test

Sun Java System Access Manager 7.1 관리 설명서

6장 주제 관리

주제 인터페이스를 사용하면 영역에서 기본 아이디를 관리할 수 있습니다. 주제 인터페이스에서 만든 모든 아이디는 Access Manager 아이디 주제 유형으로 만든 정책의 주제 정의에서 사용할 수 있습니다.

만들고 수정할 수 있는 아이디는 다음과 같습니다.

사용자

사용자는 개인의 아이디를 나타냅니다. 그룹의 사용자를 만들고 제거할 수 있으며 역할 및 그룹에 사용자를 추가하거나 제거할 수 있습니다. 또한 서비스를 사용자에게 할당할 수도 있습니다.

Procedure사용자를 만들거나 수정하려면

  1. [사용자] 탭을 누릅니다.

  2. [새로 만들기]를 누릅니다.

  3. 다음 필드에 데이터를 입력합니다.

    사용자 아이디.이 필드에는 사용자가 Access Manager에 로그인할 때 사용하는 이름을 입력합니다. 이 등록 정보는 DN이 아닌 값일 수 있습니다.

    이름. 이 필드는 사용자의 이름을 가집니다.

    . 이 필드는 사용자의 성을 가집니다.

    전체 이름. 이 필드는 사용자의 전체 이름을 가집니다.

    비밀번호.이 필드에는 사용자 아이디 필드에 지정된 이름의 비밀번호를 입력합니다.

    비밀번호(확인). 비밀번호를 확인합니다.

    사용자 상태. 이 옵션은 사용자에게 Access Manager를 통한 인증이 허용되었는지 여부를 나타냅니다.

  4. [만들기]를 누릅니다.

  5. 사용자가 생성되면 사용자의 이름을 눌러 사용자 정보를 편집할 수 있습니다. 사용자 속성에 대한 자세한 내용은 사용자 속성을 참조하십시오. 다음을 수행할 수 있습니다.

Procedure역할 및 그룹에 사용자를 추가하려면

  1. 수정할 사용자의 이름을 누릅니다.

  2. [역할] 또는 [그룹]을 선택합니다. 이미 사용자에게 할당된 역할과 그룹만 표시됩니다.

  3. [사용 가능] 목록에서 역할 또는 그룹을 선택하고 [추가]를 누릅니다.

  4. [선택] 목록에 역할 또는 그룹이 표시되면 [저장]을 누릅니다.

ProcedureIdentity에 서비스를 추가하려면

  1. 서비스를 추가할 아이디를 선택합니다.

  2. [서비스] 탭을 누릅니다.

  3. [추가]를 누릅니다.

  4. 선택한 아이디 유형에 따라 다음과 같은 서비스 목록이 표시됩니다.

    • 인증 구성

    • 검색 서비스

    • 리버티 개인 프로필 서비스

    • 세션

    • 사용자

  5. 추가할 서비스를 선택하고 [다음]을 누릅니다.

  6. 서비스에 대한 속성을 편집합니다. 서비스에 대한 설명을 참조하려면 4단계에서 서비스 이름을 누릅니다.

  7. [마침]을 누릅니다.

에이전트 프로필

Access Manager 정책 에이전트는 웹 서버 및 웹 프록시 서버의 내용을 권한이 없는 침입으로부터 보호합니다. 정책 에이전트는 관리자가 구성한 정책에 기초하여 서비스 및 웹 자원에 대한 액세스를 제어합니다.

에이전트 객체는 정책 에이전트 프로필을 정의하고 Access Manager 자원을 보호하고 있는 특정 에이전트에 대한 인증 및 기타 프로필 정보를 Access Manager에서 저장할 수 있게 합니다. 관리자는 Access Manager 콘솔을 통해 에이전트 프로필을 확인, 작성, 수정 및 삭제할 수 있습니다.

에이전트 객체 만들기 페이지는 에이전트가 Access Manager에 대한 인증에 사용할 UID/비밀번호를 정의할 수 있는 위치입니다. 같은 Access Manager를 사용하는 웹 컨테이너 설정이 여러 개 있는 경우 다른 에이전트에 대해 여러 아이디를 활성화하고 이들을 Access Manager와 별개로 활성화 및 비활성화하는 옵션을 제공합니다. 또한 각 컴퓨터에서 AMAgent.properties를 편집하지 않고 에이전트에 대한 일부 기본 설정 값을 중앙에서 관리할 수 있습니다.

Procedure에이전트를 만들거나 수정하려면

  1. [에이전트] 탭을 누릅니다.

  2. [새로 만들기]를 누릅니다.

  3. 다음과 같은 필드에 값을 입력합니다.

    이름. 에이전트의 이름 또는 아이디를 입력합니다. 에이전트는 Access Manager에 로그인할 때 이 이름을 사용합니다. 멀티바이트 이름은 사용할 수 없습니다.

    비밀번호. 에이전트의 비밀번호를 입력합니다. 이 비밀번호는 LDAP 인증 도중에 에이전트가 사용하는 비밀번호와는 달라야 합니다.

    비밀번호 확인. 비밀번호를 확인합니다.

    장치 상태. 에이전트의 장치 상태를 입력합니다. 활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증되어 Access Manager와 통신할 수 있습니다. 비활성으로 설정된 경우 에이전트는 Access Manager에 대해 인증될 수 없습니다.

  4. [만들기]를 누릅니다.

  5. 에이전트를 만든 후에는 다음과 같은 필드를 추가로 편집할 수 있습니다.

    설명. 에이전트에 대한 간단한 설명을 입력합니다. 예를 들어, 에이전트 인스턴스 이름이나 에이전트가 보호하는 응용 프로그램의 이름을 입력할 수 있습니다.

    에이전트 키 값. 키/값 쌍을 사용하여 에이전트 등록 정보를 설정합니다. Access Manager는 이 등록 정보를 사용하여 사용자의 자격 증명에 대한 에이전트 요청을 받습니다. 현재는 하나의 등록 정보만 유효하며 다른 등록 정보는 모두 무시됩니다. 다음 형식을 사용합니다.

    agentRootURL=protocol://hostname:port/

    입력 항목이 정확해야 하며 agentRootURL은 대소문자를 구분합니다.

    protocol

    사용되는 프로토콜(HTTP 또는 HTTPS)을 나타냅니다.

    hostname

    에이전트가 상주하는시스템의 호스트 이름을 나타냅니다. 또한 이 시스템은 해당 에이전트에서 보호하는 자원도 호스팅합니다.

    port

    에이전트가 설치된 포트 번호를 나타냅니다. 에이전트는 이 포트에서 트래픽을 수신하고 호스트의 자원에 대한 액세스 요청을 모두 가로챕니다.

쿠키 하이재킹을 차단하도록 Access Manager 구성

쿠키 하이재킹은 신뢰할 수 없는 응용 프로그램을 사용하는 해커(강탈자)가 쿠키에 무단 액세스하려고 시도하는 상황을 말합니다. 하이재킹되는 쿠키가 세션 쿠키인 경우 시스템 구성 방식에 따라 쿠키 하이재킹으로 인해 보호되는 웹 자원에 대한 무단 액세스 위협이 잠재적으로 높아질 수 있습니다.

Sun에서는 "Precautions Against Session-Cookie Hijacking in an Access Management Deployment"라는 기술 자료를 통해 세션 쿠키 하이재킹과 관련된 특정 보안 위협에 대해 취할 수 있는 사전 예방 조치를 설명하고 있습니다. 다음 문서를 참조하십시오.

Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment

필터링된 역할

필터링된 역할은 LDAP 필터를 사용하여 만든 동적 역할입니다. 모든 사용자가 필터를 통해 걸러져 역할을 만들 때 해당 역할에 할당됩니다. 필터는 항목의 임의 속성 값 쌍(예: ca=user*)을 찾아 해당 속성을 포함하는 사용자를 역할에 자동으로 할당합니다.

Procedure필터링된 역할을 만들려면

  1. [이동] 창에서 역할을 만들 조직으로 이동합니다.

  2. [새로 만들기]를 누릅니다.

  3. 필터링된 역할의 이름을 입력합니다.

  4. 검색 조건에 대한 정보를 입력합니다.

    예:


    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    필터를 비워두면 기본적으로 다음 역할이 만들어집니다.


    (objectclass = inetorgperson)

  5. [만들기]를 눌러 필터 조건을 바탕으로 검색을 시작합니다. 필터 조건에서 정의한 아이디가 자동으로 역할에 할당됩니다.

  6. 필터링된 역할이 만들어지면 역할 이름을 눌러 해당 역할에 속한 사용자를 확인합니다. 또한 [서비스] 탭을 눌러 역할에 서비스를 추가할 수도 있습니다.

역할

역할의 구성원은 역할을 소유하는 LDAP 항목입니다. 역할의 기준 자체는 속성과 함께 LDAP 항목으로 정의되며 항목의 고유 이름(DN) 속성으로 식별됩니다. 역할을 만들면 서비스와 사용자를 직접 추가할 수 있습니다.

Procedure역할을 만들거나 수정하려면

  1. [역할] 탭을 누릅니다.

  2. 역할 목록에서 [새로 만들기]를 누릅니다.

  3. 역할의 이름을 입력합니다.

  4. [만들기]를 누릅니다.

Procedure역할 또는 그룹에 사용자를 추가하려면

  1. 사용자를 추가할 역할 또는 그룹의 이름을 누릅니다.

  2. [사용자] 탭을 누릅니다.

  3. [사용 가능] 목록에서 추가할 사용자를 선택한 다음 [추가]를 누릅니다.

  4. [선택] 목록에 사용자가 표시되면 [저장]을 누릅니다.

그룹

그룹은 공통적인 기능, 특징 또는 관심을 가지는 사용자의 집합을 나타냅니다. 일반적으로 이 그룹에는 연관된 권한이 없습니다. 그룹은 두 가지 수준 즉, 조직 내에서와 다른 관리 대상 그룹 내에서 존재할 수 있습니다.

Procedure그룹을 만들거나 수정하려면

  1. [그룹] 탭을 누릅니다.

  2. 그룹 목록에서 [새로 만들기]를 누릅니다.

  3. 그룹의 이름을 입력합니다.

  4. [만들기]를 누릅니다.

    그룹을 만든 다음에는 그룹 이름과 [사용자] 탭을 차례로 눌러 그룹에 사용자를 추가할 수 있습니다.