2장 영역 관리

액세스 제어 영역은 사용자 또는 사용자의 그룹에 연결할 수 있는 인증 등록 정보 및 권한 부여 정책의 그룹입니다. 영역 데이터는 Access Manager에서 사용자가 지정한 데이터 저장소 내에 만든 소유 정보 트리에 저장됩니다. Access Manager 프레임워크는 Access Manager 정보 트리 내의 각 영역에 있는 정책과 속성을 종합합니다. 기본적으로 Access Manager는 사용자 데이터와는 별도로 Access Manager 정보 트리를 특수 분기로 Sun Java Enterprise System Directory Server에 자동으로 삽입합니다. 어떤 LDAPv3 데이터베이스를 사용하는 중이라도 액세스 제어 영역을 사용할 수 있습니다.

영역에 대한 자세한 내용은 Sun Java System Access Manager 7.1 Technical Overview를 참조하십시오.

[영역] 탭에서 액세스 제어에 대해 다음과 같은 등록 정보를 구성할 수 있습니다.

• 인증

• 서비스

• 권한

영역 만들기 및 관리

이 절에서는 영역을 만들고 관리하는 방법을 설명합니다.

새 영역 만들기

1. [액세스 제어] 탭의 [영역] 목록에서 [새로 만들기]를 선택합니다.

2. 다음과 같은 일반 속성을 정의합니다.

   이름

   영역 이름을 입력합니다.

   부모

   만드는 영역의 위치를 정의합니다. 새 영역이 위치할 부모 영역을 선택합니다.

3. 다음과 같은 영역 속성을 지정합니다.

   영역 상태

   활성 또는 비활성 상태를 선택합니다. 기본값은 활성입니다. 이 값은 영역의 수명 동안 등록 정보] 아이콘을 선택하여 언제든지 변경할 수 있습니다. 비활성을 선택하면 로그인 시 사용자 액세스를 사용할 수 없습니다.

   영역/DNS 별칭

   영역의 DNS 이름에 대한 별칭 이름을 추가할 수 있습니다. 이 속성에는 “실제” 도메인 별칭(임의의 문자열은 허용 안 됨)만 허용됩니다.

4. 저장하려면 [확인]을 누르고 이전 페이지로 돌아가려면 [취소]를 누릅니다.

일반 등록 정보

일반 등록 정보 페이지에는 영역에 대한 기본 속성이 표시됩니다. 이 등록 정보를 수정하려면 [액세스 제어] 탭의 [영역 이름] 목록에서 해당 영역을 누릅니다. 그리고 다음 등록 정보를 편집합니다.

영역 상태

활성 또는 비활성 상태를 선택합니다. 기본값은 활성입니다. 이 값은 영역의 수명 동안 [등록 정보] 아이콘을 선택하여 언제든지 변경할 수 있습니다. 비활성을 선택하면 로그인 시 사용자 액세스를 사용할 수 없습니다.

영역/DNS 별칭

영역의 DNS 이름에 대한 별칭 이름을 추가할 수 있습니다. 이 속성에는 “실제” 도메인 별칭(임의의 문자열은 허용 안 됨)만 허용됩니다.

등록 정보를 편집한 다음 [저장]을 누릅니다.

AMAdmin.dtd의 recursive=true 플래그는 영역 모드에서 하위 영역의 객체를 검색하는 경우 제대로 작동하지 않습니다. 모든 하위 조직이 같은 루트 접미어 아래에 있으므로 이 플래그는 레거시 모드에서만 작동합니다. 영역 모드에서 각 하위 영역은 서로 다른 루트 접미어를 가지며 다른 서버에 있을 수도 있습니다. 하위 영역에서 그룹과 같은 객체를 검색할 경우 XML 데이터 파일에서 검색할 하위 영역을 지정해야 합니다.

인증

사용자가 다른 인증 모듈을 사용하여 로그인하기 전에 일반 인증 서비스를 영역에 대한 서비스로 등록해야 합니다. 핵심 인증 서비스를 사용하면 Access Manager 관리자가 영역의 인증 매개 변수에 대한 기본값을 지정할 수 있습니다. 지정된 인증 모듈에 정의된 대체 값이 없는 경우 이러한 값을 사용할 수 있습니다. 핵심 인증 서비스의 기본값은 amAuth.xml 파일에 정의되며 설치 후에 Directory Server에 저장됩니다.

자세한 내용은 인증 관리를 참조하십시오.

서비스

Access Manager에서 서비스는 Access Manager 콘솔에서 함께 관리되는 속성의 그룹입니다. 속성은 직원 이름, 직위 및 전자 메일 주소와 같은 관련 정보입니다. 그러나 속성은 일반적으로 메일 응용 프로그램이나 급여 서비스와 같은 소프트웨어 모듈의 구성 매개 변수로 사용됩니다.

[서비스] 탭을 사용하여 몇 가지 Access Manager 기본 서비스를 영역에 추가하고 구성할 수 있으며, 다음과 같은 서비스를 추가할 수 있습니다.

• 관리

• 검색 서비스

• 국제화 설정

• 비밀번호 재설정

• 세션

• 사용자

Access Manager에서 서비스 XML 파일의 필수 속성에는 반드시 기본값이 있어야 합니다. 서비스의 필수 속성에 값이 없으면 기본값을 추가하고 해당 서비스를 다시 로드해야 합니다.

영역에 서비스를 추가하려면

1. 새 서비스를 추가할 영역 이름을 누릅니다.

2. [서비스] 탭을 선택합니다.

3. 서비스 목록에서 [추가]를 누릅니다.

4. 영역에 추가할 서비스를 선택합니다.

5. [다음]을 누릅니다.

6. 영역 속성을 정의하여 서비스를 구성합니다. 서비스 속성에 대한 설명은 온라인 도움말에서 구성 부분을 참조하십시오.

7. [마침]을 누릅니다.

8. 서비스의 등록 정보를 편집하려면 [서비스] 목록에서 해당 이름을 누릅니다.

권한

Access Manager의 위임 모델은 관리자에게 할당된 권한 또는 자격을 바탕으로 합니다. 권한은 정책 객체에 대한 READ 작업처럼 자원에 대해 수행할 수 있는 작업입니다. 정의되는 작업 집합은 READ, MODIFY 및 DELEGATE입니다. 자원은 작업을 수행할 수 있는 객체로, 구성 객체 또는 Identity 객체일 수 있습니다.

구성 객체의 예로는 인증 구성, 정책, 데이터 저장소 등이 있으며, Identity 객체의 예로는 사용자, 그룹, 규칙 및 에이전트가 있습니다. 권한 집합은 동적으로 만들어 Access Manager에 동적으로 추가할 수 있지만 Access Manager가 제대로 실행되도록 설치 중에 소규모의 권한 집합이 추가됩니다. 로드된 권한은 역할과 그룹에 할당할 수 있습니다. 이러한 역할과 그룹에 속한 사용자가 위임된 관리자가 되어 할당된 작업을 수행할 수 있습니다. 기본적으로 관리자는 하나 이상의 권한이 할당된 역할과 그룹에 속하는 사용자입니다.

Access Manager 7.1을 사용하면 다음과 같은 관리자 유형에 대해 권한을 구성할 수 있습니다.

• 영역 관리자 — 모든 객체(구성 및 Identity 객체 모두)에 대한 모든 READ, MODIFY 및 DELEGATE 작업 권한을 가집니다. Unix 시스템에서 영역 관리자는 “root”로 간주될 수 있습니다. 영역 관리자는 하위 영역을 만들고, 모든 서비스에 대한 구성을 수정하고, 사용자, 그룹, 역할 및 에이전트를 작성, 수정 및 삭제할 수도 있습니다.

• 정책 관리자 — 정책과 정책 서비스 구성만 관리할 수 있는 권한을 가집니다. 정책 관리자는 규칙, 주제, 조건 및 응답 속성으로 구성된 정책을 작성, 수정 및 삭제할 수 있습니다. 하지만 정책을 관리하기 위해서는 Identity 저장소 주제 및 인증 구성에 대한 읽기 권한도 필요합니다. 정책 관리자는 이 권한을 사용하여 Identity와 인증 구성을 볼 수 있습니다.

• 로그 관리자 — 감염된 응용 프로그램에서 감사 로그를 악의적으로 사용하지 못하도록 보호하는 데 사용할 수 있는 로그 레코드를 읽고 쓰는 권한을 가집니다. 로깅 인터페이스가 공용이므로 인증된 모든 사용자가 로그 레코드를 읽고 쓸 수 있습니다. 따라서 이러한 오용을 방지하기 위해 이 권한이 추가됩니다. 로깅 인터페이스를 주로 사용하는 J2EE 및 웹 에이전트에는 MODIFY 권한만 필요하며 READ 권한은 허용되지 않습니다. 이와 유사하게, 로그를 보는 관리자에게는 READ 권한만 있어야 하며 MODIFY 권한이 있어서는 안 됩니다. 이러한 사용 유형을 지원하기 위해 로깅 권한을 다음과 같이 보다 자세히 분류할 수 있습니다.

  • 쓰기 액세스 권한을 가진 로그 관리자 – 모든 로그 파일을 쓸 수 있는 권한을 가집니다.

  • 읽기 액세스 권한을 가진 로그 관리자 – 모든 로그 파일을 읽을 수 있는 권한을 가집니다.

  • 읽기/쓰기 액세스 권한을 가진 로그 관리자 – 모든 로그 파일을 읽고 쓸 수 있는 권한을 가집니다.

Access Manager 7.1 권한 정의

새로운 Access Manager 7.1 설치 인스턴스는 정책 관리자, 영역 관리자(또는 레거시 모드의 조직 관리자) 및 로그 관리자에 대해 액세스 권한을 제공합니다. 권한을 할당하거나 수정하려면 편집할 역할 또는 그룹 이름을 누릅니다. 그러면 다음 중에서 선택할 수 있습니다.

모든 로그 파일에 대한 읽기 및 쓰기 액세스

로그 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

모든 로그 파일에 대한 쓰기 액세스

로그 관리자의 쓰기 액세스 권한만 정의합니다.

모든 로그 파일에 대한 읽기 액세스

로그 관리자의 읽기 액세스 권한만 정의합니다.

정책 등록 정보 전용의 읽기 및 쓰기 액세스

정책 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

모든 영역 및 정책 등록 정보에 대한 읽기 및 쓰기 액세스

영역 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

Access Manager 7.0에서 7.1로의 업그레이드 권한 정의

버전 7.0에서 버전 7.1로 Access Manager를 업그레이드한 경우 권한 구성은 새로 설치한 Access Manager 7.1의 권한 구성과 다르지만 정책 관리자, 영역 관리자 및 로그 관리자에 대한 권한은 그대로 지원됩니다. 권한을 할당하거나 수정하려면 편집할 역할 또는 그룹 이름을 누릅니다. 그러면 다음 중에서 선택할 수 있습니다.

데이터 저장소에 대한 읽기 전용 권한

데이터 저장소에 대한 정책 관리자의 읽기 액세스 권한을 정의합니다.

모든 로그 파일에 대한 읽기 및 쓰기 액세스

로그 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

모든 로그 파일에 대한 쓰기 액세스

로그 관리자의 쓰기 액세스 권한만 정의합니다.

모든 로그 파일에 대한 읽기 액세스

로그 관리자의 읽기 액세스 권한만 정의합니다.

정책 등록 정보 전용의 읽기 및 쓰기 액세스

정책 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

모든 영역 및 정책 등록 정보에 대한 읽기 및 쓰기 액세스

영역 관리자의 읽기 및 쓰기 액세스 권한을 정의합니다.

모든 등록 정보 및 서비스에 대한 읽기 전용 권한

모든 등록 정보와 서비스에 대한 정책 관리자의 읽기 액세스 권한을 정의합니다.

Access Manager에서는 다음 정의를 개별적으로 또는 함께 사용할 수 없습니다.

• 데이터 저장소에 대한 읽기 전용 권한

• 모든 등록 정보 및 서비스에 대한 읽기 전용 권한

이러한 권한 정의는 정책 관리자의 위임 제어를 정의할 때 "정책 등록 정보 전용의 읽기 및 쓰기 액세스" 정의와 함께 사용되어야 합니다.