2 Secure Remote Access Server 구성
대부분의 속성은 Portal Server 관리 콘솔의 Secure Remote Access 탭에서 사용 가능한 옵션을 통해 설정할 수 있습니다. 생성되는 새로운 조직 또는 사용자는 기본적으로 이 값을 상속합니다.
조직, 역할 및 사용자 수준에서 Secure Remote Access에 관련된 속성을 구성할 수 있습니다. 단, 다음의 예외가 있습니다.
-
충돌 해결 수준은 사용자 수준에서 설정할 수 없습니다. 충돌 해결 설정을 참조하십시오.
-
MIME 유형 구성 파일 위치 속성은 조직 수준에서만 설정할 수 있습니다.
조직 수준에서 설정한 값은 그 아래의 모든 역할과 사용자에게 상속됩니다. 사용자 수준에서 설정된 값은 조직 또는 규칙 수준에서 설정된 값보다 우선합니다.
서비스 구성 수준에서 속성 값을 변경할 수 있습니다. 이러한 새로운 값은 새 조직이 추가될 때에만 반영됩니다.
이 절은 다음 장으로 구성되어 있습니다.
7장 Secure Remote Access Server 액세스 제어 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 사용자의 액세스를 허용하거나 거부하는 방법에 대해 설명합니다.
액세스 제어 구성
이 필드를 사용하여 최종 사용자가 게이트웨이를 통해 액세스할 수 없는 URL의 목록을 지정할 수 있습니다. 게이트웨이에서는 [허용된 URL] 목록을 확인하기 전에 [거부된 URL] 목록을 확인합니다.
게이트웨이를 통해 최종 사용자가 액세스할 수 있는 모든 URL를 지정할 수 있습니다. 기본적으로 이 목록에는 와일드카드 항목(*)이 있으므로 모든 URL에 액세스할 수 있다는 것을 의미합니다. 모든 URL에 대한 액세스를 허용하고, 특정 URL에 대한 액세스만 제한하려면 제한되는 URL을 [거부된 URL] 목록에 추가합니다. 같은 방식으로 특정 URL의 액세스만 허용하려면 [거부된 URL] 필드를 비워두고 [허용된 URL] 필드에서 필요한 URL을 지정합니다.
SRA 소프트웨어의 액세스 제어 서비스에서는 다양한 호스트에 대한 단일 사인온 기능을 제어할 수 있습니다. 단일 사인온 기능을 사용하려면 게이트웨이 서비스에서 [HTTP 기본 인증 사용] 옵션을 활성화해야 합니다.
액세스 제어 서비스에서는 특정 호스트에 대한 단일 사인온을 비활성화할 수 있습니다. 이것은 각 세션마다 단일 사인온이 활성화되어 있지 않는 한, HTPP 기본 인증이 필요한 호스트에 연결할 때마다 최종 사용자가 인증을 받아야 한다는 것을 의미합니다.
특정 호스트에 단일 사인온을 비활성화한 경우 사용자는 단일 포털 서버 세션 내에서만 해당 호스트에 연결할 수 있습니다. 예를 들어, abc.sesta.com에 단일 사인온을 사용 불가능으로 설정했다고 가정해 보겠습니다. 사용자가 이 사이트에 처음 연결할 때에는 인증이 필요합니다. 사용자는 다른 페이지를 찾아본 후 이 페이지로 돌아올 수 있으며 이 페이지가 같은 포털 서버 세션에 있으면 인증이 필요치 않습니다.
액세스 제어를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택합니다.
-
[액세스 제어] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
COS 우선 순위
속성 값의 상속 여부를 결정하는 데 사용하는 값을 지정합니다. 이 속성에 대한 자세한 내용은 Sun Java System Directory Server 관리 설명서를 참조하십시오.
세션별 단일 사인온
세션에서 단일 사인온을 사용하려면 [사용]을 선택합니다.
단일 사인온을 사용하지 않는 호스트
abc.siroe.com과 같은 형식으로 호스트 이름을 입력합니다.
허용된 인증 수준
허용되는 인증 수준을 입력합니다. 모든 수준을 허용하려면 별표를 사용합니다. 기본값은 별표(*)입니다.
URL에 대한 액세스 허용/거부
URL 필드에 게이트웨이를 통한 액세스를 허용 또는 거부할 URL을 입력합니다. URL 입력 형식: http://abc.siroe.com. [작업] 드롭다운 목록에서 [허용] 또는 [거부] 옵션을 적절하게 누릅니다.
http://*.siroe.com과 같은 정규식을 사용할 수도 있습니다. 이 경우 사용자는 siroe.com 도메인에 있는 모든 호스트에 액세스가 거부됩니다.
게이트웨이는 허용된 URL 목록을 확인하기 전에 먼저 액세스가 거부된 URL을 확인합니다.
주 –[허용된 URL] 필드에는 기본적으로 *가 있으며, 따라서 게이트웨이를 통해 모든 URL에 액세스할 수 있습니다.
주 –SRA를 설치할 때 모든 사용자가 기본적으로 액세스 제어 서비스를 사용할 수 있는 것은 아닙니다. 이 서비스는 설치 시 기본적으로 만들어지는 amadmin 사용자에게만 활성화되어 있습니다. 다른 사용자는 이 서비스 없이 게이트웨이를 통해 데스크탑에 액세스할 수 없습니다. amadmin으로 로그인하여 이 서비스를 모든 사용자에게 할당합니다.
-
[저장]을 눌러 완료합니다.
8장 Secure Remote Access Gateway 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 게이트웨이 속성을 구성하는 방법을 설명합니다.
이번 장은 다음 절로 구성됩니다.
시작하기 전에
-
게이트웨이 프로필을 만들려면 게이트웨이 프로필 만들기를 참조하십시오.
프로필 핵심 옵션 구성
이 절에서는 다음 작업을 설명합니다.
시작 모드 구성
설치 중에 HTTPS 모드에서 게이트웨이를 실행하도록 선택한 경우 설치 후에 게이트웨이가 HTTPS 모드에서 실행됩니다. HTTPS 모드에서 게이트웨이는 브라우저로부터 SSL 연결을 허용하고 SSL이 아닌 연결은 거부합니다. 그러나, 게이트웨이를 HTTP 모드에서 실행되도록 설정할 수도 있습니다. 그러면 SSL 세션 관리와 SSL 트래픽 암호화 및 해독에 관련된 오버헤드가 생기지 않기 때문에 게이트웨이 성능을 높일 수 있습니다.
시작 모드를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
- HTTP 연결
-
게이트웨이가 비SSL 연결을 수락하도록 하려면 [HTTP 연결] 확인란을 선택합니다.
- HTTP 포트
-
HTTP 포트 번호를 입력합니다. 기본값은 80입니다.
- HTTPS 연결
-
게이트웨이가 SSL 연결을 수락하도록 하려면 [HTTPS 연결] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
- HTTPS 포트
-
HTTPS 포트 번호를 입력합니다. 기본값은 443입니다.
주 –다음 속성은 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute를 사용하여 수정할 수 있습니다
/space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry
-
sunPortalGatewayDefaultDomainAndSubdomains=Default Domains
-
sunPortalGatewayLoggingEnabled=Enable Logging
-
sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging
-
sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging
-
sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging
-
sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing
-
sunPortalGatewayParserToURIMap=Parser to URI Mappings
-
sunPortalGatewayEnableObfuscation=Enable Masking
-
sunPortalGatewayObfuscationSecretKey=Seed String for Masking
-
sunPortalGatewayNotToObscureURIList=URIs not to Mask
-
sunPortalGatewayUseConsistentProtocolForGateway=Make
-
게이트웨이 프로토콜을 원본 URI \n 프로토콜과 같게 표시 sunPortalGatewayEnableCookieManager=Store External Server Cookies
-
sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
핵심 구성 요소 구성
Netlet을 사용하여 사용자는 인터넷과 같은 불안전한 네트워크에서 공통 TCP/IP 서비스를 안전하게 실행할 수 있습니다. TCP/IP 응용 프로그램(예: 텔넷 및 SMTP), HTTP 응용 프로그램 및 모든 고정 포트 응용 프로그램을 실행할 수 있습니다. Netlet의 사용이 설정되면 게이트웨이에서 들어오는 트래픽이 Netlet 트래픽인지 또는 Portal Server 트래픽인지를 결정해야 합니다. Netlet을 사용 불가능으로 설정하면 게이트웨이가 들어오는 모든 트래픽이 HTTP이거나 HTTPS 트래픽이라고 가정하기 때문에 이러한 오버헤드가 줄어듭니다. Portal Server에서 응용 프로그램을 전혀 사용하지 않을 Netlet 사용을 해제합니다.
구성 요소를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
Netlet
Netlet 서비스를 시작하려면 [사용] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
Proxylet
Proxylet 서비스를 시작하려면 [사용] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
-
다음 명령 옵션을 사용하여 터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
기본 옵션 구성
쿠키 관리 속성 정보
많은 웹 사이트에서는 사용자 세션을 추적하고 관리하기 위해 쿠키를 사용합니다. 게이트웨이가 HTTP 헤더에 쿠키를 설정하는 요청을 웹 사이트로 보낼 때 게이트웨이는 이러한 쿠키를 다음과 같이 폐기시키거나 통과시킵니다.
-
게이트웨이 서비스에서 [쿠키 관리 사용] 속성이 선택되지 않으면 쿠키가 다시 작성되지 않습니다. 따라서 브라우저로부터의 쿠키는 인트라넷에 도달하지 못합니다(반대의 경우도 마찬가지).
-
[쿠키 관리 사용] 속성이 선택되면 게이트웨이가 쿠키를 다시 작성합니다. 게이트웨이는 브라우저로부터의 쿠키가 대상 인트라넷 호스트에 도달하도록 합니다(반대의 경우도 마찬가지).
이 설정은 포털 서버가 포털 서버 사용자 세션을 관리하기 위해 사용하는 쿠키에는 적용되지 않습니다. [사용자 세션 쿠키가 전달될 URL] 옵션의 구성으로 제어합니다.
이 설정은 사용자가 액세스할 수 있는 모든 웹 사이트에 적용됩니다(즉, 어떤 사이트의 쿠키는 폐기시키고 어떤 사이트의 쿠키는 유지할 수 없습니다).
주 –
쿠키 없는 게이트웨이에서라도 [쿠키 도메인] 목록에서 URL을 제거하지 마십시오. 쿠키 도메인 목록에 대한 자세한 내용은 Access Manager 관리 설명서를 참조하십시오.
HTTP 기본 인증 속성 정보
HTTP 기본 인증은 게이트웨이 서비스에서 설정할 수 있습니다.
HTTP 기본 인증을 통해 방문자가 사이트를 보기 전에 아이디와 비밀 번호를 입력하도록 요구함으로써 웹 사이트를 보호할 수 있습니다(HTTP 응답 코드 401, WWW 인증서: BASIC). Portal Server는 사용자가 기본 보호 웹 사이트를 다시 방문할 때 자격 증명을 다시 입력할 필요가 없도록 사용자 이름과 비밀 번호를 저장할 수 있습니다. 이러한 자격 증명 정보는 디렉토리 서버의 사용자 프로필에 저장됩니다.
이 설정은 사용자가 BASIC으로 보호된 사이트를 방문할 수 있는지 여부가 아니라 사용자가 입력한 자격 증명 정보를 사용자 프로필에 저장할지 여부만을 결정합니다.
이 설정은 사용자가 액세스할 수 있는 모든 웹 사이트에 적용됩니다(즉, HTTP 기본 인증 캐싱을 어떤 사이트에 사용하고 다른 사이트에 사용하지 않을 수는 없습니다).
주 –
기본 인증 대신 Windows NT 시도/응답(HTTP 응답 코드 401, WWW 인증: NTLM)으로 보호되는 Microsoft\qs Internet Information Server(IIS)에서 서비스를 제공하는 URL에 대한 탐색은 지원되지 않습니다.
관리 콘솔에서 액세스 제어 서비스를 사용하여 단일 사인온을 사용할 수도 있습니다.
Portal Server 속성 정보
서비스 요청에 대한 게이트웨이에 여러 Portal Server를 구성할 수 있습니다. 게이트웨이를 설치하는 동안 게이트웨이가 함께 작동해야 하는 Portal Server를 지정했을 것입니다. 이 Portal Server는 기본적으로 Portal Server 필드에 나열됩니다. http://portal- server-name:port number 형식으로 목록에 Portal Server를 더 추가할 수 있습니다. 게이트웨이는 요청을 처리하기 위해 연속해서 나열된 각 Portal Server에 접속을 시도합니다.
사용자 세션 쿠키가 전달될 URL 속성 정보
포털 서버는 사용자 세션을 추적하기 위해 쿠키를 사용합니다. 이 쿠키는 게이트웨이가 서버에 HTTP 요청을 보낼 때(예를 들어, 사용자의 데스크탑 페이지를 생성하기 위해 데스크탑 서블릿이 호출될 때) 서버로 전달됩니다. 서버의 응용 프로그램은 쿠키를 사용하여 사용자를 검증하고 신원을 확인합니다.
[사용자 세션 쿠키가 전달될 URL] 목록에 서버 외의 시스템 URL을 지정하지 않은 경우에는 Portal Server의 쿠키가 이러한 시스템에 대한 HTTP 요청으로 전달되지 않습니다. 따라서 이 목록에 URL을 추가하면 서블릿과 CGI가 Portal Server의 쿠키를 받아 API를 통해 사용자를 식별할 수 있습니다.
URL은 뒤에 오는 암시적 와일드카드를 사용하여 매칭됩니다. 예를 들어, 목록의 기본 입력이 다음과 같습니다.
http://server:8080
이 입력은 쿠키가 http://server:8080으로 시작되는 모든 URL로 전달되도록 합니다.
추가:
http://newmachine.eng.siroe.com/subdir
쿠키가 이 정확한 문자열로 시작하는 모든 URL로 전달되도록 합니다.
이 예에서, 문자열 "http://newmachine.eng/subdir"은 전달 목록의 정확한 문자열로 시작하지 않기 때문에 쿠키는 이 문자열로 시작되는 URL로 전달되지 않습니다. 쿠키가 이러한 변형된 컴퓨터 이름으로 시작되는 URL로 전달되도록 하려면 전달 목록에 추가 항목을 추가해야 합니다.
마찬가지로, 쿠키는 적합한 항목이 추가되지 않는다면 "https://newmachine.eng.siroe.com/subdir "로 시작되는 URL로 전달되지 않습니다.
URL 속성에서 세션 얻기 정보
[URL에서 세션 얻기] 옵션을 선택하면 쿠키 지원 여부에 상관 없이 세션 정보가 URL의 일부로 인코딩됩니다. 즉, 게이트웨이는 클라이언트의 브라우저에서 보내는 세션 쿠키를 사용하지 않고 검증을 위해 URL에 있는 세션 정보를 사용합니다.
기본 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
쿠키 관리
쿠키 관리를 사용하려면 [사용] 확인란을 선택합니다.
기본적으로 이 옵션이 선택됩니다.
HTTP 기본 인증
[HTTP 기본 인증 사용] 확인란을 선택하여 HTTP 기본 인증의 사용을 설정합니다.
Portal Server
필드에 http://portal-server-name:port-number 형식으로 Portal Server를 입력하고 [추가]를 누릅니다.
이 단계를 반복하여 더 많은 Portal Server를 Portal Server 목록에 추가합니다.
사용자 세션 쿠키가 전달될 URL
사용자 세션 쿠키가 전달될 URL을 입력하고 [추가]를 누릅니다.
이 단계를 반복하여 [사용자 세션이 전달될 URL] 목록에 더 많은 URL을 추가합니다.
게이트웨이 최소 인증 수준
인증 수준을 입력합니다.
기본적으로 모든 수준에서 인증을 허용하는 별표(*)가 추가됩니다.
URL에서 세션 가져오기
URL에서 세션 정보를 가져오려면 [예]를 선택합니다.
기본적으로 [아니요] 옵션이 선택됩니다.
배포 옵션 구성
프록시 설정 구성
프록시 설정을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[배포] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
프록시 사용
[프록시 사용] 확인란을 선택하여 웹 프록시의 사용을 활성화합니다.
웹 프록시 URL
[웹 프록시 URL 사용] 편집 상자에 필요한 URL을 http://host name.subdomain.com 형식으로 입력하고 [추가]를 누릅니다.
URL이 [웹 프록시 URL 사용] 목록에 추가됩니다.
프록시 사용 옵션이 사용 불가능으로 설정되어 있어도 게이트웨이가 [도메인 및 부속 도메인 프록시] 목록에 나열된 웹 프록시를 통해서만 특정 URL에 접속해야 한다는 것을 지정할 수 있습니다. [웹 프록시 URL 사용] 필드에서 이러한 URL을 지정해야 합니다. 이 값이 프록시 사용에 미치는 영향에 대한 자세한 내용은 Access Manage에 접속할 프록시 지정을 참조하십시오.
도메인 및 하위 도메인의 프록시
[도메인 및 부속 도메인의 프록시] 목록 상자에 항목이 추가됩니다.
프록시 정보를 입력하기 위한 형식은 다음과 같습니다.
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
*는 * 이후에 정의된 프록시를 특별히 언급된 경우를 제외하고 모든 도메인과 부속 도메인에 사용해야 한다는 것을 나타냅니다.
프록시의 포트를 지정하지 않으면 포트 8080이 기본적으로 사용됩니다.
프록시 정보가 다양한 호스트에 적용되는 방법에 대한 자세한 내용은 Access Manage에 접속할 프록시 지정을 참조하십시오.
프록시 비밀번호 목록
[프록시 비밀번호 목록] 필드에 각 프록시 서버에 대한 정보를 입력하고 [추가]를 누릅니다.
프록시 정보를 입력하기 위한 형식은 다음과 같습니다.
proxyserver|username|password
proxyserver는 도메인 및 하위 도메인의 프록시 목록에 정의된 프록시 서버에 해당합니다.
프록시 서버가 일부 또는 모든 사이트에 액세스하는 데 인증이 필요한 경우 게이트웨이가 지정된 프록시 서버를 인증하는 데 필요한 사용자 이름 및 비밀 번호를 지정해야 합니다.
자동 프록시 구성 지원
[자동 프록시 구성 지원] 확인란을 선택하여 PAC 지원을 활성화합니다.
[자동 프록시 구성 사용] 옵션을 선택하면 [도메인 및 부속 도메인의 프록시] 필드에 제공된 정보가 무시됩니다. 게이트웨이에서는 인트라넷 구성에 프록시 자동 구성(PAC) 파일만 사용합니다. PAC 파일에 대한 내용은 자동 프록시 구성 사용을 참조하십시오.
자동 프록시 구성 파일 위치
[위치] 필드에 PAC 파일 이름과 위치를 입력합니다.
Rewriter 프록시 및 Netlet 프록시 구성
NetLet 프록시 정보
Netlet 프록시는 인트라넷에 상주하는 Netlet 프록시로 가는 게이트웨이를 통해 클라이언트로부터의 보안 터널을 확장하여 게이트웨이와 인트라넷 사이에서 Netlet 트래픽의 보안을 강화합니다.Netlet 프록시가 활성화되면 Netlet 패킷은 Netlet 프록시에서 해독되어 대상 서버로 전달됩니다. 이를 통해 방화벽에서 열어야 하는 포트 수가 줄어듭니다.
Rewriter 프록시 정보
Rewriter 프록시는 게이트웨이와 인트라넷 간에 보안 HTTP 트래픽을 사용하도록 해줍니다. Rewriter 프록시를 지정하지 않으면 사용자가 인트라넷의 시스템에 액세스하려고 할 때 게이트웨이 구성 요소에서 인트라넷에 직접 연결합니다. Rewriter 프록시는 설치 후에 자동으로 실행되지 않습니다. 아래 설명에 따라 Rewriter 프록시를 활성화해야 합니다.
Rewriter 프록시 및 Netlet 프록시를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
주 –Rewriter 프록시와 게이트웨이가 같은 게이트웨이 프로필을 사용해야 합니다.
-
[배포] 탭을 선택합니다.
-
다음 속성을 수정합니다.
-
서버에서 portal-server-install-root/SUNWportal/bin/certadmin을 실행하여 Rewriter 프록시의 인증서를 만듭니다.
Rewriter 프록시 설치 중에 인증서를 만들지 않은 경우에만 이 단계가 필요합니다.
-
Rewriter 프록시가 설치된 컴퓨터에 루트로 로그인하여 Rewriter 프록시를 시작합니다.
rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start
-
게이트웨이가 설치된 컴퓨터에 루트로 로그인하여 게이트웨이를 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
보안 옵션 구성
PDC 및 인증되지 않은 URL 구성
PDC 및 인증되지 않은 URL을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[보안] 탭을 선택합니다.
-
다음 속성을 수정합니다.
TLS 및 SSL 옵션 구성
TLS 및 SSL 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[보안] 탭을 선택합니다.
-
다음 속성을 수정합니다.
성능 옵션 구성
시간 초과 및 재시도 구성
시간 초과 및 재시도를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[성능] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
서버 재시도 간격(초)
Portal Server, Rewriter 프록시 또는 Netlet 프록시를 사용할 수 없게 되는 경우(충돌이 있거나 중단된 경우 등) 시작 요청 사이의 시간 간격(초)을 지정합니다.
게이트웨이 시간 초과(초)
게이트웨이와 브라우저의 연결이 시간 초과되기까지 소요되는 시간(초)을 지정합니다.
[게이트웨이 시간 초과] 필드에 필요한 시간을 초 단위로 지정합니다.
캐시된 소켓 시간 초과(초)
게이트웨이와 Portal Server와의 연결이 시간 초과되기까지 소요되는 시간(초)을 지정합니다.
HTTP 옵션 구성
HTTP 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[성능] 탭을 선택합니다.
-
다음 속성을 수정합니다.
SRA(Secure Remote Access) 성능 모니터링
모니터링 기능을 사용하면 관리자가 SRA(Secure Remote Access)에 있는 다양한 구성 요소의 성능을 평가할 수 있습니다.
SRA(Secure Remote Access) 성능을 모니터링하려면
-
Portal Server 관리 콘솔에 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 하위 메뉴에서 [모니터링]을 누릅니다.
-
모니터링 페이지의 드롭다운 메뉴에서 프록시 인스턴스를 선택합니다.
-
MBeans 테이블에서 성능 값을 확인할 속성을 선택합니다.
Rewriter 옵션 구성
기본 옵션 구성
기본 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
모든 URI 다시 쓰기
[모든 URI 다시 쓰기 사용] 확인란을 선택하여 게이트웨이가 모든 URL을 다시 쓸 수 있게 합니다.
게이트웨이 서비스에서 [모든 URL 다시 쓰기 사용] 옵션을 설정하면 [도메인 및 부속 도메인의 프록시] 목록에 있는 항목을 확인하지 않고 Rewriter가 모든 URL을 다시 씁니다. [도메인 및 하위 도메인의 프록시] 목록에 있는 항목은 무시됩니다.
다시 쓰지 않는 URI
편집 상자에 URI를 추가합니다.
주 –#*를 이 목록에 추가하면 규칙 집합에 href 규칙이 포함되어 있더라도 URI 다시 쓰기를 허용합니다.
규칙 집합에 URI 매핑 구성
규칙 집합은 Portal Server 관리 콘솔의 Portal Server 구성 아래 Rewriter 서비스에서 만들어집니다. 자세한 내용은 Portal Server 관리 설명서를 참조하십시오.
규칙 집합을 만든 후 [규칙 집합에 URI 매핑] 필드를 사용하여 도메인과 규칙 집합을 연관시킵니다. 기본적으로 다음 두 항목이 [규칙 집합에 URI 매핑] 필드에 추가됩니다.
-
*://*.Sun.COM/portal/*|default_gateway_ruleset
여기서 sun.com은 포털의 설치 도메인이고 /portal은 포털 설치 컨텍스트입니다.
-
*|generic_ruleset
이것은 기본 도메인의 모든 페이지에 대해 기본 게이트웨이 규칙 집합이 적용된다는 것을 의미합니다. 기타 모든 페이지에는 일반 규칙 집합이 적용됩니다. 기본 게이트웨이 규칙 집합과 일반 규칙 집합은 사전 구성된 규칙 집합입니다.
주 –
데스크탑에 나타나는 모든 컨텐트에는 컨텐트가 어디서 가져왔는지 상관 없이 기본 도메인의 규칙 집합이 사용됩니다.
예를 들어, 데스크탑이 URL yahoo.com에서 컨텐트를 스크랩하도록 구성되었다고 가정합시다. Portal Server는 sesta.com에 있습니다. sesta.com에 대한 규칙 집합이 불려온 컨텐트에 적용됩니다.
주 –
규칙 집합을 지정하는 도메인은 [도메인 및 하위 도메인의 프록시] 목록에 있어야 합니다.
규칙 집합에 URI 매핑을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
구문 분석기를 MIME 유형으로 구성
Rewriter에는 컨텐트 유형(HTML, JAVASCRIPT, CSS 및 XML)에 따라 웹 페이지의 구문을 분석하기 위한 4가지 구문 분석기가 있습니다. 기본적으로 공통 MIME 유형이 이러한 구문 분석기와 연결되어 있습니다. 게이트웨이 서비스의 [구문 분석기를 MIME 유형에 매핑] 필드에서 새로운 MIME 유형을 이러한 구문 분석기와 연관시킬 수 있습니다. 그러면 Rewriter의 기능이 다른 MIME 유형까지 확장됩니다.
여러 항목인 경우는 세미콜론(";")이나 쉼표(",")를 사용하여 구분합니다.)
예:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
이것은 이러한 MIME을 가진 모든 컨텐트가 HTML Rewriter로 보내지고 URL을 다시 쓰도록 HTML 규칙이 적용된다는 의미입니다.
정보 –
MIME 매핑에서 불필요한 구문 분석기를 제거하면 작동 속도를 높일 수 있습니다. 예를 들어, 특정 인트라넷의 컨텐트에 JavaScript가 없다는 것이 확실하면 MIME 매핑 목록에서 JAVASCRIPT 항목을 제거할 수 있습니다.
구문 분석기를 MIME 유형으로 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
구문 분석기
-
[구문 분석기를 MIME 유형에 매핑] 필드의 편집 상자에 필요한 MIME 유형을 추가합니다. 여러 항목을 구분할 때에는 세미콜론이나 콤마를 사용합니다.
항목을 HTML=text/html;text/htm 형식으로 지정합니다.
-
[추가]를 눌러 목록에 필요한 항목을 추가합니다.
-
개인 디지털 인증서 인증 구성
PDC는 인증 기관(CA)에서 발행하며 CA 개인 키로 서명됩니다. CA에서는 인증서를 발행하기 전에 요청 주체의 신원을 검증합니다. 따라서 PDC가 있다는 것은 인증 메커니즘이 강력하다는 것을 나타냅니다.
PDC에는 소유자의 공용 키, 소유자 이름, 만료 날짜, 디지털 인증서를 발행한 인증 기관의 이름, 일련 번호와 함께 기타 정보도 포함될 수 있습니다.
사용자는 PDC와 스마트 카드 및 Java 카드와 같은 암호화된 장치를 Portal Server에서 인증을 얻는 데 사용할 수 있습니다. 인코딩된 장치는 카드에 저장된 PDC를 전자적 형태로 보관합니다. 사용자가 이러한 메커니즘 중 하나를 사용하여 로그인하면 로그인 화면과 인증 화면이 나타나지 않습니다.
-
브라우저에서 사용자가 예를 들어 https://my.sesta.com과 같이 연결 요청을 입력합니다.
이 요청에 대한 응답은 my.sesta.com에 대한 게이트웨이가 인증서를 허용하도록 구성되었는지 여부에 달려있습니다.
주 –게이트웨이가 인증서를 허용하도록 구성된 경우 인증서가 있는 로그인만 허용되며 다른 종류의 로그인은 허용되지 않습니다.
게이트웨이는 인증서가 알려진 인증 기관에서 발행된 것인지, 만료되지 않았는지 그리고 위조되지 않았는지 점검합니다. 인증서가 유효하면 게이트웨이는 사용자를 인증 프로세스의 다음 단계로 진행시킵니다.
-
게이트웨이는 인증서를 서버의 PDC 인증 모듈로 전달합니다.
PDC 인증 프로세스에는 다음 단계가 있습니다.
PDC 및 코드화된 장치를 구성하려면
-
Portal Server 시스템의 /etc/opt/SUNWam/config/AMConfig.properties 파일에 다음 행을 추가합니다. com.iplanet.authentication.modules.cert.gwAuthEnable=yes .
-
PDC를 사용할 게이트웨이의 인증서 데이터베이스로 필요한 인증서를 가져옵니다. 인증서를 구성하려면 게이트웨이 시스템에서 루트 CA 인증서를 가져오려면을 참조하십시오.
-
Access Manager 관리 콘솔에 관리자로 로그인하여 다음을 수행합니다.
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
원하는 조직을 선택한 다음 [보기] 드롭다운 메뉴에서 [서비스]를 선택합니다.
서비스 목록이 표시됩니다.
-
[인증 구성] 핵심 서비스 옆의 화살표를 누르고 [새로 만들기]를 누릅니다.
새 서비스 인스턴스 페이지가 표시됩니다.
-
서비스 인스턴스 이름으로 gatewaypdc를 입력합니다.
-
[제출]을 누릅니다.
gatewaypdc 서비스 인스턴스 목록이 표시됩니다.
-
gatewaypdc를 눌러 서비스를 편집합니다.
gatewaypdc 등록 정보 페이지가 표시됩니다.
-
[인증 구성] 옆의 [편집] 링크를 누르고 [추가]를 누릅니다.
모듈 추가 페이지가 표시됩니다.
-
[모듈 이름] 필드에서 [인증서]를 선택하고 [적용 기준]에 [필수]를 선택한 다음 [확인]을 누릅니다.
-
[확인]을 눌러 완료합니다.
-
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
Portal Server 관리 콘솔에 관리자로 로그인하여 다음을 수행합니다.
-
터미널 창에서 게이트웨이 프로필을 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
-
CA에서 발행된 클라이언트 인증서를 PDC 사용 가능 게이트웨이에 액세스하는 브라우저에 설치합니다.
-
클라이언트 인증서를 JVM 키 저장소에 설치합니다. JVM 제어판은 Windows 시스템에서 [시작] > [설정] > [제어판] > [Java]를 선택하여 액세스할 수 있습니다.
다음을 애플릿 런타임 매개 변수에 추가합니다.
-
Djavax.net.ssl.keyStore=키 저장소 경로
-
Djavax.net.ssl.keyStorePassword=비밀번호
-
Djavax.net.ssl.keyStoreType=유형
-
-
게이트 프로필과 조직에 액세스합니다.
https://gateway:instance-port/YourOrganization
인증서 이름으로 아이디와 비밀번호 프롬프트 없이 로그인되어 있어야 합니다.
게이트웨이 시스템에서 루트 CA 인증서를 가져오려면
-
게이트웨이 시스템에서 루트 CA 인증서를 가져옵니다.
-
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
Certadmin 메뉴가 표시됩니다.
-
옵션 3을 선택하고 인증서 경로를 입력합니다.
자세한 내용은 10 장, 인증서 작업을 참조하십시오.
-
-
CA에 제출하기 위한 인증서 서명 요청을 생성합니다.
-
인증서 서명 요청을 CA에 제출하고 승인을 받습니다. CA 서명 후 인증서 응답을 저장합니다.
-
CA에서 승인을 받은 후 서버 인증서를 가져옵니다.
-
Portal Server 시스템에 루트 CA 인증서를 가져옵니다.
명령줄 옵션을 사용한 게이트웨이 속성 구성
이 절에서는 다음 작업을 위해 터미널 창에서 게이트웨이 속성을 구성하는 명령줄 옵션을 제공합니다.
외부 서버 쿠키 저장소를 관리하려면
외부 서버 쿠키 저장 옵션을 사용하면 게이트웨이가 게이트웨이를 통해 액세스할 수 있는 타사 응용 프로그램이나 서버에 대한 쿠키를 저장하고 관리합니다. 응용 프로그램이나 서버가 쿠키 없는 장치를 서비스할 수 없거나 상태 관리(레거시 관련 이유로)를 위해 쿠키에 의존하는 경우에도 게이트웨이는 쿠키 없는 장치를 서비스하고 있다는 사실로부터 응용 프로그램이나 서버를 투명하게 숨깁니다.
쿠키 없는 장치와 클라이언트 검색에 대한 자세한 내용은 Access Manager Customization and API Guide를 참조하십시오.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false
-
속성 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement
다음 명령을 입력하고 Enter를 눌러 외부 서버 쿠키 저장소를 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
쿠키를 안전하다고 표시하려면
쿠키가 안전한 것으로 표시되면 브라우저가 이 쿠키를 추가 보안을 통해 취급합니다. 보안의 구현은 브라우저에 따라 다릅니다. 이 작업을 위해 [쿠키 관리 사용] 속성을 사용해야 합니다.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false
-
속성 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure
다음 명령을 입력하고 Enter를 눌러 쿠키를 안전한 것으로 표시합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
사용하지 않을 프록시의 URL 목록을 만들려면
게이트웨이는 [웹 프록시 URL 사용 안함] 목록에 나열된 URL에 직접 연결을 시도합니다. 웹 프록시는 이러한 URL에 연결하는데 사용되지 않습니다.
-
사용하지 않을 URL을 지정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
-
기존 URL 목록에 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
-
기존 URL 목록에서 제거하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -E "LIST_OF_URLS"
-
기존 URL 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL
다음 명령을 입력하고 Enter를 눌러 사용하지 않을 프록시의 URL을 관리합니다.
주 –
URL이 두 개 이상이면 각 URL을 공백으로 구분합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
URI와 규칙 집합의 매핑을 관리하려면
SRA(Secure Remote Access)는 Microsoft Exchange 2000 SP3 설치 및 Outlook Web Access(OWA)의 MS Exchange 2003을 지원합니다.
-
규칙 집합을 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
-
규칙 집합을 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
-
규칙 집합과 URI의 매핑 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "
URI를 기존 목록에 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME URI|RULE_SET_NAME"
URI를 기존 목록에서 제거하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME URI|RULE_SET_NAME"
기존 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets
다음 명령을 입력하고 Enter를 눌러 Outlook Web Access에 대한 규칙 집합을 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
기본 도메인을 지정하려면
기본 도메인은 URL에 도메인과 부속 도메인 없이 호스트 이름만 있을 때 유용합니다. 이 경우에 게이트웨이는 호스트 이름이 기본 도메인 목록에 있다고 가정하고 그에 따라 진행합니다.
예를 들어, URL의 호스트 이름이 host1이고 기본 도메인과 하위 도메인이 red.sesta.com으로 지정된 경우, 호스트 이름은 host1.red.sesta.com으로 확인됩니다.
-
기본 도메인을 설정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"
-
기본 도메인을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains
다음 명령을 입력하고 Enter를 눌러 기본 도메인을 지정합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
MIME 추측을 관리하려면
Rewriter는 페이지의 MIME 유형에 따라 구문 분석기를 선택합니다. WebLogic 및 Oracle같은 일부 웹 서버는 MIME 유형을 보내지 않습니다. 이 문제를 해결하려면 [구문 분석기와 URI의 매핑] 목록 상자에 데이터를 추가하여 MIME 추측 기능을 활성화합니다.
-
MIME 추측을 사용하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true
-
MIME 추측을 사용하지 않으려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing
다음 명령을 입력하고 Enter를 눌러 MIMIE 추측을 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
구문 분석할 URI 매핑 목록을 만들려면
[MIME 추측] 확인란이 선택된 상태에서 서버가 MIME 유형을 보내지 않으면 구문 이 상자를 사용하여 분석기를 URI에 매핑합니다.
각 URI는 세미콜론으로 구분합니다.
예: HTML=*.html; *.htm;*Servlet이것은 html, htm 또는 Servlet 확장을 가진 모든 페이지에 대한 컨텐트를 다시 쓰기 위해 HTML Rewriter가 사용된다는 것을 의미합니다.
-
구문 분석할 URI 매핑 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap
-
기존 목록에 추가하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST
-
기존 목록에서 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST
-
기존 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME-a MIMEMap
다음 명령을 입력하고 Enter를 눌러 구문 분석할 URI 매핑 목록을 만듭니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute
마스크를 관리하려면
마스크를 사용하면 Rewriter에서 페이지의 인트라넷 URL이 보이지 않도록 URI를 다시 쓸 수 있습니다.
-
마스크를 활성화하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true
-
마스크를 비활성화하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation
다음 명령을 입력하고 Enter를 눌러 마스크를 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
마스크 씨드 문자열을 지정하려면
씨드 문자열은 URI의 마스크에 사용됩니다. 마스크 알고리즘을 통해 문자열을 생성합니다.
주 –
이 씨드 문자열이 변경되거나 게이트웨이가 다시 시작되면 마스크된 URI를 책갈피에 추가하지 못할 수 있습니다.
-
마스크 씨드 문자열을 설정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey SECRET_KEY
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey
다음 명령을 입력하고 Enter를 눌러 마스크 씨드 문자열을 지정합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
마스크하지 않을 URI 목록을 만들려면
일부 응용 프로그램(애플릿 등)은 인터넷 URI가 필요하기 때문에 마스크할 수 없습니다. 이러한 응용 프로그램을 지정하려면 URI를 목록 상자에 추가합니다.
예를 들어, */Applet/Param*을 목록 상자에 추가한 경우 규칙 집합 규칙에서 컨텐트 URI http://abc.com/Applet/Param1.html이 일치하면 URL이 마스크되지 않습니다.
주 –
URI가 두 개 이상이면 각 URI를 공백으로 구분합니다.
-
마스크하지 않을 URI 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList LIST_OF_URI
-
기존 목록에 추가하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI
-
기존 목록에서 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI
-
기존 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList
다음 명령을 입력하고 Enter를 눌러 마스크하지 않을 URI 목록을 만듭니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
게이트웨이 프로토콜을 원본 URI 프로토콜과 같게 하려면
게이트웨이가 HTTP와 HTTPS 모드 모두에서 실행되는 경우 Rewriter가 일관된 프로토콜을 사용하여 HTML 컨텐트의 참조 리소스에 액세스하게 할 수 있습니다.
예를 들어 원본 URL이 http://intranet.com/Public.html이라면 http 게이트웨이가 추가됩니다. 원본 URL이 https://intranet.com/Public.html이라면 https 게이트웨이가 추가됩니다.
주 –
이는 Javascript로 생성된 동적 URI가 아닌 정적 URI에만 적용됩니다.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway
다음 명령을 입력하고 Enter를 눌러 게이트웨이 프로토콜을 원본 URI 프로토콜과 같게 합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
9장 게이트웨이 서비스에서 Rewriter 구성
요약 내용이 여기에 나옵니다.
이번 장은 다음 절로 구성됩니다.
Rewriter 규칙에 대한 자세한 내용은 언어 기반 규칙 정의를 참조하십시오.
Rewriter 문제에 대한 자세한 내용은 디버그 로그를 사용한 문제 해결을 참조하십시오.
Rewriter 예제는 작업 예제를 참조하십시오.
규칙 집합과 URI의 매핑 목록 만들기
규칙 집합을 만든 후 [규칙 집합에 URI 매핑] 필드를 사용하여 도메인을 규칙 집합과 연관시킵니다. 기본적으로 다음 두 항목이 [규칙 집합에 URI 매핑] 필드에 추가됩니다.
-
*://*.Sun.COM/portal/*|default_gateway_ruleset
여기서 sun.com은 포털의 설치 도메인이고 /portal은 포털 설치 컨텍스트입니다.
즉, 도메인 sun.com을 가진 포털 디렉토리의 모든 페이지에 default_gateway_ruleset이 적용됩니다. 기타 모든 페이지에는 일반 규칙 집합이 적용됩니다. default_gateway_ruleset 및 generic_ruleset은 사전 구성된 규칙 집합입니다.
주 –
표준 포털 데스크탑에 나타나는 모든 컨텐트에 대해 컨텐트를 가져온 위치에 관계 없이 default_gateway_ruleset의 규칙 집합이 사용됩니다.
예를 들어, 표준 포털 데스크탑이 URL yahoo.com의 컨텐트를 사용하도록 구성되었다고 가정합니다. Portal Server는 sesta.com에 있습니다. sesta.com에 대한 규칙 집합이 불려온 컨텐트에 적용됩니다.
주 –
규칙 집합을 지정하는 도메인은 [도메인 및 하위 도메인의 프록시] 목록에 있어야 합니다.
구문 내에서 와일드카드 사용
규칙 집합에서 별표를 사용하여 정규 URI 또는 부분적 URI를 매핑할 수 있습니다.
예를 들어, 다음과 같이 java_index_page_ruleset을 index.html 페이지에 적용할 수 있습니다.
www.sun.com/java/index.html/java_index_page_ruleset
또는 다음과 같이 Java 디렉토리의 모든 페이지를 java_directory_ruleset에 적용할 수 있습니다.
www.sun.com/java/* /java_directory_ruleset
게이트웨이 서비스에서 Rewriter 구성
[Rewriter] 탭 아래에서 게이트웨이 서비스를 사용하여 기본 및 고급의 두 범주 내에서 다음 작업을 수행할 수 있습니다.
기본 작업
게이트웨이가 모든 URL을 다시 쓰도록 하려면
게이트웨이 서비스에서 [모든 URL 다시 쓰기 사용] 옵션을 설정하면 [도메인 및 부속 도메인의 프록시] 목록에 있는 항목을 확인하지 않고 Rewriter가 모든 URL을 다시 씁니다. [도메인 및 하위 도메인의 프록시] 목록에 있는 항목은 무시됩니다.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 속성을 수정할 게이트웨이 프로필을 선택합니다.
-
[Rewriter] 탭을 선택합니다.
-
[기본 옵션]에서 [모든 URI 다시 쓰기 사용] 확인란을 선택하여 게이트웨이가 모든 URL을 다시 쓸 수 있게 합니다.
-
[저장]을 눌러 완료합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
다시 쓰지 않을 URI를 지정하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 속성을 설정할 게이트웨이 프로필을 선택합니다.
-
[Rewriter] 탭을 선택합니다.
-
[기본 옵션]에서 [추가] 텍스트 필드에 URI를 입력한 다음 [추가]를 누릅니다.
URI 값이 [다시 쓰지 않을 URI] 상자에 표시됩니다.
주 –#*를 이 목록에 추가하면 규칙 집합에 href 규칙이 포함되어 있더라도 URI 다시 쓰기를 허용합니다.
-
[저장]을 눌러 완료합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
URI를 규칙 집합에 매핑하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 속성을 설정할 게이트웨이 프로필을 선택합니다.
-
[Rewriter] 탭을 선택합니다.
-
[Rewriter 옵션]에서 [URI를 규칙 집합에 매핑]을 선택하고 [행 추가]를 누릅니다.
-
필수 도메인 또는 호스트 이름을 [URI] 필드에 입력하고 [규칙 집합] 필드에 해당 도메인에 대해 적절한 규칙 집합을 입력합니다.
항목이 [규칙 집합에 URI 매핑] 목록에 추가됩니다. 도메인이나 호스트 이름 그리고 규칙 집합을 지정하는 형식은 다음과 같습니다.
domain name|ruleset name
예:
eng.sesta.com|default
-
[저장]을 눌러 완료합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
MIME 매핑을 지정하려면
Rewriter에는HTML, JAVASCRIPT, CSS 및 XML 컨텐트 유형에 따라 웹 페이지를 구문 분석할 수 있는 네 개의 구문 분석기가 있습니다. 기본적으로 공통 MIME 유형이 이러한 구문 분석기와 연결되어 있습니다. 게이트웨이 서비스의 [구문 분석기를 MIME 유형에 매핑] 필드에서 새로운 MIME 유형을 이러한 구문 분석기와 연관시킬 수 있습니다. 그러면 Rewriter의 기능이 다른 MIME 유형까지 확장됩니다.
여러 항목인 경우는 세미콜론(";")이나 쉼표(",")를 사용하여 구분합니다.예:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
이것은 이러한 MIME을 가진 모든 컨텐트가 HTML Rewriter로 보내지고 URL을 다시 쓰도록 HTML 규칙이 적용된다는 의미입니다.
정보 –
MIME 매핑에서 불필요한 구문 분석기를 제거하면 작동 속도를 높일 수 있습니다. 예를 들어, 특정 인트라넷의 컨텐트에 JavaScript가 없다는 것이 확실하면 MIME 매핑 목록에서 JAVASCRIPT 항목을 제거할 수 있습니다.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 속성을 설정할 게이트웨이 프로필을 선택합니다.
-
[Rewriter] 탭을 선택합니다.
-
[Rewriter 옵션]에서 [구문 분석기를 MIME 유형에 매핑]을 선택합니다.
항목을 HTML=text/html;text/htm 형식으로 지정합니다.
-
[행 추가]를 눌러 항목을 목록에 추가합니다. [MIME 유형] 필드에 매핑할 구문 분석기 값과 해당 MIME 값을 입력합니다.
-
[저장]을 눌러 완료합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
기본 도메인을 지정하려면
기본 도메인 및 부속 도메인은 URL에 도메인과 부속 도메인 없이 호스트 이름만 있을 때 유용합니다. 이 경우에 게이트웨이는 호스트 이름이 기본 도메인 및 부속 도메인에 있다고 가정하고 그에 따라 진행합니다.
예를 들어, URL의 호스트 이름이 host1이고 기본 도메인과 하위 도메인이 red.sesta.com으로 지정된 경우, 호스트 이름은 host1.red.sesta.com으로 확인됩니다.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 속성을 설정할 게이트웨이 프로필을 선택합니다.
-
[배포] 탭을 선택합니다.
-
[도메인 및 하위 도메인의 프록시] 필드에 프록시 없이 필수 도메인 이름을 입력합니다.
-
[저장]을 눌러 완료합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
10장 인증서 작업
이 장에서는 인증서 관리를 설명하고 직접 서명한 인증서와 인증 기관에서 받은 인증서를 설치하는 방법을 알아봅니다.
이번 장은 다음으로 구성되어 있습니다.
SSL 인증서 소개
Sun Java System Portal Server Secure Remote Access 소프트웨어는 원격 사용자를 위해 인증서 기반 인증을 제공합니다. SRA는 SSL(Secure Socket Layer)을 사용하여 보안 통신을 가능하게 합니다. SSL 프로토콜은 두 컴퓨터 간 보안 통신을 가능하게 해줍니다.
SSL 인증서에서는 공개 키와 개인 키 쌍을 사용하여 암호화 및 비밀번호 해독 기능을 제공합니다.
인증서 유형은 2가지입니다.
-
직접 서명한 인증서(또는 루트 CA 인증서라고도 함)
-
인증 기관(CA)에서 발급한 인증서
기본적으로 게이트웨이를 설치할 때에는 직접 서명한 인증서가 생성 및 설치됩니다.
설치후 언제라도 인증서를 설치, 습득 또는 교체할 수 있습니다.
또한 개인 디지털 인증서(PDC)를 통해 클라이언트 인증을 지원합니다. PDC는 SSL 클라이언트 인증을 통해 사용자를 인증하는 메커니즘입니다. SSL 클라이언트 인증을 사용하면 SSL 핸드셰이크가 게이트웨이에서 종료됩니다. 게이트웨이는 사용자의 PDC를 추출하여 인증된 서버로 전달합니다. 그러면 이 서버는 PDC를 사용하여 사용자를 인증합니다. 인증 체이닝을 사용하여 PDC를 구성하려면 인증 체이닝 사용을 참조하십시오.
SRA에는 SSL 인증서를 관리하는 데 사용할 수 있는 certadmin이라는 도구가 있습니다. 자세한 내용은 certadmin 스크립트를 참조하십시오.
주 –
인증서 팝업 창은 SSL 응용 프로그램에서 공통적으로 나타납니다. 사용자에게 경고를 승인하고 계속 진행하도록 알려주십시오.
인증서 파일
인증서 관련 파일은 /etc/opt/SUNWportal/cert/ gateway-profile-name에 있습니다. 이 디렉토리에는 기본적으로 파일이 5개 들어 있습니다.
인증서 파일에는 이러한 파일과 해당 설명이 나와 있습니다.
표 10–1 인증서 파일|
파일 이름 |
형식 |
설명 |
|---|---|---|
|
cert8.db, key3.db, secmod.db |
이진 |
인증서, 키 및 암호화 모듈을 위한 데이터가 들어 있습니다. certadmin 스크립트로 조작할 수 있습니다. 필요에 따라 이 파일은 Portal Server 호스트와 게이트웨이 구성 요소 또는 게이트웨이 사이에서 공유될 수 있습니다. |
|
.jsspass |
숨은 텍스트 파일 |
SRA 키 데이터베이스를 위한 암호화된 비밀번호가 들어 있습니다. |
|
.nickname |
숨은 텍스트 파일 |
token-name:certificate-name 형식으로 게이트웨이에서 사용해야 하는 토큰과 인증서 이름을 저장합니다. 기본 토큰(기본 내부 소프트웨어 암호화 모듈에 있는 토큰)을 사용하는 경우 토큰 이름을 생략하십시오. 대부분의 경우 .nickname 파일은 인증서 이름만 저장합니다. 관리자로서 이 파일의 인증서 이름을 수정할 수 있습니다. 지정한 인증서를 이제 게이트웨이에서 사용합니다. |
인증서 트러스트 속성
인증서의 트러스트 속성은 다음과 같은 정보를 나타냅니다.
-
인증서(클라이언트 또는 서버 인증서의 경우)를 인증된 기관에서 발행했는지 여부.
-
인증서(루트 인증서의 경우)가 서버 또는 클라이언트 인증서의 발급자로 인증될 수 있는지 여부.
각 인증서에 사용할 수 있는 트러스트 범주는 "SSL, 전자 메일, 개체 서명" 순서로 표시됩니다. 첫 번째 범주만 게이트웨이에 유용합니다. 각 범주 위치에서 트러스트 속성 코드가 사용되지 않을 수도 있고 많이 사용되기도 합니다.
범주에 대한 속성 코드는 쉼표로 분리되며 전체 속성 집합은 따옴표로 묶입니다. 예를 들어, 게이트웨이 설치 시 생성 및 설치된 직접 서명한 인증서는 'u,u,u'로 표시되는데 이는 루트 CA 인증서와는 반대로 서버 인증서(사용자 인증서)임을 의미합니다.
인증서 트러스트 속성에는 사용 가능한 속성 값과 각 값의 의미가 나와 있습니다.
표 10–2 인증서 트러스트 속성|
속성 |
설명 |
|---|---|
|
p |
유효한 피어 |
|
P |
인증된 피어(p 내포) |
|
c |
유효한 CA |
|
T |
클라이언트 인증서를 발급할 수 있도록 인증된 CA(c 내포) |
|
C |
서버 인증서를 발급할 수 있도록 인증된 CA(SSL 전용)(c 내포) |
|
u |
인증서를 인증이나 서명에 사용할 수 있음 |
|
w |
경고 전송(해당 컨텍스트에서 인증서가 사용될 경우 다른 속성과 함께 사용하여 경고 포함) |
CA 트러스트 속성
잘 알려진 공인 CA는 대부분 인증서 데이터베이스에 들어 있습니다. 공인 CA의 트러스트 속성을 수정하는 방법에 대한 자세한 내용은 인증서의 트러스트 속성 수정을 참조하십시오.
CA 트러스트 속성에는 가장 일반적인 인증 기관과 트러스트 속성이 나와 있습니다.
표 10–3 공인 인증 기관|
인증 기관 이름 |
트러스트 속성 |
|
Verisign/RSA Secure Server CA |
CPp,CPp,CPp |
|
VeriSign Class 4 Primary CA |
CPp,CPp,CPp |
|
GTE CyberTrust Root CA |
CPp,CPp,CPp |
|
GTE CyberTrust Global Root |
CPp,CPp,CPp |
|
GTE CyberTrust Root 5 |
CPp,CPp,CPp |
|
GTE CyberTrust Japan Root CA |
CPp,CPp,CPp |
|
GTE CyberTrust Japan Secure Server CA |
CPp,CPp,CPp |
|
Thawte Personal Basic CA |
CPp,CPp,CPp |
|
Thawte Personal Premium CA |
CPp,CPp,CPp |
|
Thawte Personal Freemail CA |
CPp,CPp,CPp |
|
Thawte Server CA |
CPp,CPp,CPp |
|
Thawte Premium Server CA |
CPp,CPp,CPp |
|
American Express CA |
CPp,CPp,CPp |
|
American Express Global CA |
CPp,CPp,CPp |
|
Equifax Premium CA |
CPp,CPp,CPp |
|
Equifax Secure CA |
CPp,CPp,CPp |
|
BelSign Object Publishing CA |
CPp,CPp,CPp |
|
BelSign Secure Server CA |
CPp,CPp,CPp |
|
TC TrustCenter, Germany, Class 0 CA |
CPp,CPp,CPp |
|
TC TrustCenter, Germany, Class 1 CA |
CPp,CPp,CPp |
|
TC TrustCenter, Germany, Class 2 CA |
CPp,CPp,CPp |
|
TC TrustCenter, Germany, Class 3 CA |
CPp,CPp,CPp |
|
TC TrustCenter, Germany, Class 4 CA |
CPp,CPp,CPp |
|
ABAecom (sub., Am. Bankers Assn.) Root CA |
CPp,CPp,CPp |
|
Digital Signature Trust Co. Global CA 1 |
CPp,CPp,CPp |
|
Digital Signature Trust Co. Global CA 3 |
CPp,CPp,CPp |
|
Digital Signature Trust Co. Global CA 2 |
CPp,CPp,CPp |
|
Digital Signature Trust Co. Global CA 4 |
CPp,CPp,CPp |
|
Deutsche Telekom AG Root CA |
CPp,CPp,CPp |
|
Verisign Class 1 Public Primary Certification Authority |
CPp,CPp,CPp |
|
Verisign Class 2 Public Primary Certification Authority |
CPp,CPp,CPp |
|
Verisign Class 3 Public Primary Certification Authority |
CPp,CPp,CPp |
|
Verisign Class 1 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
|
Verisign Class 2 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
|
Verisign Class 3 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
|
Verisign Class 4 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
|
GlobalSign Root CA |
CPp,CPp,CPp |
|
GlobalSign Partners CA |
CPp,CPp,CPp |
|
GlobalSign Primary Class 1 CA |
CPp,CPp,CPp |
|
GlobalSign Primary Class 2 CA |
CPp,CPp,CPp |
|
GlobalSign Primary Class 3 CA |
CPp,CPp,CPp |
|
ValiCert Class 1 VA |
CPp,CPp,CPp |
|
ValiCert Class 2 VA |
CPp,CPp,CPp |
|
ValiCert Class 3 VA |
CPp,CPp,CPp |
|
Thawte Universal CA Root |
CPp,CPp,CPp |
|
Verisign Class 1 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
|
Verisign Class 2 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
|
Verisign Class 3 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
|
Verisign Class 4 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
|
Entrust.net Secure Server CA |
CPp,CPp,CPp |
|
Entrust.net Secure Personal CA |
CPp,CPp,CPp |
|
Entrust.net Premium 2048 Secure Server CA |
CPp,CPp,CPp |
|
ValiCert OCSP Responder |
CPp,CPp,CPp |
|
Baltimore CyberTrust Code Signing Root |
CPp,CPp,CPp |
|
Baltimore CyberTrust Root |
CPp,CPp,CPp |
|
Baltimore CyberTrust Mobile Commerce Root |
CPp,CPp,CPp |
|
Equifax Secure Global eBusiness CA |
CPp,CPp,CPp |
|
Equifax Secure eBusiness CA 1 |
CPp,CPp,CPp |
|
Equifax Secure eBusiness CA 2 |
CPp,CPp,CPp |
|
Visa International Global Root 1 |
CPp,CPp,CPp |
|
Visa International Global Root 2 |
CPp,CPp,CPp |
|
Visa International Global Root 3 |
CPp,CPp,CPp |
|
Visa International Global Root 4 |
CPp,CPp,CPp |
|
Visa International Global Root 5 |
CPp,CPp,CPp |
|
beTRUSTed Root CA |
CPp,CPp,CPp |
|
Xcert Root CA |
CPp,CPp,CPp |
|
Xcert Root CA 1024 |
CPp,CPp,CPp |
|
Xcert Root CA v1 |
CPp,CPp,CPp |
|
Xcert Root CA v1 1024 |
CPp,CPp,CPp |
|
Xcert EZ |
CPp,CPp,CPp |
|
CertEngine CA |
CPp,CPp,CPp |
|
BankEngine CA |
CPp,CPp,CPp |
|
FortEngine CA |
CPp,CPp,CPp |
|
MailEngine CA |
CPp,CPp,CPp |
|
TraderEngine CA |
CPp,CPp,CPp |
|
USPS Root |
CPp,CPp,CPp |
|
USPS Production 1 |
CPp,CPp,CPp |
|
AddTrust Non-Validated Services Root |
CPp,CPp,CPp |
|
AddTrust External Root |
CPp,CPp,CPp |
|
AddTrust Public Services Root |
CPp,CPp,CPp |
|
AddTrust Qualified Certificates Root |
CPp,CPp,CPp |
|
Verisign Class 1 Public Primary OCSP Responder |
CPp,CPp,CPp |
|
Verisign Class 2 Public Primary OCSP Responder |
CPp,CPp,CPp |
|
Verisign Class 3 Public Primary OCSP Responder |
CPp,CPp,CPp |
|
Verisign Secure Server OCSP Responder |
CPp,CPp,CPp |
|
Verisign Time Stamping Authority CA |
CPp,CPp,CPp |
|
Thawte Time Stamping CA |
CPp,CPp,CPp |
|
E-Certify CA |
CPp,CPp,CPp |
|
E-Certify RA |
CPp,CPp,CPp |
|
Entrust.net Global Secure Server CA |
CPp,CPp,CPp |
|
Entrust.net Global Secure Personal CA |
CPp,CPp,CPp |
certadmin 스크립트
다음과 같은 인증서 관리 작업에 certadmin 스크립트를 사용할 수 있습니다.
직접 서명한 인증서 생성
각 서버와 게이트웨이 사이의 SSL 통신을 위해서는 인증서를 생성해야 합니다.
설치 후 직접 서명한 인증서를 생성하려면
-
인증서를 생성하려는 게이트웨이 컴퓨터에서 루트로 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 1
-
인증서 관리 메뉴의 옵션 1을 선택합니다.
인증서 관리 스크립트에서 기존 데이터베이스 파일을 유지할 것인지 묻습니다.
-
조직별 정보, 토큰 이름 및 인증서 이름을 입력합니다.
주 –와일드카드 인증서에는 호스트의 정규 DNS 이름에 *를 지정합니다. 예를 들어, 호스트의 정규 DNS 이름이 abc.sesta.com이면 *.sesta.com으로 지정합니다. 이제 생성된 인증서는 sesta.com 도메인에 있는 모든 호스트 이름에 유효합니다.
이 호스트의 정규화된 DNS 이름은 무엇입니까? [host_name.domain_name] 조직의 종류는 무엇입니까(예: 회사)? [] 조직 구성 단위는 무엇입니까(예: 부서)? [] 구/군/시의 이름은 무엇입니까? [] 시/도의 이름은 무엇입니까(약어는 사용 못함)? [] 이 조직 구성 단위에 대한 2자로 된 국가 번호는 무엇입니까? [] 토큰 이름은 기본 내부 (소프트웨어) 암호화 모듈을 사용하지 않는 경우, 예를 들어 암호화 카드를 사용하려는 경우 등에만 필요합니다(토큰 이름은 다음 명령을 사용하여 나열할 수 있음: modutil -dbdir /etc/opt/SUNWportal/cert/gateway-profile-name -list); 그렇지 않으면 아래의 Return을 누르십시오. 토큰 이름을 입력하십시오. [] 이 인증서에 대해 원하는 이름을 입력하십시오? 이 인증서의 유효 기간(개월)을 입력하십시오. [6] 직접 서명한 인증서가 생성되고 프롬프트로 돌아갑니다.
토큰 이름(기본적으로 비어 있음)과 인증서 이름은 /etc/opt/SUNWportal/cert/gateway-profile-name의 nickname 파일에 저장됩니다.
-
인증서가 적용되도록 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
CSR(인증서 서명 요청) 생성
CA가 발급하는 인증서를 주문하기 전에 CA에서 요구하는 정보가 들어 있는 인증서 서명 요청을 만들어야 합니다.
CSR을 생성하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 2
-
인증서 관리 메뉴의 옵션 2를 선택합니다.
스크립트에서 조직별 정보, 토큰 이름 및 웹 마스터의 전자 메일과 전화 번호를 입력하라는 메시지를 표시합니다.
호스트의 정규 DNS 이름을 반드시 지정해야 합니다.
이 호스트의 정규화된 DNS 이름은 무엇입니까? [snape.sesta.com] 조직의 종류는 무엇입니까(예: 회사)? [] 조직 구성 단위는 무엇입니까(예: 부서)? [] 구/군/시의 이름은 무엇입니까? [] 시/도의 이름은 무엇입니까(약어는 사용 못함)? [] 이 조직 구성 단위에 대한 2자로 된 국가 번호는 무엇입니까? [] 토큰 이름은 기본 내부 (소프트웨어) 암호화 모듈을 사용하지 않는 경우, 예를 들어 암호화 카드를 사용하려는 경우 등에만 필요합니다(토큰 이름은 다음 명령을 사용하여 나열할 수 있음: modutil -dbdir /etc/opt/SUNWportal/cert -list); 그렇지 않으면 아래의 Return을 누르십시오. 토큰 이름을 입력하십시오. [] 이제 인증서를 생성할 컴퓨터의 웹 마스터 연락 정보를 입력하십시오. 이 서버의 관리자 또는 웹 마스터의 전자 메일 주소는 무엇입니까 [] ? 이 서버의 관리자 또는 웹 마스터의 전화 번호는 무엇입니까 [] ?
-
필요한 정보를 모두 입력하십시오.
주 –웹 마스터의 전자 메일과 전화 번호를 공백으로 남겨두지 마십시오. 이 정보는 유효한 CSR을 받는 데 필요합니다.
CSR이 생성되어 portal-server-install-root/SUNWportal/bin/csr.hostname.datetimestamp 파일에 저장됩니다. CSR은 화면에도 인쇄됩니다. CA가 발급하는 인증서를 주문할 때 CSR을 직접 복사한 후 붙여넣을 수 있습니다.
루트 CA 인증서 추가
클라이언트 사이트에서 게이트웨이 인증서 데이터베이스에 알려지지 않은 CA에서 서명한 인증서를 제시하면 SSL 핸드셰이크가 실패합니다.
이를 방지하려면 루트 CA 인증서를 인증서 데이터베이스에 추가해야 합니다. 그러면 게이트웨이에서 CA를 인식할 수 있게 됩니다.
CA의 웹 사이트를 찾아서 해당 CA의 루트 인증서를 얻으십시오. certadmin 스크립트를 사용할 때 파일 이름과 루트 CA 인증서의 경로를 지정합니다.
루트 CA 인증서를 추가하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 3
-
인증서 관리 메뉴의 옵션 3을 선택합니다.
-
루트 인증서가 들어 있는 파일 이름을 입력한 다음 인증서 이름을 입력합니다.
그러면 루트 CA 인증서가 인증서 데이터베이스에 추가됩니다.
인증 기관에서 발급한 SSL 인증서 설치
게이트웨이를 설치하는 동안 기본적으로 직접 서명한 인증서가 만들어져 설치됩니다. 설치 후 언제라도 공식 인증 기관(CA) 서비스를 제공하는 공급업체나 기업 CA에 의해 서명된 SSL 인증서를 설치할 수 있습니다.
이 작업은 다음과 같은 3단계로 이루어집니다.
CA에서 발급하는 인증서 주문
인증서 서명 요청(CSR)을 만들었으면 CSR을 사용하여 CA가 발급하는 인증서를 주문해야 합니다.
CA가 발급하는 인증서를 주문하려면
-
인증 기관의 웹 사이트로 가서 인증서를 주문합니다.
-
CA의 요청에 따라 CSR을 제공합니다. CA의 요청에 따라 기타 정보도 제공합니다.
그러면 CA가 발급하는 인증서를 받게 됩니다. 인증서를 파일에 저장합니다. 파일에 인증서와 함께 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 라인을 포함시킵니다.
다음 예제에서는 실제 인증서 데이터를 생략하였습니다.
-----BEGIN CERTIFICATE----- The certificate contents... ----END CERTIFICATE-----
CA에서 받은 인증서 설치
certadmin 스크립트를 사용하여 CA에서 받은 인증서를 /etc/opt/SUNWportal/cert/ gateway-profile-name의 로컬 데이터베이스 파일에 설치합니다.
CA에서 받은 인증서를 설치하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 4
-
인증서 관리 메뉴의 옵션 4를 선택합니다.
스크립트에서 인증서 파일 이름, 인증서 이름 및 토큰 이름을 입력하라고 요청합니다.
인증서를 포함하는 파일의 이름(경로 포함)은 무엇입니까? 이 인증서의 CSR을 만들 때 사용한 토큰 이름을 입력하십시오. []
-
필요한 정보를 모두 입력하십시오.
인증서가 /etc/opt/SUNWportal/cert/gateway-profile-name에 설치되고 화면 메시지가 나타납니다.
-
인증서가 적용되도록 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
인증서 삭제
인증서 관리 스크립트를 사용하면 인증서를 삭제할 수 있습니다.
인증서를 삭제하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n
여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 5
-
인증서 관리 메뉴의 옵션 5를 선택합니다.
-
삭제할 인증서의 이름을 입력하십시오.
인증서의 트러스트 속성 수정
인증서의 트러스트 속성을 수정해야 하는 한 경우는 게이트웨이에서 클라이언트 인증이 사용될 때입니다. 클라이언트 인증의 한 예는 PDC(Personal Digital Certificate)입니다. PDC를 발급하는 CA는 게이트웨이에 의해 인증되어야 하며 CA 인증서에는 SSL용으로 "T"라고 표시되어 있어야 합니다.
게이트웨이 구성 요소가 HTTPS 사이트와 통신하도록 설정된 경우 HTTPS 사이트 서버 인증서의 CA는 게이트웨이에서 인증되어야 하며 CA 인증서에는 SSL용의 "C" 표시가 있어야 합니다.
인증서의 트러스트 속성을 수정하려면
-
루트로서 certadmin 스크립트를 실행합니다.
gateway-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 6
-
인증서 관리 메뉴의 옵션 6을 선택합니다.
-
인증서의 이름을 입력합니다. 예를 들어, Thawte Personal Freemail CA와 같이 입력하면 됩니다.
이 인증서의 이름을 입력하시겠습니까? Thawte Personal Freemail CA
-
인증서의 트러스트 속성을 입력합니다.
인증서에 포함할 트러스트 속성을 입력하십시오. [CT,CT,CT]
인증서 트러스트 속성이 변경됩니다.
루트 CA 인증서 나열
인증서 관리 스크립트를 사용하면 모든 루트 CA 인증서를 볼 수 있습니다.
루트 CA 목록을 보려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 7
-
인증서 관리 메뉴의 옵션 7을 선택합니다.
모든 루트 CA 인증서가 표시됩니다.
모든 인증서 나열
인증서 관리 스크립트를 사용하면 모든 인증서에 해당하는 트러스트 속성을 볼 수 있습니다.
모든 인증서를 나열하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root /SUNWportal/bin/certadmin -n gateway-profile-name
여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 8
-
인증서 관리 메뉴의 옵션 8을 선택합니다.
모든 CA 인증서가 표시됩니다.
인증서 인쇄
인증서 관리 스크립트를 사용하면 인증서를 인쇄할 수 있습니다.
인증서를 인쇄하려면
-
루트로서 certadmin 스크립트를 실행합니다.
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name
여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.
인증서 관리 메뉴가 표시됩니다.
1) 직접 서명한 인증서 생성 2) CSR(인증서 서명 요청) 생성 3) 루트 CA 인증서 추가 4) CA(인증 기관)에서 인증서 설치 5) 인증서 삭제 6) 인증서의 트러스트 속성 수정(예: PDC) 7) 루트 CA 인증서 표시 8) 모든 인증서 표시 9) 인증서 내용 인쇄 10) 종료 선택: [10] 9
-
인증서 관리 메뉴의 옵션 9를 선택합니다.
-
인증서의 이름을 입력합니다.
11장 Netlet 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 Netlet 속성을 구성하는 방법을 설명합니다. 조직 수준에서 구성할 수 있는 모든 속성은 사용자 수준에서도 구성할 수 있습니다. 조직, 역할 및 사용자 수준 속성에 대한 자세한 내용은 Access Manager 관리 설명서를 참조하십시오.
이번 장은 다음 절로 구성됩니다.
Netlet 속성 구성
다음 작업을 수행하여 Netlet을 구성할 수 있습니다.
기본 속성을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netlet] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
COS 우선 순위
속성 값의 상속 여부를 결정하는 데 사용하는 값을 지정합니다. 이 속성에 대한 자세한 내용은 Sun Java System Directory Server 관리 설명서를 참조하십시오.
다음을 사용하여 Netlet 시작
Java Webstart 또는 Applet 옵션 중에서 모드를 선택하여 Netlet 서비스를 시작합니다.
기본 루프백 포트
Netlet을 통해 애플릿을 다운로드할 때 로컬 시스템에서 사용할 포트를 지정합니다. Netlet 규칙에서 값이 대체되지 않는다면 기본값 58000이 사용됩니다.
필수 포트 번호를 입력합니다.
연결 유지 간격(초)
클라이언트에서 웹 프록시를 통해 게이트웨이에 연결하는 경우 유휴 Netlet 연결은 프록시 시간 초과로 인해 해제됩니다. 이를 방지하기 위해 프록시 시간 초과 값보다 작은 값을 입력합니다.
-
[저장]을 눌러 완료합니다.
고급 속성 구성
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netlet] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
포털 로그아웃할 때 Netlet 종료
사용자가 포털 서버에서 로그아웃할 때 모든 연결이 종료되도록 하려는 경우 [예]를 선택합니다. 이 옵션을 설정하면 보안이 강화됩니다. 기본적으로 이 옵션이 선택됩니다.
사용자가 포털 서버 데스크탑을 로그아웃한 후에도 Netlet 연결이 계속 유지되도록 하려면 [아니요]를 선택합니다.
주 –[아니요] 옵션을 선택하면 사용자가 Portal Server에서 로그아웃 후 새 Netlet 연결을 만들 수 없습니다. 기존 연결만 보존됩니다.
연결 재인증
Netlet을 통해 애플릿을 다운로드할 때 로컬 시스템에서 사용할 포트를 지정하려면 [예]를 선택합니다. Netlet 규칙에서 값이 대체되지 않는다면 기본값 58000이 사용됩니다. 기본적으로 [아니요] 옵션이 선택됩니다.
연결에 대해 경고 팝업 표시
사용자가 Netlet을 사용하여 응용 프로그램을 실행하고 있을 때 다른 사용자가 수신 포트를 통해 Netlet에 연결하려고 하는 경우 사용자의 데스크탑에 경고 팝업 대화 상자를 표시하려면 [예]를 선택합니다. 기본적으로 [예] 옵션이 선택됩니다.
포트 경고 대화 상자에 확인란 표시
관리 콘솔에서 활성화되어 있는 경우 Netlet에서 로컬 시스템에서 사용할 수 있는 포트를 통해 대상 호스트에 연결할 때 사용자 데스크탑에 경고 대화 상자를 표시하려면 [예]를 선택합니다. 기본적으로 [예] 옵션이 선택됩니다.
Netlet 규칙
전역 수준에서 Netlet 규칙을 만듭니다. 이러한 규칙은 생성되는 새로운 조직에 상속됩니다. Netlet 규칙 만들기, 수정 및 삭제에 대한 자세한 내용은 Netlet 규칙을 만들거나 수정하거나 삭제하려면을 참조하십시오.
기본 원시 VM 암호
드롭다운 상자에서 Netlet 규칙의 기본 암호를 선택합니다. 규칙의 일부로 암호를 포함하지 않은 기존 규칙을 사용할 때 유용합니다. 자세한 내용은 이전 버전과의 호환성 절을 참조하십시오.
기본 Java 플러그 인 암호화
드롭다운 상자에서 기본 Java 플러그 인 암호를 선택합니다. 지원되는 암호 목록은 지원되는 암호를 참조하십시오.
허용/거부된 호스트
호스트 주소 확인란을 선택하고 사용자 또는 조직 유형에 따라 액세스를 허용할 호스트를 선택한 다음 드롭다운 상자에서 [허용] 또는 [거부] 옵션을 선택합니다.
-
[행 추가]를 누릅니다.
-
정규화된 호스트 주소를 입력합니다. 예: abc. abc.sesta.com과 같이 입력합니다.
새 호스트를 추가하려면
주 –기존 호스트를 삭제하려면[호스트] 목록에서 호스트를 선택하고 [삭제]를 누릅니다.
특정 조직, 역할 또는 사용자에 대해 특정 호스트에 대한 액세스를 정의하거나 거부할 수 있습니다. 예를 들어, 사용자가 Telnet으로 연결할 수 있는 5개의 호스트로 허용 목록을 설정할 수 있습니다. 조직 내에서 특정 호스트에 대한 액세스를 거부할 수 있습니다. 각 규칙에 고유한 로컬 포트를 지정합니다.
주 –이 필드에서 별표(*)는 지정 도메인의 모든 호스트에 액세스할 수 있다는 것을 나타냅니다. 예를 들어, *.sesta.com을 지정하면 사용자가 sesta.com 도메인 내의 모든 Netlet 대상을 실행시킬 수 있습니다. xxx.xxx.xxx.*와 같이 IP 주소를 와일드 카드로 지정할 수도 있습니다.
Netlet 규칙 액세스/거부
Nelet 규칙을 선택하고 드롭다운 상자에서 [허용] 또는 [거부] 옵션을 선택합니다.
특정 조직, 역할 또는 사용자의 특정 Netlet 규칙에 대한 액세스를 정의할 수 있습니다.
특정 조직, 역할 또는 사용자의 특정 Netlet 규칙에 대한 액세스를 거부할 수 있습니다.
주 –이 필드에서 별표(*)는 선택된 조직에 정의된 모든 Netlet 규칙을 사용할 수 있다는 것을 나타냅니다.
-
-
[저장]을 눌러 완료합니다.
Netlet 규칙을 만들거나 수정하거나 삭제하려면
조직, 역할 또는 사용자 수준에서 새 규칙을 만들거나 기존 규칙을 수정할 수도 있습니다. 이러한 규칙은 생성되는 새로운 조직에 상속됩니다.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netlet] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
[고급] > [Netlet 규칙]에서 [새 규칙]을 누릅니다.
-
[규칙 이름] 필드에 규칙 이름을 입력합니다.
-
사용 가능한 암호 목록에서 [기타]를 선택하고 [암호화 암호] 목록에서 하나 이상의 암호화 암호를 선택하거나 [기본값]을 선택하여 기본 암호화 암호를 그대로 사용합니다.
규칙의 일부로 암호를 포함하지 않은 기존 규칙을 사용할 때 유용합니다. 자세한 내용은 "역방향 호환성" 절을 참조하십시오. 암호에 대한 자세한 내용은 "기본 암호화 암호 지정"을 참조하십시오.
-
[원격 응용 프로그램 URL] 필드에 호출할 응용 프로그램의 URL을 입력합니다.
-
애플릿을 다운로드해야 하는 경우에는 [클라이언트 포트] 확인란을 선택합니다. 클라이언트 포트 번호, 서버 호스트 주소 및 서버 포트 번호를 [클라이언트 포트], [서버 호스트] 및 [서버 포트] 필드에 입력합니다. 각 규칙에 고유한 로컬 포트를 지정합니다.
기본적으로 [애플릿 다운로드 사용] 확인란은 비활성화되어 있습니다. Portal Server 호스트가 아닌 호스트에서 애플릿을 다운로드해야 하는 경우에만 애플릿 세부 사항을 지정합니다. 자세한 내용은 원격 호스트에서 애플릿 다운로드를 참조하십시오.
-
[세션 확장 사용] 확인란을 선택하여 이 규칙에 해당하는 Netlet 세션이 실행되는 동안에 Portal Server 세션 시간이 연장되도록 합니다.
-
[로컬 포트를 대상 서버 포트에 매핑]에서 다음을 수행합니다.
-
[저장]을 눌러 완료합니다.
규칙 이름이 Netlet 홈 페이지에 표시됩니다.
Netlet용 프록시 구성
사용자 수준에서 다음과 같은 속성을 구성할 수 있습니다.
-
브라우저 프록시 유형
-
브라우저 프록시 호스트
-
브라우저 프록시 포트
-
브라우저 프록시 대체 목록
관리 콘솔에서 이 값을 지정하지 않은 경우 Netlet에서 브라우저 프록시 설정을 확인할 수 없으면 사용자가 처음으로 Netlet을 통해 연결할 때 이 정보를 묻습니다. 이 정보는 저장되었다가 나중에 사용자 연결에 사용됩니다.
다음 시나리오에서는 Netlet이 브라우저 프록시 설정을 확인하지 못합니다.
-
사용자가 Java 플러그인(버전 1.4.0보다 낮음)이 설치된 Internet Explorer 4.x, 5.x 또는 6.x를 사용하고, Java 플러그인 제어 패널의 [프록시] 탭에서 “브라우저 설정 사용” 옵션을 선택하고, Internet Explorer의 LAN 설정 대화 상자에 있는 “자동 구성 스크립트 사용” 필드에서 애드온 제품이나 INS 파일을 지정한 경우.
-
사용자가 Java 플러그인(버전 1.3.1_01 이상)이 설치된 Netscape 6.2를 사용하고 Java 플러그인 제어 패널의 [프록시] 탭에서 “브라우저 설정 사용” 옵션을 선택한 경우.
두 경우 모두, Netlet이 브라우저 설정을 확인할 수 없기 때문에 사용자에게 다음 정보를 제공하도록 요청합니다.
-
브라우저 프록시 유형
이 속성은 DIRECT 또는 MANUAL 값을 가질 수 있습니다. 사용자가 드롭다운 목록에서 DIRECT를 선택하면 Netlet이 게이트웨이 호스트에 직접 연결합니다.
-
브라우저 프록시 호스트
Netlet의 연결을 위해 필요한 프록시 호스트를 지정합니다.
-
브라우저 프록시 포트
Netlet의 연결을 위해 필요한 프록시 호스트의 포트를 지정합니다.
-
브라우저 프록시 대체 목록(쉼표로 구분)
Netlet이 프록시를 통해 연결하지 않도록 할 호스트를 지정합니다. 이 목록에는 쉼표로 구분된 여러 호스트 이름이 있을 수 있습니다.
12장 개인 도메인 인증서로 Netlet 구성
이 장에서는 Netlet을 PDC와 함께 사용할 수 있도록 클라이언트 브라우저의 Java 플러그인을 구성하는 방법을 설명합니다.
주 –
JSSE가 있는 Virtual Machine (VM)만 PDC가 있는 Netlet을 지원합니다.
PDC를 위한 Netlet 구성
소개 텍스트 위치
PDC를 위한 Netlet을 구성하려면
-
Portal Server 시스템의 /ect/opt/SUNWam/config/AMConfig.properties 파일에서 아무 위치에나 com.iplanet.authentication.modules.cert.gwAuthEnable=yes를 추가합니다.
-
PDC를 사용할 게이트웨이의 인증서 데이터베이스로 필요한 인증서를 가져옵니다.
-
게이트웨이 시스템에서 루트 CA 인증서를 가져옵니다.
-
CA 인증서를 게이트웨이 프로필에 추가합니다.
정보 –자체 게이트웨이 프로필을 만들어 PDC를 테스트합니다.
다음 단계에 따라 인증서를 게이트웨이 프로필에 추가합니다.
-
CA에 제출하기 위한 인증서 서명 요청을 생성합니다.
다음 단계를 수행하여 인증서 서명 요청을 제출합니다.
-
인증서 서명 요청을 CA에 제출하고 승인을 받습니다.
정보 –CA 서명 후 인증서 서명 응답을 저장합니다.
-
CA가 승인한 서버 인증서를 가져옵니다.
다음 단계를 수행하여 서버 인증서를 가져옵니다.
-
루트 CA 인증서를 Portal Server 시스템으로 가져옵니다.
13장 Proxylet 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 Proxylet을 구성하는 방법에 대해 설명합니다.
이번 장은 다음 절로 구성됩니다.
Proxylet 속성 구성
배포 옵션에서 [Proxylet 애플릿 자동으로 다운로드]를 선택하면 사용자가 로그인할 때 자동으로 Proxylet이 시작되도록 구성할 수 있습니다. [Proxylet 자동으로 다운로드] 확인란을 선택하지 않은 경우, 사용자는 표준 포털 데스크탑의 Proxylet 채널에 있는 'Proxylet 시작' 링크를 눌러 필요할 때마다 Proxylet을 가져올 수 있습니다.
Proxylet 속성을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Proxylet] 탭을 차례로 선택합니다.
-
[DN 선택] 목록 상자에서 적절한 DN을 선택하거나 특정 사용자 또는 조직의 기존 DN을 추가합니다.
-
Proxylet 페이지에서 다음을 수행합니다.
속성 이름
설명
COS 우선 순위
옵션 목록에서 Proxylet 트래픽에 대한 서비스 클래스를 선택합니다.
Proxylet 애플릿을 자동으로 다운로드
Proxylet 애플릿을 클라이언트 시스템에 자동으로 다운로드하려면 [예]를 누릅니다. Proxylet 애플릿을 다운로드하기 위한 기본 요구 사항은 다음과 같습니다.
클라이언트 컴퓨터에서 서버 응용 프로그램 실행 가능
클라이언트 시스템의 Java 버전 1.4 이상
브라우저: IE 6.0 sp2 또는 Firefox 2.0
정확한 브라우저 권한
Proxylet을 통한 포털 새로 고침
Proxylet 실행 후 포털 데스크탑을 새로 고친 경우 트래픽이 Proxylet을 통해 전달되도록 하려면 [예]를 누릅니다. [Proxylet 시작 후 포털 새로 고침] 및 [Proxylet 애플릿 자동으로 다운로드]를 모두 사용할 경우 "App Urls"가 작동하지 않습니다.
시작 모드
Java Web Start 또는 애플릿을 선택합니다.
기본 Proxylet 애플릿 바인드 IP
Proxylet이 웹 브라우저에서 보낸 요청을 바인딩하고 수신할 IP 주소를 입력합니다.
기본 Proxylet 애플릿 포트
Proxylet이 브라우저의 요청을 수신할 포트 번호를 입력합니다.
자동 프록시 구성 파일 위치
PAC(프록시 자동 구성) 파일 또는 프록시 구성 목록에서 프록시 설정이 포함되어 있는 구성 파일의 위치를 입력합니다.
-
[Proxylet 규칙] 옵션에서 다음을 수행합니다.
-
[저장]을 눌러 완료합니다.
응용 프로그램을 포털 데스크탑으로 구성
HTTP, FTP 등의 요청은 Proxylet 서비스를 통해 전달됩니다. 관리자는 Proxylet 규칙을 이용하여 프로토콜, 호스트 또는 포트를 기반으로 도메인에 대한 매핑을 지정할 수 있습니다. Proxylet 규칙을 사용하면 프록시 자동 구성(PAC) 파일의 도메인 및 프록시 설정을 지정할 수 있습니다. 예를 들어, 모든 FTP 트래픽이 Netlet을 통해 경로 지정되고 모든 HTTP 트래픽이 Proxylet을 통해 경로 지정되도록 규칙을 만들 수 있습니다. Proxylet 서비스를 통해 렌더링해야 하는 사전 정의된 응용 프로그램을 구성할 수 있습니다. 이 작업은 사용자 또는 조직 기본 설정에 따라 수행됩니다. Proxylet에서 처리할 응용 프로그램을 추가하면 사용자 데스크탑을 관리하기 쉬워지며 성능도 향상됩니다.
응용 프로그램을 포털 데스크탑으로 구성하려면
시작하기 전에
-
[Proxylet] 옵션이 활성화되어 있는지 확인합니다. Proxylet 활성화에 대한 자세한 내용은 게이트웨이 프로필 장을 참조하십시오.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[포털] 탭을 선택하고 수정할 포털 인스턴스를 선택합니다.
데스크탑 페이지가 표시됩니다.
-
[DN 선택] 목록 상자에서 적절한 DN을 선택하거나 특정 사용자 또는 조직의 기존 DN을 추가합니다.
-
[컨테이너 및 채널 관리] 링크를 누릅니다.
컨테이너 및 채널 관리 페이지가 표시됩니다.
-
왼쪽 창에서 Proxylet을 선택합니다.
-
오른쪽 창에서 Appurls 링크를 선택합니다.
-
등록 정보 마법사에서 응용 프로그램 이름과 값을 입력합니다. 필요에 따라 응용 프로그램 등록 정보를 수정합니다. 예를 들어, 적절한 응용 프로그램 이름과 http://www.example.com을 입력합니다.
-
[닫기]를 눌러 끝마칩니다.
이제 사용자 또는 조직 수준에서 포털 데스크탑의 응용 프로그램 링크를 볼 수 있습니다.
Java Web Start 또는 애플릿 모드에서 Proxylet 실행
포털 데스크탑에서 Java Web Start 또는 애플릿 모드를 통해 Proxylet을 시작할 수 있습니다.
Java Web Start 또는 애플릿 모드에서 Proxylet을 실행하려면
-
포털 데스크탑에 Proxylet 사용자로 로그온합니다.
-
맨 처음 페이지에서 Proxylet 채널로 이동한 후 [편집] 아이콘을 누릅니다.
-
[시작 모드] 목록 상자에서 Java Web Start 또는 애플릿 옵션을 선택합니다.
-
[완료]를 누릅니다.
Proxylet을 호출하려면 Proxylet 채널에서 응용 프로그램을 선택합니다. 이렇게 하면 Java Web Start 또는 애플릿 모드에서 응용 프로그램이 시작됩니다.
-
[자동으로 다운로드]를 선택한 경우 Proxylet 채널에서 응용 프로그램을 누릅니다.
-
사용자 기본 설정에 따라 Java Web Start 또는 애플릿 모드의 선택을 바탕으로 Proxylet 콘솔이 표시됩니다. 모든 인증서를 수락하고 응용 프로그램 작업을 계속합니다.
-
14장 NetFile 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 NetFile을 구성하는 방법을 설명합니다.
이번 장은 다음 절로 구성됩니다.
NetFile 구성 작업
이 절에서는 다음 작업을 다룹니다.
기본 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netfile] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
COS 우선 순위
속성 값의 상속 여부를 결정하는 데 사용하는 값을 지정합니다. 이 속성에 대한 자세한 내용은 Sun Java System Directory Server 관리 설명서를 참조하십시오.
도메인/호스트 기본 설정
허용된 호스트에 접속하기 위해 NetFile에 필요한 기본 도메인을 입력합니다.
이 기본 도메인 값은 사용자가 NetFile을 사용하여 호스트를 추가하면서 정규 호스트 이름을 지정하지 않은 경우에만 적용할 수 있습니다.
주 –[기본 도메인] 필드가 비어있지 않고 유효한 도메인 이름이 들어 있는지 확인합니다.
기본 WINS/DNS 서버
NetFile이 Microsoft Windows 호스트 액세스에 사용하는 WINS/DNS 서버 호스트 주소를 입력합니다.
주 –사용자가 컴퓨터를 추가하면서 다른 값을 지정하여 이 값을 무시할 수 있습니다.
호스트 검색 순서
위쪽 및 아래쪽 버튼을 사용하여 호스트 검색 순서를 지정합니다.
공통 호스트
호스트 이름 또는 정규화된 이름을 입력하고 [추가]를 누릅니다.
제공한 호스트 이름이 사용자가 구성한 호스트 이름과 일치하면 두 정보 집합이 병합되고 사용자 지정 값이 우선적으로 적용됩니다.
모든 원격 NetFile 사용자가 NetFile을 통해 이용할 수 있는 호스트 목록을 구성합니다.
주 –예를 들어, sesta, siroe, florizon 및 abc의 4가지 공통 호스트를 구성했다고 가정합니다. 사용자가 3개의 호스트를 구성했는데 이 중 2개가 sesta와 siroe입니다. 충돌 상황에서는 사용자가 지정한 값이 관리자가 지정한 값을 덮어씁니다. florizon 및 abc도 사용자의 NetFile에 나열되며 사용자가 해당 호스트에서 다양한 작업을 수행할 수 있습니다. florizon을 거부된 호스트 목록에 포함시킨 경우는 florizon이 사용자의 NetFile에 나열은 되지만 florizon에서 작업을 수행할 수 없습니다.
호스트 유형—공통 호스트 목록에 나열된 호스트를 이미 추가했다면 사용자 설정이 우선합니다. 유형이 충돌하면 해당 사용자에 대해 관리자가 추가한 공유가 추가되지 않습니다. 사용자와 관리자가 같은 공유를 추가하면 공유가 추가되지만 사용자가 설정한 비밀번호가 우선합니다.
-
[저장]을 눌러 완료합니다.
액세스 권한을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netfile] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
[액세스 권한]을 누르고 다음 속성을 수정합니다.
속성 이름
설명
Windows 호스트에 액세스
사용자가 Windows 호스트에 액세스할 수 있도록 하려면 [허용] 확인란을 선택합니다.
기본적으로 [허용] 확인란이 선택되어 있습니다.
FTP 호스트에 액세스
사용자가 FTP 호스트에 액세스할 수 있도록 하려면 [허용] 확인란을 선택합니다.
NFS 호스트에 액세스
사용자가 NFS 호스트에 액세스할 수 있도록 하려면 [허용] 확인란을 선택합니다.
Netware 호스트에 액세스
사용자가 Netware 호스트에 액세스할 수 있도록 하려면 [허용] 확인란을 선택합니다.
-
[저장]을 눌러 완료합니다.
호스트 기본 설정을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netfile] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
[호스트 허용/거부] 목록에 * 항목이 있기 때문에 사용자는 기본적으로 NetFile을 통해 모든 호스트에 액세스할 수 있습니다. 이를 변경하려면 * 항목을 제거하고 사용자가 NetFile을 통해 액세스해야 하는 호스트만 이 목록에서 지정합니다. 또는 입력된 *를 그대로 두고 [거부된 호스트] 목록에서 액세스를 거부할 호스트를 지정할 수 있습니다. 이 경우 [거부된 호스트] 목록에 지정된 호스트를 제외한 모든 호스트에 액세스가 허용됩니다.
주 –사용자가 NetFile 창에서 이미 추가한 호스트의 액세스를 거부하는 경우에도 거부된 호스트는 사용자의 NetFile 창에 계속 표시됩니다. 그러나 사용자는 이 호스트에서 어떤 작업도 수행할 수 없습니다. NetFile Java2에서 응용 프로그램에 나타나는 경우 거부된 호스트에는 빨간색 십자 모양이 표시되어 액세스할 수 없음을 나타냅니다. [허용된 호스트] 및 [거부된 호스트] 목록이 모두 비어 있으면 어떤 호스트에도 액세스가 허용되지 않습니다.
-
[저장]을 눌러 완료합니다.
작업 기본 설정을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netfile] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
기본 압축 유형
드롭다운 상자에서 기본 파일 압축 형식으로 ZIP 또는 GZ를 선택합니다.
기본 압축 수준
드롭다운 상자에서 기본 압축 수준을 선택합니다. 기본값은 6입니다.
임시 디렉토리 위치
임시 파일의 위치를 입력합니다. 지정된 임시 디렉토리는 서버에 없는 경우에 만들어집니다.
파일 메일링과 같은 일부 파일 작업에서는 임시 디렉토리가 반드시 필요합니다. 기본 임시 디렉토리는 /tmp입니다. 임시 파일은 필요한 작업이 수행된 다음에 삭제됩니다.
주 –웹 서버 실행에 사용하고 있는 아이디(nobody 또는 noaccess 등)에 지정 디렉토리에 대한 rwx 권한이 있는지 확인하십시오. 이 아이디에 필요한 임시 디렉토리의 전체 경로에 대한 rx 권한이 있는지도 확인하십시오.
정보 –NetFile에 별도 임시 디렉토리를 만들어야 하는 경우가 있습니다. Portal Server의 모든 모듈에 공통된 임시 디렉토리를 지정하면 디스크 공간이 금방 부족해질 수 있습니다. 파일 메일링과 같은 NetFile의 일부 작업은 임시 디렉토리에 공간이 없으면 작동하지 않습니다.
파일 업로드 한계(MB)
이 필드에 업로드할 수 있는 최대 파일 크기를 입력합니다. 기본값은 5MB입니다.
업로드하는 파일의 크기가 여기에 지정된 값을 초과하면 오류 메시지가 표시되고 파일이 업로드되지 않습니다. 잘못된 값을 입력하면 NetFile이 해당 값을 기본값으로 재설정합니다. 사용자마다 다른 파일 업로드 제한 크기를 지정할 수 있습니다.
디렉토리 검색 제한
한번의 검색으로 검색할 수 있는 최대 디렉토리 수를 입력합니다. 이 제한은 많은 사용자가 동시에 로그인하여 네트워크 체증을 유발하고 액세스 속도를 저하시키는 것을 방지합니다. 기본값은 100입니다.
사용자에게 A라는 디렉토리가 있다고 가정합니다. 이 A 디렉토리에는 100개의 하위 디렉토리가 있습니다. 최대 검색 디렉토리를 100개로 지정하면 검색 과정이 디렉토리 A에서 끝납니다. 디렉토리 A가 100개 한계에 도달했으므로 사용자 시스템의 다른 디렉토리에서는 검색이 수행되지 않습니다. 검색 제한에 도달할 때까지 누적된 검색 결과는 검색이 제한을 초과했음을 알리는 오류 메시지와 함께 사용자에게 표시됩니다. 검색을 계속하려면 사용자가 다음 디렉토리에서 수동으로 검색을 다시 시작해야 합니다. 검색 작업은 하위 디렉토리 우선 방식으로 수행됩니다. 즉, 검색 작업은 사용자가 선택한 디렉토리의 모든 하위 디렉토리를 거친 후에 다음 디렉토리로 이동합니다.
-
[저장]을 눌러 완료합니다.
작업 권한을 구성하려면
원격 호스트에서 다음 작업을 할 수 있는 권한을 허용 또는 거부할 수 있습니다.
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭과 [Netfile] 탭을 차례로 선택합니다.
-
[DN 선택] 목록에서 사용자 또는 조직의 DN을 선택하거나 DN을 추가합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
파일 이름 바꾸기
사용자가 파일 이름을 바꿀 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일/폴더 삭제
사용자가 파일 및 디렉토리를 삭제할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일 업로드
사용자가 파일을 업로드할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일/폴더 다운로드
사용자가 파일 또는 디렉토리를 다운로드할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일 검색
사용자가 파일 검색 작업을 수행할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일 메일
사용자가 메일에 액세스할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
파일 압축
사용자가 압축 유형을 선택할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
사용자 아이디 변경
사용자가 자신의 사용자 아이디를 변경할 수 있게 하려면 [허용] 확인란을 선택합니다. 사용자는 다양한 아이디를 사용하여 NetFile을 사용하는 호스트에 연결할 수 있습니다.
대규모 조직에서 사용자는 여러 개의 사용자 아이디를 가질 수 있습니다. 이때 사용자가 단일 사용자 아이디를 사용하도록 제한해야 할 수 있는데,이런 경우 [사용자 아이디 변경 허용] 옵션을 비활성화할 수 있습니다. 그러면 특정 조직의 모든 사용자가 해당 사용자 아이디를 변경할 수 없고 하나의 아이디(데스크탑 로그인 아이디)로만 NetFile을 사용하여 호스트에 연결할 수 있습니다. 또 다른 경우에, 사용자가 여러 컴퓨터에서 서로 다른 로그인 아이디를 가질 수 있으며 이 때에는 사용자가 필요에 따라 아이디를 변경하도록 허용해야 할 수 있습니다.
Microsoft Windows 도메인 변경
사용자가 기본 Microsoft Windows 도메인 호스트를 변경할 수 있게 하려면 [허용] 확인란을 선택합니다. 이 옵션은 기본적으로 선택됩니다.
사용자가 도메인 이름을 지정하면 이 도메인의 아이디와 비밀번호도 지정해야 합니다. 호스트의 아이디와 비밀번호를 사용해야 하는 경우 사용자가 [사용자 도메인 이름] 필드에서 도메인을 제거해야 합니다.
주 –위 옵션 중에 선택 취소한 항목이 있는 경우 사용자가 Portal Server 데스크탑에 다시 로그인한 후에 변경 사항이 적용됩니다.
-
[저장]을 눌러 완료합니다.
15장 SSL(Secure Socket Layer) 가속기 구성
이 장에서는 다양한 Sun Java System Portal Server Secure Remote Access용 가속기에 대해 설명합니다.
이번 장은 다음 절로 구성됩니다.
가속기 소개
외부 가속기는 서버 CPU의 SSL(Secure Socket Layer) 기능을 분담함으로써 CPU가 다른 작업을 수행하도록 하여 SSL 트랜잭션의 처리 속도를 높이는 전용 하드웨어 코프로세서입니다.
Sun Crypto Accelerator 1000
Sun™ Crypto Accelerator 1000(Sun CA1000) 보드는 암호화 코프로세서로 작동하여 공용 키와 대칭 암호화를 가속화하는 짧은 형태의 PCI 보드입니다. 이 제품에는 외부 인터페이스가 없습니다. 이 보드는 내부 PCI 버스 인터페이스를 통해 호스트와 통신합니다. 이 보드는 eCommerce 응용 프로그램에서 보안 프로토콜을 위한 다양한 계산 집약적 암호화 알고리즘을 가속화하기 위한 목적으로 사용됩니다.
RSA [7] 및 Triple-DES (3DES) [8]와 같은 다수의 핵심 암호화 기능을 응용 프로그램에서 Sun CA1000으로 분담시켜 병렬로 수행할 수 있습니다. 그러면 CPU가 자유롭게 다른 작업을 수행할 수 있어 SSL 트랜잭션의 처리 속도가 증가합니다.
자세한 수행 단계는 Crypto Accelerator 1000을 구성하려면을 참조하십시오.
Crypto Accelerator 1000 사용
Portal Server Secure Remote Access가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 자세한 내용은 10 장, 인증서 작업을 참조하십시오.
Crypto Accelerator 1000 사용은 SSL 가속기를 설치하기 전에 필요한 정보를 추적하는 일을 돕는 점검 목록이며 Crypto Accelerator 1000 매개 변수와 값을 나열합니다.
표 15–1 Crypto Accelerator 1000 설치 점검 목록|
매개 변수 |
값 |
|---|---|
|
SRA 설치 기본 디렉토리 |
/opt |
|
SRA 인증서 데이터베이스 경로 |
/etc/opt/SUNWportal/cert/default |
|
SRA 서버 인증서 별명 |
server-cert |
|
영역 |
sra-keystore |
|
영역 사용자 |
crypta |
Crypto Accelerator 1000을 구성하려면
-
사용 설명서의 지침에 따라 하드웨어를 설치합니다. 다음을 참조하십시오.
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
CD에서 다음 패키지를 설치합니다.
SUNWcrypm, SUNWcrypu, SUNWcrysu, SUNWdcar, SUNWcrypr, SUNWcrysl, SUNWdcamn, SUNWdcav
-
다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.)
110383-01, 108528-05, 112438-01
-
pk12util 및 modutil 도구가 있는지 확인하십시오.
이 도구는 /usr/sfw/bin에 설치되어 있습니다. /usf/sfw/bin 디렉토리에서 해당 도구를 사용할 수 없는 경우 Sun Java System 배포 매체에서 수동으로 SUNWtlsu를 추가해야 합니다.
Solaris_[sparc/x86]/Product/shared_components/
-
슬롯 파일을 만듭니다.
vi /etc/opt/SUNWconn/crypto/slots
그리고 파일의 처음이자 유일한 라인으로 'crypta@sra'를 넣습니다.
-
영역을 만들고 설정합니다.
-
사용자를 만듭니다.
-
만든 사용자로 로그인합니다.
secadm{root@sra}> login user=crypta
비밀번호:
secadm{crypta@sra}> show key
이 사용자에게 키가 없습니다.
-
Sun Crypto 모듈을 로드합니다.
환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.
다음을 입력합니다.
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
다음 명령을 사용하여 이 모듈이 로드되었는지 확인합니다.
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
-
게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.
환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.
다음을 입력합니다.
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
이제 show key 명령을 실행합니다.
secadm{crypta@sra}> show key
이 사용자에게 2개의 키가 나타나야 합니다.
-
/etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.
vi /etc/opt/SUNWportal/cert/default/.nickname
server-cert를 crypta@sra:server-cert로 교체합니다.
-
가속화용 암호를 활성화합니다.
SUN CA1000은 RSA 기능을 가속화하지만 DES와 3DES 암호에 대한 가속만 지원합니다.
-
가속기를 사용할 수 있도록 /etc/opt/SUNWportal/platform.conf. gateway-profile-name을 수정합니다.
gateway.enable.accelerator=true
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
주 –게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.
들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.
PDC는 이 모드에서 작동하지 않습니다.
Sun Crypto Accelerator 4000
Sun™ Crypto Accelerator 4000 보드는 Sun 서버에서 IPsec 및 SSL(대칭 및 비대칭 모두)에 대한 암호화 하드웨어 가속을 지원하는 기가비트 이더넷 기반 네트워크 인터페이스 카드입니다.
암호화되지 않은 네트워크 트래픽을 위한 표준 기가비트 이더넷 네트워크 카드로 작동하는 외에 이 보드에는 암호화 IPsec 트래픽에 높은 처리 속도를 지원할 암호 하드웨어가 포함되어 있습니다.
Crypto Accelerator 4000 보드는 하드웨어와 소프트웨어 모두에서 암호화 알고리즘을 가속화합니다. 암호 DES 및 3DES에 대한 대량 암호화도 지원합니다.
자세한 수행 단계는 Configure Crypto Accelerator 4000을 구성하려면을 참조하십시오.
Crypto Accelerator 4000 사용
SRA가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 다음 점검 목록으로 SSL 가속기를 설치하기 전에 필요한 정보를 쉽게 확인할 수 있습니다.
Crypto Accelerator 1000 사용에는 Crypto Accelerator 4000 매개 변수 및 값이 나와 있습니다.
표 15–2 Crypto Accelerator 4000 설치 점검 목록|
매개 변수 |
값 |
|---|---|
|
Portal Server Secure Remote Access 설치 기본 디렉토리 |
/opt |
|
SRA 인스턴스 |
default |
|
SRA 인증서 데이터베이스 경로 |
/etc/opt/SUNWportal/cert/default |
|
SRA 서버 인증서 별명 |
server-cert |
|
CA4000 키 저장소 |
srap |
|
CA4000 키 저장소 사용자 |
crypta |
Configure Crypto Accelerator 4000을 구성하려면
-
사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다. 다음을 참조하십시오.
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.) 114795
-
certutil, pk12util 및 modutil 도구가 있는지 확인하십시오.
이 도구는 /usr/sfw/bin 아래 설치되어 있습니다.
/usf/sfw/bin 디렉토리에서 도구를 사용할 수 없는 경우에는
Sun Java System 배포 매체에서 수동으로 SUNWtlsu 패키지를 추가해야 합니다.
Solaris_[sparc/x86]/Product/shared_components/
-
보드를 초기화합니다.
/opt/SUNWconn/bin/vcadm 도구를 실행하여 암호화 보드를 초기화하고 다음 값을 설정합니다.
초기 보안 관리 이름: sec_officer
키 저장소 이름: sra-keystore
FIPS 140-2 모드에서 실행: No
-
사용자를 만듭니다.
vcaadm{vca0@localhost, sec_officer}> create user
새 사용자 이름: crypta
새 사용자 비밀번호 입력:
비밀번호 확인:
사용자 crypta가 성공적으로 만들어졌습니다.
-
키 저장소에 토큰을 매핑합니다.
vi /opt/SUNWconn/cryptov2/tokens
그리고 파일에 sra-keystore를 추가합니다.
-
대량 암호화의 사용을 설정합니다.
touch /opt/SUNWconn/cryptov2/sslreg
-
Sun Crypto 모듈을 로드합니다.
환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.
다음을 입력합니다.
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
다음 명령을 사용하여 이 모듈이 로드되었는지 확인할 수 있습니다.
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
-
게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.
환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
다음 명령을 사용하여 키가 내보내졌는지 확인할 수 있습니다.
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
-
/etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.
vi /etc/opt/SUNWportal/cert/default/.nickname
server-cert를 sra-keystore:server-cert로 교체합니다.
-
가속화용 암호를 활성화합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
키 저장소 비밀번호를 입력하라는 게이트웨이 프롬프트가 표시됩니다.
"sra-keystore":crypta:crytpa-password에 대한 비밀번호 또는 PIN을 입력합니다.
주 –게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.
들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.
PDC는 이 모드에서 작동하지 않습니다.
외부 SSL 장치 및 프록시 가속기
열린 모드에서 외부 SSL 장치를 Portal Server Secure Remote Access(SRA) 전방에서 실행할 수 있습니다. 이 장치는 클라이언트와 SRA 사이에 SSL 링크를 제공합니다.
다음 작업을 수행할 수 있습니다.
외부 SSL 장치 가속기를 사용하려면
-
SRA가 설치되어 있고 게이트웨이가 열린 모드(HTTP 모드)에서 실행되는지 확인합니다.
-
HTTP 연결을 사용합니다.
다음 표에는 외부 SSL 장치와 프록시 가속기 매개 변수 및 값이 정리되어 있습니다.
매개 변수
값
SRA 인스턴스
default
게이트웨이 모드
http
게이트웨이 포트
880
외부 장치/프록시 포트
443
외부 SSL 장치 가속기를 구성하려면
-
사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다.
-
해당하는 경우 필요한 패치를 설치합니다.
-
HTTP를 사용하도록 게이트웨이 인스턴스를 구성합니다.
-
platform.conf 파일에 다음 값을 입력합니다.
gateway.enable.customurl=true
gateway.enable.accelerator=true
gateway.httpurl=https:// external-device-URL:port-number
-
두 가지 방법으로 게이트웨이 알림을 구성할 수 있습니다.
-
Access Manager가 포트 880에서 게이트웨이 컴퓨터와 접속할 수 있는 경우(HTTP로 세션 알림) platform.conf 파일에 값을 입력합니다.
vi /etc/opt/SUNWportal/platform.conf.default
gateway.protocol=http
gateway.port=880
-
Access Manager가 포트 443에서 외부 장치/프록시와 접속할 수 있는 경우(HTTPS 세션 알림) platform.conf 파일에 값을 입력합니다.
vi /etc/opt/SUNWportal/platform.conf.default
gateway.host=External Device/Proxy Host Name
gateway.protocol=https
gateway.port=443
-
-
-
SSL 장치/프록시가 작동하고 있으며 게이트웨이 포트로 트래픽을 넘기도록 구성되어 있는지 확인합니다.
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
- © 2010, Oracle Corporation and/or its affiliates