어
ga	아일랜드어
gl	갈리시아어
hr	크로아티아어
hu	헝가리어
id	인도네시아어
is	아이슬란드어
it	이탈리아어
ja	일본어
ko	한국어
nl	네덜란드어
아니요	노르웨이어
pl	폴란드어
pt	포르투갈어
ro	루마니아어
ru	러시아어
sk	슬로바키아어
sl	슬로베니아어
sq	알바니아어
sr	세르비아어
sv	스웨덴어
tr	터키어
uk	우크라이나어
zh	중국어

조직 인증 구성

이 속성은 조직의 인증 모듈을 설정합니다. 기본 인증 모듈은 LDAP입니다. 편집 링크를 눌러 하나 이상의 인증 모듈을 선택할 수 있습니다. 여러 모듈을 선택할 경우 사용자는 선택된 모든 모듈 체인을 통과해야 합니다.

이 속성에 구성된 모듈은 사용자가 /server_deploy_uri/UL/Login 형식을 사용하여 인증 모듈에 액세스할 때 인증을 위해 사용됩니다. 자세한 내용은 Access Manager Developer’s Guide를 참조하십시오.

로그인 실패 잠금 모드 사용 가능

이 기능은 첫 번째 인증이 실패할 경우 사용자가 두 번째 인증을 시도할 수 있는지 여부를 지정합니다. 이 속성을 선택하면 잠금이 사용 가능하고 사용자는 한 번만 인증할 수 있습니다. 기본적으로 잠금 기능은 사용 불가능으로 설정되어 있습니다. 이 속성은 잠금 관련 및 알림 속성과 함께 사용됩니다.

로그인 실패 잠금 수

이 속성은 사용자가 잠기기 전에 로그인 실패 잠금 간격에 정의된 시간 간격 내에서 사용자가 인증을 시도할 수 있는 횟수를 정의합니다.

로그인 실패 잠금 간격

이 속성은 실패한 두 로그인 시도 사이의 간격(분)을 정의합니다. 로그인에 실패한 다음 잠금 간격 내에 다시 로그인에 실패할 경우 잠금 개수가 증가됩니다. 그렇지 않으면 잠금 개수가 재설정됩니다.

잠금 알림을 보낼 전자 메일 주소

이 속성은 사용자 잠금이 발생한 경우 알림을 받게 될 전자 메일 주소를 지정합니다. 여러 주소로 전자 메일 알림을 보내려면 각 전자 메일 주소를 공백으로 구분합니다. 영어가 아닌 로켈의 경우 다음과 같은 형식을 사용합니다.

email_address|locale|charset

N회 실패 후 사용자에게 경고

이 속성은 사용자가 잠길 것이라는 경고 메시지를 Access Manager가 보내기 전에 발생할 수 있는 인증 실패 수를 지정합니다.

로그인 실패 잠금 기간

이 속성은 메모리 잠금을 사용 가능하게 합니다. 기본적으로 잠금 기법은 잠금 속성 이름에 정의된 사용자 프로필(로그인 실패 이후)을 비활성화합니다. 로그인 실패 잠금 기간 값이 0보다 큰 경우 메모리 잠금과 해당 사용자 계정이 지정된 기간(분) 동안 잠깁니다.

잠금 속성 이름

이 속성은 잠금에 대해 설정할 LDAP 속성을 지정합니다. 잠금 속성 값에서 값을 변경하여 이 속성 이름에 대해 잠금을 사용 가능하게 할 수도 있습니다. 기본적으로 Access Manager 콘솔에서 잠금 속성 이름은 비어 있습니다. 기본 구현 값은 사용자가 잠기고 로그인 실패 잠금 기간이 0으로 설정되어 있는 경우 inetuserstatus (LDAP 속성) 및 inactive입니다.

잠금 속성 값

이 속성은 잠금 속성 이름에 정의된 속성에 대해 잠금이 사용 가능한지 사용 불가능한지 여부를 지정합니다. 기본적으로 inetuserstatus에 대해 값이 0으로 설정됩니다.

기본 성공 로그인 URL

이 필드는 성공적인 인증 후 사용자가 리디렉션되는 URL을 지정하는 다수의 값 목록을 허용합니다. 기본 HTML 유형을 가정하는 URL의 값만 지정할 수 있지만 이 속성의 형식은 clientType|URL입니다.

주	기본값은 /amconsole입니다. 이번 릴리스에서는 protocol, host 및 port 값이 더 이상 필요 없습니다.

원격 콘솔의 경우 실제 원격 콘솔 호스트의 콘솔 페이지를 가리키도록 이 속성을 수동으로 수정해야 합니다.

기본 실패 로그인 URL

인증에 실패한 후 사용자가 리디렉션되는 URL을 지정하는 다수의 값 목록을 허용합니다. 기본 HTML 유형을 가정하는 URL의 값만 지정할 수 있지만 이 속성의 형식은 clientType|URL입니다.

인증 사후 처리 클래스

이 필드는 성공 또는 실패 로그인에 대한 인증 사후 프로세스를 사용자 정의하는 데 사용되는 Java 클래스의 이름을 지정합니다. 예를 들면 다음과 같습니다.

com.abc.authentication.PostProcessClass

Java 클래스는 다음과 같은 Java 인터페이스를 구현해야 합니다.

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

또한, Web Server의 Java Classpath 속성에 클래스를 찾을 경로를 추가해야 합니다.

사용자 아이디 생성 모드 사용 가능

이 속성은 구성원 인증 모듈에 사용됩니다. 이 속성 필드가 사용 가능하면 구성원 모듈은 사용자 아이디가 이미 존재할 경우 자동 등록 프로세스 중에 특정 사용자에 대한 사용자 아이디를 생성할 수 있습니다. 사용자 아이디는 플러그 가능 아이디 생성기 클래스에 지정된 Java 클래스로부터 생성됩니다.

플러그 가능 아이디 생성기 클래스

이 필드는 사용자 아이디 생성 모드 사용 가능이 사용 가능한 경우 사용자 아이디를 생성하는 데 사용되는 Java 클래스의 이름을 지정합니다.

기본 인증 수준

이 인증 수준 값은 인증을 어느 정도 신뢰할 수 있는지를 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다.

인증 수준은 조직의 특정 인증 템플리트 내에서 설정해야 합니다. 여기서 설명한 기본 인증 수준 값은 특정 조직 인증 템플리트의 인증 수준 필드에서 인증 수준이 지정되지 않은 경우에만 적용됩니다. 기본 인증 수준의 기본값은 0입니다(이 속성 값은 Access Manager에서 사용되는 것이 아니라 이 값을 사용하도록 선택한 모든 외부 응용 프로그램에서 사용됨). 2005Q1 릴리스에서는 이 기능이 제대로 수행되지 않지만 이전 릴리스에서는 제대로 수행됩니다.

이전      목차      색인      다음

---

부품 번호: 819-1939. Copyright 2005 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.