Oracle Java Web Console 참조 정보

이 참조 섹션에는 다음 항목이 포함되어 있습니다.

• Oracle Java Web Console 보안 고려 사항

• authTypes 태그를 사용하여 권한 부여 지정

Oracle Java Web Console 보안 고려 사항

Oracle Java Web Console에 있는 응용 프로그램을 사용할 때 염두에 두어야 할 여러 가지 보안 고려 사항이 있습니다.

이러한 보안 고려 사항에는 다음이 포함됩니다.

• Oracle Java Web Console에 액세스 – 브라우저를 통해 콘솔에 연결할 수 있는지 여부입니다.

• 응용 프로그램에 액세스 – Oracle Java Web Console의 실행 페이지에서 특정 응용 프로그램을 볼 수 있는지 여부입니다.

• 응용 프로그램 권한 – 응용 프로그램의 일부 또는 모두를 실행하려면 가지고 있어야 하는 권한 레벨입니다.

• 원격 시스템에 대한 응용 프로그램 액세스 – 보안 자격 증명이 원격 시스템과 관련되는 방식입니다.

• 콘솔에서 사용되는 내부 암호 - Solaris 10 11/06 릴리스부터 콘솔에서 내부적으로 사용되는 기본 암호를 변경합니다.

Oracle Java Web Console에 액세스

웹 콘솔 실행 프로그램 응용 프로그램에 대한 권한은 대개 공개되어 있으므로 유효한 사용자는 누구나 로그인할 수 있습니다. 하지만 /usr/share/webconsole/webapps/console/WEB-INF 디렉토리에 있는 웹 콘솔의 app.xml 파일에서 authTypes 태그에 권한을 지정하여 콘솔에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 authTypes 태그를 사용하여 권한 부여 지정을 참조하십시오.

일부 시스템 구성은 매우 높은 보안으로 설정되어 있으므로 원격 시스템에서 콘솔 또는 등록된 응용 프로그램의 URL로 연결을 시도하면 거부됩니다. 시스템이 원격 액세스를 막도록 구성된 경우 https://hostname.domain:6789로 콘솔에 액세스를 시도하면 브라우저에서 다음과 같은 메시지를 표시합니다.

Connect to hostname.domain:6789 failed (Connection refused)

시스템에서 적용 중인 SMF 프로파일이 액세스를 제한할 수 있습니다. 프로파일에 대한 자세한 내용은 SMF 프로파일을 참조하십시오. 원격 시스템에서 콘솔에 액세스를 허용하는 절차는 Oracle Java Web Console에 대한 원격 액세스 사용을 참조하십시오.

Oracle Java Web Console의 응용 프로그램에 액세스

웹 콘솔에 성공적으로 로그인한 후에도 콘솔에 등록된 모든 응용 프로그램에 대한 액세스 권한을 자동으로 얻지 못할 수 있습니다. 일반적으로 응용 프로그램은 모든 사용자가 콘솔 실행 페이지에서 볼 수 있도록 설치됩니다. 관리자는 응용 프로그램에 대한 액세스 권한을 부여하거나 제한할 수 있습니다.

응용 프로그램에 대한 액세스를 제한하려면 응용 프로그램의 app.xml 파일에 있는 authTypes 태그에 권한을 지정합니다. 응용 프로그램의 app.xml 파일은 installation-location/WEB-INF/ 하위 디렉토리에서 찾을 수 있습니다. 일반적으로 이 디렉토리는 /usr/share/webconsole/webapps/ app-context-name/WEB-INF에 위치합니다.

응용 프로그램이 일반적인 위치에 없을 경우 다음 명령을 사용하여 파일을 찾을 수 있습니다.

wcadmin list --detail -a

이 명령은 각 배치된 응용 프로그램을 나열하여 배치된 시간 및 응용 프로그램의 기본 디렉토리에 대한 경로를 보여줍니다. app.xml 파일은 기본 디렉토리 내의 하위 디렉토리 WEB-INF에 있습니다.

자세한 내용은 authTypes 태그를 사용하여 권한 부여 지정을 참조하십시오.

응용 프로그램 권한

Oracle Java Web Console의 실행 페이지에서 응용 프로그램의 링크를 볼 수 있으면 해당 응용 프로그램을 실행할 수 있습니다. 하지만 응용 프로그램은 인증된 사용자 또는 역할 ID를 기준으로 추가 권한 부여 검사를 수행할 수 있습니다. 이러한 검사는 authTypes 태그로 제어되지 않지만 응용 프로그램 자체에 명시적으로 코드를 작성할 수 있습니다. 예를 들어, 응용 프로그램은 모든 인증된 사용자에게 읽기 액세스 권한을 부여하지만, 업데이트 액세스 권한은 일부 사용자 또는 역할로 제한할 수 있습니다.

원격 시스템에 대한 응용 프로그램 액세스

해당하는 모든 자격 증명을 가지고 있다고 해서 응용 프로그램을 사용하여 응용 프로그램의 작업 범위 내에 있는 모든 시스템을 관리할 수 있다는 것은 아닙니다. Oracle Java Web Console 응용 프로그램을 사용하여 관리하는 각 시스템에는 고유의 보안 도메인이 있습니다. 웹 콘솔 시스템에서 읽기 및 쓰기 권한을 가지고 있다고 해서 해당 자격 증명이 자동으로 다른 모든 원격 시스템을 관리하는 데 충분한 것은 아닙니다.

일반적으로 원격 시스템에 대한 액세스 권한은 웹 응용 프로그램에서 보안이 어떻게 구현되었는지에 따라 달라집니다. 일반적으로 웹 응용 프로그램은 응용 프로그램 대신 작업을 수행하는 에이전트를 호출합니다. 이러한 응용 프로그램은 웹 콘솔 자격 증명 및 에이전트 시스템에서 알려진 자격 증명을 기준으로 에이전트에 의해 인증되어야 합니다. 이 에이전트 인증 방식에 따라 이 인증된 ID를 기준으로 에이전트 자체에 대한 권한 부여 검사도 수행될 수 있습니다.

예를 들어, 원격 WBEM 에이전트를 사용하는 웹 응용 프로그램에서 인증은 대개 처음에 Oracle Java Web Console에 대해 인증된 사용자 또는 역할 ID를 사용합니다. 해당 에이전트 시스템에서 이 인증을 실패할 경우 해당 시스템에 대한 액세스가 웹 응용 프로그램에서 거부됩니다. 해당 에이전트 시스템에서 인증을 성공할 경우에도 에이전트가 액세스 제어 검사를 수행하고 거기에서 액세스를 거부하면 액세스는 여전히 거부됩니다. 대부분의 응용 프로그램은 웹 콘솔에서 성공적으로 인증되고 올바른 역할을 맡고 있으면 에이전트에서 인증 및 권한 부여를 실패하지 않도록 작성됩니다.

콘솔에서 사용되는 내부 암호

Solaris 10 11/06 릴리스부터 Oracle Java Web Console은 여러 암호로 보호된 내부 사용자 이름을 사용하여 기본 웹 서버에 대한 관리 작업을 수행하고 키 저장소 및 보안 저장소 파일을 암호화합니다. 콘솔을 설치할 수 있도록 암호는 초기 값으로 설정됩니다. 보안 침해 가능성을 낮추려면 설치 후 암호를 변경해야 합니다. Oracle Java Web Console에 대한 내부 암호 변경을 참조하십시오.

authTypes 태그를 사용하여 권한 부여 지정

대부분의 시스템 관리 웹 응용 프로그램에서는 관리자 개입으로 authTypes 태그를 사용할 필요가 없지만, 경우에 따라 이 태그의 값을 변경해야 할 수 있습니다. authTypes 태그에는 사용자가 Oracle Java Web Console에서 응용 프로그램을 보는 데 필요한 권한 부여 레벨을 설명하는 정보가 포함됩니다. 웹 콘솔은 응용 프로그램의 app.xml 파일에 있는 권한 부여 요구 사항을 기준으로 사용자에게 특정 응용 프로그램을 볼 수 있는 권한이 부여되었는지 여부를 결정합니다. 각 응용 프로그램은 응용 프로그램을 실행하기 위해 사용자에게 올바른 권한이 부여되어야 하는지 여부를 결정할 수 있습니다. 이 결정은 응용 프로그램 설치 프로세스의 일부로 수행될 수 있습니다. 또는 고유의 보안 요구 사항에 따라 정보를 제공해야 할 수 있습니다. 응용 프로그램에 대한 제품 설명서에는 특정 권한을 지정해야 하는지 여부를 결정하는 데 필요한 정보가 포함되어 있습니다.

authType 태그 내에 여러 authTypes 태그를 중첩시킬 수 있습니다.

authTypes 태그에는 다음 필수 정보를 제공하는 적어도 하나의 authType 태그가 포함되어야 합니다.

• 수행할 권한 부여 검사 유형

• Permission 하위 클래스 이름

• Permission 하위 클래스를 인스턴스화하는 데 필요한 매개변수

다음 예에서 authType 태그에는 하나의 속성 name이 있습니다. 필수 name 속성은 권한 부여 서비스 유형의 이름입니다. 다른 권한 부여 유형의 경우 classType 및 permissionParam 태그에 대한 다른 값이 필요할 수 있습니다.

<authTypes>
    <authType name="SolarisRbac">
        <classType>
          com.sun.management.solaris.RbacPermission
        </classType>
        <permissionParam name="permission">
          solaris.admin.serialmgr.read
        </permissionParam>
    </authType>
</authTypes>

다음 표는 authType 태그 내에 중첩시킬 수 있는 태그를 나타냅니다.

표 3-1 중첩된 authType 태그

authTypes 태그 및 중첩된 authType 태그는 app.xml 파일에서 필수 요소입니다. 누구나 사용할 수 있는 응용 프로그램을 등록하려는 경우 다음 예에 나온 대로 아무런 내용 없이 authType 태그를 지정합니다.

<authTypes>
        <authType name="">
            <classType></classType>
            <permissionParam name=""></permissionParam>
        </authType>
</authTypes>

Oracle Java Web Console에 대한 원격 액세스 사용

콘솔을 실행 중인 시스템에 로그인한 다음 URL https://localhost:6789를 사용하여 콘솔에 연결할 수만 있다면 시스템에서 원격 액세스를 금지하는 구성을 사용하고 있는 것입니다. Solaris 10 11/06 릴리스부터 다음 절차를 사용하여 다른 액세스 제한은 그대로 둔 상태에서 콘솔에 대한 원격 액세스만 사용으로 설정할 수 있습니다.

Oracle Java Web Console에 대한 원격 액세스를 사용으로 설정하는 방법

1. 콘솔이 실행 중인 시스템에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

2. 콘솔 서버에서 네트워크 요청에 응답할 수 있도록 등록 정보를 설정한 다음 콘솔 서버를 다시 시작합니다.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = true
   
   # smcwebserver restart

Oracle Java Web Console에 대한 원격 액세스 사용 안함

사용자가 원격 시스템에서 콘솔에 연결하지 못하도록 할 수 있습니다. Solaris 10 11/06 릴리스부터 다음 절차를 사용하여 다른 액세스 권한은 그대로 둔 상태에서 콘솔에 대한 원격 액세스만 사용 안함으로 설정할 수 있습니다.

Oracle Java Web Console에 대한 원격 액세스를 사용 안함으로 설정하는 방법

1. 콘솔이 실행 중인 시스템에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

2. 콘솔 서버에서 네트워크 요청에 응답하지 못하도록 등록 정보를 설정한 다음 콘솔 서버를 다시 시작합니다.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = false
   
   # smcwebserver restart

   다시 시작하면 이제 콘솔은 콘솔 서버 프로세스와 동일한 시스템의 브라우저에만 응답합니다. 브라우저에서 프록시를 사용할 수 없으며, 직접 연결만 가능합니다. https://localhost:6789/ URL을 사용하여 콘솔에 액세스할 수도 있습니다.

Oracle Java Web Console에 대한 내부 암호 변경

Solaris 10 11/06 릴리스부터 콘솔에서는 몇 가지 내부 사용자 이름과 암호를 사용합니다. 콘솔의 내부 사용자 이름과 암호는 콘솔 프레임워크에서만 사용되며, 사용자나 시스템 관리자에 의해 직접 사용되지 않습니다. 하지만 암호가 알려지면 악의적인 사용자가 콘솔 응용 프로그램을 손상시킬 수 있습니다. 이러한 보안 침해 가능성을 낮추려면 암호를 변경해야 합니다. 소프트웨어에서는 암호를 투명하게 사용하므로 새 암호를 기억할 필요는 없습니다.

콘솔의 내부 암호를 변경하는 방법

암호는 관리 암호, 키 저장소 암호 및 보안 저장소 암호로 알려져 있습니다. 암호 변경을 위해 초기 기본값을 알 필요는 없습니다. 이 절차에서는 별도의 명령으로 세 가지 모든 암호를 변경하는 방법을 설명합니다.

1. 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

2. 관리 암호를 변경합니다.

   # wcadmin password -a

   새 암호를 두 번 입력하라는 프롬프트가 표시됩니다. 암호는 8 ~ 32자여야 합니다.

3. 키 저장소 암호를 변경합니다.

   # wcadmin password -k

   새 암호를 두 번 입력하라는 프롬프트가 표시됩니다. 암호는 8 ~ 32자여야 합니다.

4. 보안 저장소 암호를 변경합니다.

   # wcadmin password -t

   새 암호를 두 번 입력하라는 프롬프트가 표시됩니다. 암호는 8 ~ 32자여야 합니다.