CA SiteMinder Federation Standalone 설치 및 업그레이드 안내서

Transcription

1 CA SiteMinder Federation Standalone 설치및업그레이드안내서 r12.52 SP1

2

3 도움말시스템및전자적으로배포된매체를포함하는본문서 ( 이하 " 문서 ") 는최종사용자에게정보를제공하기위한것이며, CA 는언제든지본문서를변경또는철회할수있습니다. 본문서는 CA 의재산적정보이며 CA 의사전서면동의없이본문서의전체혹은일부를복사, 전송, 재생, 공개, 수정또는복제할수없습니다. CA 소프트웨어의라이선스를허여받은사용자들은본인및그직원들의해당소프트웨어와관련된내부적인사용을위해 1 부의문서사본을만들수있습니다. 단, 이경우복사본에는 CA 저작권표시및문구일체가기재되어야합니다. 본건문서의사본인쇄또는제작권한은해당소프트웨어의라이선스가전체효력을가지고유효한상태를유지하는기간으로제한됩니다. 어떤사유로인해라이선스가종료되는경우, 귀하는서면으로문서의전체또는일부복사본이 CA 에반환되거나파기되었음을입증할책임이있습니다. CA 는관련법의허용범위내에서, 상품성에대한묵시적보증, 특정목적에대한적합성또는권리위반보호를비롯하여 ( 이에제한되지않음 ) 어떤종류의보증없이본문서를 " 있는그대로 " 제공합니다. CA 는본시스템의사용으로인해발생되는직, 간접손실이나손해 ( 수익의손실, 사업중단, 영업권또는데이터손실포함 ) 에대해서는 ( 상기손실이나손해에대해사전에명시적으로통지를받은경우라하더라도 ) 귀하나제 3 자에게책임을지지않습니다. 본건문서에언급된모든소프트웨어제품의사용조건은해당라이선스계약을따르며어떠한경우에도이문서에서언급된조건에의해라이선스계약이수정되지않습니다. 본문서는 CA 에서제작되었습니다. 본시스템은 " 제한적권리 " 와함께제공됩니다. 미합중국정부에의한사용, 복제또는공개는연방조달규정 (FAR) 제 조, 제 조, 제 (c)(1) 호 - 제 (2) 호및국방연방구매규정 (DFARS) 제 (b)(3) 호또는해당하는경우후속조항에명시된제한사항을따릅니다. Copyright 2014 CA. All rights reserved. 이문서에서언급된모든상표, 상호, 서비스표시및로고는각해당회사의소유입니다.

4 CA Technologies 제품참조 이문서는다음 CA Technologies 제품을참조합니다 : SiteMinder CA 에문의 기술지원팀에문의 온라인기술지원및지사목록, 기본서비스시간, 전화번호에대해서는 에서기술지원팀에문의하십시오.

5 설명서변경사항 SiteMinder 의이전릴리스에서발견된문제점으로인해다음과같은내용이 설명서에서업데이트되었습니다. SiteMinder 커넥터라이브러리에대한고려사항 ( 페이지 22) - 이항목에서는 CA SiteMinder Federation Standalone 이 SiteMinder 와호환될수있도록정책서버에복사할올바른라이브러리를설명합니다. CQ 을해결합니다. JCE(Java Cryptographic Extension) 를위해패치필요 ( 페이지 11) - 이항목에서는 Java 에서제공하는암호화알고리즘을사용하기위해업데이트가필요한파일을설명합니다. CQ 를해결합니다. 기존 SAML 파트너관계에동일한백채널사용자이름이없는지확인 ( 페이지 68) - 기존파트너관계에서사용하는수신백채널사용자이름이동일한 SSO 프로필내에서서로달라야한다는업그레이드요건을설명하는항목이추가되었습니다. CQ 를해결합니다. 시스템및설치사전요구사항, ( 페이지 11) UNIX 시스템에 CA SiteMinder Federation Standalone 설치 ( 페이지 19), UNIX 시스템에서구성마법사실행 ( 페이지 46) - 여러가지설치및구성문제가해결되었습니다. CQ (STAR 문제 및 ) 를해결합니다. Windows 에서 Federation Standalone 로업그레이드 ( 페이지 70) 및 UNIX 에서 Federation Standalone 로업그레이드 ( 페이지 73) - AssertionGeneratorFramework.properties 파일을업데이트하는단계가추가되었습니다. CQ 을해결합니다. 구성내보내기 ( 페이지 83) - 구성을내보내기전에파트너관계를비활성화하고 SSL 을사용하지않도록설정하는단계가제거되었습니다. 이러한단계는필요하지않습니다. CQ 을해결합니다.

6

7 목차 제 1 장 : CA SiteMinder Federation Standalone 설치 11 시스템및설치사전요구사항 CA SiteMinder Federation Standalone 설치실행 설치에필요한정보 사용할설치모드결정 r12.52 SP1 의설치실행파일 Windows 시스템에 CA SiteMinder Federation Standalone 설치 UNIX 시스템에 CA SiteMinder Federation Standalone 설치 Solaris 10 보안속성파일수정필요 SiteMinder 커넥터라이브러리에대한고려사항 페더레이션시스템과백엔드서버사이에 SSL 사용 Windows 또는 UNIX 플랫폼에서페더레이션시스템재설치 CA SiteMinder Federation Standalone 구성마법사실행 구성전배포모드결정 SiteMinder 와함께 CA SiteMinder Federation Standalone 배포 구성마법사에필요한정보 구성실행파일 Windows 에서구성마법사실행 UNIX 시스템에서구성마법사실행 CA SiteMinder Federation Standalone 에대한가상호스트구성 CA SiteMinder Federation Standalone 무인설치 설치속성파일설정 CA SiteMinder Federation Standalone 무인설치실행 무인 CA SiteMinder Federation Standalone 구성 구성속성파일설정 무인구성을실행합니다 Administrative UI 에로그인합니다 제 2 장 : CA SiteMinder Federation Standalone 제거 61 Windows 에서페더레이션시스템제거 UNIX 시스템에서 CA SiteMinder Federation Standalone 제거 목차 7

8 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 63 CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 키데이터베이스동기화 기존파트너관계에고유백채널사용자이름이있는지확인 기존구성백업 Windows 에서 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 UNIX 에서 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 77 CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 r12.52 SP1 로마이그레이션하는방법 키데이터베이스동기화 구성을 XML 파일로내보내기 CA SiteMinder Federation Standalone 설치프로그램실행 기존구성을새시스템으로가져오기 키데이터베이스를인증서데이터저장소로마이그레이션 SSL 키및인증서마이그레이션 ( 선택사항 ) 장애조치배포를마이그레이션하는방법 r12 장애조치배포를 r12.52 SP1 로마이그레이션 프록시서버또는부하분산장치에서장애조치설정 제 5 장 : FIPS 암호화를사용하기위해페더레이션시스템마이그레이션 99 고려해야할 FIPS 마이그레이션문제 FIPS_COMPAT 모드에서 FIPS_Only 모드로마이그레이션하는방법 SSL 구성비활성화 기존구성백업 OPENSSL_FIPS 환경변수설정 정책엔진을 FIPS_MIGRATE 모드로설정 정책저장소암호화키다시암호화 데이터베이스관리자암호다시암호화 슈퍼사용자암호다시암호화 프록시엔진에이전트공유암호다시암호화 정책저장소및키저장소데이터다시암호화 CA SiteMinder Federation Standalone UI 를 FIPS_Only 모드로설정 설치및업그레이드안내서

9 보안프록시엔진을 FIPS_Only 모드로설정 정책엔진을 FIPS_Only 모드로설정 FIPS 호환 SSL 인증서가져오기 ( 선택사항 ) 제 6 장 : CA SiteMinder Federation Standalone 문제해결 121 설치문제해결 CA SiteMinder Federation Standalone 라이선스를받거나소프트웨어를다운로드할때문제발생 CA SiteMinder Federation Standalone UI 또는구성요소서비스가시작되지않음 구성관리자를실행할때설치가실패함 키데이터베이스마이그레이션문제해결 SiteMinder 키데이터베이스마이그레이션의상태를알수없음 마이그레이션실패오류발생 인증서데이터저장소오류발생 SiteMinder 키데이터베이스수동마이그레이션 XML 서명래핑공격방지 기존시스템의 JDK 업그레이드 제 7 장 : 키도구참조 129 개인키및인증서쌍추가 인증서추가 해지정보추가 해지정보삭제 인증서데이터제거 인증서삭제 인증서또는개인키내보내기 별칭찾기 기본 CA 인증서가져오기 모든인증서의메타데이터나열 해지정보나열 인증서메타데이터표시 별칭이름변경 인증서유효성검사 목차 9

10

11 제 1 장 : CA SiteMinder Federation Standalone 설치 시스템및설치사전요구사항 CA SiteMinder?Federation Standalone 의최소시스템요구사항 : 메모리 2 GB( 최소 ) 디스크공간 최소 3 GB( 디스크공간 1 GB, 임시파일위치 2 GB) 브라우저 Windows Internet Explorer, Mozilla FireFox 지원되는운영체제 Windows, Solaris, Linux 버전별상세내용은기술지원사이트의 "CA SiteMinder Federation Standalone Platform Support Matrix"(CA SiteMinder Federation Standalone 플랫폼지원표 ) 를참조하십시오. 제 1 장 : CA SiteMinder Federation Standalone 설치 11

12 시스템및설치사전요구사항 설치요구사항 설치에필요한사전요구사항은다음과같습니다. 참고 : 특정플랫폼에대한자세한내용은 CA SiteMinder Federation Standalone 릴리스정보를참조하십시오. Oracle 또는 SQL Server 데이터베이스 Java 정책, 키및세션저장소는서버데이터베이스를사용합니다. 데이터베이스를설치하고데이터베이스인스턴스이름을지정하십시오. 이인스턴스이름은나중에구성마법사를실행할때사용됩니다. 중요! 여러서버가한데이터베이스인스턴스를공유할수있지만데이터베이스인스턴스는해당페더레이션환경전용이어야합니다. 데이터베이스인스턴스를 SiteMinder 서버와같은다른응용프로그램용서버와공유하지마십시오. 시스템에는전용데이터베이스인스턴스가필요하지만전용데이터베이스서버는필요하지않습니다. 데이터베이스관리자는데이터베이스에서테이블을만들고데이터베이스에데이터를입력할수있는권한이있어야합니다. 버전별상세내용은기술지원사이트의 "Platform Support Matrix"( 플랫폼지원표 ) 를참조하십시오. 지원되는 JDK 가필요합니다. 버전별상세내용은기술지원사이트의 "Platform Support Matrix"( 플랫폼지원표 ) 를참조하십시오. Java 암호화알고리즘을사용하려면최신 JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction 패치가필요합니다. 운영플랫폼에맞는 JCE 패키지를찾으려면 Oracle 웹사이트를방문하십시오. 패치를시스템의다음파일에적용하십시오. local_policy.jar US_export_policy.jar 이러한파일은다음디렉터리에있습니다. Windows: jre_home\lib\security UNIX: jre_home/lib/security jre_home 이변수는 Java Runtime Environment 설치위치를지정합니다. 12 설치및업그레이드안내서

13 시스템및설치사전요구사항 Javascript JavaScript 는활성화되어있어야합니다. Windows 관리자로설치를실행하고관리자로페더레이션서비스를중지하거나시작하십시오. Solaris 및 Linux 루트사용자로 CA SiteMinder Federation Standalone 을설치하지마십시오. 루트사용자로설치하려고하면설치가취소되고오류메시지가나타납니다. 대신 CA SiteMinder Federation Standalone 을설치할사용자계정을만드십시오 미만의포트를사용하는 UNIX 플랫폼에서 CA SiteMinder Federation Standalone 을실행하지않는것이좋습니다. 이권장사항에는기본 Apache HTTP 포트 (80) 와기본 Apache SSL 포트 (443) 가포함됩니다. 64 비트시스템에설치하는경우라도설치프로그램에는 32 비트시스템라이브러리가필요합니다. 설치를실행하기전에 64 비트시스템에 32 비트라이브러리를설치하십시오. Linux 시스템에서는 32 비트라이브러리를설치한후 updatedb 명령을실행하십시오. updatedb 명령을사용하면운영체제가새라이브러리를인식하게됩니다. xterminal 에서 GUI 모드설치를실행하려면 X11(32 비트 ) 라이브러리패키지를설치하십시오. 이패키지는필수입니다. Linux 에만해당 Linux 관련 Java 요구사항 : JDK 의필요한버전이시스템경로에있는지확인하십시오. 필요한버전이외의다른 Java 버전이설치되지않도록하십시오. (Red Hat 에서때때로 OpenJDK 가설치됨 ) OpenJDK 가있는경우다음명령을실행하여 OpenJDK 를제거하십시오. yum erase openjdk Java 기반 GUI 를실행하려면시스템에 libxsts 와같은필수패키지가있어야합니다. 필수패키지는일반적으로시스템에서기본적으로사용할수있습니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 13

14 시스템및설치사전요구사항 /dev/urandom 과 /dev/random 사이에심볼링크가필요함 : 재부팅하면 /dev/urandom 및 /dev/random 사이에필요한심볼링크가제거될수있습니다. 이심볼링크가없으면 CA SiteMinder Federation Standalone 서비스가시작되지못할수있습니다. 심볼링크를복구하려면다음명령을입력하십시오. rm dev/random;ln -s /dev/urandom /dev/random 방화벽 방화벽은비활성화되어야합니다. 방화벽을비활성화하려면다음명령을실행하십시오. /etc/init.d/iptables stop chkconfig iptables off 라이브러리종속성 : mlocate.86_64 glibc.i686 libstdc++.i686 compat-expat1.i686 libuuid.i686 ksh.86_64 X-Windows 의경우 : libxext.i686 libxi.686 libxtst 설치및업그레이드안내서

15 CA SiteMinder Federation Standalone 설치실행 CA SiteMinder Federation Standalone 설치실행 CA SiteMinder?Federation Standalone 을설치하려면다음프로세스를완료하십시오. 1. 설치마법사에필요한정보를수집합니다. 2. 사용할설치모드를결정합니다. 3. 설치마법사를실행합니다. 중요! 다음의설치제한을확인하십시오. 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. 이러한다른구성요소가있는시스템에 CA SiteMinder Federation Standalone 을설치하면기존 SiteMinder 설치에부정적인영향을미칠수있습니다. 기존 Apache 웹서버또는 Apache Tomcat 서버가있는시스템에는제품을설치하지마십시오. 설치에필요한정보 CA SiteMinder?Federation Standalone 을설치하기전에다음정보를준비하십시오. 설치할때이러한정보를묻는메시지가나타납니다. 설치된 JDK 의경로 CA SiteMinder Federation Standalone 을설치하기전에 JDK 를설치하고설치위치를알아둡니다. CA SiteMinder Federation Standalone 관리자암호 CA SiteMinder Federation Standalone 설치중암호를입력해야합니다. CA SiteMinder Federation Standalone UI 에로그인할때이암호를사용하게됩니다. 참고 : CA SiteMinder Federation Standalone 관리자암호에는영어 (ASCII) 문자만사용할수있습니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 15

16 CA SiteMinder Federation Standalone 설치실행 FIPS 모드 CA SiteMinder?Federation Standalone 은다음의 FIPS 작동모드중하나로설치할수있습니다. FIPS_COMPAT FIPS_COMPAT( 호환성 ) 모드는설치중에사용되는기본 FIPS 모드입니다. FIPS_COMPAT 모드에서페더레이션시스템은현재의비 FIPS 알고리즘뿐아니라지원되는 FIPS 호환알고리즘도함께지원합니다. FIPS_COMPAT 모드는페더레이션의이전버전과도호환됩니다. 이와같은호환성기능때문에 r12.52 SP1 이전버전을사용하는환경도 r12.52 SP1 와상호작용할수있습니다. IPS_COMPAT 모드는현재구현되어있는페더레이션의보안수준에만족하는클라이언트에게도적합합니다. 조직에서 FIPS 를사용할필요가없는경우에는 CA SiteMinder Federation Standalone 을 FIPS_COMPAT 모드에서설치하십시오. 추가구성이필요하지않습니다. FIPS_ONLY FIPS_ONLY 모드의환경에서는 FIPS 호환알고리즘만사용하여중요한데이터가암호화됩니다. 새설치에서 FIPS 호환알고리즘만사용하려는경우에는 CA SiteMinder Federation Standalone 을 FIPS_ONLY 모드로설치하십시오. 중요! FIPS 모드를변경할때마다 CA SiteMinder Federation Standalone 을다시시작하십시오. 사용할설치모드결정 다음모드중하나를사용하여 CA SiteMinder?Federation Standalone 를 Windows 또는 UNIX 플랫폼에설치할수있습니다. GUI 모드 - 그래픽사용자인터페이스설치를사용할수있습니다. 콘솔모드 - 명령줄설치를사용할수있습니다. 무인모드 - 사용자개입이필요없는파일기반설치가가능합니다. 다른시스템에서무인모드를사용하려면시스템에서한번의 GUI 또는콘솔모드설치를완료해야합니다. 16 설치및업그레이드안내서

17 CA SiteMinder Federation Standalone 설치실행 r12.52 SP1 의설치실행파일 다음표에는 CA SiteMinder?Federation Standalone 의설치실행파일이나와있습니다. 표는플랫폼별로구성되어있습니다. 플랫폼 Linux Solaris Windows 설치실행파일 ca-fedmgr-r12.52 SP1-rhel30.bin ca-fedmgr-r12.52 SP1-sol.bin ca-fedmgr-r12.52 SP1-win32.exe 지원되는운영체제에대한자세한내용은기술지원사이트의 "CA SiteMinder?Federation Standalone Platform Support Matrix"(CA SiteMinder?Federation Standalone 플랫폼지원표 ) 를참조하십시오. Windows 시스템에 CA SiteMinder Federation Standalone 설치 이지침은 Windows 시스템의 GUI 및콘솔모드설치에적용됩니다. 두모드의단계는동일하지만콘솔모드에는다음의예외가있습니다. 해당번호를입력하면옵션을선택하라는메시지가나타날수있습니다. 각단계가끝나면 Enter 키를눌러계속진행합니다. 각모드의프롬프트에따라과정을진행할수있습니다. 이전단계로가려면 BACK 을입력합니다. 중요! 다음의설치제한을확인하십시오. 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. 이러한다른구성요소가있는시스템에 CA SiteMinder Federation Standalone 을설치하면기존 SiteMinder 설치에부정적인영향을미칠수있습니다. 기존 Apache 웹서버또는 Apache Tomcat 서버가있는시스템에는제품을설치하지마십시오. 제 1 장 : CA SiteMinder Federation Standalone 설치 17

18 CA SiteMinder Federation Standalone 설치실행 설치키트를찾으려면 1. 기술지원사이트로이동합니다. 2. 사이트에로그온합니다. 3. "Download Center"( 다운로드센터 ) 를클릭합니다. "Download Center"( 다운로드센터 ) 에서필요한설치키트를검색하고로컬시스템으로다운로드합니다. Windows 에 CA SiteMinder Federation Standalone 을설치하려면 1. 실행중인모든응용프로그램을종료하고바이러스백신소프트웨어를모두중지합니다. 2. 설치를실행합니다. 설치를실행하는방법은로컬관리자로로그인하는지, 네트워크사용자로로그인하는지에따라달라집니다. 네트워크사용자인경우설치를실행하려면관리자그룹의구성원이어야합니다. GUI 모드 로컬관리자 : installation_executable 을두번클릭 네트워크사용자 : installation_executable 을마우스오른쪽단추로클릭하고 " 관리자권한으로실행 " 선택 콘솔모드 : 명령창을열고 installation_executable -i console 입력 CA SiteMinder Federation Standalone 설치마법사가시작됩니다. 참고 : 설치실행파일의목록을확인하십시오. 3. 설치전에수집한정보를사용하여각설치대화상자의프롬프트에응답합니다. " 사용권계약 " 대화상자에서계약서를읽습니다. 사용권계약의끝까지스크롤해야계약을수락하거나수락하지않을수있습니다. 18 설치및업그레이드안내서

19 CA SiteMinder Federation Standalone 설치실행 4. "Install Summary"( 설치요약 ) 에서설치설정을검토하고 " 설치 "(GUI 모드 ) 를클릭하거나 Y 를입력하여설치 ( 콘솔모드 ) 합니다. 설치가실행됩니다. 설치도중문제가발생하면디렉터리 federation_install_dir\install_config_info 에있는설치로그파일 CA_Federation_Standalone_Install_date_time.log 를검토하십시오. 5. 설치가완료되면시스템을다시시작합니다. 시스템이다시시작되면구성마법사를실행하여계속진행합니다. UNIX 시스템에 CA SiteMinder Federation Standalone 설치 이지침은 UNIX 시스템의 GUI 및콘솔모드설치에적용됩니다. 두모드의단계는동일하지만콘솔모드에는다음의예외가있습니다. 해당번호를입력하면옵션을선택하라는메시지가나타납니다. 각단계가끝나면 Enter 키를눌러계속진행합니다. 각모드의프롬프트에따라과정을진행할수있습니다. 이전단계로가려면 BACK 을입력합니다. 참고 : CA SiteMinder?Federation Standalone 을설치하려는 UNIX 시스템이 IPv6 주소를사용하는경우에는설치를콘솔모드에서만실행하십시오. GUI 모드에서설치하려고하면설치프로그램은타사제한으로인해기본적으로콘솔모드를사용합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 19

20 CA SiteMinder Federation Standalone 설치실행 중요! 다음의설치제한을확인하십시오. 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. 이러한다른구성요소가있는시스템에 CA SiteMinder Federation Standalone 을설치하면기존 SiteMinder 설치에부정적인영향을미칠수있습니다. 기존 Apache 웹서버또는 Apache Tomcat 서버가있는시스템에는제품을설치하지마십시오. 루트사용자로 CA SiteMinder Federation Standalone 을설치하지마십시오. 루트사용자로설치하려고하면설치가취소되고오류메시지가나타납니다. 대신 CA SiteMinder Federation Standalone 을설치할사용자계정을만드십시오 미만의포트를사용하는 UNIX 플랫폼에서 CA SiteMinder Federation Standalone 을실행하지않는것이좋습니다. 이권장사항에는기본 Apache HTTP 포트 (80) 와기본 Apache SSL 포트 (443) 가포함됩니다. Linux 에서는 KornShell(ksh) 을사용하여설치를실행하십시오. 설치키트를찾으려면 1. 기술지원사이트로이동합니다. 2. 사이트에로그온합니다. 3. "Download Center"( 다운로드센터 ) 를클릭합니다. 4. "Download Center"( 다운로드센터 ) 에서필요한설치키트를검색하고로컬시스템으로다운로드합니다. UNIX 시스템에 CA SiteMinder Federation Standalone 을설치하려면 1. 실행중인모든응용프로그램을종료하고바이러스백신소프트웨어를모두중지합니다. 2. 필요한권한이없는경우 chmod 명령을실행하여설치파일에실행권한을추가합니다. 예를들어다음과같습니다. Linux: chmod +x ca-fedmgr-r12.52 SP1-rhel30.bin 20 설치및업그레이드안내서

21 CA SiteMinder Federation Standalone 설치실행 3. 명령창에서다음명령중하나를입력합니다. GUI 모드 :./installation_executable 콘솔모드 :./installation_executable -i console CA SiteMinder Federation Standalone 설치마법사가시작됩니다. 참고 : 설치실행파일의목록은본안내서에나와있습니다. 4. 설치전에수집한정보를사용하여설치프롬프트에응답합니다. " 사용권계약 " 대화상자에서계약서를읽습니다. 계약서의끝까지이동해야사용권계약을수락여부를선택할수있습니다. 5. 설치설정을검토하고 " 설치 "(GUI 모드 ) 를클릭하거나 Y 를입력하여설치 ( 콘솔모드 ) 합니다. CA SiteMinder Federation Standalone 설치프로그램이실행됩니다. 설치도중문제가발생하면 federation_install_dir\install_config_info 디렉터리에있는설치로그파일 CA_Federation_Standalone_Install_date_time.log 를검토하십시오. 설치가완료되면계속해서구성마법사를실행하십시오. Solaris 10 보안속성파일수정필요 기본보안공급자구성이적용되는경우 CA SiteMinder?Federation Standalone 은 Solaris 10 시스템에서암호화및암호해독을올바르게실행할수없습니다. 이문제를해결하려면 java.security 속성파일에서 PKCS11 공급자 (sun.security.pkcs11.sunpkcs11) 앞에 Sun 공급자 (sun.security.provider.sun) 를나열하십시오. 이파일은 JDK 설치의 lib/security 디렉터리에있습니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 21

22 CA SiteMinder Federation Standalone 설치실행 java.security 파일을다음과같이수정하십시오. security.provider.1=sun.security.provider.sun security.provider.2=sun.security.pkcs11.sunpkcs11 ${java.home}/lib/security/sunpkcs11-solaris.cfg security.provider.3=sun.security.rsa.sunrsasign security.provider.4=com.sun.net.ssl.internal.ssl.provider security.provider.5=com.sun.crypto.provider.sunjce security.provider.6=sun.security.jgss.sunprovider security.provider.7=com.sun.security.sasl.provider SiteMinder 커넥터라이브러리에대한고려사항 CA SiteMinder?Federation Standalone 설치에는페더레이션제품이사용자아이덴티티정보를 SiteMinder 로보호된응용프로그램과공유할수있도록해주는 SiteMinder 커넥터가포함되어있습니다. 이커넥터는프록시또는독립실행형배포모드에서사용할수있습니다. 커넥터와작동할수있도록 smauthconnectors.zip 파일이제품설치에포함되어있습니다. 아카이브에서라이브러리를추출하는경우다음두가지버전의커넥터라이브러리가제공됩니다. Windows smauthsmconnector.dll smauthsmconnectori18n.dll Solaris/Linux: libsmauthsmconnector.so libsmauthsmconnectori18n.so smauthsmconnector.dll 및 libsmauthsmconnector.so 파일은 이전라이브러리입니다. smauthsmconnectori18n.dll 및 libsmauthsmconnectori18n.so 파일은새로운라이브러리이며다국어문자를처리할수있습니다. 22 설치및업그레이드안내서

23 CA SiteMinder Federation Standalone 설치실행 CA SiteMinder?Federation Standalone 과 SiteMinder 가함께작동하도록하려면해당라이브러리를 SiteMinder 정책서버에복사하십시오. 라이브러리는다음정책서버디렉터리중하나에있습니다. Windows: policy_server_home\siteminder\bin Solaris/Linux: policy_server_home/siteminder/lib 복사하는라이브러리는몇가지고려사항에따라달라집니다. 새로운페더레이션설치의경우다음지침을따르십시오. r12.51 이전정책서버와연결을설정하려면 이전라이브러리를정책서버에복사합니다. 새라이브러리를사용하지마십시오. 다국어문자를처리해야하는 r12.51 정책서버와연결을설정하려면새라이브러리를정책서버에복사합니다. 라이브러리의이름을 이전버전의이름 (smauthsmconnector.dll 또는 libsmauthsmconnector.so) 으로바꿉니다. r12.52 이상의정책서버와연결을설정하려면라이브러리를복사하지마십시오. r12.52 이상의정책서버에는해당운영환경에맞게설치되는관련라이브러리가있습니다. 기존의 이전구성에서다국어문자를처리하려면다음지침을따르십시오. r12.51 이전정책서버의경우시스템에서새라이브러리를사용할수없습니다. r12.51 이전배포환경에서는국제화를관리할수없습니다. r12.51 정책서버의경우기존라이브러리를백업하고새라이브러리를복사합니다. 다음단계를수행하십시오. a. 정책서버를중지합니다. b. 기존라이브러리의백업복사본을만들고고유한이름 ( 예 : smauthsmconnector_bkup.dll) 을지정합니다. c. 새라이브러리를정책서버에복사합니다. d 이전이름 (smauthsmconnector.dll 또는 libsmauthsmconnector.so) 으로다시이름을바꿉니다. e. 정책서버를다시시작합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 23

24 CA SiteMinder Federation Standalone 설치실행 페더레이션시스템과백엔드서버사이에 SSL 사용 페더레이션된네트워크에는 SSL 연결을통해백엔드서버로통신하는페더레이션시스템이있을수있습니다. 네트워크구성은다음그림에나와있습니다. 다음단계를수행하십시오. 1. SSL 을사용하도록백엔드서버를구성합니다. 이에대한지침은서버설명서를참조하십시오. 2. 페더레이션시스템에서서버인증서에서명한 CA 인증서를 ca-bundle.cert 파일에추가합니다. 서버인증서는백엔드서버가 SSL 을활성화하기위해사용하는인증서입니다. ca-bundle.cert 파일은 federation_install_dir\secure-proxy\ssl\certs 디렉터리에있습니다. federation_install_dir 은제품의설치위치입니다. 이인증서는백엔드서버의관리자가제공합니다. 24 설치및업그레이드안내서

25 CA SiteMinder Federation Standalone 구성마법사실행 Windows 또는 UNIX 플랫폼에서페더레이션시스템재설치 동일한버전의 CA SiteMinder?Federation Standalone 을기존설치위에다시설치할수있습니다. 다시설치하면손실된응용프로그램파일을복원하거나기본설치설정을복원할수있습니다. 참고 : 제품을제거하지않고다시설치할수있습니다. 다음단계를수행하십시오. 1. UNIX 플랫폼에서환경스크립트 ca_federation_env.ksh 의경로를수정합니다. 2. 초기설치에사용한것과동일한프로그램을사용하여설치프로그램을다시실행합니다. 3. 메시지가나타나면시스템을다시시작합니다. 4. 구성마법사를다시실행합니다. ( 페이지 25) 다시설치후구성마법사를다시실행합니다. 이단계는원래의설치및구성과동일한설정을사용하는지여부에관계없이필요합니다. 5. 메시지가나타나면시스템을다시시작합니다. 참고 : 다시설치된페더레이션시스템에 Agent for Windows Authentication 을설치한경우에는에이전트를다시구성해야합니다. 그렇지않으면제대로작동하지않습니다. 다시설치가완료되었습니다. CA SiteMinder Federation Standalone 구성마법사실행 페더레이션제품을설치한후구성마법사를실행하십시오. 구성마법사는정책저장소로사용되는데이터베이스, 페더레이션서버에대한포트및 Apache 웹서버구성을설정합니다. 언제든지구성마법사를다시실행하여기존구성을변경할수있지만, 다시실행하면기존구성이손실됩니다. 구성을보존하려면백업하십시오. 참고 : SSL 이사용되도록설정한상태로 Windows 시스템을다시구성하려면시스템을다시구성하기전에 SSL 구성을비활성화하십시오. 재구성이완료되면 SSL 을다시활성화하십시오. 제 1 장 : CA SiteMinder Federation Standalone 설치 25

26 CA SiteMinder Federation Standalone 구성마법사실행 다음구성프로세스를완료하십시오. 1. 구성마법사에필요한정보를수집합니다. 2. 구성마법사를실행합니다. 구성전배포모드결정 프록시모드 구성마법사를실행할때는다음배포모드중하나를선택할수있습니다. 프록시모드 독립실행형모드 신뢰당사자로서페더레이션시스템의요청처리방식을기준으로배포모드를결정하십시오. 신뢰당사자는모드가페더레이션구현방식에큰영향을미치는페더레이션된통신의당사자입니다. 배포모드를수정하려면구성마법사를다시실행하십시오. 각각의모드는사용자가선택한 SAML 호환페더레이션제품과함께작동할수있습니다. 또한필요한경우 CA SiteMinder?Federation Standalone 은 SiteMinder 커넥터와함께작동하여기존 SiteMinder 배포에통합될수있습니다. 프록시모드배포에서는 DMZ 의페더레이션시스템을사용하여페더레이션된응용프로그램을호스트하는백엔드웹서버로요청을전달합니다. 이러한백엔드시스템은방화벽뒤에있으며직접액세스할수없습니다. 프록시모드를사용하면다음과같은이점이있습니다. 네트워크에대한하나의액세스지점을제공합니다. 페더레이션시스템이 SAML 어설션의 HTTP 헤더를사용하여백엔드응용프로그램에아이덴티티특성을제공할수있습니다. 그러면응용프로그램을사용자지정하여더개인화된사용자환경을제공할수있습니다. 참고 : HTTP 헤더접두사를설정하여권한없는사용자가 HTTP 헤더를수정하는것을방지할수있습니다. 프록시모드에서 HTTP 헤더를보호하는방법에대한자세한정보를확인할수있습니다. 26 설치및업그레이드안내서

27 CA SiteMinder Federation Standalone 구성마법사실행 프록시모드에서페더레이션시스템은모든요청을백엔드네트워크로전달합니다. 백엔드웹서버의모든리소스가 SiteMinder 또는다른액세스제어제품에의해보호되는지확인하십시오. 예를들어백엔드웹서버가페더레이션된응용프로그램및방화벽뒤에서보호되지않는리소스를호스트할수있습니다. 관리자가페더레이션된응용프로그램을노출하면페더레이션시스템은권한부여를확인하지않고백엔드웹서버에대한전체액세스를허용하므로보호되지않는리소스도노출됩니다. 여기에서는페더레이션되지않은리소스가 URL 주소지정이가능한리소스라고가정합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 27

28 CA SiteMinder Federation Standalone 구성마법사실행 다음그림에서는신뢰당사자의관점에서일반적인프록시모드배포를보여줍니다. 28 설치및업그레이드안내서

29 CA SiteMinder Federation Standalone 구성마법사실행 위의그림에나타난신뢰당사자의통신흐름은다음과같습니다. 1. 사용자가페더레이션된리소스에대한초기요청을수행합니다. 2. 페더레이션시스템은어설션의데이터에기반하여사용자를인증하고내부사이트의사용자디렉터리에연결하여사용자명확성프로세스를완료합니다. 3. 인증에성공하면리디렉션응답이사용자의브라우저로반환됩니다. 4. 페더레이션시스템은요청을대상웹서버로프록시하고사용자는리소스에액세스합니다. 독립실행형모드 독립실행형모드배포에서 CA SiteMinder Federation Standalone 은페더레이션된요청만처리하며이러한요청을대상웹서버로리디렉션합니다. 페더레이션되지않은요청은 CA SiteMinder Federation Standalone 에독립적으로적절한웹서버로직접이동합니다. 독립실행형모드의장점은페더레이션트래픽이 CA SiteMinder?Federation Standalone 으로제한되며다른콘텐츠의처리가다른웹서버로오프로드된다는점입니다. 또한사이트에서기존인프라의중단없이네트워크에페더레이션을추가하는것도가능합니다. 독립실행형모드에서는응답에 HTTP 헤더를추가하기위한프록시가웹서버와브라우저사이에없기때문에 HTTP 헤더를사용하여어설션의사용자특성을전달할수없습니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 29

30 CA SiteMinder Federation Standalone 구성마법사실행 다음그림에서는신뢰당사자의관점에서일반적인독립실행형모드배포를보여줍니다. 30 설치및업그레이드안내서

31 CA SiteMinder Federation Standalone 구성마법사실행 위의그림에나타난신뢰당사자의통신흐름은다음과같습니다. 1. 사용자가페더레이션된리소스를요청합니다. 2. CA SiteMinder Federation Standalone 은어설션의데이터에기반하여사용자를인증하며여기에는사용자명확성프로세스를완료하기위한사용자디렉터리와의통신이포함됩니다. 3. CA SiteMinder Federation Standalone 이리디렉션응답을다시사용자의브라우저로반환합니다. 4. 브라우저는 CA SiteMinder Federation Standalone 을통하지않고도사용자를대상웹서버의대상리소스로리디렉션합니다. SiteMinder 와함께 CA SiteMinder Federation Standalone 배포 CA SiteMinder?Federation Standalone 에서는사용자아이덴티티정보를 SiteMinder 로보호되는응용프로그램과공유할수있게해주는 SiteMinder 커넥터가기본제공됩니다. CA SiteMinder?Federation Standalone 과 SiteMinder 간의이러한통합으로원활한싱글사인온이가능합니다. SiteMinder 커넥터는프록시또는독립실행형배포모드에서사용할수있습니다. 파트너관계를기준으로 SiteMinder 커넥터를사용하도록설정하여, 일부파트너관계는커넥터를사용할수있고나머지는사용하지않도록설정할수있습니다. 전역 SiteMinder 커넥터개체는하나뿐입니다. 파트너관계에대해커넥터를사용하도록설정하면파트너관계는전역커넥터구성을사용합니다. 중요! SiteMinder 커넥터는독립적 SiteMinder 설치에연결하는용도로사용됩니다. SiteMinder 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. SiteMinder 커넥터사용에대한자세한내용은 CA SiteMinder Federation Standalone 안내서를참조하십시오. 제 1 장 : CA SiteMinder Federation Standalone 설치 31

32 CA SiteMinder Federation Standalone 구성마법사실행 SiteMinder 커넥터가신뢰당사자에있는프록시모드 CA SiteMinder Federation Standalone 이프록시모드에서 SiteMinder 와통신하는경우에도모든요청은 CA SiteMinder Federation Standalone 을통과합니다. 하지만 CA SiteMinder Federation Standalone 은사용자가 SiteMinder 로보호된리소스를요청할때재인증을받지않도록하기위해정책서버와의 SiteMinder 세션을설정해야합니다. 요청은 SiteMinder 웹에이전트로보호되는대상웹서버로리디렉션됩니다. 32 설치및업그레이드안내서

33 CA SiteMinder Federation Standalone 구성마법사실행 다음그림에서는 SiteMinder 커넥터가있는프록시모드아키텍처를보여줍니다. 이그림은신뢰당사자의관점에서작성된것입니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 33

34 CA SiteMinder Federation Standalone 구성마법사실행 위의그림에나타난신뢰당사자의통신흐름은다음과같습니다. 1. 사용자가페더레이션된리소스를요청하고신뢰당사자의어설션소비자서비스로리디렉션됩니다. 2. CA SiteMinder Federation Standalone 은어설션에서받은데이터를기반으로사용자를인증하며여기에는사용자명확성프로세스를완료하기위한사용자디렉터리와의통신이포함됩니다. 3. CA SiteMinder Federation Standalone 의일부인 SiteMinder 커넥터는 SiteMinder 정책서버의사용자지정인증스키마에연결합니다. 정책서버는 SiteMinder 세션티켓을생성하고이를 CA SiteMinder Federation Standalone 으로보냅니다. 그러면 CA SiteMinder Federation Standalone 은티켓이포함된세션쿠키를생성합니다. SiteMinder 세션을설정하면나중에대상리소스에액세스할때사용자에게인증을요청하지않습니다. 4. CA SiteMinder Federation Standalone 이리디렉션응답을다시사용자의브라우저로반환합니다. 5. 브라우저는사용자를 CA SiteMinder Federation Standalone 으로리디렉션하고 CA SiteMinder Federation Standalone 은대상리소스가있는웹서버로요청을프록시하며, 이는 SiteMinder 웹에이전트로보호됩니다. 6. SiteMinder 웹에이전트및정책서버가권한부여프로세스를수행합니다. 권한부여에성공하면대상리소스가사용자브라우저에표시됩니다. SiteMinder 커넥터가신뢰당사자에있는독립실행형모드 CA SiteMinder?Federation Standalone 이독립실행형모드에서기존 SiteMinder 환경과통신하는경우 CA SiteMinder?Federation Standalone 은페더레이션된요청만처리합니다. SiteMinder 와함께작동하려면 CA SiteMinder?Federation Standalone 은사용자가 SiteMinder 로보호되는리소스를요청할때재인증을받지않도록정책서버와의 SiteMinder 세션을설정해야합니다. 페더레이션된요청은최종적으로대상웹서버로리디렉션되며이는 SiteMinder 웹에이전트로보호됩니다. 참고 : CA SiteMinder Federation Standalone 및 SiteMinder 웹에이전트는독립실행형모드에서동일한쿠키도메인을공유해야합니다. 34 설치및업그레이드안내서

35 CA SiteMinder Federation Standalone 구성마법사실행 다음그림에서는 SiteMinder 커넥터를사용하는독립실행형모드아키텍처를보여줍니다. 이그림은신뢰당사자의관점에서작성된것입니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 35

36 CA SiteMinder Federation Standalone 구성마법사실행 위의그림에나타난신뢰당사자의통신흐름은다음과같습니다. 1. 사용자가페더레이션된리소스를요청하고신뢰당사자의어설션소비자서비스로리디렉션됩니다. 2. CA SiteMinder Federation Standalone 은어설션의데이터를기반으로사용자를인증하며여기에는사용자명확성프로세스를완료하기위한사용자디렉터리와의통신이포함됩니다. 3. CA SiteMinder Federation Standalone 의일부인 SiteMinder 커넥터는 SiteMinder 정책서버의사용자지정인증스키마에연결합니다. 정책서버는 SiteMinder 세션티켓을생성하고이를 CA SiteMinder Federation Standalone 으로보냅니다. 그러면 CA SiteMinder Federation Standalone 은티켓이포함된세션쿠키를생성합니다. SiteMinder 세션을설정하면나중에대상리소스에액세스할때사용자에게인증을요청하지않습니다. 4. CA SiteMinder Federation Standalone 이리디렉션응답을다시사용자의브라우저로반환합니다. 5. 브라우저는사용자를대상리소스가있는웹서버로리디렉션하며이는 SiteMinder 웹에이전트로보호됩니다. 6. SiteMinder 웹에이전트및정책서버가권한부여프로세스를완료합니다. 권한부여에성공하면대상리소스가사용자브라우저에표시됩니다. 어설션당사자측에서 SiteMinder 커넥터를사용하여배포 어설션당사자측에서 SiteMinder 커넥터와함께구성된 CA SiteMinder?Federation Standalone 은사용자인증을위해 SiteMinder 를사용할수있습니다. 인증에성공하면사용자는어설션을발급하는 CA SiteMinder?Federation Standalone 으로다시리디렉션되어야합니다. 어설션당사자측에서 SiteMinder 는사용자를인증한다음 SMSESSION 쿠키를발급합니다. 사용자가다시 CA SiteMinder?Federation Standalone 으로보내질때 SMSESSION 쿠키가있으면 FEDSESSION 쿠키의생성이트리거됩니다. 이경우배포모드 ( 프록시또는독립실행형 ) 는관련이없습니다. 참고 : CA SiteMinder?Federation Standalone 이독립실행형모드에서작동중일경우 CA SiteMinder?Federation Standalone 및 SiteMinder 웹에이전트는동일한쿠키도메인을공유해야합니다. 36 설치및업그레이드안내서

37 CA SiteMinder Federation Standalone 구성마법사실행 SiteMinder 를사용한배포에서사용자는인증을위해먼저 SiteMinder 에방문해야합니다. 인증이성공하면 SiteMinder 로보호되는웹리소스가사용자를다시 CA SiteMinder?Federation Standalone 으로보내야합니다. SiteMinder 커넥터를사용한배포는위임된인증이라고하는 CA SiteMinder?Federation Standalone 기능과동일하지않습니다. 이기능의경우 SiteMinder 와같은웹액세스관리시스템이사용자인증을처리하도록허용합니다. 위임된인증이없는 SiteMinder 커넥터배포와위임된인증간의차이점은위임된인증의경우사용자가 SiteMinder 에서인증을시작할필요가없다는점입니다. 위임된인증을사용하면 CA SiteMinder?Federation Standalone 은인증요청을시작한다음사용자를 SiteMinder 로리디렉션할수있기때문에기능이적절하게구성된경우리디렉션이자동으로수행될수있습니다. 사용자인증이성공한후사용자를다시 CA SiteMinder?Federation Standalone 으로리디렉션하려면 SiteMinder 가보호하는리소스는사용자를다시 CA SiteMinder?Federation Standalone 으로리디렉션하기위한메커니즘으로구성되어야합니다. 리디렉션에는보호되는리소스가수신한모든데이터가포함되어야합니다. 예를들어 SiteMinder 로보호된리소스가초기인증요청에서몇개의쿼리매개변수를수신한경우에는이동일한쿼리매개변수를사용하여사용자를다시 CA SiteMinder?Federation Standalone 으로리디렉션해야합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 37

38 CA SiteMinder Federation Standalone 구성마법사실행 다음그림에서는어설션당사자측에서 SiteMinder 커넥터를사용하는아키텍처를보여줍니다. 위의그림에나타난어설션당사자의통신흐름은다음과같습니다. 1. 사용자가페더레이션된리소스를요청하면어설션당사자에있는 SiteMinder 웹에이전트에대해인증요청이트리거됩니다. 2. 인증요청은 SiteMinder 정책서버로전달됩니다. 3. 정책서버는사용자를인증하고 SiteMinder 세션티켓을생성합니다. 티켓은 SiteMinder 웹에이전트로반환되며여기에서이티켓이포함된 SMSESSION 쿠키가생성됩니다. 38 설치및업그레이드안내서

39 CA SiteMinder Federation Standalone 구성마법사실행 4. 웹에이전트는 CA SiteMinder Federation Standalone 에대한리디렉션응답과함께 SMSESSION 쿠키를사용자브라우저로전달합니다. 5. 사용자브라우저는 SMSESSION 쿠키와함께 CA SiteMinder Federation Standalone 으로리디렉션됩니다. 6. CA SiteMinder Federation Standalone 은 SiteMinder 정책서버에연결하여 SMESSION 쿠키의유효성을검사합니다. 7. SMSESSION 쿠키의유효성검사에성공하면 CA SiteMinder Federation Standalone 세션이생성됩니다. 그러면 CA SiteMinder Federation Standalone 은대상리소스가있는신뢰당사자에대한나머지페더레이션통신을처리합니다. 구성마법사에필요한정보 구성마법사를실행하기전에다음정보를준비하십시오. 데이터베이스유형 정책저장소에사용할데이터베이스유형 (SQL 또는 Oracle) 을지정합니다. 데이터베이스정보 CA SiteMinder Federation Standalone 이사용하는데이터베이스를식별합니다. 데이터베이스서버 데이터베이스가설치된서버의 IP 주소또는호스트이름을지정합니다. 데이터베이스는데이터저장소리포지토리입니다. 운영환경및데이터베이스유형에따라다음항목이허용됩니다. Windows(Oracle 및 SQL): IPv4 주소, IPv6 주소, 호스트이름 UNIX(Oracle): IPv4 주소, 호스트이름 UNIX(SQL): IPv4 주소, IPv6 주소, 호스트이름 중요! 이필드의 IPv6 주소앞뒤에대괄호를사용하지마십시오. 괄호의생략은이설정에만적용됩니다. 예 : 3ff3:1900:4545:3:200:f8ff:fe25:67( 대괄호없음 ) 제 1 장 : CA SiteMinder Federation Standalone 설치 39

40 CA SiteMinder Federation Standalone 구성마법사실행 SQL 데이터베이스명명된인스턴스를사용하려면운영환경에대해다음값을입력하십시오. Windows: server_name\named_instance 예 : server01-w3s-t1\federation1 이예에서 server01-w3s-t1 은서버이름이고 federation1 은인스턴스이름입니다. UNIX: server_name SQL 명명된인스턴스가아니라데이터베이스서버이름을이필드에지정하십시오. 또한 SQL 명명된인스턴스의포트번호를 " 데이터베이스포트 " 필드에입력하십시오. 예 : server01-w3s-t1 데이터베이스이름 데이터베이스인스턴스의이름을지정합니다. 제한 SQL: 데이터베이스이름 Oracle: CA SiteMinder Federation Standalone 이데이터베이스테이블을만들고관리하는테이블스페이스에대해 CONNECT 및 RESOURCE 역할을가진 Oracle 사용자의이름입니다. 데이터베이스포트 데이터베이스가수신대기하는포트를식별합니다. 데이터베이스가기본포트에서실행되고있지않은경우포트번호를변경하십시오. 예를들어데이터베이스서버에대해 SQL 명명된인스턴스를지정한경우이데이터베이스인스턴스의포트를입력하십시오. 기본값 SQL:1433 Oracle: 설치및업그레이드안내서

41 CA SiteMinder Federation Standalone 구성마법사실행 데이터베이스사용자이름 데이터베이스에액세스하고, 데이터베이스테이블을만들고관리할수있는슈퍼관리권한을가진관리자의이름을지정합니다. 사용자이름에는슬래시 (/) 를제외한모든인쇄가능문자를사용할수있습니다. 슬래시를사용하면데이터베이스연결이실패하므로 Oracle 데이터베이스에는슬래시를사용할수없습니다. 데이터베이스암호 데이터베이스관리자계정의암호를지정합니다. 암호에는슬래시 (/) 를제외한모든인쇄가능문자를사용할수있습니다. 슬래시를사용하면데이터베이스연결이실패하므로 Oracle 데이터베이스에는슬래시를사용할수없습니다. CA SiteMinder Federation Standalone 서버포트 CA SiteMinder Federation Standalone 이수신대기하는 TCP 포트번호를지정합니다. 기본값 : 제한 : 44443, 44444, 를제외한숫자값. 포트번호 44443, 44444, 는허용되지않습니다. 배포모드 사용자환경에서 CA SiteMinder Federation Standalone 을구현할방법을결정합니다. 배포모드옵션은다음과같습니다. 프록시모드 프록시모드배포에서는 CA SiteMinder Federation Standalone 이모든백엔드리소스에대한기본진입점입니다. 다음의경우에이모드를선택합니다. 네트워크에대한하나의액세스지점이필요한경우 개인화된사용자환경을제공하기위해백엔드응용프로그램에 SAML 어설션의특성이필요한경우. SAML 어설션특성은헤더로전달될수있습니다. 참고 : HTTP 헤더접두사를설정하여권한없는사용자가 HTPP 헤더를수정하는것을방지할수있습니다. 프록시모드에서 HTTP 헤더를보호하는방법에대한자세한정보를확인할수있습니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 41

42 CA SiteMinder Federation Standalone 구성마법사실행 독립실행형모드 독립실행형모드배포에서는 CA SiteMinder Federation Standalone 이 SiteMinder 웹에이전트또는타사웹서버와함께배포됩니다. 이경우 CA SiteMinder Federation Standalone 은페더레이션요청만처리하고다른모든요청은웹서버가처리합니다. 페더레이션트래픽을 CA SiteMinder Federation Standalone 으로제한하고일반적인웹트래픽의처리는다른웹서버로오프로드하려는경우에이모드를선택하십시오. 독립실행형모드에서는 HTTP 헤더를사용하여어설션의사용자특성을전달할수없습니다. HTTP 헤더를응답에추가할수없습니다. 웹서버와브라우저사이에는이러한수정을수행할메커니즘이없습니다. 서버호스트이름 ( 프록시모드에만해당 ) CA SiteMinder Federation Standalone 이페더레이션된리소스에대한요청을전달하는백엔드서버의정규화된도메인이름을식별합니다. Apache 구성 CA SiteMinder Federation Standalone 은오픈소스 Apache 웹서버를들어오는요청의 HTTP 수신기로사용합니다. 서버이름 CA SiteMinder Federation Standalone 배포의정규화된도메인이름을식별합니다. 이서버이름은반드시 CA SiteMinder Federation Standalone 이설치된시스템에매핑되지않아도됩니다. 서버를가상호스트로간주할수있습니다. 관리자전자메일주소 데이터베이스관리자의전자메일주소를지정합니다. CA SiteMinder Federation Standalone 과함께설치된 Apache 서버에이설정이필요합니다. Apache 서버는문제발생시기본오류메시지에관리자의전자메일주소를사용합니다. 전자메일주소는 ServerAdmin 지시문으로설정되며모든유효한전자메일주소가될수있습니다. 참고 : 이주소로전달되는이벤트는 Apache 서버에대한서버별오류및경고입니다. 메시지는페더레이션과관련이없습니다. 42 설치및업그레이드안내서

43 CA SiteMinder Federation Standalone 구성마법사실행 Apache HTTP 포트 HTTP 요청을수신대기하는포트를지정합니다. 기본값 : 80 참고 : 시스템에포트 80 을사용하는다른웹서버가있는경우 Apache 웹서버의기본포트를변경하십시오. Apache SSL 포트 SSL 요청을수신대기하는 Apache 포트를지정합니다. 기본값 : 443 참고 : 시스템에포트 443 을사용하는다른웹서버가있는경우 Apache 웹서버의기본 SSL 포트를변경하십시오. 관리 UI HTTP 포트 CA SiteMinder Federation Standalone UI HTTP 요청을수신대기하는포트를지정합니다. 이포트를변경하는경우포트는내부를향해야하며인터넷에서액세스할수없어야합니다. 기본값 : 8888 관리 UI SSL 포트 CA SiteMinder Federation Standalone UI SSL 요청을수신대기하는포트를지정합니다. 이포트를변경하는경우포트는내부를향해야하며인터넷에서액세스할수없어야합니다. 기본값 : 8889 중요! 포트번호는다음설정에대해고유해야합니다. CA SiteMinder Federation Standalone 서버포트 Apache HTTP 포트 Apache SSL 포트 관리 UI HTTP 포트 관리 UI SSL 포트 제 1 장 : CA SiteMinder Federation Standalone 설치 43

44 CA SiteMinder Federation Standalone 구성마법사실행 구성실행파일 다음표에는 CA SiteMinder?Federation Standalone 의구성실행파일이나와있습니다. 표는플랫폼별로구성되어있습니다. 플랫폼 Linux Solaris Windows 구성실행파일 ca-federation-config.sh ca-federation-config.sh ca-federation-config.exe 지원되는운영체제에대한자세한내용은기술지원사이트의 "CA SiteMinder?Federation Standalone Platform Support Matrix"(CA SiteMinder?Federation Standalone 플랫폼지원표 ) 를참조하십시오. Windows 에서구성마법사실행 구성마법사를실행하기전에먼저 CA SiteMinder?Federation Standalone 을설치하고구성마법사에필요한모든정보를수집하십시오. CA SiteMinder?Federation Standalone 을다시설치할때항상구성마법사를실행하십시오. 이지침은 Windows 시스템의 GUI 및콘솔모드구성에적용됩니다. 두모드의단계는동일하지만콘솔모드에는다음의예외가있습니다. 해당번호를입력하여옵션을선택할수있습니다. 각단계가끝나면 Enter 키를눌러계속진행합니다. 이전단계로가려면 BACK 을입력합니다. 각모드의프롬프트에따라과정을진행할수있습니다. 44 설치및업그레이드안내서

45 CA SiteMinder Federation Standalone 구성마법사실행 다음단계를수행하십시오. 1. 구성마법사를실행합니다. 마법사를실행하는방법은로컬관리자로로그인하는지, 네트워크사용자로로그인하는지에따라달라집니다. 네트워크사용자인경우마법사를실행하려면관리자그룹의구성원이어야합니다. GUI 모드 로컬관리자 : " 시작 " 메뉴에서바로가기를선택하거나 " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone", "CA SiteMinder Federation Standalone 구성마법사 " 를선택합니다. 네트워크사용자 : " 시작 " 메뉴에서바로가기를마우스오른쪽단추로클릭하거나 " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone" 을선택한다음 "CA SiteMinder Federation Standalone 구성마법사 " 를마우스오른쪽단추로클릭하고 " 관리자권한으로실행 " 을선택합니다. 콘솔모드 : 명령창을열고 federation_install_dir\install_config_info 로이동한후다음명령을입력합니다. ca-federation-config.exe -i -console 경로가자동으로설정되지않으므로올바른위치에서이명령을실행하십시오. 2. 마법사를실행하기전에수집한정보를사용하여구성마법사프롬프트에응답합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 45

46 CA SiteMinder Federation Standalone 구성마법사실행 3. 구성설정을검토하고 " 설치 "(GUI 모드 ) 를클릭하거나 Y 를입력 ( 콘솔모드 ) 하여구성을실행합니다. CA SiteMinder Federation Standalone 구성이실행됩니다. 구성도중문제가발생하면 federation_install_dir\install_config_info 에있는구성로그파일 CA_SiteMinder_Federation_Standalone_Configuration.log 를검토하십시오. 4. CA SiteMinder Federation Standalone 시스템을재부팅합니다. CA SiteMinder?Federation Standalone 의설치와구성이완료됩니다. 중요! 배포모드전환등의작업을위해구성을변경하려면구성마법사를다시실행하십시오. 마법사를다시실행할때 CA SiteMinder Federation Standalone 서비스가실행되고있어야합니다. 구성마법사는언제라도다시실행할수있지만다시실행하면기존구성이손실됩니다. 구성마법사를다시실행하기전에 SSL 연결을보존할수있도록기존구성을백업하십시오. UNIX 시스템에서구성마법사실행 구성마법사를실행하기전에먼저 CA SiteMinder?Federation Standalone 을설치하고구성마법사에필요한모든정보를수집하십시오. CA SiteMinder?Federation Standalone 을다시설치할때항상구성마법사를실행하십시오. 중요! CA SiteMinder Federation Standalone 를재설치하는경우구성마법사를다시실행하십시오. 구성마법사를다시실행하기전에 SSL 및데이터베이스연결을보존할수있도록기존구성을백업하십시오. ODBC 사용자디렉터리를사용하는경우에는 system_odbc.ini 파일도백업하십시오. 이파일은 federation_install_dir/siteminder/db/ 디렉터리에있습니다. 46 설치및업그레이드안내서

47 CA SiteMinder Federation Standalone 구성마법사실행 이지침은 UNIX 시스템의 GUI 및콘솔모드설치에적용됩니다. 두모드의단계는동일하지만콘솔모드에는다음의예외가있습니다. 해당번호를입력하여옵션을선택할수있습니다. 각단계가끝나면 Enter 키를눌러계속진행합니다. 이전단계로가려면 BACK 을입력합니다. 각모드의프롬프트에따라과정을진행할수있습니다. 참고 : CA SiteMinder?Federation Standalone 을구성하려는 UNIX 시스템이 IPv6 주소를사용하는경우에는구성마법사를콘솔모드에서만실행하십시오. GUI 모드를사용하려고하면프로그램은타사제한으로인해기본적으로콘솔모드를사용합니다. 중요! 루트사용자로구성마법사를실행하지마십시오. 루트로실행하려고하면마법사가취소되고오류메시지가나타납니다. 설치를실행한것과동일한사용자로구성마법사를실행하십시오. 구성마법사를실행하려면 1. 콘솔창을엽니다. 2. federation_install_dir 디렉터리로이동합니다. 3. 환경스크립트 ca_federation_env.ksh 의경로를수정합니다. 4. 명령창 (Linux 의경우 ksh 창사용 ) 에다음명령중하나를입력합니다. GUI 모드 :./ca-federation-config.sh 콘솔모드 :./ca-federation-config.sh -i console 구성마법사가시작됩니다. 5. 마법사를실행하기전에수집한정보를사용하여구성마법사프롬프트에응답합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 47

48 CA SiteMinder Federation Standalone 에대한가상호스트구성 6. 구성설정을검토하고 " 설치 "(GUI 모드 ) 를클릭하거나 Y 를입력하여설치 ( 콘솔모드 ) 합니다. CA SiteMinder Federation Standalone 이구성됩니다. 구성도중문제가발생하면 federation_install_dir/install_config_info 에있는구성로그파일 CA_Federation_Manager_ConfigLog.log 를검토하십시오. CA SiteMinder Federation Standalone 의설치와구성이완료됩니다. 7. 다음스크립트를실행하여 CA SiteMinder Federation Standalone 을시작합니다. federation_install_dir/fedmanager.sh start 중요! 배포모드전환등의작업을위해구성을변경하려면구성마법사를다시실행하십시오. 마법사를다시실행할때 CA SiteMinder?Federation Standalone 서비스가실행되고있어야합니다. 구성마법사는언제라도다시실행할수있지만다시실행하면기존구성이손실됩니다. 구성마법사를다시실행하기전에 SSL 연결을보존할수있도록기존구성을백업하십시오. CA SiteMinder Federation Standalone 에대한가상호스트구성 CA SiteMinder?Federation Standalone 에대해여러가상호스트를정의할수있습니다. 가상호스트를사용하면어설션당사자와신뢰당사자를동일한시스템에설치할수있으므로테스트용도로유용할수있습니다. 또한여러가상호스트를정의하면검색서비스에별도의호스트이름및도메인을사용하여 SAML 2.0 IdP 검색프로필을구성할수있습니다. 여러가상호스트를정의할때 CA SiteMinder?Federation Standalone 에필요한구성설정은다음과같습니다. server.conf 파일의 hostnames 매개변수에호스트를추가합니다. server.conf 파일은다음디렉터리에있습니다. federation_install_dir\secure-proxy\proxy-engine\conf 48 설치및업그레이드안내서

49 CA SiteMinder Federation Standalone 에대한가상호스트구성 CA SiteMinder Federation Standalone 이 CA SiteMinder Federation Standalone UI 에액세스하는데사용하는것과동일한시스템에서작동중이거나, 페더레이션트랜잭션을실행하는시스템과동일한시스템에서작동중인경우에는 httpd.conf 파일을업데이트합니다. httpd.conf 파일은 federation_install_dir\secure-proxy\httpd\conf 디렉터리에있습니다. 참고 : 포함된웹서버에대해 SSL 이사용되도록설정한경우 httpd-ssl.conf 파일을다음과같이변경하십시오. httpd-ssl.conf 파일은 federation_install_dir\secure-proxy\httpd\conf\extra folder 디렉터리에있습니다. 사용하는시스템유형에기반하여 httpd.conf 파일을다음과같이업데이트하십시오. IPV4 기반시스템의경우다음과같이 LISTEN 지시문을추가합니다. LISTEN :port IPv4 및 IPv6 을지원하는이중스택시스템의경우다음과같이 LISTEN 지시문을추가합니다. LISTEN :port LISTEN [::1]:port IPv6 시스템의경우다음과같이 LISTEN 지시문을추가합니다. LISTEN [::1]:port 또한시스템의호스트파일에서새호스트이름이추가되도록루프백주소항목을업데이트합니다. 값은다음과같습니다. IPv4: IPv6: [::1] 제 1 장 : CA SiteMinder Federation Standalone 설치 49

50 CA SiteMinder Federation Standalone 무인설치 CA SiteMinder Federation Standalone 무인설치 CA SiteMinder?Federation Standalone 을설치하는방법중하나로무인설치가있습니다. 무인설치를사용하면사용자개입없이제품을설치할수있습니다. 무인설치를실행하려면먼저수동설치를실행해야합니다. 수동설치에서는수동설치중입력한모든매개변수, 경로및암호가포함된 ca-federation-installer.properties 라는파일이생성됩니다. 무인설치를수행하면일반적으로사용자가수동으로입력해야하는설정이이속성파일을통해제공됩니다. 기본속성파일을사용하여초기설치와동일한설정으로설치를실행하거나, 이파일을사용자환경에맞게수정하는템플릿으로사용할수있습니다. 속성파일의내용은대 / 소문자가구분되므로수정할때주의해야합니다. 중요! CA SiteMinder Federation Standalone 을처음설치한시스템과동일한플랫폼의시스템에서만무인설치를실행할수있습니다. 예를들어 Solaris 시스템에제품을설치한다음이속성파일을사용하여 Windows 시스템에서무인설치를실행할수없습니다. 설치속성파일설정 네트워크의다른시스템에설치설정을전파하려면 ca-federation-installer.properties 파일을사용하십시오. 중요! 속성파일을생성하려면먼저수동설치를실행해야합니다. 이속성파일로다음을수행할수있습니다. 파일에서설치매개변수를정의합니다. 네트워크에서 CA SiteMinder Federation Standalone 을설치하려는시스템에속성파일및설치실행파일을복사합니다. 50 설치및업그레이드안내서

51 CA SiteMinder Federation Standalone 무인설치 ca-federation-installer.properties 파일은다음위치에생성됩니다. Windows: federation_install_dir\install-config-info UNIX: federation_install_dir/install-config-info 파일의기본매개변수및경로에는초기설치시입력한정보가반영됩니다. 설치속성파일을수정하려면 1. ca-federation-installer.properties 파일을열고파일의매개변수를수정합니다. 참고 : 속성파일은대 / 소문자를구분합니다. 2. 파일을저장합니다. 매개변수는다음과같습니다. 매개변수 DEFAULT_PRODUCT_INSTALL_TYP E DEFAULT_INSTALL_DIR 정의 설치가새설치인지, 업그레이드인지아니면재설치인지를정의합니다. 기본값 : INSTALL 기본값 (Windows): C:\\Program Files\\CA\\FederationManager ( 이중백슬래시에주의 ) 기본값 (UNIX): 시스템의계정예 : /home/myacct/ca/federationmanager 서버별항목 DEFAULT_JRE_ROOT JRE 의위치를나타냅니다. JDK_ROOT JDK 의위치를나타냅니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 51

52 CA SiteMinder Federation Standalone 무인설치 매개변수 #FEDADMIN_PW ENCRYPTED_FEDADMIN_PASSWO RD 정의 CA SiteMinder Federation Standalone 의암호를정의합니다. 이매개변수는주석처리를제거해야하며암호를일반텍스트로입력해야합니다. 보안을강화하려면 ENCRYPTED_FEDADMIN_PASSWORD 설정을사용하십시오. 참고 : CA SiteMinder Federation Standalone 관리자암호에는영어 (ASCII) 문자만사용할수있습니다. CA SiteMinder Federation Standalone 암호를암호화된형식으로표시합니다. 보안을강화하려면이암호화된암호를사용하는것이좋습니다. 모든시스템에서동일한관리자암호를사용하려면이암호를그대로두고 FEDADMIN_PW 속성의주석처리를제거하지마십시오. FIPS 모드설정 FED_FIPS_VALUE FIPS 작동모드를지정합니다. 제한 : ONLY LGPL 라이선스설정 ACCEPT_LGPL_EULA COMPAT LGPL 사용권계약에동의할지여부를지정합니다. federation_install_dir/install_config_info 디렉터리의사용권계약내용 (httpclient-eula.txt) 을검토하십시오. 사용권계약에동의하려면이변수를 YES 로설정하십시오. 기본값 : NO 52 설치및업그레이드안내서

53 무인 CA SiteMinder Federation Standalone 구성 CA SiteMinder Federation Standalone 무인설치실행 무인설치를실행하여사용자개입없이 CA SiteMinder?Federation Standalone 을설치할수있습니다. 참고 : 무인설치를실행하기전에수동설치를실행하여 ca-federation-installer.properties 파일을만드십시오. 다른시스템에서무인설치를실행하려면이파일이필요합니다. 이파일은설치에필요한대로수정할수있습니다. 다음단계를수행하십시오. 1. CA SiteMinder Federation Standalone 이이미설치된시스템에서다음두개의파일을임시위치로복사합니다. 설치실행파일또는바이너리 ca-federation-installer.properties 파일 2. 설치및속성파일을복사한위치에서다음명령을실행합니다. installation_executable -f ca-federation-installer.properties -i silent 무인모드에서설치가시작되고속성파일의매개변수를사용하여 CA SiteMinder?Federation Standalone 을설치합니다. 참고 : Windows 에서무인설치를확인하려면 federation_install_dir\install_config_info 디렉터리에있는설치로그파일 CA_Federation_Standalone_Install_date_time.log 를검토하십시오. 무인 CA SiteMinder Federation Standalone 구성 CA SiteMinder?Federation Standalone 을구성하는방법중하나로무인구성이있습니다. 무인구성을사용하면사용자개입없이 CA SiteMinder?Federation Standalone 을구성할수있습니다. 무인구성을실행하려면먼저컴퓨터에서 CA SiteMinder?Federation Standalone 을수동으로구성해야합니다. 수동으로구성하면 ca-federation-config.properties 라는파일이생성되며이파일을사용하여다른컴퓨터에서무인구성을실행합니다. 기본적으로 ca-federation-config.properties 에는초기구성의설정이포함됩니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 53

54 무인 CA SiteMinder Federation Standalone 구성 ca-federation-config.properties 파일에는초기구성중입력한모든매개변수, 경로및암호가포함됩니다. 무인구성을수행하면일반적으로사용자가수동으로입력해야하는설정이이속성파일을통해제공됩니다. 기본속성파일을사용하여초기구성과동일한설정으로구성을실행하거나, 이파일을사용자환경에맞게수정하는템플릿으로사용할수있습니다. 속성파일을네트워크에있는둘이상의시스템에서사용하려는경우에는 APACHE_SERVER_NAME 설정을무인구성을실행하는각시스템마다고유한값으로설정해야합니다. 둘이상의시스템에동일한서버이름을사용하면충돌이발생합니다. 중요! CA SiteMinder Federation Standalone 을처음설치한시스템과동일한플랫폼의시스템에서만무인구성을실행할수있습니다. 예를들어 Solaris 시스템에서제품을구성한다음이속성파일을사용하여 Linux 시스템에서무인구성을실행할수없습니다. 구성속성파일설정 무인구성은 ca-federation-config.properties 파일을사용하여 CA SiteMinder?Federation Standalone 구성을네트워크의다른시스템에전파합니다. 이속성파일로다음을수행할수있습니다. 파일에서구성매개변수를정의합니다. 네트워크에서 CA SiteMinder Federation Standalone 을구성하려는모든시스템에속성파일및구성실행파일을복사합니다. ca-federation-config.properties 파일은다음위치에설치됩니다. Windows: federation_install_dir\install-config-info UNIX: federation_install_dir/install-config-info 파일의기본매개변수및경로에는초기구성시입력한정보가반영됩니다. 중요! 구성속성파일은대 / 소문자를구분합니다. 54 설치및업그레이드안내서

55 무인 CA SiteMinder Federation Standalone 구성 구성속성파일을수정하려면 1. ca-federation-config.properties 파일을열고파일의매개변수를수정합니다. 2. 파일을저장합니다. 매개변수는다음과같습니다. 매개변수 설명 데이터베이스정보 PARAM_DBTYPE 데이터베이스의유형 (SQL 또는 Oracle) 을나타냅니다. PARAM_UID #PARAM_PWD ENCRYPTED_PARAM_PWD 데이터베이스관리자사용자이름을표시합니다. UI 에로그인하는데사용되는 CA SiteMinder Federation Standalone 관리자암호를일반텍스트로식별합니다. 값을입력하기전에이행의주석처리를제거하십시오. 보안을강화하려면 ENCRYPTED_PARAM_PWD 설정을사용하십시오. 암호화된 CA SiteMinder Federation Standalone 관리자암호를지정합니다. 보안을강화하려면이암호화된암호를사용하는것이좋습니다. PARAM_DB_SERVER 데이터베이스서버의 IP 주소를식별합니다. PARAM_DB_PORT MSSQL 특정 PARAM_DB Oracle 특정 데이터베이스가수신대기하는포트를표시합니다. 기본값 : SQL: 1433 Oracle: 1521 MS-SQL 특정매개변수입니다. SQL 데이터베이스이름을지정합니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 55

56 무인 CA SiteMinder Federation Standalone 구성 매개변수 ORACLE_SID RECONFIGURE 설명 Oracle 특정매개변수입니다. Oracle 데이터베이스의서비스이름 (SID 가아님 ) 을지정합니다. CA SiteMinder Federation Standalone 이기존데이터베이스스키마를사용하는지아니면새스키마를만드는지를지정합니다. 제한 : true( 기존스키마사용 ), false( 새스키마만들기 ) 서버포트 PARAM_PORT CA SiteMinder Federation Standalone 이수신대기하는포트를정의합니다. 기본값 : 중요! 이포트에 값을할당하지마십시오. 배포모드 DEPLOYMENT_MODE PROXY_HOST_NAME CA SiteMinder Federation Standalone 배포모드를지정합니다. 제한 : 프록시 ( 대문자 P) 독립실행형 ( 대문자 S) ( 프록시모드에만해당 ) CA SiteMinder Federation Standalone 이페더레이션된리소스에대한요청을전달하는백엔드서버의정규화된도메인이름을식별합니다. server_name.domain:port 구문을사용하여이설정을정의합니다. 예 : myserver.mycompany.ca.com:5555 이속성파일을둘이상의 CA SiteMinder Federation Standalone 시스템에서사용하고이들시스템이동일한프록시를사용하는경우에는각시스템에대해이호스트이름을동일한값으로설정하십시오. CA SiteMinder Federation Standalone 및프록시호스트는동일한도메인에있어야합니다. 56 설치및업그레이드안내서

57 무인 CA SiteMinder Federation Standalone 구성 매개변수 설명 Apache 서버정보 APACHE_SERVER_NAME Apache 웹서버의이름을지정합니다. APACHE_ADMIN_ APACHE_HTTP_PORT APACHE_SSL_PORT UI_HTTP_PORT UI_SSL_PORT 속성파일을네트워크에있는둘이상의시스템에서사용하려는경우에는이값을무인구성을실행하는각시스템마다고유한값으로설정하십시오. 둘이상의시스템에동일한서버이름을사용하면충돌이발생합니다. CA SiteMinder Federation Standalone 관리자의전자메일주소를나타냅니다. 이설정은 CA SiteMinder Federation Standalone 의일부로설치된 Apache 서버에필요합니다. Apache 는문제가발생했을때기본오류메시지에관리자의전자메일주소를사용합니다. 전자메일주소는 ServerAdmin 지시문으로설정되며모든유효한전자메일주소가될수있습니다. 이주소로전달되는이벤트는 Apache 서버에대한서버별오류및경고입니다. 메시지는페더레이션과관련이없습니다. 기본값 : admin@mycompany.com Apache 웹서버가수신대기하는기본포트를지정합니다. 기본값 : 80 Apache 웹서버가수신대기하는기본 SSL 포트를지정합니다. 기본값 : 443 Administrative UI 가수신대기하는기본 HTTP 포트를지정합니다. 기본값 : 8888 Administrative UI 가수신대기하는기본 SSL 포트를지정합니다. 기본값 : 8889 제 1 장 : CA SiteMinder Federation Standalone 설치 57

58 무인 CA SiteMinder Federation Standalone 구성 중요! 포트번호는다음설정에대해고유해야합니다. CA SiteMinder Federation Standalone 서버포트 Apache HTTP 포트 Apache SSL 포트 관리 UI HTTP 포트 관리 UI SSL 포트 무인구성을실행합니다. 사용자개입없이 CA SiteMinder?Federation Standalone 을구성할수있습니다. 참고 : ca-federation-config.properties 파일을만들려면먼저시스템을수동으로구성해야합니다. 이파일을네트워크에맞게수정할수있습니다. 다음단계를수행하십시오. 1. CA SiteMinder Federation Standalone 이이미설치된시스템에서다음두개의파일을임시위치로복사합니다. 구성실행파일또는바이너리 ( 페이지 44) ca-federation-config.properties 2. 설치및속성파일을복사한위치에서다음명령을실행합니다. configuration_executable -f ca-federation-config.properties -i silent 설정용속성파일의매개변수를사용하여무인모드에서구성이시작됩니다. 3. Windows 에서는구성이끝나면시스템을재부팅합니다. 참고 : Windows 에서무인설치를확인하려면 federation_install_dir\install_config_info 디렉터리에있는설치로그파일 CA_Federation_Standalone_Install_date_time.log 를검토하십시오. 58 설치및업그레이드안내서

59 Administrative UI 에로그인합니다. Administrative UI 에로그인합니다. Administrative UI 를통해페더레이션시스템을구성할수있습니다. 중요! 한번에한명의관리자만 Administrative UI 에로그온할수있습니다. 또한관리자는하나의브라우저인스턴스만열수있습니다. 다음단계를수행하십시오. 1. 브라우저에서 Java 스크립트가사용되도록설정되어있는지확인합니다. 이설정은 Administrative UI 를여는데필요합니다. 2. 사용하는플랫폼에대한지침을따르십시오. Windows UNIX " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone", "Federation Standalone 관리 UI" 를차례로선택합니다. 웹브라우저를열고 URL 로 를입력합니다. fed_server:ui_port 예 : Administrative UI 의포트를포함하여 CA SiteMinder Federation Standalone 가설치되어있는서버의정규화된도메인이름을지정합니다. 기본포트는 8888 입니다. 로그인창이나타납니다. 3. 사용자이름과암호를입력하고 " 로그인 " 을클릭합니다. 중요! 사용자이름은항상 admin 입니다. 이이름은변경할수없습니다. 관리자암호는설치할때설정됩니다. Administrative UI 가시작됩니다. 제 1 장 : CA SiteMinder Federation Standalone 설치 59

60

61 제 2 장 : CA SiteMinder Federation Standalone 제거 Windows 에서페더레이션시스템제거 시스템에서더이상필요하지않을경우 CA SiteMinder?Federation Standalone 을제거하십시오. 다음단계를수행하십시오. 1. " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone", "CA SiteMinder Federation Standalone 제거 " 를차례로선택합니다. 제거마법사가실행됩니다. 2. 마법사의지시를따릅니다. 3. 제거가완료되면필요에따라 federation_install_dir 로이동하여 FederationManager 폴더와해당하위폴더를삭제합니다. 4. 시스템을재부팅합니다. 제품이제거되었습니다. 제 2 장 : CA SiteMinder Federation Standalone 제거 61

62 UNIX 시스템에서 CA SiteMinder Federation Standalone 제거 UNIX 시스템에서 CA SiteMinder Federation Standalone 제거 시스템에서더이상필요하지않을경우 CA SiteMinder?Federation Standalone 을제거하십시오. 다음단계를수행하십시오. 1. 명령창을엽니다. 2. federation_install_dir 디렉터리로이동합니다. 3. 환경스크립트 ca_federation_env.ksh 의경로를수정합니다. 4. 다음명령을입력하여제거스크립트를실행합니다../ca-Federation-uninstall.sh 5. 필요한경우 federation_install_dir 디렉터리로이동하여 CA SiteMinder Federation Standalone 폴더및모든하위폴더를삭제합니다. 제품이제거되었습니다. 62 설치및업그레이드안내서

63 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 이섹션은다음항목을포함하고있습니다. CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 ( 페이지 63) CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 ( 페이지 65) CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 업그레이드는기존 12.x 버전을실행하는시스템에서새버전의 CA SiteMinder?Federation Standalone 으로업데이트하는것입니다. 업그레이드하려면기존시스템은새버전의제품이지원하는운영체제, 데이터베이스및 JDK 를실행해야합니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 63

64 CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 마이그레이션은기존시스템의구성을 r12.52 SP1 가새로설치된시스템으로복제하는것입니다. 새페더레이션시스템은지원되는데이터베이스버전과통신해야합니다. 참고 : r12.52 SP1 환경으로마이그레이션할경우지원되는데이터베이스가포함되어야합니다. r12.52 SP1 가지원하지않는데이터베이스가사용자환경에서사용되고있는경우에는지원되는데이터베이스서버를설치하고데이터를새데이터베이스로이동하십시오. 마지막으로 r12.52 SP1 로마이그레이션합니다. r12.52 SP1 로업그레이드할때 Federation Agent for Windows Authentication 이설치된경우에는에이전트를페더레이션시스템과동일한버전으로업그레이드하십시오. 그렇지않으면에이전트가제대로작동하지않습니다. 버전별상세내용은기술지원사이트의 "Platform Support Matrix"( 플랫폼지원표 ) 를참조하십시오. 사용가능한다음경로에기반하여 r12.52 SP1 로업그레이드하거나마이그레이션할수있습니다. Windows 기존페더레이션버전 데이터베이스가 r12.52 SP1 에서작동하는지여부 업그레이드또는마이그레이션 모든 SP 를포함한 r12.0 아니요 r12.52 SP1 로 마이그레이션 모든 SP 를포함한 r12.1 아니요 r12.52 SP1 로 마이그레이션 r12.1 SP3 예 r12.52 SP1 로업그레이드 Solaris/Linux 기존페더레이션버전 데이터베이스가 r12.52 SP1 에서작동하는지여부 업그레이드또는마이그레이션 모든 SP 를포함한 r12.0 아니요 r12.52 SP1 로 마이그레이션 64 설치및업그레이드안내서

65 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 기존페더레이션버전 데이터베이스가 r12.52 SP1 에서작동하는지여부 업그레이드또는마이그레이션 모든 SP 를포함한 r12.1 아니요 r12.52 SP1 로 마이그레이션 r12.1 SP3 예 r12.52 SP1 로 업그레이드 FIPS 마이그레이션 CA SiteMinder?Federation Standalone 은비 FIPS 에서 FIPS 전용환경으로의마이그레이션을지원하지만마이그레이션프로세스가복잡합니다. 비 FIPS 에서 FIPS 전용환경으로마이그레이션하려면먼저 r12.52 SP1 로의업그레이드를완료하십시오. 업그레이드가성공적으로수행되면 FIPS 마이그레이션프로세스를수행합니다. CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 Windows 및 UNIX(Solaris 및 Linux) 시스템의 CA SiteMinder?Federation Standalone 을 r12.52 SP1 로업그레이드할수있습니다. 기존시스템은 r12.52 SP1 를지원하는운영플랫폼및데이터베이스를실행해야합니다. 다음그림에서는단일시스템의업그레이드경로를보여줍니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 65

66 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 다음그림에서는클러스터환경의업그레이드를보여줍니다. 장애조치를지원하도록 CA SiteMinder?Federation Standalone 클러스터를설정할수있습니다. 기존 r12.x 클러스터에서새클러스터로업그레이드하려면비클러스터업그레이드와비슷한절차를따르십시오. 현재운영플랫폼이 r12.52 SP1 를지원하는것으로가정하고기존클러스터의각시스템을 r12.52 SP1 로업그레이드합니다. 클러스터의시스템은하나의데이터저장소를공유합니다. 업그레이드를감지하는 r12.52 SP1 설치프로그램을실행하면키및인증서정보가자동으로 CDS( 인증서데이터저장소 ) 로이동합니다. CDS 는기본데이터저장소와같은곳에있습니다. 66 설치및업그레이드안내서

67 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 업그레이드프로세스는다음과같습니다. 1. 여러개의키데이터베이스를동기화합니다 ( 클러스터를업그레이드하는경우에만 ). 2. 파트너관계에고유백채널사용자이름이있는지확인합니다. 3. 데이터저장소와키저장소를포함하여기존구성을백업합니다. 4. 설치프로그램을실행하여 r12.52 SP1 로업그레이드합니다. 설치프로그램은업그레이드를감지할수있습니다. 각절차는다음단원에서자세히설명합니다. 키데이터베이스동기화 12.5 이전시스템에서는개인키및인증서데이터를 smkeydatabase 라고하는키저장소에저장했습니다. 이제이데이터는데이터저장소와함께있는인증서데이터저장소에저장됩니다. 인증서데이터저장소를사용하면환경의각페더레이션시스템이로컬 smkeydatabase 에액세스할필요가없습니다. 설치관리자는업그레이드도중로컬 smkeydatabase 를자동으로백업하고모든콘텐츠를인증서데이터저장소로마이그레이션하려고시도합니다. 이프로세스에서는마이그레이션을시작하기전에 smkeydatabase 와 CDS 를비교합니다. 이렇게비교하는목적은마이그레이션실패를초래할수있는데이터불일치 ( 예 : 서로다른인증서에동일한별칭이매핑된경우 ) 를식별하는것입니다. 클러스터환경에는 smkeydatabase 의인스턴스가여러개있습니다. r12.52 SP1 로업그레이드또는마이그레이션하기전에정보일관성을유지하기위해모든 smkeydatabase 인스턴스를동기화하십시오. 데이터베이스를동기화하면각인스턴스가 CDS 로마이그레이션될때불일치가발생하는것을방지할수있습니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 67

68 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 Administrative UI 의 " 인증서및키 " 탭에서 smkeydatabase 인스턴스간의모든데이터불일치를해결하십시오. 다음데이터가여러키데이터베이스인스턴스간에일관성을유지하는지확인하십시오. 각 CA 인증서는여러인스턴스간에일관되게인증서해지목록을참조해야합니다. 예 : CA 인증서는 LDAP 디렉터리서비스의인증서해지목록을일관되게참조합니다. defaultentpriseprivatekey 별칭이모든인스턴스에서동일한개인키 / 인증서쌍을나타냅니다. 동일한별칭이동일한인증서또는키 / 인증서쌍에매핑됩니다. 동일한 CA 인증서가동일한인증서해지목록에매핑됩니다. 해지되거나만료된인증서가없습니다. 모든 CRL 정보가올바릅니다. 중요! 모든데이터불일치를해결한후에는마이그레이션이모두완료되기전까지 smkeydatabase 인스턴스를변경하지마십시오. 기존파트너관계에고유백채널사용자이름이있는지확인 HTTP- 아티팩트싱글사인온트랜잭션중에어설션당사자가보안이유지되는백채널을통해어설션을신뢰당사자에게반환합니다. 엔터티가백채널에액세스하려면인증이필요하도록설정할수있습니다. 백채널에대한인증방법으로 " 기본 " 을선택하는경우사용자이름이필요합니다. 업그레이드하기전에동일한 SAML 프로필내각페더레이션된파트너관계가수신백채널에대해고유한사용자이름을사용하는지확인하십시오. 두개의 SAML 2.0 또는 SAML 1.x 파트너관계가수신백채널사용자이름을공유할수없습니다. 참고 : SAML 1.x 및 SAML 2.0 파트너관계는수신백채널사용자이름을공유할수있지만권장되지는않습니다. 68 설치및업그레이드안내서

69 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 수신백채널사용자이름을공유하는동일한프로토콜의파트너관계가있는경우업그레이드전에다음단계를수행하십시오. 1. 파트너관계중하나를비활성화합니다. 2. 파트너관계에정의된백채널사용자이름을변경합니다. 3. 원격파트너에게이변경사항을알립니다. 파트너관계를다시활성화합니다. 기존구성백업 구성및키데이터베이스의백업은시스템복구나마이그레이션에유용합니다. 구성을백업하려면키데이터베이스를복사하고구성데이터를내보내십시오. 제품에포함되어있는 XPSExport 도구를사용하면구성데이터를 XML 파일로내보낼수있습니다. 중요! 내보내기프로세스중에는페더레이션트랜잭션을진행할수없습니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 69

70 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 구성을백업하려면 1. 키데이터베이스를복사하여안전한위치에저장합니다. 키데이터베이스는다음디렉터리에있습니다. federation_install_dir/siteminder/smkeydatabase 2. 명령창에서다음명령을입력하여 CA SiteMinder Federation Standalone 구성을내보냅니다. XPSExport export_file_name -xa -passphrase passphrase export_file_name 내보내기를통해생성되는출력파일의이름을지정합니다. XPSExport 에서생성하는출력은 XML 형식이기때문에파일이름도.xml 확장명으로끝나야합니다. passphrase 중요한데이터를암호화하는데필요한암호를지정합니다. 암호는 8 자이상이고숫자, 대문자, 소문자를각각하나이상포함해야합니다. 암호에공백이포함되어있는경우암호를따옴표로묶어야합니다. 참고 : 암호를직접입력하지않으려면명령에서제외해도됩니다. 그러면 XPSExport 도구가화면에표시되지않게암호와암호확인을묻는메시지를표시합니다. 이제키데이터베이스복사본및암호화된구성데이터가포함된 XML 파일이만들어졌습니다. Windows 에서 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 CA SiteMinder?Federation Standalone 을지원하는운영플랫폼이실행되고있는 Windows 시스템에서는동일한운영플랫폼에서 CA SiteMinder?Federation Standalone r12.52 SP1 로직접업그레이드할수있습니다. r12.52 SP1 에서지원되지않는운영체제에서기존시스템을실행하는경우직접업그레이드할수없으므로먼저구성을마이그레이션하십시오 ( 페이지 77). 참고 : 업그레이드하기전에파트너관계를비활성화할필요가없습니다. 70 설치및업그레이드안내서

71 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 r12.52 SP1 CA SiteMinder?Federation Standalone 설치관리자실행파일을실행하여업그레이드하십시오. 업그레이드하더라도이전 CA SiteMinder?Federation Standalone 구성이유지됩니다. 중요! 다음의설치제한을확인하십시오. 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. 이러한다른구성요소가있는시스템에 CA SiteMinder Federation Standalone 을설치하면기존 SiteMinder 설치에부정적인영향을미칠수있습니다. 기존 Apache 웹서버또는 Apache Tomcat 서버가있는시스템에는제품을설치하지마십시오. 설치관리자가 smkeydatabase 파일을발견하면설치관리자는다음작업을수행합니다. smkeydatabase 를백업합니다. 콘텐츠를인증서데이터저장소로마이그레이션하려고시도합니다. 중요! smkeydatabase 마이그레이션에실패할경우시스템을원래환경으로되돌리지마십시오. 이경우인증서데이터를필요로하는모든트랜잭션이실패하게됩니다. 설치키트를찾으려면 1. CA 기술지원사이트에로그온합니다. 2. "Download Center"( 다운로드센터 ) 를클릭합니다. 3. "Download Center"( 다운로드센터 ) 에서필요한설치키트를검색합니다. Windows 에서 CA SiteMinder Federation Standalone 을업그레이드하려면 1. 실행중인응용프로그램을모두종료합니다. 2. 설치프로그램을실행할폴더로이동합니다. 3. 설치실행파일을폴더로복사합니다. 참고 : 설치실행파일의목록을확인하십시오. 4. installation_executable 를두번클릭합니다. 설치마법사가시작됩니다. 5. 설치를진행합니다. 6. 설치설정을검토하고 " 설치 " 를클릭합니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 71

72 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 7. 설치프로그램이실행되어시스템을업그레이드합니다. 메시지가나타나면시스템을다시시작합니다. 8. 시스템이업그레이드에의해생성된새파일을사용하도록 AssertionGeneratorFramework.properties 파일의이름을변경합니다. a. federation_install_dir\siteminder\config\properties 로이동합니다. b. 보존하기위해기존 AssertionGeneratorFramework.properties 파일의이름을 AssertionGeneratorFramework.properties.old 등과같이변경합니다. c. 업그레이드에의해생성되는 AssertionGeneratorFramework.properties.new 파일에서.new 확장명을제거합니다. 9. 업그레이드가완료되면올바른파일이로드되도록브라우저에서모든임시파일을지웁니다. 참고 : SiteMinder 커넥터가활성화된환경에서업그레이드하는경우커넥터를사용하는파트너관계는변경이필요없이계속작동합니다. 업그레이드가완료된후개별파트너관계를기준으로커넥터를활성화또는비활성화할수있습니다. 업그레이드전에커넥터가활성화되지않은경우지정된파트너관계와사용할수있도록활성화하고구성하십시오. 업그레이드오류발생시수행할작업 데이터베이스업그레이드가실패하면 CA SiteMinder?Federation Standalone 은 policy_store_upgrade 스크립트를실행하라는내용의오류메시지를표시합니다. 업그레이드스크립트 (policy_store_upgrade.bat) 는 federation_install_dir/install_config_info 에있습니다. 설치도중다른문제가발생하면설치로그파일 CA_Federation_Standalone_Install_date_time.log 및업그레이드로그파일 CA_Federation_policy_store_upgrade.log 를검토하십시오. 두파일모두 federation_install_dir/install_config_info 디렉터리에있습니다. 72 설치및업그레이드안내서

73 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 UNIX 에서 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 UNIX 시스템에서는동일한운영플랫폼과동일한데이터베이스에서 CA SiteMinder?Federation Standalone r12.52 SP1 로직접업그레이드할수있습니다. r12.52 SP1 에서지원되지않는운영체제에서기존시스템을실행하는경우직접업그레이드할수없으므로먼저구성을마이그레이션하십시오 ( 페이지 77). r12.52 SP1 CA SiteMinder Federation Standalone 설치관리자를실행합니다. 업그레이드하더라도이전구성이유지됩니다. 설치관리자가 smkeydatabase 파일을발견하면설치관리자는다음작업을수행합니다. smkeydatabase 를백업합니다. 콘텐츠를인증서데이터저장소로마이그레이션하려고시도합니다. 중요! smkeydatabase 마이그레이션에실패할경우시스템을원래환경으로되돌리지마십시오. 이경우인증서데이터를필요로하는모든트랜잭션이실패하게됩니다. 이지침은 UNIX 시스템의 GUI 및콘솔모드설치에적용됩니다. 두모드의단계는동일하지만콘솔모드에는다음의예외가있습니다. 해당번호를입력하면옵션을선택하라는메시지가나타날수있습니다. 각단계가끝나면 Enter 키를눌러계속진행합니다. 각모드의프롬프트에따라과정을진행할수있습니다. 이전단계로가려면 BACK 을입력합니다. 중요! 다음의설치제한을확인하십시오. 정책서버또는 SPS( 보안프록시서버 ) 가이미설치된시스템에는 CA SiteMinder Federation Standalone 을설치하지마십시오. 이러한다른구성요소가있는시스템에 CA SiteMinder Federation Standalone 을설치하면기존 SiteMinder 설치에부정적인영향을미칠수있습니다. 기존 Apache 웹서버또는 Apache Tomcat 서버가있는시스템에는제품을설치하지마십시오. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 73

74 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 r12.52 SP1 CA SiteMinder?Federation Standalone 설치관리자를실행하여 CA SiteMinder?Federation Standalone 을업그레이드하십시오. 플랫폼에맞는설치관리자를선택하십시오. 지원사이트에서설치키트를찾으려면 1. CA 기술지원사이트에로그온합니다. 2. "Download Center"( 다운로드센터 ) 를클릭합니다. 3. "Download Center"( 다운로드센터 ) 에서필요한설치키트를검색합니다. CA SiteMinder Federation Standalone 을업그레이드하려면 중요! 루트사용자로업그레이드를실행하지마십시오. 루트로설치하려고하면설치가취소되고오류메시지가나타납니다. 대신 CA SiteMinder?Federation Standalone 을설치할새사용자계정을만드십시오. 1. 실행중인응용프로그램을모두종료합니다. 참고 : 업그레이드하기전에파트너관계를비활성화할필요가없습니다. 2. 필요한경우 chmod 명령을실행하여설치파일에실행권한을추가합니다. 예를들어다음과같습니다. chmod +x ca-fed-executable-sol.bin 3. 설치프로그램을실행할폴더로이동합니다. 4. 설치바이너리를폴더로복사합니다. 5. 명령창에서다음명령중하나를입력합니다. GUI 모드 :./installation_binary 콘솔모드 :./installation_binary -i console 예 (GUI 모드 ):./ca-fed-executable-sol.bin 설치마법사가시작됩니다. 6. 설치를진행합니다. 7. 설치설정을검토하고 " 설치 "(GUI 모드 ) 를클릭하거나 Y 를입력하여설치 ( 콘솔모드 ) 합니다. CA SiteMinder Federation Standalone 설치프로그램이실행되고서비스가다시시작됩니다. 74 설치및업그레이드안내서

75 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드하는방법 8. 시스템이업그레이드에의해생성된새파일을사용하도록 AssertionGeneratorFramework.properties 파일의이름을변경합니다. a. federation_install_dir\siteminder\config\properties 로이동합니다. b. 보존하기위해기존 AssertionGeneratorFramework.properties 파일의이름을 AssertionGeneratorFramework.properties.old 등과같이변경합니다. c. 업그레이드에의해생성되는 AssertionGeneratorFramework.properties.new 파일에서.new 확장명을제거합니다. 9. 업그레이드가완료되면올바른 CA SiteMinder Federation Standalone 파일이로드되도록브라우저에서모든임시파일을지웁니다. 참고 : SiteMinder 커넥터가활성화된환경에서업그레이드하는경우커넥터를사용하는파트너관계는변경이필요없이계속작동합니다. 업그레이드가완료된후개별파트너관계를기준으로커넥터를활성화또는비활성화할수있습니다. 업그레이드전에커넥터가활성화되지않은경우지정된파트너관계와사용할수있도록활성화하고구성하십시오. 업그레이드오류발생시수행할작업 데이터베이스업그레이드가실패하면 CA SiteMinder?Federation Standalone 은 policy_store_upgrade 스크립트를실행하라는내용의오류메시지를표시합니다. 업그레이드스크립트 (policy_store_upgrade.sh) 는 federation_install_dir/install_config_info 에있습니다. 설치도중다른문제가발생하면설치로그파일 CA_Federation_Standalone_Install_date_time.log 및업그레이드로그파일 CA_Federation_policy_store_upgrade.log 를검토하십시오. 두파일모두 federation_install_dir/install_config_info 디렉터리에있습니다. 중요! smkeydatabase 마이그레이션에실패할경우시스템을원래환경으로되돌리지마십시오. 이경우인증서데이터를필요로하는모든트랜잭션이실패하게됩니다. 제 3 장 : 12.x 시스템을 CA SiteMinder Federation Standalone r12.52 SP1 로업그레이드 75

76

77 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 이섹션은다음항목을포함하고있습니다. CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 ( 페이지 77) r12.52 SP1 로마이그레이션하는방법 ( 페이지 79) 장애조치배포를마이그레이션하는방법 ( 페이지 96) CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 업그레이드는기존 12.x 버전을실행하는시스템에서새버전의 CA SiteMinder?Federation Standalone 으로업데이트하는것입니다. 업그레이드하려면기존시스템은새버전의제품이지원하는운영체제, 데이터베이스및 JDK 를실행해야합니다. 마이그레이션은기존시스템의구성을 r12.52 SP1 가새로설치된시스템으로복제하는것입니다. 새페더레이션시스템은지원되는데이터베이스버전과통신해야합니다. 참고 : r12.52 SP1 환경으로마이그레이션할경우지원되는데이터베이스가포함되어야합니다. r12.52 SP1 가지원하지않는데이터베이스가사용자환경에서사용되고있는경우에는지원되는데이터베이스서버를설치하고데이터를새데이터베이스로이동하십시오. 마지막으로 r12.52 SP1 로마이그레이션합니다. r12.52 SP1 로업그레이드할때 Federation Agent for Windows Authentication 이설치된경우에는에이전트를페더레이션시스템과동일한버전으로업그레이드하십시오. 그렇지않으면에이전트가제대로작동하지않습니다. 버전별상세내용은기술지원사이트의 "Platform Support Matrix"( 플랫폼지원표 ) 를참조하십시오. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 77

78 CA SiteMinder Federation Standalone 의업그레이드및마이그레이션경로 사용가능한다음경로에기반하여 r12.52 SP1 로업그레이드하거나마이그레이션할수있습니다. Windows 기존페더레이션버전 데이터베이스가 r12.52 SP1 에서작동하는지여부 업그레이드또는마이그레이션 모든 SP 를포함한 r12.0 아니요 r12.52 SP1 로 마이그레이션 모든 SP 를포함한 r12.1 아니요 r12.52 SP1 로 마이그레이션 r12.1 SP3 예 r12.52 SP1 로업그레이드 Solaris/Linux 기존페더레이션버전 데이터베이스가 r12.52 SP1 에서작동하는지여부 업그레이드또는마이그레이션 모든 SP 를포함한 r12.0 아니요 r12.52 SP1 로 마이그레이션 모든 SP 를포함한 r12.1 아니요 r12.52 SP1 로 마이그레이션 r12.1 SP3 예 r12.52 SP1 로 업그레이드 FIPS 마이그레이션 CA SiteMinder?Federation Standalone 은비 FIPS 에서 FIPS 전용환경으로의마이그레이션을지원하지만마이그레이션프로세스가복잡합니다. 비 FIPS 에서 FIPS 전용환경으로마이그레이션하려면먼저 r12.52 SP1 로의업그레이드를완료하십시오. 업그레이드가성공적으로수행되면 FIPS 마이그레이션프로세스를수행합니다. 78 설치및업그레이드안내서

79 r12.52 SP1 로마이그레이션하는방법 r12.52 SP1 로마이그레이션하는방법 r12.52 SP1 이전배포는 r12.52 SP1 가지원하지않는운영플랫폼에서실행되거나 r12.52 SP1 가지원하지않는데이터베이스를사용할수있습니다. 그에따라 r12.52 SP1 이전환경에서 r12.52 SP1 로마이그레이션할수있습니다. CA SiteMinder?Federation Standalone 구성을새시스템으로마이그레이션하면구성이복제됩니다. 기존구성을복사하면새시스템에서구성프로세스전체를반복하지않아도됩니다. r12.52 SP1 시스템으로마이그레이션하려면다음태스크를완료하십시오. 중요! 명시되어있는대로가져오기단계를수행해야합니다. 복사절차가완료되기전까지는 CA SiteMinder?Federation Standalone UI 의 " 인증서및키 " 탭에액세스하지마십시오. 1. 여러개의키데이터베이스를동기화합니다 ( 클러스터를마이그레이션하는경우 ). ( 페이지 67) 2. 기존구성을 XML 파일로내보냅니다 ( 페이지 83). 3. 새시스템에서설치프로그램을실행합니다. ( 페이지 84) 4. 기존구성을새시스템으로가져옵니다 ( 페이지 85). 5. 키데이터베이스를인증서데이터저장소로마이그레이션합니다 ( 페이지 87). 6. SSL 키및인증서데이터를마이그레이션합니다 ( 페이지 90). 모든데이터를마이그레이션한후파트너관계를다시활성화하십시오. 참고 : XPSExport 및 XPSImport 도구는제품과함께제공됩니다. 중요! 마이그레이션은프로덕션환경이아니라테스트환경에서수행하는것이좋습니다. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 79

80 r12.52 SP1 로마이그레이션하는방법 다음그림에서는단일시스템의마이그레이션경로를보여줍니다. 다음그림에서는클러스터환경에대한마이그레이션경로를보여줍니다. 장애조치를지원하도록클러스터를설정할수있습니다. 비클러스터마이그레이션과비슷한절차를사용하여기존 r12.x 클러스터에서새클러스터로마이그레이션할수있습니다. 클러스터를마이그레이션하려면기존클러스터의각시스템에대해새 r12.52 SP1 시스템을설정합니다. 클러스터의시스템은하나의데이터저장소를공유합니다. 모든데이터를새 r12.52 SP1 데이터저장소로마이그레이션합니다. 80 설치및업그레이드안내서

81 r12.52 SP1 로마이그레이션하는방법 다음단계를수행하십시오. 1. 구성을 XML 파일로내보내고키데이터베이스를복사합니다. 내보낸파일은백업구성으로사용될수있습니다. 2. 키데이터베이스인스턴스를동기화합니다. 3. 각각의새시스템에서 CA SiteMinder Federation Standalone 을설치하고구성합니다. 4. 각각의새시스템을구성합니다. 원본시스템에사용하던것과동일한설정을새시스템에사용합니다. 새시스템에대해다음설정이일치해야합니다. 배포모드 새시스템에동일한배포모드 ( 프록시또는독립실행형 ) 를사용합니다. SiteMinder 커넥터 원본시스템에서 SiteMinder 가사용되도록설정된경우새시스템에서도활성화해야합니다. 포트번호 구성마법사를실행할때원본시스템이사용하던것과동일한포트를새시스템에대해지정합니다. 가상호스트이름 원본시스템이가상호스트를사용한경우새시스템에서도동일한가상호스트이름을사용합니다. 또한호스트파일에서새시스템에대한적절한항목을만듭니다. 5. 내보낸구성을원본시스템에서새시스템으로가져옵니다. 이프로세스는다음단원에서자세히설명합니다. 키데이터베이스동기화 12.5 이전시스템에서는개인키및인증서데이터를 smkeydatabase 라고하는키저장소에저장했습니다. 이제이데이터는데이터저장소와함께있는인증서데이터저장소에저장됩니다. 인증서데이터저장소를사용하면환경의각페더레이션시스템이로컬 smkeydatabase 에액세스할필요가없습니다. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 81

82 r12.52 SP1 로마이그레이션하는방법 설치관리자는업그레이드도중로컬 smkeydatabase 를자동으로백업하고모든콘텐츠를인증서데이터저장소로마이그레이션하려고시도합니다. 이프로세스에서는마이그레이션을시작하기전에 smkeydatabase 와 CDS 를비교합니다. 이렇게비교하는목적은마이그레이션실패를초래할수있는데이터불일치 ( 예 : 서로다른인증서에동일한별칭이매핑된경우 ) 를식별하는것입니다. 클러스터환경에는 smkeydatabase 의인스턴스가여러개있습니다. r12.52 SP1 로업그레이드또는마이그레이션하기전에정보일관성을유지하기위해모든 smkeydatabase 인스턴스를동기화하십시오. 데이터베이스를동기화하면각인스턴스가 CDS 로마이그레이션될때불일치가발생하는것을방지할수있습니다. Administrative UI 의 " 인증서및키 " 탭에서 smkeydatabase 인스턴스간의모든데이터불일치를해결하십시오. 다음데이터가여러키데이터베이스인스턴스간에일관성을유지하는지확인하십시오. 각 CA 인증서는여러인스턴스간에일관되게인증서해지목록을참조해야합니다. 예 : CA 인증서는 LDAP 디렉터리서비스의인증서해지목록을일관되게참조합니다. defaultentpriseprivatekey 별칭이모든인스턴스에서동일한개인키 / 인증서쌍을나타냅니다. 동일한별칭이동일한인증서또는키 / 인증서쌍에매핑됩니다. 동일한 CA 인증서가동일한인증서해지목록에매핑됩니다. 해지되거나만료된인증서가없습니다. 모든 CRL 정보가올바릅니다. 중요! 모든데이터불일치를해결한후에는마이그레이션이모두완료되기전까지 smkeydatabase 인스턴스를변경하지마십시오. 82 설치및업그레이드안내서

83 r12.52 SP1 로마이그레이션하는방법 구성을 XML 파일로내보내기 기존시스템의구성을 XML 파일로내보내서 r12.5 이전구성을새시스템으로복제할수있습니다. 이태스크를완료하려면 XPSExport 도구를사용하십시오. CA SiteMinder?Federation Standalone 과함께제공되는 XPSExport 도구를사용하면데이터저장소의모든데이터를 XML 파일로내보낼수있습니다. 중요! 구성백업이진행중일때는페더레이션트랜잭션이실패합니다. 구성을내보내려면 1. 키데이터베이스디렉터리를복사하여안전한위치에저장합니다. 키데이터베이스는다음디렉터리에있습니다. federation_install_dir/siteminder/smkeydatabase 마이그레이션프로세스도중이디렉터리를다른시스템으로복사합니다. 2. 명령창에서다음명령을입력하여구성을내보냅니다. XPSExport export_file_name -xa -passphrase passphrase export_file_name 내보내기를통해생성되는출력파일의이름을지정합니다. XPSExport 의출력은 XML 형식이므로파일이름은.xml 확장명으로끝나야합니다. passphrase 중요한데이터를암호화하는데필요한암호를지정합니다. 이암호는 8 자이상이고숫자, 대문자, 소문자를각각하나이상포함해야합니다. 암호에공백이포함되어있는경우암호를따옴표로묶어야합니다. 참고 : 암호를직접입력하지않으려면명령에서제외해도됩니다. 그러면 XPSExport 도구가화면에표시되지않게암호와암호확인을묻는메시지를표시합니다. 이제암호화된구성데이터가포함된 XML 파일이생성되었으며이를사용하여다른시스템에서구성을복제할수있습니다. 3. 구성을성공적으로백업한후에는설치프로그램을실행 ( 페이지 84) 하십시오. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 83

84 r12.52 SP1 로마이그레이션하는방법 CA SiteMinder Federation Standalone 설치프로그램실행 구성을마이그레이션하기전에새시스템에서설치프로그램을실행합니다. 다음단계를수행하십시오. 1. 원본시스템의설치에사용된것과동일한설정을새설치에사용하여제품을설치합니다. 2. 페더레이션데이터개체를가져올새데이터베이스인스턴스를설정합니다. 중요! 기존데이터베이스를사용하지마십시오. 기존데이터베이스를사용하면가져오기가실패합니다. 3. " 구성마법사 " 를실행하고해당메시지가표시되면새데이터베이스인스턴스를지정합니다. 원본시스템에사용한것과동일한설정을새구성에사용합니다. 다음과같은설정이포함됩니다. 배포모드 포트번호 가상호스트이름 SiteMinder 커넥터 84 설치및업그레이드안내서

85 r12.52 SP1 로마이그레이션하는방법 기존구성을새시스템으로가져오기 1. XPSImport 명령을사용하여모든구성데이터를가져옵니다. 해당구문은다음과같습니다. XPSImport export_file_name -passphrase passphrase export_file_name 원래구성을내보낼때생성된 XML 파일의이름을지정합니다. 파일이름확장명은.xml 이어야합니다. passphrase 중요한데이터를암호해독하는데필요한암호를지정합니다. 이암호는파일로내보낼데이터를암호화하는데사용한암호와동일해야합니다. XML 파일을처음만든관리자로부터암호를받으십시오. 암호는 8 자이상이고숫자, 대문자, 소문자를각각하나이상포함해야합니다. 암호에공백이포함되어있는경우암호를따옴표로묶어야합니다. 2. 플랫폼에따라 CA SiteMinder Federation Standalone 서비스를중지합니다. Windows CA SiteMinder Federation Standalone 중지바로가기를사용합니다. 로컬관리자가아닌네트워크사용자로로그인한경우에는바로가기를마우스오른쪽단추로클릭하고 " 관리자권한으로실행 " 을선택하십시오. " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone", " 서비스중지 " 를차례로선택합니다. UNIX a. 명령창을엽니다. b. federation_install_dir/fedmanager.sh stop 스크립트를실행합니다. 참고 : 서비스를중지했다가루트사용자로시작하지마십시오. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 85

86 r12.52 SP1 로마이그레이션하는방법 3. ODBC 데이터베이스 (SQL 또는 Oracle) 를사용자저장소로사용하는환경의경우데이터베이스에대한데이터원본이름을지정해야합니다. Windows: a. " 관리도구 " 제어판에서 " 데이터원본 (ODBC)" 으로이동합니다. b. 새데이터원본항목을추가하고해당항목에대한데이터원본이름을지정합니다. 데이터원본을추가하는방법은 Windows 설명서를참조하십시오. UNIX: 데이터베이스의 DSN( 데이터원본이름 ) 을포함하도록 system_odbc.ini 파일을수정합니다. 이 DSN 은마이그레이션하기전사용되고있는데이터베이스의이름을지정합니다. CA SiteMinder Federation Standalone 시스템이데이터베이스에연결하고트랜잭션을완료하려면이 DSN 항목이필요합니다. a. federation_install_dir/siteminder/db 디렉터리로이동합니다. b. 텍스트편집기에서 system_odbc.ini 파일을엽니다. c. DSN 를추가합니다. d. 파일을저장합니다. 참고 : 동일한 system_odbc.ini 파일에 SQL 및 Oracle 데이터원본을추가할수있습니다. 4. 원본시스템의 CA SiteMinder Federation Standalone 구성과동일한설정을사용하여구성마법사를다시실행합니다. 다음과같은설정이포함됩니다. 배포모드 포트번호 가상호스트이름 SiteMinder 커넥터 중요! Apache Tomcat http.conf 파일또는 SPS server.conf 파일을수동으로변경한경우에는새시스템에서도해당파일을동일하게변경하십시오. 86 설치및업그레이드안내서

87 r12.52 SP1 로마이그레이션하는방법 5. 다음태스크중하나를수행하여 SSL 키및인증서를마이그레이션합니다. SSL 키및인증서를새시스템으로마이그레이션합니다. SSL 마이그레이션절차를따릅니다. SSL 데이터를마이그레이션하면새로운키나인증서를구입하지않아도됩니다. 새로운키 / 인증서요청을생성한다음인증서서명을받습니다. 가져온구성파일에는 SSL 인증서가포함되어있지않습니다. 모든데이터를마이그레이션한후파트너관계를다시활성화하십시오. 키데이터베이스를인증서데이터저장소로마이그레이션 사용자환경에하나이상의키데이터베이스 (smkeydatabase) 가포함된경우내용을 r12.52 SP1 인증서데이터저장소로마이그레이션하십시오. 참고 : SSL 키및인증서를마이그레이션하려면 SSL 마이그레이션절차 ( 페이지 90) 를참조하십시오. 인증서데이터저장소는키데이터베이스를대체합니다. 환경에하나이상의 smkeydatabase 를배포한경우에는다음사항을고려하십시오. 인증서데이터저장소는데이터서버와같은곳에배치됩니다. 인증서데이터저장소하나가있으면각호스트시스템마다개별적인 smkeydatabase 인스턴스가있을필요가없습니다. 업그레이드의일환으로모든 smkeydatabase 콘텐츠가자동으로백업되고인증서데이터저장소로마이그레이션됩니다. 페더레이션시스템은인증서데이터저장소하고만통신할수있습니다. smkeydatabase 는호환성모드에서작동하지않습니다. 중요! smkeydatabase 의마이그레이션이실패한경우페더레이션시스템을환경으로되돌리지마십시오. 마이그레이션실패후시스템을되돌리면인증서데이터를필요로하는모든트랜잭션이실패하게됩니다. 마이그레이션을시작하기전에모든 smkeydatabase 인스턴스를동기화하십시오. 모든인스턴스를동기화하면데이터충돌을방지할수있습니다. 데이터충돌이있으면마이그레이션에성공할수없습니다. 동일한데이터베이스서버에대한공통의보기를공유하는모든페더레이션시스템은동일한키, 인증서및 CRL( 인증서해지목록 ) 에액세스할수있습니다. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 87

88 r12.52 SP1 로마이그레이션하는방법 인증서데이터저장소의용도는 smkeydatabase 의용도에서변경되지않고유지됩니다. 이저장소는 SiteMinder 환경에서다음을사용할수있게합니다. CA( 인증기관 ) 인증서 공개키및개인키 인증서해지목록 CRL 이 LDAP 디렉터리서비스에저장된경우다음사항을고려하십시오. 페더레이션시스템은더이상 CRL 의발급자가해당루트인증서를발행한동일한 CA 일것을요구하지않습니다. 페더레이션시스템은더이상이검사를수행하지않습니다. 이동작은텍스트기반 CRL 에대한요구사항과일치합니다. 마이그레이션유틸리티를실행하여데이터를 CDS 로이동 키데이터베이스를 CDS 로마이그레이션할때의고려사항을검토한후에는마이그레이션유틸리티인 smmigratecds 를실행합니다. 다음단계를수행하십시오. 1. 모든 r12.x smkeydatabase 가동기화 ( 페이지 67) 되었는지확인합니다. 2. r12.x 호스트시스템에로그인하고다음위치로이동합니다. federation_install_dir\siteminder\config\properties federation_install_dir CA SiteMinder Federation Standalone 설치경로를지정합니다. 3. 다음파일을복사합니다. smkeydatabase.properties 4. r12.52 SP1 호스트시스템에로그인하고다음단계를완료하십시오. a. 다음위치로이동합니다. federation_install_dir\siteminder\config\properties b. smkeydatabase 속성파일의 r12.52 SP1 버전의이름을다음값으로변경합니다. newsmkeydatabase.properties c. 디렉터리에 r12.x 버전의속성파일을추가합니다. d. r12.52 SP1 및 r12.x 속성파일을텍스트편집기에서엽니다. 88 설치및업그레이드안내서

89 r12.52 SP1 로마이그레이션하는방법 e. r12.x 버전의데이터베이스위치경로를 r12.52 SP1 버전의경로와일치하도록편집합니다. Windows 예 DBLocation=C:\CA\FederationStandalone\siteminder\smkeydatab ase Solaris/Linux 예 DBLocation=export/fed/CA/FederationStandalone/siteminder/sm keydatabase f. r12.x 속성파일을저장하고 r12.52 SP1 속성파일을닫습니다. g. CA SiteMinder Federation Standalone 설치루트에다음디렉터리를생성합니다. smkeydatabase Windows 예 : C:\Program Files\CA\FederationStandaloe\siteminder\smkeydatabase Solaris/Linux 예 export/fed/ca/federationstandalone/siteminder/smkeydatabase 5. r12.x 호스트시스템으로돌아가서 smkeydatabase 디렉터리의내용을복사합니다. 6. r12.52 SP1 호스트시스템으로돌아가서다음단계를완료하십시오. a. r12.x smkeydatabase 디렉터리의내용을앞에서생성한 r12.52 SP1 smkeydatabase 디렉터리에추가합니다. b. 다음명령을입력하여 smkeydatabase 를인증서데이터저장소로마이그레이션합니다. smmigratecds c. 마이그레이션에성공하면 smkeydatabase 속성파일과 smkeydatabase 디렉터리를제거합니다. 마이그레이션이완료되었습니다. 키데이터베이스마이그레이션이실패하면수동으로 CDS 로마이그레이션할수있습니다. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 89

90 . r12.52 SP1 로마이그레이션하는방법 추가정보 : 키데이터베이스마이그레이션문제해결 ( 페이지 123) SSL 키및인증서마이그레이션 ( 선택사항 ) CA SiteMinder?Federation Standalone r12.52 SP1 의경우포함된 Apache 및 Tomcat 서버에대한 SSL 키와인증서파일이암호화됩니다 및 12.0 SP1 릴리스에서는이러한파일이암호화되지않습니다. 암호화된파일에대한키 / 인증서쌍을새로구매하는것을방지하려면기존키또는인증서파일을 CA SiteMinder?Federation Standalone r12.0/r12.0 SP1 에서 r12.52 SP1 로마이그레이션하십시오. 이러한파일을마이그레이션하지않고백업용도로내보낼수도있습니다. 중요! r12.1 이전시스템에서는포함된 Tomcat 서버가자체서명된인증서를사용합니다. r12.52 SP1 로의마이그레이션에는이자체서명된인증서를사용할수없습니다. 서명된인증서를구매하고 Tomcat SSL 구성을서명된인증서로업그레이드하십시오. Apache 의경우 r12.0 부터 SSL 연결을위한파일을마이그레이션할수있습니다. Tomcat 의경우 r12.0 에서는자체서명된인증서로 Tomcat 키저장소를보호하기때문에 r12.1 이상의파일만마이그레이션할수있습니다. r12.1 부터페더레이션제품은인증기관이인증서를서명해야합니다. SSL 키및인증서파일은다음과같은경우에유용합니다. 기존시스템을업그레이드하는대신새시스템에있는다른버전의 CA SiteMinder Federation Standalone 으로이동하는경우. SSL 키또는인증서를기존시스템에서새시스템으로마이그레이션합니다. SSL 키와인증서를클러스터의한시스템에서다른시스템으로마이그레이션하는경우. 마이그레이션을수행하면키와인증서를재사용할수있습니다. 예를들어부하분산장치가 SSL 요청을클러스터의페더레이션시스템으로전달하는경우각시스템이동일한키와인증서를사용해야합니다. 따라서키와인증서를한시스템에서다른시스템으로마이그레이션합니다. 참고 : 12.0 시스템을 r12.52 SP1 로업그레이드하면설치관리자는자동으로 Apache 및 Tomcat SSL 키와인증서파일을암호화된파일로업그레이드합니다. 마이그레이션에는이자동화가적용되지않습니다. 90 설치및업그레이드안내서

91 r12.52 SP1 로마이그레이션하는방법 인증서및개인키파일은다음과같습니다. Apache server.key 파일에개인키가포함되어있습니다. server.cert 파일에서버인증서가포함되어있습니다. Tomcat r12.0 의경우 tomcat.keystore 파일에자체서명된인증서가포함되어있습니다. r12.x 의경우 tomcat.keystore 파일에 CA 서명된인증서및개인키쌍이포함되어있습니다. 이러한파일을마이그레이션하거나내보내려면 migratessl 이라는 SSL 유틸리티를사용하십시오. 마이그레이션유틸리티는 Windows 시스템의경우배치파일로, UNIX 시스템의경우셸스크립트의형태로 CA SiteMinder?Federation Standalone r12.52 SP1 에포함되어있습니다. 이도구는 federation_install_dir/bin 폴더에있습니다. SSL 파일을마이그레이션하는프로세스는다음과같습니다. 1. 키및인증서파일을기존페더레이션시스템에서 r12.52 SP1 시스템의원하는위치로복사합니다. 2. 키와인증서파일을복사한위치로 migratessl 도구를복사합니다. 3. 서명된인증서를마이그레이션하는경우 SSL 인증서에서명한인증기관인증서를내보냅니다. 마이그레이션을계속하기전에먼저 CA 인증서를가져옵니다. 참고 : 이마이그레이션프로세스를건너뛰고, 새키 / 인증서요청을생성한다음인증서서명을받을수도있습니다. 가져온구성파일에는 SSL 인증서가포함되어있지않습니다. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 91

92 r12.52 SP1 로마이그레이션하는방법 r12 시스템에서키및인증서파일복사 SSL 마이그레이션도구를사용하려면먼저마이그레이션하거나내보낼원본 CA SiteMinder?Federation Standalone 시스템의키및인증서파일을수집한후복사하십시오. SSL 키및인증서파일을복사하려면 1. 기존 CA SiteMinder Federation Standalone 시스템에서파일을찾습니다. Apache SSL 키및인증서파일은다음위치에있습니다. federation_install_dir/secure-proxy/ssl/keys/server.key federation_install_dir/secure-proxy/ssl/certs/server.crt Tomcat SSL 키저장소파일의위치는다음과같습니다. federation_install_dir/secure-proxy/ssl/keys/tomcat.keystore 2. 키및인증서파일을새 CA SiteMinder Federation Standalone 컴퓨터의원하는위치로복사합니다. SSL 마이그레이션도구를키 / 인증서파일과동일한폴더에복사 SSL 마이그레이션도구에는 CA SiteMinder?Federation Standalone 12.1 SP3 과함께배포되는소프트웨어가필요합니다. CA SiteMinder?Federation Standalone 12.1 SP3 제품이설치된컴퓨터에서도구를실행하십시오. 도구는마이그레이션될파일을복사한폴더와동일한폴더에있어야합니다. SSL 유틸리티도구를복사하려면 1. r12.52 SP1 시스템에서 federation_install_dir/bin 으로이동합니다. 2. migratessl 파일 (.bat 또는.sh) 을키및인증서파일을복사한 r12.52 SP1 시스템의위치로복사합니다. SSL 키및인증서마이그레이션또는내보내기 migratessl 유틸리티를실행하여 SSL 키또는인증서파일마이그레이션을완료하십시오. 92 설치및업그레이드안내서

93 r12.52 SP1 로마이그레이션하는방법 다음단계를수행하십시오. 1. 마이그레이션하려는 SSL 인증서에원래서명한인증기관인증서를가져옵니다. a. 마이그레이션하는원본시스템에서 CA SiteMinder Federation Standalone UI 를사용하여 CA 인증서를내보냅니다. b. 마이그레이션하는새대상시스템에서 CA SiteMinder Federation Standalone UI 를사용하여 CA 인증서를가져옵니다. 2. 기존키또는인증서파일을복사한새시스템에서명령창을엽니다. 3. 구성요소를복사한폴더로이동합니다. 4. migratessl 명령을필요한명령인수와함께지정합니다. 모든옵션을보려면마이그레이션도구명령인수 ( 페이지 94) 목록을참조하십시오. 예 Apache SSL 연결에사용할 SSL server.key 를마이그레이션하려면다음을입력하십시오. migratessl.bat -op migrate -keytype Apache -sourcefile server.key -certfile server.crt -sourcever sourceos Windows -oldpwd admin1 -newpwd admin2 -issueralias trustedca Tomcat SSL 연결에사용되는키 / 인증서파일을마이그레이션하려면다음을입력하십시오. migratessl.sh -op migrate -keytype Tomcat -sourcefile tomcat.keystore -sourcever sourceos UNIX -issueralias trustedca -oldpwd admin1 -newpwd admin2 Tomcat SSL 연결에사용되는키 / 인증서파일을내보내려면다음을입력하십시오. migratessl.sh -op export -keytype Tomcat -sourcefile tomcat.keystore -sourcever sourceos UNIX -dest ca/federationmgr/secure-proxy/ SSL/keys/ -oldpwd admin1 -newpwd admin2 전체구성마이그레이션의일부로 SSL 키와인증서를마이그레이션하는경우에는파트너관계를다시활성화하여마이그레이션프로세스를완료하십시오. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 93

94 r12.52 SP1 로마이그레이션하는방법 SSL 마이그레이션도구명령인수 명령줄에서 migratessl 도구가호출됩니다. 명령을입력할때다음사항에유의하십시오. 각명령인수에값을하나씩만입력합니다 (Help 플래그제외 ). 디렉터리경로처럼공백이있는값은큰따옴표로묶습니다. 명령인수 -op -keytype -sourcefile -certfile -sourcever -sourceos -dest 의미 마이그레이션또는내보내기 기본값 : Migrate -certfile 인수를지정한경우도구는 Apache 용으로내보낼때 server.key 파일및 server.crt 파일을내보냅니다. Tomcat 의경우도구는 PKCS#12 키 / 인증서파일인 tomcat.p12 파일을내보냅니다. Apache 또는 Tomcat 기본값 : Apache SSL 키가포함된파일 (Apache) 또는키와인증서가포함된키저장소 (Tomcat) 의이름입니다. Apache SSL 서버인증서가포함된파일의이름입니다 (Apache 에만해당 ). 키또는인증서를가져온원본 CA SiteMinder Federation Standalone 버전입니다 ( 예 : 12.0, 12.1). 기본값 : 12.0 키를가져온원본환경의운영체제입니다 ( 예 : Windows 또는 UNIX). 참고 : Linux 는 r12.1 SP3 부터지원되었기때문에 Linux 옵션은없습니다. 기본값 : 도구를실행중인컴퓨터의 OS 입니다. 출력파일에대한폴더의경로입니다. 마이그레이션에서이옵션은무시됩니다. 내보내기기본값 : 현재폴더 중요! 대상폴더를지정하지않으면마이그레이션할파일을덮어쓰게됩니다. 94 설치및업그레이드안내서

95 r12.52 SP1 로마이그레이션하는방법 -issueralias -oldpwd -newpwd 마이그레이션중인인증서에서명한 CA 인증서의별칭입니다. CA 인증서를이별칭을사용하여대상 CA SiteMinder Federation Standalone 시스템으로가져옵니다. 마이그레이션에만사용되며내보내기의경우에는무시됩니다. 키가있는원본시스템의 CA SiteMinder Federation Standalone 관리암호입니다. 키를이동할대상시스템의 CA SiteMinder Federation Standalone 관리암호입니다. -h 사용지침을표시합니다. -help 사용지침을표시합니다. -? 사용지침을표시합니다. SSL 과 SiteMinder 커넥터재구성 ( 선택사항 ) 이전구성이 SSL 또는 SiteMinder 커넥터를사용한경우마이그레이션을완료한후다음단계를완료하십시오. 1. Administrative UI 에로그인합니다. 중요! 전체절차가완료되기전까지는 Administrative UI 의 " 인증서및키 " 탭에액세스하지마십시오. 2. ( 선택사항 ) 원래시스템에서커넥터가활성화되어있었으면다음단계를따라새시스템에서커넥터를구성및활성화할수있습니다. a. " 인프라 " 탭을클릭하고 " 배포설정 " 을선택합니다. b. 원래구성과동일한값을사용하여커넥터설정을다시구성합니다. c. " 호스트등록 " 을클릭하여정책서버에페더레이션시스템을등록합니다. 참고 : 새시스템에서커넥터를구성및활성화하는경우모든파트너관계가기본적으로커넥터를사용하게됩니다. 개별파트너관계에대해커넥터를사용하지않도록설정하려면특정파트너관계를편집하십시오. 제 4 장 : CA SiteMinder Federation Standalone r12.52 SP1 로마이그레이션 95

96 장애조치배포를마이그레이션하는방법 3. ( 선택사항 ) SSL 이원래시스템에서아티팩트백채널또는 Administrative UI 에대해활성화되어있었으면새시스템에서 SSL 을재구성합니다. 페더레이션트랜잭션을처리하기전에 SSL 을활성화합니다. 포함된웹서버의경우기존 SSL 키및인증서를마이그레이션하거나새키 / 인증서요청을생성하십시오. 마지막으로인증서에서명을받습니다. 가져온구성파일에는 SSL 인증서가포함되어있지않습니다. 이제새시스템은원본시스템과동일한구성으로작동합니다. 장애조치배포를마이그레이션하는방법 기존 r12x 장애조치배포를 r12.52 SP1 장애조치배포로마이그레이션할수있습니다. 다음그림에서는장애조치를지원하기위한클러스터환경을보여줍니다. 장애조치배포를 r12.52 SP1 로마이그레이션하려면다음단계를수행해야합니다. 1. 기존구성을새 r12.52 SP1 시스템으로복사합니다. 2. 적절한 URL 을새 r12.52 SP1 시스템으로전달하도록프록시서버또는부하분산장치를업데이트합니다. 96 설치및업그레이드안내서