
![[8.5.5.6 이상]](../ng_v8556.gif)
아웃바운드 CSIv2 전송 계층 구성
Liberty 프로파일 서버를 구성하여 아웃바운드 CSIv2 요청에 대해 클라이언트 인증서 인증을 수행할 수 있습니다.
이 태스크 정보
Liberty 프로파일 서버의 아웃바운드 CSIv2 전송 계층에 대한 클라이언트 인증서 인증은 기본적으로 사용 안함으로 설정됩니다. transportLayer를 구성하여 사용할 SSL 구성을 지정할 수 있습니다.
클라이언트 인증서 인증을 지원하거나 이를 필요로 하는 SSL 요소를 구성할 수 있습니다. 다운스트림 서버로 보낸 인증서는 다운스트림 서버 사용자 레지스트리에 대해 인증되며 인증서의 ID는 속성 계층의 ID 어설션이나 인증 계층의 인증 토큰처럼 CSIv2 요청으로 보낸 다른 인증 양식이 없는 경우에만 사용됩니다.
클라이언트 인증서 인증이 사용되는 경우 이 서버가 SSL을 지원하는지 확인하십시오.
프로시저
- server.xml 파일에서 appSecurity-2.0 및 ejbRemote-3.2 기능을
추가하십시오.
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
다음 예는 server.xml 파일에서 지정할 필요가 없는 기본 구성입니다.
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- Liberty 프로파일에 SSL 통신 사용에서 설명한 대로 SSL 지원을 구성하십시오.
- 선택사항: clientAuthentication 또는 clientAuthenticationSupported를 사용하는 SSL 요소를 구성하십시오. 예를 들면 다음과 같습니다.
또는<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 선택사항: 기본 아웃바운드 전송 계층 구성을 변경해야 하는 경우, 다음과 같이
server.xml 파일에 <orb> 요소를 추가하거나
transportLayer 요소를 기존 요소에 추가하십시오. 예제의 샘플 값을 사용자 값으로 대체하십시오.
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <transportLayer sslRef="defaultSSLConfig"/> </layers> </clientPolicy.csiv2> </orb>
참고: <orb> 요소의 ID 값 defaultOrb는 사전 정의되어 있으며 수정할 수 없습니다. - 다운스트림 서버가 이 서버에서 보낸 클라이언트 인증서를 신뢰하는지 확인하십시오.
- 클라이언트 인증에 사용되는 클라이언트 인증서가 다운스트림 서버 사용자 레지스트리의 사용자 ID에 맵핑되는지 확인하십시오.
- 기본 레지스트리의 경우, 사용자 ID는 인증서의 식별 이름(DN)에서 공통된 이름(CN)입니다.
- LDAP(Lightweight Directory Access Protocol) 레지스트리의 경우, 클라이언트 인증서의 DN은 LDAP 레지스트리에 있어야 합니다.
참고:계층 생략은 해당 계층에 대해 기본값을 사용합니다. attributeLayer와 authenticationLayer 요소에 대한 자세한 정보는 아웃바운드 CSIv2 속성 계층 구성 및 아웃바운드 CSIv2 인증 계층 구성을 참조하십시오.- clientAuthentication 속성이 <ssl> 요소에서 true로 설정되면, 클라이언트는 클라이언트 인증서 인증이 필요하거나 이를 지원하는 서버로만 클라이언트 인증서를 보냅니다.
- clientAuthenticationSupported 속성이 <ssl> 요소에서 true로 설정되면, 클라이언트는 다운스트림 서버에서 사용되는 <ssl> 요소 구성을 기반으로 클라이언트 인증서를 보낼지 여부를 선택할 수 있습니다.
- clientAuthentication 및 clientAuthenticationSupported 속성이 <ssl> 요소에 설정되어 있지 않으면 클라이언트 역할을 하는 서버는 클라이언트 인증서 인증을 사용하지 않습니다.
결과

Information Center 이용 약관 | 피드백

http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_csiv2outtransport
파일 이름: twlp_sec_csiv2outtransport.html