E STA의 보안 서비스 공급자 구성

사용자가 STA에 액세스하려면 먼저 인증을 받아야 합니다. STA 내에서 로컬로 사용자를 만들 수도 있고, 외부 SSP(보안 서비스 공급자)를 사용하여 STA에 대한 액세스 제어를 제공할 수도 있습니다.

이 부록에서는 STA 액세스 제어를 위해 WebLogic OpenLDAP(Lightweight Directory Access Protocol) 및 IBM RACF(Resource Access Control Facility)를 사용하는 방법에 대해 설명합니다 다음과 같은 절로 구성됩니다.

STA 응용 프로그램을 사용하여 사용자를 만들려면 STA 사용 설명서를 참조하십시오.

WebLogic OpenLDAP를 통한 STA 액세스 제어

이 절차를 사용하여 STA에 대해 OpenLDAP를 구성합니다.

WebLogic OpenLDAP 구성

  1. STA 설치 중 선택한 HTTP(STA 2.1.0 기본값은 7019) 또는 HTTPS(STA 2.1.0 기본값은 7020) 포트 번호를 사용하여 WebLogic 콘솔 로그인 화면으로 이동합니다.

    https://yourHostName:PortNumber/console/
    

    예를 들면 다음과 같습니다.

    https://sta_server:7020/console
    
  2. STA 설치 중 정의한 WebLogic 관리 콘솔 사용자 이름과 암호를 사용하여 로그인합니다.

  3. Domain Structure 섹션에서 Security Realms를 누릅니다.

    wl_secrealm.png에 대한 설명이 이어집니다.
    그림 설명 wl_secrealm.png

  4. Realms 테이블에서 myrealm 활성 링크를 선택합니다(확인란이 아닌 링크 자체를 선택).

    wl_myrealm.png에 대한 설명이 이어집니다.
    그림 설명 wl_myrealm.png

  5. Providers 탭을 누릅니다.

    wl_providers.png에 대한 설명이 이어집니다.
    그림 설명 wl_providers.png

  6. Change Center 섹션에서 Lock & Edit를 누릅니다.

    wl_lockedit.png에 대한 설명이 이어집니다.
    그림 설명 wl_lockedit.png

  7. Authentication Providers 섹션에서 New를 누릅니다.

    wl_new.png에 대한 설명이 이어집니다.
    그림 설명 wl_new.png

  8. 만들려는 인증 공급자의 이름(예: OpenLdapAuthenticator)을 입력하고 Type 메뉴에서 OpenLDAPAuthenticator를 선택합니다. OK를 누릅니다.

    ldap_createnew.png에 대한 설명이 이어집니다.
    그림 설명 ldap_createnew.png

  9. DefaultAuthenticator 활성 링크를 선택합니다(확인란이 아닌 링크 자체를 선택).

    ldap_defauth.png에 대한 설명이 이어집니다.
    그림 설명 ldap_defauth.png

  10. Control Flag 메뉴에서 Sufficient를 선택한 다음 Save를 누릅니다.

    ssp_controlsufficient.png에 대한 설명이 이어집니다.
    그림 설명 ssp_controlsufficient.png

  11. Providers 로케이터 링크를 선택하여 Authentication Providers 화면으로 돌아갑니다.

    ssp_provlink.png에 대한 설명이 이어집니다.
    그림 설명 ssp_provlink.png

  12. Authentication Providers 테이블에서 8 단계에서 만든 OpenLDAP 인증자 이름을 선택합니다(확인란이 아닌 이름 자체를 선택).

    ldap_selectopen.png에 대한 설명이 이어집니다.
    그림 설명 ldap_selectopen.png

  13. Control Flag 메뉴에서 Sufficient를 선택한 다음 Save를 누릅니다.

    ssp_controlsufficient.png에 대한 설명이 이어집니다.
    그림 설명 ssp_controlsufficient.png

  14. Provider Specific 탭을 누릅니다.

    ldap_provspecific.png에 대한 설명이 이어집니다.
    그림 설명 ldap_provspecific.png

  15. 사이트 요구 사항에 따라 화면 필드를 채웁니다. 다음 예는 lses-ldap1 서버에 적용되며 각 고객 환경에 특정된 것입니다.

    • Host = lses-ldap1

    • Port = 389

    • Principal = 비워 둠

    • Credential = 비워 둠

    • User Base DN = ou=people,o=STA,dc=oracle,dc=com

    • User From Name Filter = (&(cn=%u)(objectclass=inetOrgPerson))

    • User Object Class = inetOrgPerson

    • Group Base DN = ou=groups,o=STA,dc=oracle,dc=com

    • Group From Name Filter = (&(cn=%g)(objectclass=groupofnames))

  16. Save를 누릅니다.

  17. Change Center 섹션에서 Activate Changes를 누릅니다.

    wl_activate.png에 대한 설명이 이어집니다.
    그림 설명 wl_activate.png

  18. 다음 단계를 수행하여 구성을 테스트합니다.

    1. WebLogic 관리 콘솔에서 로그아웃합니다.

    2. STA 명령을 사용하여 STA를 중지하고 다시 시작합니다. 명령 사용법 세부 정보는 STA 관리 설명서를 참조하십시오.

      # STA stop all
      # STA start all
      
    3. WebLogic 콘솔에 로그인합니다.

    4. Domain Structure 섹션에서 Security Realms를 선택합니다.

    5. Realms 테이블에서 myrealm 활성 링크를 선택합니다(확인란이 아닌 링크 자체를 선택).

    6. Users and Groups 탭을 누릅니다.

      ldap_uandg.png에 대한 설명이 이어집니다.
      그림 설명 ldap_uandg.png

    7. UsersGroups 탭에서 OpenLDAP 공급자에 대한 항목이 Provider 열에 존재하는지 확인합니다.

IBM RACF 작업을 통한 STA 액세스 제어

다음 절차를 사용하여 STA에 대한 IBM RACF(Resource Access Control Facility) 인증을 구성합니다. 나열된 순서대로 절차를 완료해야 합니다.

주:

STA는 IBM RACF와 호환되는 타사 제품을 지원합니다(예: CA의 ACF‐2 및 Top Secret). 설치된 보안 제품에 알맞은 명령을 실행하는 것은 STA를 설치하는 사람 또는 보안 관리자의 책임입니다.

작업 1: IBM RACF 메인프레임 최소 요구 사항 검토

RACF 요구 사항에 대한 자세한 내용은 STA 요구 사항 설명서를 참조하십시오.

작업 2: STA RACF 권한 부여를 위한 메인프레임 지원 사용으로 설정

STA에 대한 RACF 서비스의 메인프레임 측면은 ELS 7.0 및 7.1에 대한 SMC 구성 요소의 일부인 CGI 루틴으로 제공됩니다. 이 CGI 루틴은 SMC HTTP 서버에 의해 호출되고 FACILITY 클래스에서 정의된 RACF 프로파일을 사용합니다.

STA가 RACF를 액세스 인증 방법으로 사용하려면 메인프레임에서 HTTP 서버를 실행하는 SMC 시작 작업을 설정해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 ELS 문서 Configuring and Managing SMC에서 찾을 수 있습니다.

주:

SMC 시작 작업은 정의된 AT-TLS 규칙과 일치해야 합니다. 또는 AT-TLS 정의에서 일반 작업 이름(예: SMCW)을 사용할 수 있도록 허용하십시오.

값이 제공된 STC 식별자(예: JOBNAME.JOB)를 사용할 경우 이로 인해 CGI 루틴 연결을 실패합니다.

HTTP 서버에 사용되는 포트 번호는 WebLogic 콘솔에서 정의된 포트 번호와 일치해야 하고, 호스트는 SMC 작업이 실행되는 호스트에 대한 IP 이름과 일치해야 합니다.

주:

기존 SMC는 RACF 권한 부여가 수행될 호스트에 존재하는 경우 사용할 수 있습니다. 이러한 경우 WebLogic 구성을 수행할 때 기존 HTTP 서버의 포트 번호를 사용하십시오.

작업 3: AT-TLS 구성

AT-TLS는 응용 프로그램 서버 및 클라이언트에 투명한 TCP/IP 응용 프로그램에 대한 암호화 솔루션입니다. 패킷 암호화 및 해독은 TCP 프로토콜 레벨의 z/OS TCPIP 주소 공간에서 발생합니다. RACF 권한 부여를 위한 AT‐TLS 요구 사항은 STA 요구 사항 설명서에 나와 있습니다.

다음 RACF 명령은 구성 프로세스에서 정의할 다양한 RACF 객체의 상태를 나열합니다.

  • RLIST STARTED PAGENT.* STDATA ALL

  • RLIST DIGTRING *ALL

  • RLIST FACILITY IRR.DIGTCERT.LISTRING ALL

  • RLIST FACILITY IRR.DIGCERT.LST ALL

  • RLIST FACILITY IRR.DIGCERT.GENCERT ALL

  • RACDCERT ID(stcuser) LIST

  • RACDCERT ID(stcuser) LISTRING(keyringname)

  • RACDCERT CERTAUTH LIST

AT-TLS를 구성하려면 다음 작업을 수행하십시오.

  1. TCPIP 프로파일 데이터 세트에 다음 매개변수를 지정하여 AT‐TLS를 활성화합니다.

    TCPCONFIG TTLS
    

    이 명령문은 TCP OBEY 파일에 놓일 수 있습니다.

  2. 정책 에이전트(PAGENT) 구성

    정책 에이전트 주소 공간은 어떤 TCP/IP 트래픽이 암호화되는지 제어합니다.

    1. PAGENT 시작 작업 JCL을 입력합니다.

      예를 들면 다음과 같습니다.

      //PAGENT PROC
      //*
      //PAGENT EXEC PGM=PAGENT,REGION=0K,TIME=NOLIMIT,
      // PARM='POSIX(ON) ALL31(ON) ENVAR("_CEE_ENVFILE=DD:STDENV")/-d1'
      //*
      //STDENV DD DSN=pagentdataset,DISP=SHR//SYSPRINT DD SYSOUT=*
      //SYSOUT DD SYSOUT=*
      //*
      //CEEDUMP DD SYSOUT=*,DCB=(RECFM=FB,LRECL=132,BLKSIZE=132)
      
    2. PAGENT 환경 변수를 입력합니다. pagentdataset 데이터 세트에 PAGENT 환경 변수가 포함됩니다.

      예를 들면 다음과 같습니다.

      LIBPATH=/lib:/usr/lib:/usr/lpp/ldapclient/lib:.
      PAGENT_CONFIG_FILE=/etc/pagent.conf
      PAGENT_LOG_FILE=/tmp/pagent.log
      PAGENT_LOG_FILE_CONTROL=3000,2
      _BPXK_SETIBMOPT_TRANSPORT=TCPIP
      TZ=MST7MDT
      

      이 예에서는/etc/pagent.confPAGENT 구성 매개변수가 포함됩니다. TZ 매개변수에 대해 해당하는 시간대를 사용합니다.

    3. PAGENT를 구성합니다.

      예를 들면 다음과 같습니다.

      TTLSRule TBI-TO-ZOS
      {
       LocalAddr localtcpipaddress
       RemoteAddr remotetcpipaddress
       LocalPortRange localportrange
       RemotePortRange remoteportrange
       Jobname HTTPserverJobname
       Direction Inbound
       Priority 255
       TTLSGroupActionRef gAct1~TBI_ICSF
       TTLSEnvironmentActionRef eAct1~TBI_ICSF
       TTLSConnectionActionRef cAct1~TBI_ICSF
      }
      TTLSGroupAction gAct1~TBI_ICSF
      {
       TTLSEnabled On
       Trace 2
      }
      TTLSEnvironmentAction eAct1~TBI_ICSF
      {
       HandshakeRole Server
       EnvironmentUserInstance 0
       TTLSKeyringParmsRef keyR~ZOS
      }
      TTLSConnectionAction cAct1~TBI_ICSF
      {
       HandshakeRole ServerWithClientAuth
       TTLSCipherParmsRef cipher1~AT-TLS__Gold
       TTLSConnectionAdvancedParmsRef cAdv1~TBI_ICSF
       CtraceClearText Off
       Trace 2
      }
      TTLSConnectionAdvancedParms cAdv1~TBI_ICSF
      {
       ApplicationControlled Off
       HandshakeTimeout 10
       ResetCipherTimer 0
       CertificateLabel certificatelabel
       SecondaryMap Off
      }
      TTLSKeyringParms keyR~ZOS
      {
       Keyring keyringname
      }
      TTLSCipherParms cipher1~AT-TLS__Gold
      {
       V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
       V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
      }
      

      여기서 각 항목은 다음과 같습니다.

      • localtcpipaddress: HTTP 서버의 로컬 TCP/IP 주소

      • remotetcpipaddress: STA 클라이언트의 원격 TCP/IP 주소. 모든 TCP/IP 주소에 대해 ALL이 될 수 있습니다.

      • localportrange: HTTP 서버의 로컬 포트(HTTP 또는 SMC 시작 시 지정됨)

      • remoteportrange: 원격 포트 범위(모든 임시 포트에 대해 1024-65535)

      • HTTPserverJobname: HTTP 서버의 작업 이름

      • certificatelabel: 인증서 정의의 레이블

      • keyringname: RACF Keyring 정의의 이름

  3. RACF 클래스를 활성화합니다. RACF 패널 또는 CLI를 사용할 수 있습니다.

    RACF 클래스에는 다음이 포함됩니다.

    • DIGTCERT

    • DIGTNMAP

    • DIGTRING

      SERVAUTH 클래스는 PORTMAPRXSERV가 비정상 종료되지 않도록 RACLIST되어야 합니다.

      SETROPTS RACLIST(SERVAUTH)
      RDEFINE SERVAUTH **UACC(ALTER) OWNER (RACFADM)
      RDEFINE STARTED PAGENT*.* OWNER(RACFADM) STDATA(USER(TCPIP) GROUP(STCGROUP)
      RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) OWNER(RACFADM)
      RDEFINE FACLITY IRR.DIGTCERT.LIST UACC(NONE) OWNER(RACFADM)
      RDEFINE FACILITY IRR.DIGTCERT.GENCERT UACC(NONE) OWNER (RACFADM)
      
  4. RACF Keyring 및 인증서 정의

    1. 다음 RACF 명령을 입력하여 Keyring 및 인증서를 만듭니다.

      RACDCERT ID(stcuser) ADDRING(keyringname)
      

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • keyringname: keyring의 이름이며, PAGENT 구성에 지정된 Keyring과 일치해야 함

      RACDCERT ID(stcuser) GENCERT CERTAUTH SUBJECTSDN(CN('serverdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('calabel') TRUST SIZE(1024) KEYUSAGE(HANDSHAKE,DATAENCRYPT,CERTSIGN)
      

      주:

      STA 시스템에 대한 CA 인증서입니다.

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • serverdomainname: z/OS 서버의 도메인 이름(예: MVSA.COMPANY.COM)

      • companyname: 조직 이름

      • unitname: 조직 단위 이름

      • country: 국가

      • calabel: 인증 기관에 대한 레이블(예: CATBISERVER)

      RACDCERT ID(stcuser) GENCERT SUBJECTSDN(CN('serverdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('serverlabel') TRUST SIZE(1024) SIGNWITH(CERTAUTH LABEL('calabel'))
      

      주:

      SERVER 인증서입니다.

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • serverdomainname: z/OS 서버의 도메인 이름(예: MVSA.COMPANY.COM)

      • companyname: 조직 이름

      • unitname: 조직 단위이름

      • country: 국가

      • serverlabel: 서버 인증서에 대한 레이블(예: TBISERVER)

      • calabel: CA 인증서 정의에 지정된 인증 기관에 대한 레이블

      RACDCERT ID(stcuser) GENCERT SUBJECTSDN(CN('clientdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('clientlabel') TRUST SIZE(1024) SIGNWITH(CERTAUTH LABEL('calabel'))
      

      주:

      CLIENT 인증서입니다.

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • clientdomainname: STA 클라이언트의 도메인 이름(예: TBIA.COMPANY.COM)

      • companyname: 조직 이름

      • unitname: 조직 단위 이름

      • country: 국가

      • clientlabel: 서버 인증서에 대한 레이블 –TBICLIENT

      • calabel: CA 인증서 정의에 지정된 인증 기관에 대한 레이블

    2. CA, SERVER 및 CLIENT 인증서를 PAGENT 구성에 지정된 Keyring에 연결합니다.

      RACDCERT ID(stcuser) CONNECT(CERTAUTH LABEL('calabel') RING('keyringname') USAGE(CERTAUTH))
      

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • calabel: CA 인증서 정의에 지정된 인증 기관에 대한 레이블

      • keyringname: keyring의 이름이며, PAGENT 구성에 지정된 Keyring과 일치해야 함

      RACDCERT ID(stcuser) CONNECT(ID(stcuser) LABEL('serverlabel') RING('keyingname') DEFAULT USEAGE(PERSONAL)
      

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • serverlabel: 서버 인증서에 대한 레이블

      • keyringname: keyring의 이름이며, PAGENT 구성에 지정된 Keyring과 일치해야 함

      RACDCERT ID(stcuser) CONNECT(ID(stcuser) LABEL('clientlabel') RING('keyingname') USEAGE(PERSONAL)
      

      여기서 각 항목은 다음과 같습니다.

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • clientlabel: 클라이언트 인증서에 대한 레이블

      • keyringname: keyring의 이름이며, PAGENT 구성에 지정된 Keyring과 일치해야 함

    3. STA로 전송할 CA 및 클라이언트 인증서를 내보냅니다.

      RACDCERT EXPORT (LABEL('calabel')) CERTAUTH DSN('datasetname') FORMAT(CERTB64)
      

      여기서 각 항목은 다음과 같습니다.

      • calabel: CA 인증서 정의에 지정된 인증 기관에 대한 레이블

      • datasetname:: 내보낸 인증서를 수신할 데이터 세트

      RACDCERT EXPORT (LABEL('clientlabel')) ID(stcuser) DSN('datasetname') FORMAT(PKCS12DER) PASSWORD(' password ')
      

      여기서 각 항목은 다음과 같습니다.

      • clientlabel: 클라이언트 인증서에 대한 레이블

      • stcuser: TCPIP 주소 공간과 연관된 RACF 사용자 ID

      • datasetname: 내보낸 인증서를 수신할 데이터 세트

      • password: 데이터 암호화를 위한 암호. 인증서가 STA에서 수신될 때 필요합니다. 암호는 8자 이상이어야 합니다.

내보내기 데이터 세트는 이제 STA로 전송되고, FTP를 사용할 수 있습니다. CA 인증서는 EBCDIC에서 ASCII로 변환되어 전송됩니다. CLIENT 인증서는 BINARY 파일로 전송되며 이 파일에는 클라이언트 인증서 및 해당 개인 키가 모두 포함되어 있습니다.

작업 4: CGI 루틴에서 사용되는 RACF 프로파일 만들기

프로파일은 FACILITY 클래스에서 정의됩니다. 첫번째 프로파일의 이름은 SMC.ACCESS.STA이며 사용자가 STA 응용 프로그램에 대한 액세스 권한을 가지는지 여부를 결정합니다.

STA에 액세스해야 하는 사용자에게는 이 프로파일에 대한 READ 액세스 권한이 있어야 합니다. 기타 프로파일은 모두 SMC.ROLE.nnn으로 표시되며 로그인되었을 때 사용자가 가지는 역할을 결정합니다.

주:

STA에 대해 정의된 유일한 역할은 StorageTapeAnalyticsUser입니다. 이 역할을 얻으려면 사용자 ID가 READ 액세스 권한과 함께 SMC.ROLE.STORAGETAPEANALYTICSUSER 프로파일에 추가되도록 요청해야 합니다.

작업 5: 인증서 파일 및 개인 키 파일 가져오기(선택 사항)

이 절차는 공개 및 개인 키가 성공적으로 생성되고 적절한 권한을 가진 사용자 ID 및 암호가 올바르게 정의되었는지 테스트하는 데 중요할 수 있습니다.

테스트는 모든 브라우저를 사용하여 수행할 수 있지만, 여기에서는 Firefox가 예로 사용되었습니다.

  1. Firefox Tools 메뉴에서 Options를 선택합니다.

  2. Advanced 탭을 선택한 다음 Encryption 탭을 선택합니다.

  3. View Certificates를 누릅니다.

  4. Certificate Manager 대화 상자에서 Authorities 탭을 선택한 다음, 가져올 인증서 파일을 선택합니다.

  5. Import를 누릅니다.

  6. Your Certificates 탭을 선택한 다음, 가져올 개인 키 파일을 입력합니다.

  7. Import를 누릅니다.

  8. OK를 눌러 저장하고 대화 상자를 종료합니다.

작업 6: CGI 루틴 테스트

브라우저에서 CGI 루틴을 테스트하려면 다음 URL을 입력합니다. 여기서 host, port, useridpassword를 적절한 값으로 설정합니다.

https://host:port/smcgsaf?type=authentication&userid=userid&password=password&roles=StorageTapeAnalyticsUser

결과 출력에서는 사용자에게 STA에 대한 액세스 권한이 부여되었는지 여부 및 StorageTapeAnalyticsUser 역할을 보여 줍니다.

주:

STA RACF 권한 부여 기능은 메인프레임 사용자 ID의 암호 변경을 지원하지 않습니다. 사용자 ID 암호가 만료될 경우 STA에 이 사실이 표시되며, STA에 다시 로그인을 시도하기 전에 일반 메인프레임 채널을 통해 암호를 재설정해야 합니다.

작업 7: WebLogic 콘솔에 대한 RACF/SSP 설정

RACF Security Service Provider(또는 RACF SSP)는 WebLogic에 플러그인으로 설치되어 있어야 합니다.

RACF SSP가 설치된 경우 STA 설치 프로그램이 WebLogic 내의 적당한 위치에 RACF SSP를 두어야 합니다. 설치되지 않은 경우 RACF 보안 jar 파일을 다음 디렉토리에 두십시오.

/Oracle_storage_home/Middleware/wlserver_10.3/server/lib/mbeantypes/staRACF.jar

여기서 Oracle_storage_home은 STA 설치 중 지정된 Oracle 스토리지 홈 위치입니다.

작업 8: STA와 RACF 간 SSL 구성

  1. MVS 시스템에 필요한 PTF를 설치합니다. 이러한 PTF는 STA에 로그인할 때 RACF 또는 기타 타사 보안 소프트웨어를 사용한 인증을 허용합니다. PTF 요구 사항은 STA 요구 사항 설명서를 참조하십시오.

    SMC HTTP Server 및 WebLogic에 대해 정의된 포트 번호가 서버에 대해 암호화되도록 AT-TLS(Application Transparent TLS)가 MVS에서 구성되었습니다.

    진행하기 전에 MVS 서버 인증서(ASCII 형식) 및 STA 클라이언트 개인 키(바이너리 PKCS12 형식)의 두 파일을 가지고 있는지 확인하십시오. MVS 시스템 관리자가 PKCS12 파일에 대한 암호를 제공했을 것입니다.

  2. 인증서를 /Oracle_storage_home/Middleware/user_projects/domains/tbi/cert에 저장합니다.

    여기서 Oracle_storage_home은 STA 설치 중 지정된 Oracle 스토리지 홈 위치입니다.

  3. 인증서를 DER 형식에서 PEM 형식으로 변환합니다.

    openssl pkcs12 -clcerts -in PKCS12DR.xxxxxx -out mycert.pem
    

    가져오기 암호(인증서와 함께 제공), 새로운 PEM 암호 및 확인용 암호를 입력합니다.

  4. Java keytool 명령을 사용하여 인증서 파일을 /Oracle_storage_home/Middleware/jdk1.6.0_xx/jre/lib/security/cacerts 파일로 가져옵니다.

    # /Oracle_storage_home/Middleware/jdk1.6.0_xx/jre/bin/keytool -importcert -alias tbiServer -file certificate -keystore /Oracle/Middleware/jdk1.6.0_xx/jre/lib/security/cacerts -storetype jks
    

작업 9: WebLogic Server 구성

RACF 인증을 위해 WebLogic을 구성하려면 다른 보안 인증서를 사용하도록 WebLogic 재구성 의 절차를 따르십시오.

작업 10: WebLogic 콘솔에 RACF/SSP 설치

  1. STA 설치 중 선택한 HTTP(STA 2.1.0 기본값은 7019) 또는 HTTPS(STA 2.1.0 기본값은 7020) 포트 번호를 사용하여 WebLogic 콘솔 로그인 화면으로 이동합니다.

    https://yourHostName:PortNumber/console/
    

    예를 들면 다음과 같습니다.

    https://sta_server:7020/console/
    
  2. STA 설치 중 정의한 WebLogic 관리 콘솔 사용자 이름과 암호를 사용하여 로그인합니다.

  3. Domain Structure 섹션에서 Security Realms를 선택합니다.

    wl_secrealm.png에 대한 설명이 이어집니다.
    그림 설명 wl_secrealm.png

  4. Realms 섹션에서 myrealm 활성 링크를 선택합니다(확인란이 아닌 이름 자체를 선택).

    wl_myrealm.png에 대한 설명이 이어집니다.
    그림 설명 wl_myrealm.png

  5. Change Center 섹션에서 Lock & Edit를 누릅니다.

    wl_lockedit.png에 대한 설명이 이어집니다.
    그림 설명 wl_lockedit.png

  6. Providers 탭을 선택합니다.

    wl_providers.png에 대한 설명이 이어집니다.
    그림 설명 wl_providers.png

  7. Authentication Providers 섹션에서 New를 누릅니다.

    wl_new.png에 대한 설명이 이어집니다.
    그림 설명 wl_new.png

  8. 추가하려는 인증 공급자의 이름(예: STA RacfAuthenticator)을 입력한 다음 Type 메뉴에서 RacfAuthenticator를 선택합니다. OK를 누릅니다.

    주:

    RACF jar 파일이 Type 메뉴에 나열되어야 합니다. 그렇지 않은 경우 STA 명령을 사용하여 STA를 중지하고 다시 시작합니다. 명령 사용법 세부 정보는 STA 관리 설명서를 참조하십시오.
  9. RACF 공급자가 Authentication Providers 테이블에 포함되었는지 확인합니다. DefaultAuthenticatorDefaultIdentityAsserter는 이 목록에서 항상 처음 두 항목이어야 합니다.

  10. DefaultAuthenticator 활성 링크를 선택합니다(확인란이 아닌 이름 자체를 선택).

    racf_defauth.png에 대한 설명이 이어집니다.
    그림 설명 racf_defauth.png

  11. Control Flag 메뉴에서 Sufficient를 선택한 다음 Save를 누릅니다.

  12. Provider Specific 탭을 누른 다음 Save를 누릅니다.

    racf_defprovspec.png에 대한 설명이 이어집니다.
    그림 설명 racf_defprovspec.png

  13. Providers 로케이터 링크를 눌러 Authentication Providers 화면으로 돌아갑니다.

    ssp_provlink.png에 대한 설명이 이어집니다.
    그림 설명 ssp_provlink.png

  14. Authentication Providers 테이블에서 8 단계에서 만든 RACF 인증자 이름을 선택합니다(확인란이 아닌 이름 자체를 선택).

    racf_selracf.png에 대한 설명이 이어집니다.
    그림 설명 racf_selracf.png

  15. Control Flag 메뉴에서 Sufficient를 선택한 다음 Save를 누릅니다.

    racf_racfauthsufficient.png에 대한 설명이 이어집니다.
    그림 설명 racf_racfauthsufficient.png

  16. Provider Specific 탭을 누릅니다.

    racf_provspecific.png에 대한 설명이 이어집니다.
    그림 설명 racf_provspecific.png

  17. MVS 시스템이 실행 중인 호스트 이름(예: mvshost.yourcompany.com) 및 포트 번호(예: 8700)를 입력한 다음 Save를 누릅니다.

    racf_racfauthhostport.png에 대한 설명이 이어집니다.
    그림 설명 racf_racfauthhostport.png

  18. Change Center 섹션에서 Activate Changes를 누릅니다.

    wl_activate.png에 대한 설명이 이어집니다.
    그림 설명 wl_activate.png

  19. WebLogic 관리 콘솔에서 로그아웃합니다.

  20. STA 명령을 사용하여 STA를 중지하고 다시 시작합니다. 명령 사용법 세부 정보는 STA 관리 설명서를 참조하십시오.

    # STA stop all
    # STA start all