집합체 보안
Liberty 프로파일의 집합체 보안 원칙을 사용하여 이동 중인 데이터와 정지 중인 데이터를 다룰 수 있습니다.
- 집합체에 대한 관리 도메인 보안 구성은 두 파트로 구성됩니다.
집합체 제어기의 MBean에 액세스하려면 관리자 역할을 수행 중이어야 합니다. 집합체를 통해 모든 관리 조치를 수행하려면 사용자에게 관리자 역할이 부여되어야 합니다. 자세한 내용은 Liberty 프로파일에 대한 보안 JMX 연결 구성의 내용을 참조하십시오.
서버 간 통신은 서버 도메인에 포함되므로 집합체 멤버 간에 통신하는 데 사용자 ID나 비밀번호를 사용하지 않습니다. 각 집합체 멤버에는 호스트 이름, 사용자 디렉토리 및 서버 이름으로 구성된 집합체에서 고유한 ID가 있습니다. 집합체의 각 멤버는 serverIdentity.jks 및 collectiveTrust.jks 파일로 구성된 서버 도메인 구성을 정의합니다. 이러한 파일에는 집합체에서 보안된 통신을 설정하는 데 필요한 SSL 인증서가 포함되어 있습니다. HTTPS 키 구성에는 기본값으로 설정된 특정 신뢰 설정이 있어야 합니다.
collectiveTrust.jks 키 저장소에 추가 신뢰 인증서 항목을 추가하여 서버 도메인 SSL 구성을 사용자 정의할 수 있습니다. 제어기를 복제할 때 모든 신뢰가 복사되므로 SSL 사용자 정의가 초기 제어기에 적용되어야 합니다. 기본 HTTPS 인증서를 사용하지 않는 경우에만 collectiveTrust.jks 키 저장소에 신뢰를 추가해야 합니다. HTTPS SSL 구성이 수정되면, 다음 인증서 규칙이 적용됩니다.서버 간 통신은 SSL 인증을 지원해야 합니다. HTTPS SSL 구성이 사용자 정의되면, SSL 구성은 clientAuthenticationSupported="true"를 지정해야 합니다. clientAuthenticationRequired="true"를 사용하지 않도록 권장합니다. 왜냐하면 사용자 이름과 비밀번호를 사용하여 인증할 수 없기 때문입니다. 예를 들면 다음과 같은 경우가 있습니다.<!-- clientAuthenticationSupported set to enable bidirectional trust --> <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
CollectiveRegistration MBean을 사용하면 멤버가 집합체 제어기에 정보를 공개할 수 없습니다. disavow 및 avow 메소드는 각각 인증을 방지하고 인증을 사용 가능하게 설정합니다.
집합체 저장소 데이터 보안 정책은 정지 중인 데이터의 정책(특히, 집합체 저장소의 컨텐츠에 액세스하는 정책)을 포함합니다.
집합체 데이터에 대한 현재 보안 정책은 다음과 같습니다.집합체 저장소는 궁극적으로 디스크에 있으므로 환경에 대한 파일 시스템 권한 설정이 보안되어야 합니다. 집합체 제어기 구성은 사용자만 읽고 쓸 수 있거나 그룹만 읽을 수 있으며 그 외에는 전혀 액세스할 수 없도록 하십시오. 즉, chmod 0640을 설정하십시오. 조직이 설정한 보안 가이드라인에 따르십시오.