8장 Secure Remote Access Gateway 구성
이 장에서는 Sun Java System Portal Server 관리 콘솔에서 게이트웨이 속성을 구성하는 방법을 설명합니다.
이번 장은 다음 절로 구성됩니다.
시작하기 전에
-
게이트웨이 프로필을 만들려면 게이트웨이 프로필 만들기를 참조하십시오.
프로필 핵심 옵션 구성
이 절에서는 다음 작업을 설명합니다.
시작 모드 구성
설치 중에 HTTPS 모드에서 게이트웨이를 실행하도록 선택한 경우 설치 후에 게이트웨이가 HTTPS 모드에서 실행됩니다. HTTPS 모드에서 게이트웨이는 브라우저로부터 SSL 연결을 허용하고 SSL이 아닌 연결은 거부합니다. 그러나, 게이트웨이를 HTTP 모드에서 실행되도록 설정할 수도 있습니다. 그러면 SSL 세션 관리와 SSL 트래픽 암호화 및 해독에 관련된 오버헤드가 생기지 않기 때문에 게이트웨이 성능을 높일 수 있습니다.
시작 모드를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
- HTTP 연결
-
게이트웨이가 비SSL 연결을 수락하도록 하려면 [HTTP 연결] 확인란을 선택합니다.
- HTTP 포트
-
HTTP 포트 번호를 입력합니다. 기본값은 80입니다.
- HTTPS 연결
-
게이트웨이가 SSL 연결을 수락하도록 하려면 [HTTPS 연결] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
- HTTPS 포트
-
HTTPS 포트 번호를 입력합니다. 기본값은 443입니다.
주 –다음 속성은 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute를 사용하여 수정할 수 있습니다
/space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry
-
sunPortalGatewayDefaultDomainAndSubdomains=Default Domains
-
sunPortalGatewayLoggingEnabled=Enable Logging
-
sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging
-
sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging
-
sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging
-
sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing
-
sunPortalGatewayParserToURIMap=Parser to URI Mappings
-
sunPortalGatewayEnableObfuscation=Enable Masking
-
sunPortalGatewayObfuscationSecretKey=Seed String for Masking
-
sunPortalGatewayNotToObscureURIList=URIs not to Mask
-
sunPortalGatewayUseConsistentProtocolForGateway=Make
-
게이트웨이 프로토콜을 원본 URI \n 프로토콜과 같게 표시 sunPortalGatewayEnableCookieManager=Store External Server Cookies
-
sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure
-
터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
핵심 구성 요소 구성
Netlet을 사용하여 사용자는 인터넷과 같은 불안전한 네트워크에서 공통 TCP/IP 서비스를 안전하게 실행할 수 있습니다. TCP/IP 응용 프로그램(예: 텔넷 및 SMTP), HTTP 응용 프로그램 및 모든 고정 포트 응용 프로그램을 실행할 수 있습니다. Netlet의 사용이 설정되면 게이트웨이에서 들어오는 트래픽이 Netlet 트래픽인지 또는 Portal Server 트래픽인지를 결정해야 합니다. Netlet을 사용 불가능으로 설정하면 게이트웨이가 들어오는 모든 트래픽이 HTTP이거나 HTTPS 트래픽이라고 가정하기 때문에 이러한 오버헤드가 줄어듭니다. Portal Server에서 응용 프로그램을 전혀 사용하지 않을 Netlet 사용을 해제합니다.
구성 요소를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
Netlet
Netlet 서비스를 시작하려면 [사용] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
Proxylet
Proxylet 서비스를 시작하려면 [사용] 확인란을 선택합니다. 기본적으로 이 옵션이 선택됩니다.
-
다음 명령 옵션을 사용하여 터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
기본 옵션 구성
쿠키 관리 속성 정보
많은 웹 사이트에서는 사용자 세션을 추적하고 관리하기 위해 쿠키를 사용합니다. 게이트웨이가 HTTP 헤더에 쿠키를 설정하는 요청을 웹 사이트로 보낼 때 게이트웨이는 이러한 쿠키를 다음과 같이 폐기시키거나 통과시킵니다.
-
게이트웨이 서비스에서 [쿠키 관리 사용] 속성이 선택되지 않으면 쿠키가 다시 작성되지 않습니다. 따라서 브라우저로부터의 쿠키는 인트라넷에 도달하지 못합니다(반대의 경우도 마찬가지).
-
[쿠키 관리 사용] 속성이 선택되면 게이트웨이가 쿠키를 다시 작성합니다. 게이트웨이는 브라우저로부터의 쿠키가 대상 인트라넷 호스트에 도달하도록 합니다(반대의 경우도 마찬가지).
이 설정은 포털 서버가 포털 서버 사용자 세션을 관리하기 위해 사용하는 쿠키에는 적용되지 않습니다. [사용자 세션 쿠키가 전달될 URL] 옵션의 구성으로 제어합니다.
이 설정은 사용자가 액세스할 수 있는 모든 웹 사이트에 적용됩니다(즉, 어떤 사이트의 쿠키는 폐기시키고 어떤 사이트의 쿠키는 유지할 수 없습니다).
주 –
쿠키 없는 게이트웨이에서라도 [쿠키 도메인] 목록에서 URL을 제거하지 마십시오. 쿠키 도메인 목록에 대한 자세한 내용은 Access Manager 관리 설명서를 참조하십시오.
HTTP 기본 인증 속성 정보
HTTP 기본 인증은 게이트웨이 서비스에서 설정할 수 있습니다.
HTTP 기본 인증을 통해 방문자가 사이트를 보기 전에 아이디와 비밀 번호를 입력하도록 요구함으로써 웹 사이트를 보호할 수 있습니다(HTTP 응답 코드 401, WWW 인증서: BASIC). Portal Server는 사용자가 기본 보호 웹 사이트를 다시 방문할 때 자격 증명을 다시 입력할 필요가 없도록 사용자 이름과 비밀 번호를 저장할 수 있습니다. 이러한 자격 증명 정보는 디렉토리 서버의 사용자 프로필에 저장됩니다.
이 설정은 사용자가 BASIC으로 보호된 사이트를 방문할 수 있는지 여부가 아니라 사용자가 입력한 자격 증명 정보를 사용자 프로필에 저장할지 여부만을 결정합니다.
이 설정은 사용자가 액세스할 수 있는 모든 웹 사이트에 적용됩니다(즉, HTTP 기본 인증 캐싱을 어떤 사이트에 사용하고 다른 사이트에 사용하지 않을 수는 없습니다).
주 –
기본 인증 대신 Windows NT 시도/응답(HTTP 응답 코드 401, WWW 인증: NTLM)으로 보호되는 Microsoft\qs Internet Information Server(IIS)에서 서비스를 제공하는 URL에 대한 탐색은 지원되지 않습니다.
관리 콘솔에서 액세스 제어 서비스를 사용하여 단일 사인온을 사용할 수도 있습니다.
Portal Server 속성 정보
서비스 요청에 대한 게이트웨이에 여러 Portal Server를 구성할 수 있습니다. 게이트웨이를 설치하는 동안 게이트웨이가 함께 작동해야 하는 Portal Server를 지정했을 것입니다. 이 Portal Server는 기본적으로 Portal Server 필드에 나열됩니다. http://portal- server-name:port number 형식으로 목록에 Portal Server를 더 추가할 수 있습니다. 게이트웨이는 요청을 처리하기 위해 연속해서 나열된 각 Portal Server에 접속을 시도합니다.
사용자 세션 쿠키가 전달될 URL 속성 정보
포털 서버는 사용자 세션을 추적하기 위해 쿠키를 사용합니다. 이 쿠키는 게이트웨이가 서버에 HTTP 요청을 보낼 때(예를 들어, 사용자의 데스크탑 페이지를 생성하기 위해 데스크탑 서블릿이 호출될 때) 서버로 전달됩니다. 서버의 응용 프로그램은 쿠키를 사용하여 사용자를 검증하고 신원을 확인합니다.
[사용자 세션 쿠키가 전달될 URL] 목록에 서버 외의 시스템 URL을 지정하지 않은 경우에는 Portal Server의 쿠키가 이러한 시스템에 대한 HTTP 요청으로 전달되지 않습니다. 따라서 이 목록에 URL을 추가하면 서블릿과 CGI가 Portal Server의 쿠키를 받아 API를 통해 사용자를 식별할 수 있습니다.
URL은 뒤에 오는 암시적 와일드카드를 사용하여 매칭됩니다. 예를 들어, 목록의 기본 입력이 다음과 같습니다.
http://server:8080
이 입력은 쿠키가 http://server:8080으로 시작되는 모든 URL로 전달되도록 합니다.
추가:
http://newmachine.eng.siroe.com/subdir
쿠키가 이 정확한 문자열로 시작하는 모든 URL로 전달되도록 합니다.
이 예에서, 문자열 "http://newmachine.eng/subdir"은 전달 목록의 정확한 문자열로 시작하지 않기 때문에 쿠키는 이 문자열로 시작되는 URL로 전달되지 않습니다. 쿠키가 이러한 변형된 컴퓨터 이름으로 시작되는 URL로 전달되도록 하려면 전달 목록에 추가 항목을 추가해야 합니다.
마찬가지로, 쿠키는 적합한 항목이 추가되지 않는다면 "https://newmachine.eng.siroe.com/subdir "로 시작되는 URL로 전달되지 않습니다.
URL 속성에서 세션 얻기 정보
[URL에서 세션 얻기] 옵션을 선택하면 쿠키 지원 여부에 상관 없이 세션 정보가 URL의 일부로 인코딩됩니다. 즉, 게이트웨이는 클라이언트의 브라우저에서 보내는 세션 쿠키를 사용하지 않고 검증을 위해 URL에 있는 세션 정보를 사용합니다.
기본 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[핵심] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
쿠키 관리
쿠키 관리를 사용하려면 [사용] 확인란을 선택합니다.
기본적으로 이 옵션이 선택됩니다.
HTTP 기본 인증
[HTTP 기본 인증 사용] 확인란을 선택하여 HTTP 기본 인증의 사용을 설정합니다.
Portal Server
필드에 http://portal-server-name:port-number 형식으로 Portal Server를 입력하고 [추가]를 누릅니다.
이 단계를 반복하여 더 많은 Portal Server를 Portal Server 목록에 추가합니다.
사용자 세션 쿠키가 전달될 URL
사용자 세션 쿠키가 전달될 URL을 입력하고 [추가]를 누릅니다.
이 단계를 반복하여 [사용자 세션이 전달될 URL] 목록에 더 많은 URL을 추가합니다.
게이트웨이 최소 인증 수준
인증 수준을 입력합니다.
기본적으로 모든 수준에서 인증을 허용하는 별표(*)가 추가됩니다.
URL에서 세션 가져오기
URL에서 세션 정보를 가져오려면 [예]를 선택합니다.
기본적으로 [아니요] 옵션이 선택됩니다.
배포 옵션 구성
프록시 설정 구성
프록시 설정을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[배포] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
프록시 사용
[프록시 사용] 확인란을 선택하여 웹 프록시의 사용을 활성화합니다.
웹 프록시 URL
[웹 프록시 URL 사용] 편집 상자에 필요한 URL을 http://host name.subdomain.com 형식으로 입력하고 [추가]를 누릅니다.
URL이 [웹 프록시 URL 사용] 목록에 추가됩니다.
프록시 사용 옵션이 사용 불가능으로 설정되어 있어도 게이트웨이가 [도메인 및 부속 도메인 프록시] 목록에 나열된 웹 프록시를 통해서만 특정 URL에 접속해야 한다는 것을 지정할 수 있습니다. [웹 프록시 URL 사용] 필드에서 이러한 URL을 지정해야 합니다. 이 값이 프록시 사용에 미치는 영향에 대한 자세한 내용은 Access Manage에 접속할 프록시 지정을 참조하십시오.
도메인 및 하위 도메인의 프록시
[도메인 및 부속 도메인의 프록시] 목록 상자에 항목이 추가됩니다.
프록시 정보를 입력하기 위한 형식은 다음과 같습니다.
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
*는 * 이후에 정의된 프록시를 특별히 언급된 경우를 제외하고 모든 도메인과 부속 도메인에 사용해야 한다는 것을 나타냅니다.
프록시의 포트를 지정하지 않으면 포트 8080이 기본적으로 사용됩니다.
프록시 정보가 다양한 호스트에 적용되는 방법에 대한 자세한 내용은 Access Manage에 접속할 프록시 지정을 참조하십시오.
프록시 비밀번호 목록
[프록시 비밀번호 목록] 필드에 각 프록시 서버에 대한 정보를 입력하고 [추가]를 누릅니다.
프록시 정보를 입력하기 위한 형식은 다음과 같습니다.
proxyserver|username|password
proxyserver는 도메인 및 하위 도메인의 프록시 목록에 정의된 프록시 서버에 해당합니다.
프록시 서버가 일부 또는 모든 사이트에 액세스하는 데 인증이 필요한 경우 게이트웨이가 지정된 프록시 서버를 인증하는 데 필요한 사용자 이름 및 비밀 번호를 지정해야 합니다.
자동 프록시 구성 지원
[자동 프록시 구성 지원] 확인란을 선택하여 PAC 지원을 활성화합니다.
[자동 프록시 구성 사용] 옵션을 선택하면 [도메인 및 부속 도메인의 프록시] 필드에 제공된 정보가 무시됩니다. 게이트웨이에서는 인트라넷 구성에 프록시 자동 구성(PAC) 파일만 사용합니다. PAC 파일에 대한 내용은 자동 프록시 구성 사용을 참조하십시오.
자동 프록시 구성 파일 위치
[위치] 필드에 PAC 파일 이름과 위치를 입력합니다.
Rewriter 프록시 및 Netlet 프록시 구성
NetLet 프록시 정보
Netlet 프록시는 인트라넷에 상주하는 Netlet 프록시로 가는 게이트웨이를 통해 클라이언트로부터의 보안 터널을 확장하여 게이트웨이와 인트라넷 사이에서 Netlet 트래픽의 보안을 강화합니다.Netlet 프록시가 활성화되면 Netlet 패킷은 Netlet 프록시에서 해독되어 대상 서버로 전달됩니다. 이를 통해 방화벽에서 열어야 하는 포트 수가 줄어듭니다.
Rewriter 프록시 정보
Rewriter 프록시는 게이트웨이와 인트라넷 간에 보안 HTTP 트래픽을 사용하도록 해줍니다. Rewriter 프록시를 지정하지 않으면 사용자가 인트라넷의 시스템에 액세스하려고 할 때 게이트웨이 구성 요소에서 인트라넷에 직접 연결합니다. Rewriter 프록시는 설치 후에 자동으로 실행되지 않습니다. 아래 설명에 따라 Rewriter 프록시를 활성화해야 합니다.
Rewriter 프록시 및 Netlet 프록시를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
주 –Rewriter 프록시와 게이트웨이가 같은 게이트웨이 프로필을 사용해야 합니다.
-
[배포] 탭을 선택합니다.
-
다음 속성을 수정합니다.
-
서버에서 portal-server-install-root/SUNWportal/bin/certadmin을 실행하여 Rewriter 프록시의 인증서를 만듭니다.
Rewriter 프록시 설치 중에 인증서를 만들지 않은 경우에만 이 단계가 필요합니다.
-
Rewriter 프록시가 설치된 컴퓨터에 루트로 로그인하여 Rewriter 프록시를 시작합니다.
rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start
-
게이트웨이가 설치된 컴퓨터에 루트로 로그인하여 게이트웨이를 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
보안 옵션 구성
PDC 및 인증되지 않은 URL 구성
PDC 및 인증되지 않은 URL을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[보안] 탭을 선택합니다.
-
다음 속성을 수정합니다.
TLS 및 SSL 옵션 구성
TLS 및 SSL 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[보안] 탭을 선택합니다.
-
다음 속성을 수정합니다.
성능 옵션 구성
시간 초과 및 재시도 구성
시간 초과 및 재시도를 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[성능] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
서버 재시도 간격(초)
Portal Server, Rewriter 프록시 또는 Netlet 프록시를 사용할 수 없게 되는 경우(충돌이 있거나 중단된 경우 등) 시작 요청 사이의 시간 간격(초)을 지정합니다.
게이트웨이 시간 초과(초)
게이트웨이와 브라우저의 연결이 시간 초과되기까지 소요되는 시간(초)을 지정합니다.
[게이트웨이 시간 초과] 필드에 필요한 시간을 초 단위로 지정합니다.
캐시된 소켓 시간 초과(초)
게이트웨이와 Portal Server와의 연결이 시간 초과되기까지 소요되는 시간(초)을 지정합니다.
HTTP 옵션 구성
HTTP 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[성능] 탭을 선택합니다.
-
다음 속성을 수정합니다.
SRA(Secure Remote Access) 성능 모니터링
모니터링 기능을 사용하면 관리자가 SRA(Secure Remote Access)에 있는 다양한 구성 요소의 성능을 평가할 수 있습니다.
SRA(Secure Remote Access) 성능을 모니터링하려면
-
Portal Server 관리 콘솔에 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 하위 메뉴에서 [모니터링]을 누릅니다.
-
모니터링 페이지의 드롭다운 메뉴에서 프록시 인스턴스를 선택합니다.
-
MBeans 테이블에서 성능 값을 확인할 속성을 선택합니다.
Rewriter 옵션 구성
기본 옵션 구성
기본 옵션을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
모든 URI 다시 쓰기
[모든 URI 다시 쓰기 사용] 확인란을 선택하여 게이트웨이가 모든 URL을 다시 쓸 수 있게 합니다.
게이트웨이 서비스에서 [모든 URL 다시 쓰기 사용] 옵션을 설정하면 [도메인 및 부속 도메인의 프록시] 목록에 있는 항목을 확인하지 않고 Rewriter가 모든 URL을 다시 씁니다. [도메인 및 하위 도메인의 프록시] 목록에 있는 항목은 무시됩니다.
다시 쓰지 않는 URI
편집 상자에 URI를 추가합니다.
주 –#*를 이 목록에 추가하면 규칙 집합에 href 규칙이 포함되어 있더라도 URI 다시 쓰기를 허용합니다.
규칙 집합에 URI 매핑 구성
규칙 집합은 Portal Server 관리 콘솔의 Portal Server 구성 아래 Rewriter 서비스에서 만들어집니다. 자세한 내용은 Portal Server 관리 설명서를 참조하십시오.
규칙 집합을 만든 후 [규칙 집합에 URI 매핑] 필드를 사용하여 도메인과 규칙 집합을 연관시킵니다. 기본적으로 다음 두 항목이 [규칙 집합에 URI 매핑] 필드에 추가됩니다.
-
*://*.Sun.COM/portal/*|default_gateway_ruleset
여기서 sun.com은 포털의 설치 도메인이고 /portal은 포털 설치 컨텍스트입니다.
-
*|generic_ruleset
이것은 기본 도메인의 모든 페이지에 대해 기본 게이트웨이 규칙 집합이 적용된다는 것을 의미합니다. 기타 모든 페이지에는 일반 규칙 집합이 적용됩니다. 기본 게이트웨이 규칙 집합과 일반 규칙 집합은 사전 구성된 규칙 집합입니다.
주 –
데스크탑에 나타나는 모든 컨텐트에는 컨텐트가 어디서 가져왔는지 상관 없이 기본 도메인의 규칙 집합이 사용됩니다.
예를 들어, 데스크탑이 URL yahoo.com에서 컨텐트를 스크랩하도록 구성되었다고 가정합시다. Portal Server는 sesta.com에 있습니다. sesta.com에 대한 규칙 집합이 불려온 컨텐트에 적용됩니다.
주 –
규칙 집합을 지정하는 도메인은 [도메인 및 하위 도메인의 프록시] 목록에 있어야 합니다.
규칙 집합에 URI 매핑을 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
구문 분석기를 MIME 유형으로 구성
Rewriter에는 컨텐트 유형(HTML, JAVASCRIPT, CSS 및 XML)에 따라 웹 페이지의 구문을 분석하기 위한 4가지 구문 분석기가 있습니다. 기본적으로 공통 MIME 유형이 이러한 구문 분석기와 연결되어 있습니다. 게이트웨이 서비스의 [구문 분석기를 MIME 유형에 매핑] 필드에서 새로운 MIME 유형을 이러한 구문 분석기와 연관시킬 수 있습니다. 그러면 Rewriter의 기능이 다른 MIME 유형까지 확장됩니다.
여러 항목인 경우는 세미콜론(";")이나 쉼표(",")를 사용하여 구분합니다.)
예:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
이것은 이러한 MIME을 가진 모든 컨텐트가 HTML Rewriter로 보내지고 URL을 다시 쓰도록 HTML 규칙이 적용된다는 의미입니다.
정보 –
MIME 매핑에서 불필요한 구문 분석기를 제거하면 작동 속도를 높일 수 있습니다. 예를 들어, 특정 인트라넷의 컨텐트에 JavaScript가 없다는 것이 확실하면 MIME 매핑 목록에서 JAVASCRIPT 항목을 제거할 수 있습니다.
구문 분석기를 MIME 유형으로 구성하려면
-
Portal Server 관리 콘솔에 관리자로 로그인합니다.
-
[Secure Remote Access] 탭을 선택하고 프로필 이름을 눌러 선택하여 해당 속성을 수정합니다.
-
[Rewriter] 탭을 선택합니다.
-
다음 속성을 수정합니다.
속성 이름
설명
구문 분석기
-
[구문 분석기를 MIME 유형에 매핑] 필드의 편집 상자에 필요한 MIME 유형을 추가합니다. 여러 항목을 구분할 때에는 세미콜론이나 콤마를 사용합니다.
항목을 HTML=text/html;text/htm 형식으로 지정합니다.
-
[추가]를 눌러 목록에 필요한 항목을 추가합니다.
-
개인 디지털 인증서 인증 구성
PDC는 인증 기관(CA)에서 발행하며 CA 개인 키로 서명됩니다. CA에서는 인증서를 발행하기 전에 요청 주체의 신원을 검증합니다. 따라서 PDC가 있다는 것은 인증 메커니즘이 강력하다는 것을 나타냅니다.
PDC에는 소유자의 공용 키, 소유자 이름, 만료 날짜, 디지털 인증서를 발행한 인증 기관의 이름, 일련 번호와 함께 기타 정보도 포함될 수 있습니다.
사용자는 PDC와 스마트 카드 및 Java 카드와 같은 암호화된 장치를 Portal Server에서 인증을 얻는 데 사용할 수 있습니다. 인코딩된 장치는 카드에 저장된 PDC를 전자적 형태로 보관합니다. 사용자가 이러한 메커니즘 중 하나를 사용하여 로그인하면 로그인 화면과 인증 화면이 나타나지 않습니다.
-
브라우저에서 사용자가 예를 들어 https://my.sesta.com과 같이 연결 요청을 입력합니다.
이 요청에 대한 응답은 my.sesta.com에 대한 게이트웨이가 인증서를 허용하도록 구성되었는지 여부에 달려있습니다.
주 –게이트웨이가 인증서를 허용하도록 구성된 경우 인증서가 있는 로그인만 허용되며 다른 종류의 로그인은 허용되지 않습니다.
게이트웨이는 인증서가 알려진 인증 기관에서 발행된 것인지, 만료되지 않았는지 그리고 위조되지 않았는지 점검합니다. 인증서가 유효하면 게이트웨이는 사용자를 인증 프로세스의 다음 단계로 진행시킵니다.
-
게이트웨이는 인증서를 서버의 PDC 인증 모듈로 전달합니다.
PDC 인증 프로세스에는 다음 단계가 있습니다.
PDC 및 코드화된 장치를 구성하려면
-
Portal Server 시스템의 /etc/opt/SUNWam/config/AMConfig.properties 파일에 다음 행을 추가합니다. com.iplanet.authentication.modules.cert.gwAuthEnable=yes .
-
PDC를 사용할 게이트웨이의 인증서 데이터베이스로 필요한 인증서를 가져옵니다. 인증서를 구성하려면 게이트웨이 시스템에서 루트 CA 인증서를 가져오려면을 참조하십시오.
-
Access Manager 관리 콘솔에 관리자로 로그인하여 다음을 수행합니다.
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
원하는 조직을 선택한 다음 [보기] 드롭다운 메뉴에서 [서비스]를 선택합니다.
서비스 목록이 표시됩니다.
-
[인증 구성] 핵심 서비스 옆의 화살표를 누르고 [새로 만들기]를 누릅니다.
새 서비스 인스턴스 페이지가 표시됩니다.
-
서비스 인스턴스 이름으로 gatewaypdc를 입력합니다.
-
[제출]을 누릅니다.
gatewaypdc 서비스 인스턴스 목록이 표시됩니다.
-
gatewaypdc를 눌러 서비스를 편집합니다.
gatewaypdc 등록 정보 페이지가 표시됩니다.
-
[인증 구성] 옆의 [편집] 링크를 누르고 [추가]를 누릅니다.
모듈 추가 페이지가 표시됩니다.
-
[모듈 이름] 필드에서 [인증서]를 선택하고 [적용 기준]에 [필수]를 선택한 다음 [확인]을 누릅니다.
-
[확인]을 눌러 완료합니다.
-
-
Access Manager 관리 콘솔에서 다음을 수행합니다.
-
Portal Server 관리 콘솔에 관리자로 로그인하여 다음을 수행합니다.
-
터미널 창에서 게이트웨이 프로필을 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
-
CA에서 발행된 클라이언트 인증서를 PDC 사용 가능 게이트웨이에 액세스하는 브라우저에 설치합니다.
-
클라이언트 인증서를 JVM 키 저장소에 설치합니다. JVM 제어판은 Windows 시스템에서 [시작] > [설정] > [제어판] > [Java]를 선택하여 액세스할 수 있습니다.
다음을 애플릿 런타임 매개 변수에 추가합니다.
-
Djavax.net.ssl.keyStore=키 저장소 경로
-
Djavax.net.ssl.keyStorePassword=비밀번호
-
Djavax.net.ssl.keyStoreType=유형
-
-
게이트 프로필과 조직에 액세스합니다.
https://gateway:instance-port/YourOrganization
인증서 이름으로 아이디와 비밀번호 프롬프트 없이 로그인되어 있어야 합니다.
게이트웨이 시스템에서 루트 CA 인증서를 가져오려면
-
게이트웨이 시스템에서 루트 CA 인증서를 가져옵니다.
-
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
Certadmin 메뉴가 표시됩니다.
-
옵션 3을 선택하고 인증서 경로를 입력합니다.
자세한 내용은 10 장, 인증서 작업을 참조하십시오.
-
-
CA에 제출하기 위한 인증서 서명 요청을 생성합니다.
-
인증서 서명 요청을 CA에 제출하고 승인을 받습니다. CA 서명 후 인증서 응답을 저장합니다.
-
CA에서 승인을 받은 후 서버 인증서를 가져옵니다.
-
Portal Server 시스템에 루트 CA 인증서를 가져옵니다.
명령줄 옵션을 사용한 게이트웨이 속성 구성
이 절에서는 다음 작업을 위해 터미널 창에서 게이트웨이 속성을 구성하는 명령줄 옵션을 제공합니다.
외부 서버 쿠키 저장소를 관리하려면
외부 서버 쿠키 저장 옵션을 사용하면 게이트웨이가 게이트웨이를 통해 액세스할 수 있는 타사 응용 프로그램이나 서버에 대한 쿠키를 저장하고 관리합니다. 응용 프로그램이나 서버가 쿠키 없는 장치를 서비스할 수 없거나 상태 관리(레거시 관련 이유로)를 위해 쿠키에 의존하는 경우에도 게이트웨이는 쿠키 없는 장치를 서비스하고 있다는 사실로부터 응용 프로그램이나 서버를 투명하게 숨깁니다.
쿠키 없는 장치와 클라이언트 검색에 대한 자세한 내용은 Access Manager Customization and API Guide를 참조하십시오.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false
-
속성 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement
다음 명령을 입력하고 Enter를 눌러 외부 서버 쿠키 저장소를 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
쿠키를 안전하다고 표시하려면
쿠키가 안전한 것으로 표시되면 브라우저가 이 쿠키를 추가 보안을 통해 취급합니다. 보안의 구현은 브라우저에 따라 다릅니다. 이 작업을 위해 [쿠키 관리 사용] 속성을 사용해야 합니다.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false
-
속성 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure
다음 명령을 입력하고 Enter를 눌러 쿠키를 안전한 것으로 표시합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
사용하지 않을 프록시의 URL 목록을 만들려면
게이트웨이는 [웹 프록시 URL 사용 안함] 목록에 나열된 URL에 직접 연결을 시도합니다. 웹 프록시는 이러한 URL에 연결하는데 사용되지 않습니다.
-
사용하지 않을 URL을 지정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
-
기존 URL 목록에 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
-
기존 URL 목록에서 제거하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -E "LIST_OF_URLS"
-
기존 URL 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL
다음 명령을 입력하고 Enter를 눌러 사용하지 않을 프록시의 URL을 관리합니다.
주 –
URL이 두 개 이상이면 각 URL을 공백으로 구분합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
URI와 규칙 집합의 매핑을 관리하려면
SRA(Secure Remote Access)는 Microsoft Exchange 2000 SP3 설치 및 Outlook Web Access(OWA)의 MS Exchange 2003을 지원합니다.
-
규칙 집합을 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
-
규칙 집합을 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
-
규칙 집합과 URI의 매핑 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "
URI를 기존 목록에 추가하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME URI|RULE_SET_NAME"
URI를 기존 목록에서 제거하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME URI|RULE_SET_NAME"
기존 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets
다음 명령을 입력하고 Enter를 눌러 Outlook Web Access에 대한 규칙 집합을 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
기본 도메인을 지정하려면
기본 도메인은 URL에 도메인과 부속 도메인 없이 호스트 이름만 있을 때 유용합니다. 이 경우에 게이트웨이는 호스트 이름이 기본 도메인 목록에 있다고 가정하고 그에 따라 진행합니다.
예를 들어, URL의 호스트 이름이 host1이고 기본 도메인과 하위 도메인이 red.sesta.com으로 지정된 경우, 호스트 이름은 host1.red.sesta.com으로 확인됩니다.
-
기본 도메인을 설정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"
-
기본 도메인을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains
다음 명령을 입력하고 Enter를 눌러 기본 도메인을 지정합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
MIME 추측을 관리하려면
Rewriter는 페이지의 MIME 유형에 따라 구문 분석기를 선택합니다. WebLogic 및 Oracle같은 일부 웹 서버는 MIME 유형을 보내지 않습니다. 이 문제를 해결하려면 [구문 분석기와 URI의 매핑] 목록 상자에 데이터를 추가하여 MIME 추측 기능을 활성화합니다.
-
MIME 추측을 사용하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true
-
MIME 추측을 사용하지 않으려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing
다음 명령을 입력하고 Enter를 눌러 MIMIE 추측을 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
구문 분석할 URI 매핑 목록을 만들려면
[MIME 추측] 확인란이 선택된 상태에서 서버가 MIME 유형을 보내지 않으면 구문 이 상자를 사용하여 분석기를 URI에 매핑합니다.
각 URI는 세미콜론으로 구분합니다.
예: HTML=*.html; *.htm;*Servlet이것은 html, htm 또는 Servlet 확장을 가진 모든 페이지에 대한 컨텐트를 다시 쓰기 위해 HTML Rewriter가 사용된다는 것을 의미합니다.
-
구문 분석할 URI 매핑 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap
-
기존 목록에 추가하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST
-
기존 목록에서 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST
-
기존 목록을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME-a MIMEMap
다음 명령을 입력하고 Enter를 눌러 구문 분석할 URI 매핑 목록을 만듭니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute
마스크를 관리하려면
마스크를 사용하면 Rewriter에서 페이지의 인트라넷 URL이 보이지 않도록 URI를 다시 쓸 수 있습니다.
-
마스크를 활성화하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true
-
마스크를 비활성화하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation
다음 명령을 입력하고 Enter를 눌러 마스크를 관리합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
마스크 씨드 문자열을 지정하려면
씨드 문자열은 URI의 마스크에 사용됩니다. 마스크 알고리즘을 통해 문자열을 생성합니다.
주 –
이 씨드 문자열이 변경되거나 게이트웨이가 다시 시작되면 마스크된 URI를 책갈피에 추가하지 못할 수 있습니다.
-
마스크 씨드 문자열을 설정하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey SECRET_KEY
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey
다음 명령을 입력하고 Enter를 눌러 마스크 씨드 문자열을 지정합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
마스크하지 않을 URI 목록을 만들려면
일부 응용 프로그램(애플릿 등)은 인터넷 URI가 필요하기 때문에 마스크할 수 없습니다. 이러한 응용 프로그램을 지정하려면 URI를 목록 상자에 추가합니다.
예를 들어, */Applet/Param*을 목록 상자에 추가한 경우 규칙 집합 규칙에서 컨텐트 URI http://abc.com/Applet/Param1.html이 일치하면 URL이 마스크되지 않습니다.
주 –
URI가 두 개 이상이면 각 URI를 공백으로 구분합니다.
-
마스크하지 않을 URI 목록을 설정하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList LIST_OF_URI
-
기존 목록에 추가하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI
-
기존 목록에서 제거하려면
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI
-
기존 값을 가져오려면
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList
다음 명령을 입력하고 Enter를 눌러 마스크하지 않을 URI 목록을 만듭니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
게이트웨이 프로토콜을 원본 URI 프로토콜과 같게 하려면
게이트웨이가 HTTP와 HTTPS 모드 모두에서 실행되는 경우 Rewriter가 일관된 프로토콜을 사용하여 HTML 컨텐트의 참조 리소스에 액세스하게 할 수 있습니다.
예를 들어 원본 URL이 http://intranet.com/Public.html이라면 http 게이트웨이가 추가됩니다. 원본 URL이 https://intranet.com/Public.html이라면 https 게이트웨이가 추가됩니다.
주 –
이는 Javascript로 생성된 동적 URI가 아닌 정적 URI에만 적용됩니다.
-
사용하려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true
-
사용하지 않으려면
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false
-
값을 가져오려면
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway
다음 명령을 입력하고 Enter를 눌러 게이트웨이 프로토콜을 원본 URI 프로토콜과 같게 합니다.
관련 항목
Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin set-attribute 및 Sun Java System Portal Server 7.2 Command-Line Reference의 psadmin get-attribute
- © 2010, Oracle Corporation and/or its affiliates