test

Sun Java System Instant Messaging 7.2 관리 설명서

17장 Instant Messaging 및 상태 확인 정책 관리

Instant Messaging은 채팅, 회의, 폴링, 상태 확인 액세스 등의 다양한 기능을 제공합니다. 정책은 이러한 기능과 연관될 수 있는 액세스 제어 집합을 설명합니다. 또한 최종 사용자와 그룹은 조직의 요구 사항에 따라 정책에 할당될 수 있습니다.

Instant Messaging 서버 기능과 권한을 가져야 하는 최종 사용자와 관리자의 액세스 권한을 관리하기 위한 정책을 정의하고 사용하는 방법을 설명하기 위해 이 장에서 다루는 내용은 다음과 같습니다.

프라이버시, 보안 및 사이트 정책 개요

Instant Messaging은 Instant Messaging 기능에 대한 액세스를 제어하고 최종 사용자 프라이버시를 보호하는 기능을 제공합니다.

사이트 정책

사이트 정책은 Instant Messaging의 특정 기능에 대한 최종 사용자 액세스를 지정합니다. 사이트 정책은 다음 기능을 지정합니다.

Instant Messaging 관리자는 모든 Instant Messaging 기능에 액세스할 수 있습니다. 관리자는 모든 회의실과 뉴스 채널에 대해 MANAGE 액세스 권한을 가지며, 다른 사용자의 상태 확인 정보를 볼 수 있고, 모든 최종 사용자의 대화 상대 목록 및 Instant Messenger 설정 등의 등록 정보를 보고 수정할 수 있습니다. 사이트 정책 설정은 관리자의 권한에 영향을 주지 않습니다.

기본적으로 최종 사용자에게는 다른 최종 사용자의 상태 확인 정보에 액세스하며, 최종 사용자에게 알림을 보내고, 등록 정보를 서버에 저장할 수 있는 권한이 부여됩니다. 대부분의 배포 환경에서 이 기본값은 변경되지 않습니다. Instant Messaging을 팝업 기능에만 사용할 때는 이 기본값을 변경해야 합니다.

Instant Messaging을 팝업 기능에만 사용하는 경우 최종 사용자에게는 상태 확인 정보, 채팅 및 뉴스 기능에 대한 액세스 권한이 부여되지 않습니다.

주 –

특정 권한을 전역으로 설정할 수는 있지만 관리자는 이러한 권한의 예외도 정의할 수 있습니다. 예를 들어, 관리자는 최종 사용자, 역할 또는 그룹을 선택하는 특정 기본 권한을 거부할 수 있습니다.

회의실 및 뉴스 채널 액세스 제어

최종 사용자는 회의실과 뉴스 채널에 대해 다음 액세스 권한을 가질 수 있습니다.

MANAGE 권한을 가진 최종 사용자는 다른 모든 최종 사용자의 기본 권한 수준을 설정할 수 있습니다. 이러한 최종 사용자는 특정 최종 사용자나 그룹에 부여된 기본 액세스 수준 권한과 다른 액세스 수준을 부여하는 예외 규칙을 정의할 수도 있습니다.

주 –

WRITE 권한을 설정하면 최종 사용자에게 READ 권한이 부여됩니다.

사용자 프라이버시

최종 사용자는 다른 최종 사용자가 자신의 상태 확인 정보를 볼 수 있도록 허용할지 지정할 수 있습니다. 기본적으로 모든 최종 사용자는 모든 다른 최종 사용자의 상태 확인 정보에 액세스할 수 있습니다. 또한 최종 사용자는 특정 사용자와 그룹에 대해 이 액세스를 거부하는 예외도 설정할 수 있습니다.

다른 최종 사용자가 최종 사용자의 상태 확인 정보에 액세스하는 것을 거부한 경우 해당 최종 사용자의 상태는 다른 대화 상대 목록에 오프라인으로 나타납니다. 상태가 오프라인인 최종 사용자에게는 알림이나 채팅 초대를 보낼 수 없습니다.

사용자 프라이버시는 Instant Messenger의 사용자 설정 창에서 구성할 수 있습니다. 사용자 프라이버시의 구성에 대한 자세한 내용은Instant Messenger 온라인 도움말을 참조하십시오.

최종 사용자 및 관리자 권한을 제어하는 방법

Instant Messaging 서버를 사용하는 사이트마다 최종 사용자가 가지는 Instant Messaging 서비스 액세스 권한의 유형을 활성화하고 제한하는 필요성이 서로 다릅니다. 최종 사용자와 관리자의 Instant Messaging 서버 기능 및 권한을 제어하는 프로세스를 정책 관리라고 합니다. 정책 관리 방법에는액세스 제어 파일을 사용하는 방법과 Sun JavaTM System Access Manager를 사용하는 방법의 두 가지가 있습니다.

배포에 Sun Java System Access Manager가 포함되지 않으면 액세스 제어 파일 방법을 사용하여 정책을 관리해야 합니다. Sun Java System Access Manager를 Instant Messaging 서버와 함께 사용하고 Instant Messaging 및 상태 확인 서비스 구성 요소를 설치한 경우 두 정책 관리 방법 중 하나를 사용할 수 있습니다. Sun Java System Access Manager를 사용하여 정책을 관리하는 것이 더 포괄적인 방법입니다. 이 방법의 장점 중 하나는 최종 사용자가 모두 디렉토리에 정보를 저장할 수 있다는 것입니다.

정책 관리 방법 설정

정책 관리에 사용할 방법을 선택할 때는 저장할 위치도 선택해야 합니다. iim.conf 파일을 편집하고 iim.policy.modules 매개 변수를 Access Manager 방법의 경우 identity로, 액세스 제어 파일 방법(기본 방법 이기도 함)의 경우 iim_ldap으로 설정하여 정책 관리 방법을 선택합니다.

다음 단계에 따라 정책 관리에 사용할 방법을 설정하십시오.

Procedure정책 관리 방법을 설정하려면

  1. iim.conf를 엽니다.

    iim.conf 파일 찾기 및 수정에 대한 지침은 iim.conf 파일 구문을 참조하십시오.

  2. iim.policy.modules 매개 변수를 다음 중 하나로 설정합니다.

    • iim_ldap(기본값, 액세스 제어 파일 방법)

    • identity(Access Manager 방법)

    identity를 선택하면 imadmin assign_services를 실행하여 기존 사용자에게 Instant Messaging 및 상태 확인 서비스를 할당할 수 있습니다.

  3. iim.userprops.store매개 변수를 편집하여 다음 중 하나로 설정합니다.

    • ldap(LDAP에 사용자 등록 정보 저장))

      ldap를 선택하면 imadmin assign_services를 실행하여 사용자 등록 정보를 저장하는 데 필요한 객체 클래스를 디렉토리의 사용자 항목에 추가할 수 있습니다.

    • file(기본값, 사용자 등록 정보를 파일에 저장))

  4. iim.conf를 저장하고 닫습니다.

  5. 구성을 새로 고칩니다.

정책 구성 매개 변수

표 17–1에서는 Sun Java System Access Manager가 Instant Messaging 배포에서 수행할 수 있도록 증대된 역할과 관련된 iim.conf 파일에서 사용 가능한 매개 변수를 나열하고 설명합니다.

표 17–1 iim.conf 파일의 Access Manager 관련 매개 변수

매개 변수 이름 

용도 

값 

iim.policy.modules

정책 저장에 Sun Java System Access Manager 또는 디렉토리가 사용되는지 지정합니다. 

iim_ldap(기본값)

identity

iim.userprops.store

사용자 등록 정보가 사용자 등록 정보 파일에 있는지 아니면 LDAP 에 저장되어 있는지 지정합니다. 상태 확인 및 Instant Messaging서비스에 대한 서버 정의가 설치된 경우에는 이 매개 변수만 중요합니다. 

file(configure 유틸리티를 실행할 때 정책에 Access Manager를 사용하지 않도록 선택하는 경우의 기본값)

ldap(configure 유틸리티를 실행할 때 정책에 Access Manager를 사용하도록 선택하는 경우의 기본값)

액세스 제어 파일을 사용한 정책 관리

액세스 제어 파일을 편집하면 다음과 같은 최종 사용자 권한을 제어할 수 있습니다.

기본적으로 최종 사용자에게는 다른 최종 사용자의 상태 확인 정보에 액세스하며, 최종 사용자에게 알림을 보내고, 등록 정보를 서버에 저장할 수 있는 권한이 부여됩니다. 대부분의 배포 환경에서 이 기본값은 변경할 필요가 없습니다.

특정 권한을 전역으로 설정할 수는 있지만 관리자는 이러한 권한의 예외도 정의할 수 있습니다. 예를 들어 관리자는 최종 사용자 또는 그룹을 선택하는 특정 기본 권한을 거부할 수 있습니다.

또한 배포 환경에서 액세스 제어 파일을 통해 정책을 시행하는 경우 이러한 파일은 서버 풀의 모든 서버에서 같아야 합니다.

표 17–2에서는 Instant Messaging의 전역 액세스 제어 파일과 이러한 파일들이 최종 사용자에게 제공하는 권한을 나열합니다.

표 17–2 액세스 제어 파일

ACL 파일 

권한 

sysSaveUserSettings.acl

자신의 기본 설정을 변경하거나 변경할 수 없는 사용자를 정의합니다. 이 권한이 없는 사용자는 대화 상대를 추가하고 회의실을 만드는 등의 작업을 수행할 수 없습니다. 

sysTopicsAdd.acl

뉴스 채널을 만들거나 만들 수 없는 사용자를 정의합니다. 

sysRoomsAdd.acl

회의실을 만들거나 만들 수 없는 사용자를 정의합니다. 

sysSendAlerts.acl

알림을 보내거나 보낼 수 없는 사용자를 정의합니다. sysSendAlerts를 비활성화하면 폴링도 비활성화됩니다.

sysWatch.acl

다른 최종 사용자의 변경 사항을 보거나 볼 수 없는 사용자를 정의합니다. '회의실과 뉴스 채널 가입 및 탈퇴' 만 허용하는 권한이 부여되지 않은 최종 사용자에 대한 Instant Messenger 창이 표시됩니다. 

sysAdmin.acl

관리자에게만 예약되었습니다.Instant Messenger 창은 '회의실과 뉴스 채널 가입 및 탈퇴' 만 허용하는 권한이 부여되지 않은 최종 사용자에 대해 표시됩니다. 이 파일은 관리자 권한을 모든 최종 사용자에 대한 모든 Instant Messaging 기능으로 설정합니다. 이 권한은 다른 모든 권한을 대체하며, 관리자에게 모든 회의실과 뉴스 채널을 만들고 관리하는 권한과 최종 사용자 상태 확인 정보 , 설정 및 등록 정보에 대한 액세스 권한을 부여합니다. 

Procedure액세스 제어 파일에서 최종 사용자 권한을 변경하려면

  1. im-cfg-base/acls 디렉토리로 이동합니다.

    im-cfg-base 찾기에 대한 내용은 Instant Messaging 서버 디렉토리 구조를 참조하십시오.

  2. 적절한 액세스 제어 파일을 편집합니다.

    예를 들면 다음과 같습니다.


    vi sysTopicsAdd.acl

    액세스 제어 파일 목록은 표 17–2를 참조하십시오.

  3. 변경 내용을 저장합니다.

  4. 최종 사용자가 변경 내용을 보려면 Instant Messenger 창을 새로 고쳐야 합니다.

서버 풀에서의 액세스 제어 파일 사용

또한 배포에서 액세스 제어 파일을 통해 정책을 시행하는 경우 이러한 파일의 내용은 서버 풀의 모든 서버에서 같아야 합니다. 이렇게 하려면 한 서버의 파일을 서버 풀의 다른 노드 각각에 복사합니다. 이 파일을 찾으려면 액세스 제어 파일 위치를 참조하십시오.

액세스 제어 파일 위치

액세스 제어 파일의 위치는 im-cfg-base/acls입니다. 여기서 im-cfg-base는 구성 디렉토리입니다. 구성 디렉토리의 기본 위치에 대한 정보는 Instant Messaging 서버 디렉토리 구조를 참조하십시오.

액세스 제어 파일 형식

액세스 제어 파일에는 권한을 정의하는 일련의 항목이 들어 있습니다. 각 항목은 다음과 같은 태그로 시작됩니다.

태그 뒤에는 콜론(:)이 옵니다. 기본 태그의 경우 뒤에 true 또는 false가 옵니다.

최종 사용자 및 그룹 태그 뒤에는 최종 사용자나 그룹 이름이 옵니다.

여러 최종 사용자 및 그룹은 한 줄에 여러 최종 사용자(u) 및 그룹(g)을 입력하여 지정합니다.

d: 태그는 액세스 제어 파일의 마지막 항목이어야 합니다. 서버는 d: 태그 뒤의 모든 항목을 무시합니다. d: 태그가 true인 경우 파일의 다른 모든 항목이 중복되며 무시됩니다. 액세스 제어 파일에서 d: 태그를 true로 설정하여 최종 사용자에게 해당 권한을 선택적으로 거부할 수 없습니다. 기본값을 false로 설정하면 파일에 지정된 최종 사용자와 그룹만 해당 권한을 가집니다.

다음은 새로 설치했을 때 ACL 파일의 기본 d: 태그 항목입니다.

주의 – 주의 –

이러한 형식과 액세스 제어 파일의 포함 여부는 제품의 향후 릴리스에서 변경될 수 있습니다.

주 –

sysSendAlerts를 비활성화하면 폴링도 비활성화됩니다.

예 17–1 sysTopicsAdd.acl 파일

다음 예에서 sysTopicsAdd.acl 파일의 d: 태그 항목이 false입니다. 따라서 뉴스 채널 추가 및 삭제 권한은 d: 항목, 즉 user1 , user2sales 그룹 앞에 나타나는 최종 사용자와 그룹에 허용됩니다.


# Example sysTopicsAdd.acl file
u:user1
u:user2
g:cn=sales,ou=groups,o=siroe
d:False

Sun Java System Access Manager를 사용한 정책 관리

Sun Java System Access Manager의 Instant Messaging 및 상태 확인 서비스는 최종 사용자와 관리자 권한을 제어하는 또 다른 방법입니다. 각 서비스에는동적, 사용자 및 정책의 세 가지 속성 유형이 있습니다. 정책 속성은 권한 설정에 사용되는 속성 유형입니다.

규칙이 Access Manager에서 만들어진 정책에 추가되어 관리자와 최종 사용자에게 다른 사람의 폴링 메시지 수신과 같은 다양한 Instant Messaging 기능을 허용하거나 거부할 때 정책 속성은 규칙의 일부가 됩니다.

Instant Messaging 서버를 Sun Java System Access Manager와 함께 설치하면 몇 가지 예제 정책과 역할이 만들어집니다. 정책과 역할에 대한 자세한 내용은 Sun Java System Access Manager Getting Started GuideSun Java System Access Manager Administration Guide를 참조하십시오.

새 정책을 만들어 사이트의 요구 사항에 따라 이러한 정책을 역할 , 그룹 , 조직 또는 최종 사용자에 할당할 수 있습니다.

Instant Messaging 서비스 또는 상태 확인 서비스를 최종 사용자에게 할당하면 최종 사용자는 자신에게 적용된 동적 속성과 사용자 속성을 받습니다. 동적 속성은 Access Manager에구성된 역할이나 조직에 할당할 수 있습니다.

역할이 최종 사용자에게 할당되었거나 최종 사용자가 조직에 만들어진 동적 속 성이 최종 사용자의 특성이 됩니다. 사용자 속성은 각 최종 사용자에게 직접 할당되며, 역할이나 조직에서 상속되지 않고, 일반적으로 최종 사용자마다 다릅니다. 최종 사용자가 로그온하면 자신에게 할당된 역할과 정책의 적용 방식에 따라 자신에게 적용 가능한 모든 속성을 받게 됩니다.

이러한 최종 사용자에게 상태 확인 및 Instant Messaging 서비스를 할당한 후 동적, 사용자 또는 정책 속성이 최종 사용자와 연관됩니다.

Instant Messaging 서비스 속성

표 17–3에서는 각 서비스의 정책, 동적 및 사용자 속성을 나열합니다.

표 17–3 Instant Messaging을 위한 Access Manager 속성

서비스 

정책 속성 

동적 속성 

사용자 속성 

sunIM 

sunIMAllowChat

sunIMAllowChatInvite

sunIMAllowForumAccess

sunIMAllowForumManage

sunIMAllowForumModerate

sunIMAllowAlertsAccess

sunIMAllowAlertsSend

sunIMAllowNewsAccess

sunIMAllowNewsManage

sunIMAllowFileTransfer

sunIMAllowContactListManage

sunIMAllowUserSettings

sunIMAllowPollingAccess

sunIMAllowPollingSend

sunIMProperties

sunIMRoster

sunIMConferenceRoster

sunIMNewsRoster

sunIMPrivateSettings

sunIMUserProperties

sunIMUserRoster

sunIMUserConferenceRoster

sunIMUserNewsRoster

sunIMUserPrivateSettings

sunPresence 

sunPresenceAllowAccess

sunPresenceAllowPublish

sunPresenceAllowManage

sunPresenceDevices

sunPresencePrivacy

sunPresenceEntityDevices

sunPresenceUserPrivacy

위 표의 각 속성에 해당하는 레이블이 Access Manager 관리 콘솔에 표시됩니다. 표 17–4에서는 정책 속성을 나열하고 설명하며, 표 17–5에서는 동적 및 사용자 속성을 나열하고 설명합니다.

표 17–4 Instant Messaging을 위한 Access Manager 정책 속성

정책 속성 

관리 콘솔 레이블 

속성 설명 

sunIMAllowChat

채팅 가능 

최종 사용자가 채팅룸에 초대받고 일반 채팅 기능에 액세스할 수 있습니다.  

sunIMAllowChatInvite

채팅 상대 초대 가능 

최종 사용자가 다른 사용자를 채팅에 초대할 수 있습니다. 

sunIMAllowForumAccess

회의실 참가 가능 

Instant Messenger에 회의 탭이 표시되어 최종 사용자가 회의실에 참가할 수 있습니다. 

sunIMAllowForumManage

회의실 관리 가능 

최종 사용자가 회의실을 만들고, 삭제하고, 관리할 수 있습니다. 

sunIMAllowForumModerate

회의실 중재 가능 

최종 사용자가 회의 중재자가 될 수 있습니다. 

sunIMAllowAlertsAccess

알림 받기 가능 

최종 사용자가 다른 사용자로부터 알림을 받을 수 있습니다. 

sunIMAllowAlertsSend

알림 보내기 가능 

최종 사용자가 다른 사용자에게 알림을 보낼 수 있습니다. 

sunIMAllowNewsAccess

뉴스 읽기 가능 

최종 사용자가 뉴스 메시지를 보내고 받기 위한 뉴스 채널을 나열할 수 있는 뉴스 버튼이 Instant Messenger에 표시됩니다. 

sunIMAllowNewsManage

뉴스 채널 관리 가능 

최종 사용자가 뉴스 채널을 관리하고, 뉴스 채널에 권한을 만들고, 삭제하고, 할당할 수 있습니다. 

sunIMAllowFileTransfer

파일 교환 가능 

최종 사용자가 알림, 채팅 및 뉴스 메시지에 첨부 파일을 추가할 수 있습니다. 

sunIMAllowContactListManage

대화 상대 목록 관리 가능 

최종 사용자가 자신의 대화 상대 목록을 관리할 수 있으며, 목록에서 사용자나 그룹을 추가하고 삭제할 수 있고, 대화 상대 목록의 폴더 이름을 변경할 수 있습니다. 

sunIMAllowUserSettings

Messenger 관리 가능 

최종 사용자가 자신의 Instant Messenger 설정을 변경할 수 있는 설정 버튼이 Instant Messenger에 표시됩니다. 

sunIMAllowPollingAccess

폴링 받기 가능 

최종 사용자가 다른 사용자의 폴링 메시지를 받을 수 있으며 폴링에 응답할 수 있습니다. 

sunIMAllowPollingSend

폴링 보내기 가능 

최종 사용자가 다른 사용자에게 폴링 메시지를 보내고 응답을 받을 수 있는 폴링 버튼이 Instant Messenger에 표시됩니다. 

sunPresenceAllowAccess

다른 사용자의 상태 확인 액세스 가능 

최종 사용자가 다른 사용자의 상태 확인 정보를 볼 수 있습니다. 대화 상대 목록은 대화 상대를 표시하는 것 외에도 상태 아이콘을 변경하여 대화 상대의 상태 변경을 반영합니다. 

sunPresenceAllowPublish

상태 확인 게시 가능 

최종 사용자가 다른 사람이 볼 수 있는 자신의 상태(온라인, 오프라인, 다른 용무 중 등)를 선택할 수 있습니다. 

sunPresenceAllowManage

상태 확인 액세스 관리 가능 

Instant Messenger 설정에 액세스 탭이 표시됩니다. 최종 사용자가 자신의 기본 상태 확인 액세스, 허용된 상태 확인 또는 상태 확인 거부 목록을 설정할 수 있습니다. 

속성 직접 수정

최종 사용자는 Access Manager 관리 콘솔에 로그인하여 Instant Messaging 및 상태 확인 서비스에서 속성 값을 볼 수 있습니다. 속성이 수정가능하도록 정의되어 있으면 최종 사용자가 해당 속성을 변경할 수 있습니다. 하지만 기본적으로 Instant Messaging 서비스에는 수정 가능한 속성이 없으며 최종 사용자가 이를 수정하는 것도 권장하지 않습니다. 그러나 시스템 관리자의 관점에서 볼 때는 속성을 직접 수정하는 것이 유용할 수도 있습니다.

예를 들어 역할에는 회의 가입 설정 등의 일부 시스템 속성이 반영되지 않기 때문에 시스템 관리자가 다른 최종 사용자의 속성을 복사하거나(예: 회의 Roster에서) 직접 수정하여 이러한 속성의 값을 수정해야 할 수 있습니다. 이러한 속성은 표 17–5에서 나열합니다.

사용자 속성은 최종 사용자가 Sun Java System Access Manager 관리 콘솔을 통해 설정할 수 있습니다. 동적 속성은 관리자가 설정합니다. 동적 속성에 대해 설정된 값은 해당 사용자 속성 값을 대체하거나 해당 값과 결합됩니다.

해당 동적 속성과 사용자 속성은 충돌하거나 보완되는 정보를 해결하는 방식에 영향을 줍니다. 예를 들어 두 소스(동적 및 사용자)의 회의 가입은 상호 보완적이므로 이 두가입은 병합됩니다. 따라서 각각 다른 속성을 대체하지 않습니다.

표 17–5 Instant Messaging을 위한 Access Manager 사용자 및 동적 속성

관리 콘솔 레이블 

사용자 속성 

동적 속성 

속성 설명 

충돌 해결 

Messenger 설정 

sunIMUserProperties

sunIMProperties

Instant Messenger에 대한 모든 등록 정보가 포함되며, 파일 기반 사용자 등록 정보 저장소의 user.properties 파일에 해당합니다.

병합. 하지만 특정 등록 정보의 값이 사용자 속성과 동적 속성 모두의 값이면 동적 속성으로 대체됩니다. 

가입 

sunIMUserRoster

sunIMRoster

가입 정보(사용자 대화 상대 목록 Roster)가 포함됩니다. 

병합. 사용자와 동적 속성 모두에 Jabber 식별자가 표시되는 경우 별명은 사용자 속성에서 가져오고, 그룹은 사용자와 동적 속성에 대한 모든 그룹의 합집합이 되며, 가입 값은 사용자와 동적 값의 최고 값이 됩니다. 

회의 가입 

sunIMUserConferenceRoster

sunIMConferenceRoster

회의실 가입 정보가 포함됩니다. 

병합. 동적 및 사용자 가입이 병합되고 복제본이 제거됩니다. 

뉴스 채널 가입 

sunIMUserNewsRoster

sunIMNewsRoster

뉴스 채널 가입 정보가 포함됩니다. 

병합. 동적 및 사용자 가입이 병합되고 복제본이 제거됩니다. 

상태 확인 에이전트 

sunPresenceEntityDevices

sunPresenceDevices

이번 릴리스에서는 사용되지 않습니다(향후 릴리스에서 사용). 

동적 정보가 사용됩니다. 

프라이버시 

sunPresenceUserPrivacy

sunPresencePrivacy

Instant Messenger의 프라이버시 설정에 해당합니다. 

병합. 충돌이 있으면 동적 값이 사용됩니다. 

Instant Messenger 기본 설정 

sunIMUserPrivateSettings

sunIMPrivateSettings

Messenger 설정에 저장되지 않은 전용 프라이버시 기본 설정을 여기에 저장합니다. 

병합 

사전 정의된 Instant Messaging 및 상태 확인 정책

표 17–6에서는 Instant Messaging 서비스 구성 요소를 설치할 때 Sun Java System Access Manager에서 만들어진 정책과 역할의 7가지 예를 나열하고 설명합니다. 최종 사용자에게 부여하고자 하는 액세스 제어에 따라 각 최종 사용자를 서로 다른 역할에 추가할 수 있습니다.

일반적인 사이트에서는 단순히 Instant Messenger를 사용하면서 Instant Messaging 정책을 관리할 책임이 없는 최종 사용자에게 IM Regular User(기본 Instant Messaging 및 상태 확인 액세스를 수신하는 역할) 역할을 할당할 수 있습니다. 또한 Instant Messaging 정책을 전적으로 관리하는 특정 사용자에게 IM Administrator 역할(Instant Messaging 및 상태 확인 서비스를 관리하는 기능과 관련된 역할)을 할당할 수 있습니다. 표 17–7에서는 정책 속성 중 기본 권한 할당을 나열합니다. 규칙에서 작업이 선택되어 있지 않으면 allowdeny 값의 관련도가 정책보다 낮아지므로 해당 속성에 영향을 주지 않습니다.

표 17–6 Sun Java System Access Manager을 위한 기본 정책 및 역할

정책 

정책이 적용되는 역할 

정책이 적용되는 서비스 

정책 설명 

기본 Instant Messaging 및 상태 확인 액세스 

IM Regular User 

sunIM, sunPresence 

일반적인 Instant Messaging 최종 사용자가 가져야 하는 기본 액세스 권한입니다. 

Instant Messaging 및 상태 확인 서비스 관리 기능 

IM Administrator 

sunIM, sunPresence 

Instant Messaging 관리자가 가지고 있으며, 모든 Instant Messaging 기능에 액세스할 수 있는 기능입니다. 

Instant Messaging 뉴스 채널 관리 기능 

IM News Administrator 

sunIM 

최종 사용자가 만들기, 삭제 등을 통해 뉴스 채널을 관리할 수 있습니다. 

Instant Messaging 회의실 관리 기능 

IM Conference Rooms Administrator 

sunIM 

최종 사용자가 만들기, 삭제 등을 통해 회의실을 관리할 수 있습니다. 

자신의 Instant Messaging 사용자 설정 변경 기능 

IM Allow User Settings Role 

sunIM 

최종 사용자가 Instant Messenger에서 설정 대화 상자의 값을 수정하여 설정을 편집할 수 있습니다. 

Instant Messaging 알림 보내기 기능 

IM Allow Send Alerts Role 

sunIM 

최종 사용자가 Instant Messenger에서 알림을 보낼 수 있습니다. 

다른 Instant Messaging 최종 사용자의 변경 사항 감시 기능 

IM Allow Watch Changes Role 

sunIM 

최종 사용자가 다른 Instant Messaging 최종 사용자의 상태 확인 정보에 액세스할 수 있습니다. 

표 17–7 기본 정책 할당
 

정책 

속성 

기본 액세스 권한 

Instant Messaging 및 상태 확인 서비스 관리 

뉴스 채널 관리 

회의실 관리 

자신의 최종 사용자 설정 변경 

알림 보내기 

다른 사용자의 변경 사항 지켜보기 

sunIMAllowChat

허용 

허용 

         

sunIMAllowChatInvite

허용 

허용 

         

sunIMAllowForumAccess

허용 

허용 

 

허용 

     

sunIMAllowForumManage

거부 

허용 

 

허용 

     

sunIMAllowForumModerate

거부 

허용 

 

허용 

     

sunIMAllowAlertsAccess

허용 

허용 

     

허용 

 

sunIMAllowAlertsSend

허용 

허용 

     

허용 

 

sunIMAllowNewsAccess

허용 

허용 

허용 

       

sunIMAllowNewsManage

거부 

허용 

허용 

       

sunIMAllowFileTransfer

허용 

허용 

         

sunIMAllowContactListManage

허용 

허용 

         

sunIMAllowUserSettings

허용 

허용 

   

허용 

   

sunIMAllowPollingAccess

허용 

허용 

         

sunIMAllowPollingSend

허용 

허용 

         

sunPresenceAllowManage

허용 

허용 

         

sunPresenceAllowAccess

허용 

허용 

       

허용 

sunPresenceAllowPublish

허용 

허용 

         

새 Instant Messaging 정책 만들기

사이트의 특정 요구 사항에 맞게 새 정책을 만들 수 있습니다.

Procedure새 정책을 만들려면

  1. http://hostname:port/amconsole의Access Manager 관리 콘솔에로그인합니다.

    예를 들면 다음과 같습니다.

    http://imserver.company22.example.com:80/amconsole

  2. Identity 관리 탭을 선택합니다.

  3. 탐색 창(왼쪽 아래 프레임)의 보기 드롭다운 목록에서 정책을 선택합니다.

  4. 새로 만들기를 누릅니다.

    데이터 창(오른쪽 아래 프레임)에 새 정책 페이지가 표시됩니다.

  5. 정책 유형을 일반으로 선택합니다.

  6. 이름 필드에 정책 설명을 입력합니다.

    예를 들면 다음과 같습니다.


    IM 작업 수행 권한입니다.

  7. 만들기를 누릅니다.

    Access Manager 관리 콘솔에서 탐색 창의 정책 목록에 새 정책의 이름이 표시되고 새 정책의 편집 페이지가 열립니다.

  8. 편집 페이지의 보기 드롭다운 목록에서 규칙을 선택합니다.

    편집 페이지 내에 규칙 이름 서비스 자원 패널이 표시됩니다.

  9. 추가를 누릅니다.

    규칙 추가 페이지가 표시됩니다.

  10. 적용되는 서비스를 선택합니다.

    Instant Messaging 서비스나 상태 확인 서비스를 선택할 수 있습니다.

    각 서비스를 통해 최종 사용자에게 특정 작업을 수행할 권한을 허용하거나 거부할 수 있습니다. 예를 들어 채팅 가능은 Instant Messaging 서비스에 한정된 작업이고, 다른 사용자의 상태 확인 액세스 가능은 상태 확인 서비스에 한정된 작업입니다.

  11. 규칙 이름 필드에 규칙 설명을 입력합니다.

    예를 들면 다음과 같습니다.


    규칙 1

  12. 적절한 자원 이름을 입력합니다.

    Instant Messaging 서비스의 경우

    IMResource를 입력하거나

    상태 확인 서비스의 경우

    PresenceResource를 입력합니다.

  13. 적용할 작업을 선택합니다.

  14. 각 작업의 값을 선택합니다.

    허용 또는 거부를 선택할 수 있습니다.

  15. 만들기를 누릅니다.

    해당 정책에 대해 저장된 규칙 목록에 제안된 규칙이 표시됩니다.

  16. 저장을 누릅니다.

    제안된 규칙이 저장된 규칙이 됩니다.

  17. 해당 정책에 적용할 추가 규칙에 대해 9-16단계를 반복합니다.

역할, 그룹, 조직 또는 사용자에 정책 할당

역할, 그룹, 조직 또는 사용자에게 정책을 할당할 수 있습니다. 여기에는 Instant Messaging을 설치한 후 만들어진 정책이나 기본 정책이 포함됩니다.

Procedure정책을 할당하려면

  1. http://hostname:port/amconsole의 Access Manager 관리 콘솔에 로그인합니다.

    예를 들면 다음과 같습니다.

    http://imserver.company22.example.com:80/amconsole

  2. Identity 관리 탭을 선택합니다.

  3. 탐색 창(왼쪽 아래 프레임)의 보기 드롭다운 목록에서 정책을 선택합니다.

  4. 할당할 정책 이름 옆의 화살표를 누릅니다.

    데이터 창(오른쪽 아래 프레임)에 해당 정책의 편집 페이지가 표시됩니다.

  5. 편집 페이지의 보기 드롭다운 목록에서 주제를 선택합니다.

  6. 추가를 누릅니다.

    사용 가능한 주제 유형이 나열되는 주제 추가 페이지가 표시됩니다.

    • Access Manager 역할

    • LDAP 그룹

    • LDAP 역할

    • LDAP 사용자

    • 조직

  7. 정책과 일치하는 주제 유형을 선택합니다.

    예를 들면 조직이 있습니다.

  8. 다음을 누릅니다.

  9. 이름 필드에 주제의 설명을 입력합니다.

  10. (옵션) 단독 확인란을 선택합니다.

    단독 확인란은 기본적으로 선택되어 있지 않습니다. 즉, 정책이 주제의 모든 구성원에게 적용됩니다.

    단독 확인란을 선택하면 주제의 구성원이 아닌 모든 사람에게 정책이 적용됩니다.

  11. 사용 가능 필드에서 주제에 추가할 항목을 찾습니다.

    1. 검색할 항목의 검색어를 입력합니다.

      기본 검색어는 해당 주제 유형에 대한 모든 주제를 표시하는 *입니다.

    2. 검색을 누릅니다.

    3. 사용 가능 텍스트 상자에서 선택한 항목 텍스트 상자에 추가할 항목을 강조 표시합니다.

    4. 필요에 따라 추가 또는 모두 추가를 누릅니다.

    5. 선택한 항목 텍스트 상자에 원하는 이름이 모두 추가될 때까지 단계 a-d단계를 반복합니다.

  12. 만들기를 누릅니다.

    해당 정책에 대해 제안된 주제 목록에 제안된 주제가 표시됩니다.

  13. 저장을 누릅니다.

    제안된 주제가 저장된 주제가 됩니다.

  14. 해당 정책에 추가할 추가 주제에 대해 6-13단계를 반복합니다.

Access Manager를 사용한 새 하위 조직 만들기

Sun Java System Access Manager를 사용하여 하위 조직을 만들 수 있는 권한을 사용하면 Instant Messaging 서버 내에서 조직적으로 분리할 수 있습니다. 각각의 하위 조직은 서로 다른 DNS 도메인에 매핑될 수 있습니다. 한 하위 조직의 최종 사용자는 다른 하위 조직의 사용자와 완전히 분리됩니다. 다음 절차에서는 Instant Messaging의 하위 조직을 새로 만들기 위한 최소한의 단계를 설명합니다.

Procedure새 하위 조직을 만들려면

  1. http://hostname:port/amconsole의 Access Manager 관리 콘솔에 로그인합니다.

    예를 들면 다음과 같습니다.

    http://imserver.company22.example.com:80/amconsole

  2. Identity 관리 탭을 선택합니다.

  3. 새 조직을 만듭니다.

    1. 탐색 창(왼쪽 아래 프레임)의 보기 드롭다운 목록에서 조직을 선택합니다.

    2. 새로 만들기를 누릅니다.

      데이터 창(오른쪽 아래 프레임)에 새 조직 페이지가 표시됩니다.

    3. 하위 조직 이름을 입력합니다.

      예를 들면 다음과 같습니다.


      sub1

    4. 도메인 이름을 입력합니다.

      예를 들면 다음과 같습니다.


      sub1.company22.example.com

    5. 만들기를 누릅니다.

  4. 새로 만든 하위 조직에 대한 서비스를 등록합니다.

    1. 탐색 창에서 새 하위 조직의 이름을 누릅니다.

      예를 들어 sub1을 누릅니다. 오른쪽의 등록 정보 화살표가 아니라 이름을 눌러야 합니다.

    2. 탐색 창의 보기 드롭다운 목록에서 서비스를 선택합니다.

    3. 등록을 누릅니다.

      데이터 창에 서비스 등록 페이지가 표시됩니다.

    4. 인증 머리글 아래에서 다음 서비스를 선택합니다.

      • Core

      • LDAP

    5. Instant Messaging 구성 머리글 아래에서 다음 서비스를 선택합니다.

      • Instant Messaging 서비스

      • 상태 확인 서비스

    6. 등록을 누릅니다.

      탐색 창에 이 하위 조직에 대해 새로 선택한 서비스가 표시됩니다.

  5. 새로 선택한 서비스의 서비스 템플리트를 만듭니다.

    1. 탐색 창에서 Core 서비스부터 시작하여 서비스의 등록 정보 화살표를 누릅니다.

      데이터 창에 서비스 템플릿 만들기 페이지가 표시됩니다.

    2. 데이터 창에서 만들기를 누릅니다.

      선택한 서비스의 템플리트 옵션 목록을 보여 주는 페이지가 표시됩니다.

      템플릿 옵션을 수정하지 않을 경우에도 각 서비스에 대해 만들기를 눌러야 합니다.

    3. 각 서비스의 서비스 템플릿 옵션을 다음과 같이 수정합니다.

      • Core:일반적으로 수정해야 하는 옵션이 없습니다.

      • LDAP:사용자 검색을 시작할 DN 필드에 새 하위 조직의 접두어를 추가합니다.

        접두어를 추가한 후 최종 DN 의 형식은 다음과 같습니다.

        o=sub1,dc=company22,dc=example,dc=com

        루트 사용자 바인드용 비밀번호루트 사용자 바인드용 비밀번호(확인) 필드에 LDAP 비밀번호를 입력합니다.

      • Instant Messaging 서비스:일반적으로 수정해야 하는 옵션이 없습니다.

    4. 저장을 누릅니다.

    5. 각 서비스의 서비스 템플리트를 만들 때까지 a-d단계를 반복합니다.

새 하위 조직의 최종 사용자에게 역할 할당

하위 조직에 최종 사용자를 새로 만든 후에는 해당 사용자에게 역할을 할당해야 합니다. 역할은 부모 조직에서 상속될 수 있습니다.

Procedure새 하위 조직의 최종 사용자에게 역할을 할당하려면

  1. http://hostname:port/amconsole의 Access Manager 관리 콘솔에 로그인합니다.

    예를 들면 다음과 같습니다.

    http://imserver.company22.example.com:80/amconsole

  2. Identity 관리 탭을 선택합니다.

  3. 탐색 창(왼쪽 아래 프레임)의 보기 드롭다운 목록에서 역할을 선택합니다.

  4. 할당할 역할 오른쪽에 있는 등록 정보 화살표를 누릅니다.

    데이터 창(오른쪽 아래 프레임)에 해당 역할의 페이지가 표시됩니다.

  5. 데이터 창의 보기 드롭다운 목록에서 사용자를 선택합니다.

  6. 추가를 누릅니다.

    사용자 추가 페이지가 표시됩니다.

  7. 사용자를 식별하기 위한 일치 패턴을 입력합니다.

    예를 들어 UserId 필드에 별표(*)가 있으면 모든 사용자가 나열됩니다.

  8. 필터를 누릅니다.

    사용자 선택 페이지가 표시됩니다.

  9. 사용자 선택 페이지에서 상하 경로 표시 확인란을 선택하고 새로 고침을 누릅니다.

    상하 경로가 표시됩니다.

  10. 이 역할에 할당할 사용자를 선택합니다.

  11. 제출을 누릅니다.