CA SiteMinder Secure Proxy Server 관리 안내서

Transcription

1 CA SiteMinder Secure Proxy Server 관리안내서 SP1

2

3 도움말시스템및전자적으로배포된매체를포함하는본문서 ( 이하 " 문서 ") 는최종사용자에게정보를제공하기위한것이며, CA 는언제든지본문서를변경또는철회할수있습니다. 본문서는 CA 의재산적정보이며 CA 의사전서면동의없이본문서의전체혹은일부를복사, 전송, 재생, 공개, 수정또는복제할수없습니다. CA 소프트웨어의라이선스를허여받은사용자들은본인및그직원들의해당소프트웨어와관련된내부적인사용을위해 1 부의문서사본을만들수있습니다. 단, 이경우복사본에는 CA 저작권표시및문구일체가기재되어야합니다. 본건문서의사본인쇄또는제작권한은해당소프트웨어의라이선스가전체효력을가지고유효한상태를유지하는기간으로제한됩니다. 어떤사유로인해라이선스가종료되는경우, 귀하는서면으로문서의전체또는일부복사본이 CA 에반환되거나파기되었음을입증할책임이있습니다. CA 는관련법의허용범위내에서, 상품성에대한묵시적보증, 특정목적에대한적합성또는권리위반보호를비롯하여 ( 이에제한되지않음 ) 어떤종류의보증없이본문서를 " 있는그대로 " 제공합니다. CA 는본시스템의사용으로인해발생되는직, 간접손실이나손해 ( 수익의손실, 사업중단, 영업권또는데이터손실포함 ) 에대해서는 ( 상기손실이나손해에대해사전에명시적으로통지를받은경우라하더라도 ) 귀하나제 3 자에게책임을지지않습니다. 본건문서에언급된모든소프트웨어제품의사용조건은해당라이선스계약을따르며어떠한경우에도이문서에서언급된조건에의해라이선스계약이수정되지않습니다. 본문서는 CA 에서제작되었습니다. 본시스템은 " 제한적권리 " 와함께제공됩니다. 미합중국정부에의한사용, 복제또는공개는연방조달규정 (FAR) 제 조, 제 조, 제 (c)(1) 호 - 제 (2) 호및국방연방구매규정 (DFARS) 제 (b)(3) 호또는해당하는경우후속조항에명시된제한사항을따릅니다. Copyright 2014 CA. All rights reserved. 이문서에서언급된모든상표, 상호, 서비스표시및로고는각해당회사의소유입니다.

4 CA Technologies 제품참조 이문서는다음 CA Technologies 제품을참조합니다 : CA SiteMinder for Secure Proxy Server CA SiteMinder CA 에문의 기술지원팀에문의 온라인기술지원및지사목록, 기본서비스시간, 전화번호에대해서는 에서기술지원팀에문의하십시오.

5 설명서변경사항 CA SiteMinder 의이전릴리스에서발견된문제점으로인해다음과같은내용이 설명서에서업데이트되었습니다. JCE(Java Cryptographic Extension) 에대한패치가필요함 - 이단원은 Java 에서제공되는암호화알고리즘을사용하기위한업데이트가필요한파일에대해설명합니다. CQ 를해결합니다. Windows 통합인증 ( 페이지 261) - 이장은 Windows 통합인증이지원되는운영체제와 Windows 인증체계를활성화하는데필요한 ACO 매개변수에대해설명합니다. CQs 및 를해결합니다. 인증및권한부여 ( 페이지 207) - 이장은 AgentName 형식과인증및권한부여요청형식에대해설명합니다. CQ , , , , , 를해결합니다. 이안내서의두번째에디션에는다음과같은변경된사항이포함되어있습니다. 설명서에서만변경된내용 프록시서비스구성 ( 페이지 121) - -Dhttp_connection_timeout 이구성된경우 http_connection_timeout 의동작에대한설명이추가되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ , 및 STAR 를해결합니다. 인증 REST 인터페이스 ( 페이지 216) - URI 형식이업데이트되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 STAR 을해결합니다. 사전요구사항 ( 페이지 33) - ncurses 패키지의요구사항에대한설명및 CA SiteMinder for Secure Proxy Server 가다른컴퓨터에설치되어야한다는설명이추가되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 를해결합니다. 필터구현 ( 페이지 317) - lib 디렉터리에대한경로가수정되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 STAR 을해결합니다. 웹에이전트대체역할을하는 SPS ( 페이지 80) - 웹에이전트옵션팩의요구사항이보다자세히업데이트되었습니다.

6 CA SiteMinder for Secure Proxy Server 를웹에이전트대체서비스로사용하기위한사전요구사항 ( 페이지 81) - 웹에이전트옵션팩설치를위한요구사항설명이삭제되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 STAR 을해결합니다. 자체서명된인증서생성 ( 페이지 255) - 자체서명된인증서를생성하는명령이수정되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 을해결합니다. 인증기관으로부터인증서를다운로드하여설치 ( 페이지 256) - RootCA 또는자체서명된인증서를 ca-bundle.cert 에추가하는방법에대한단계가추가되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 을해결합니다. Debug 특성 ( 페이지 171) - xmlns:nete 의예제값이수정되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 STAR 를해결합니다. CA SiteMinder for Secure Proxy Server 서버설정구성 ( 페이지 95) - enablecachepostdata, worker.ajp13.max_threads, http_connection_pool_max_size, http_connection_timeout, http_connection_stalecheck, http_connection_pool_min_size, http_connection_pool_incremental_factor 의기본값이수정되었습니다. 설명서는 SP1 에서업데이트되었습니다. 이변경사항은 CQ 및 STAR 을해결합니다. 추가정보 : CA SiteMinder SPS 업그레이드 ( 페이지 38) 업그레이드를위한추가태스크 ( 페이지 38) SSL 예외무시 ( 페이지 110)

7 목차 제 1 장 : SiteMinder Secure Proxy Server 개요 15 CA SiteMinder for Secure Proxy Server 아키텍처개요 프록시서버아키텍처 기존리버스프록시서버아키텍처 SPS 아키텍처 구성요소 제품기능 제품제한사항 엔터프라이즈의 CA SiteMinder SPS 중앙집중식액세스제어필터역할을하는 CA SiteMinder for Secure Proxy Server 쿠키를사용하지않는세션에대한 CA SiteMinder SPS 지원 엑스트라넷액세스제어에대한 CA SiteMinder SPS 지원 제 2 장 : SPS 설치, 업그레이드및구성 31 수동 SPS 설치, 업그레이드및구성 사전요구사항 설치워크시트 CA SiteMinder SPS 설치 여러 CA SiteMinder SPS 인스턴스설치 CA SiteMinder SPS 업그레이드 CA SiteMinder SPS 구성 관리사용자인터페이스보호 관리사용자인터페이스시작 SPS 자동설치및구성 CA SiteMinder for Secure Proxy Server 제거 다른언어로로그파일및명령줄도움말설정 언어의 IANA 코드파악 환경변수 제 3 장 : FIPS-140 지원 53 FIPS 지원개요 FIPS 전용모드에대한구성프로세스 FIPS 마이그레이션모드로마이그레이션 목차 7

8 FIPS 전용모드로마이그레이션 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 59 FSS 소개 SiteMinder 페더레이션환경에서의 SPS 사용사례 사용사례 1: 계정연결에기반한싱글사인온 사용사례 2: 사용자특성프로필에기반한싱글사인온 사용사례 3: 로컬사용자계정이없는싱글사인온 사용사례 4: 확장네트워크 SiteMinder 페더레이션환경에서의 SPS 역할 SPS 사용사례에대한솔루션 솔루션 1: 계정연결에기반한 SSO 솔루션 2: 사용자특성프로필을사용하는 SSO 솔루션 3: 로컬사용자계정이없는 SSO 솔루션 4: 확장네트워크의 SSO 쿠키를사용하지않는페더레이션 소비측에서쿠키를사용하지않는페더레이션을사용하도록설정 웹에이전트대신 SPS 사용 SPS 를웹에이전트대체서비스로사용하기위한사전요구사항 SPS 를페더레이션용웹에이전트대체역할로구성 페더레이션게이트웨이로 SPS 사용 페더레이션게이트웨이를사용하기위한사전요구사항 SPS 페더레이션게이트웨이구성 SPS 페더레이션게이트웨이의제한사항 제 5 장 : SPS 의보안영역 87 싱글사인온보안영역개요 보안영역의이점 보안영역의기본사용사례 보안영역에대한매개변수 CA SiteMinder for Secure Proxy Server 보안영역구성 제 6 장 : Apache 웹서버구성 93 Apache 웹서버구성파일 제 7 장 : SPS 서버설정구성 95 SPS server.conf 파일개요 관리안내서

9 server.conf 파일수정 server.conf 파일의일반서버설정 HTTP 연결매개변수 server.conf 파일의 Tomcat 조정매개변수 서로다른 Tomcat 버전의쿠키사양차이해결 쿠키내의등호구문분석 server.conf 파일의페더레이션설정 HttpClient 로깅 server.conf 파일의 SSL 설정 쿠키내의특수문자에대한설정 코드헤더의문자집합선택 POST 데이터캐싱 SSL 예외무시 사용자지정오류페이지매개변수 사용자지정오류메시지사용 기본사용자지정오류페이지 server.conf 파일의세션저장소설정 server.conf 파일의서비스디스패처설정 server.conf 파일의프록시및리디렉션설정 프록시서비스구성 연결풀링권장사항 리디렉션서비스구성 연결지향연결풀구성 server.conf 파일의세션체계설정 사용자세션설정 기본세션체계 SSL ID 세션체계 IP 주소세션체계 미니쿠키세션체계 단순 URL 다시쓰기세션체계 무선장치 ID 세션체계 각세션체계의사용사례 가상호스트에대한여러세션체계 쿠키를사용하지않는페더레이션을위해특성쿠키삭제 Server.conf 의사용자에이전트설정 Nokia 사용자에이전트설정 server.conf 파일의가상호스트설정 가상호스트쿠키경로및도메인을올바른 URI 로설정 HOST 헤더파일유지 데이터블록을사용하여대용량파일처리 목차 9

10 기본가상호스트에대한세션체계매핑 기본가상호스트에대한웹에이전트설정 대상서버에의한리디렉션처리 가상호스트이름구성 가상호스트의기본값재정의 제 8 장 : SPS 로그설정구성 157 SPS logger.properties 파일개요 logger.properties 파일수정 로깅설정 SvrConsoleAppender 설정 SvrFileAppender 설정 로그설정 로그롤링설정 로깅을위해 WebAgent.conf 의 ServerPath 수정 제 9 장 : 프록시규칙구성 165 프록시규칙개요 들어오는요청에대한라우팅계획 프록시규칙용어 프록시규칙구성파일설정 프록시규칙 DTD nete:proxyrules nete:case nete:cond nete:default nete:forward nete:redirect nete:local nete:xprcond nete:xprcond 요소의작동방식 정규식구문 nete:rule 및 nete:result 의정규식예 전달, 리디렉션및결과필터의헤더값 nete:forward 의동적헤더값 nete:redirect 의동적헤더값 nete:result 의동적헤더값 응답처리 프록시규칙수정 관리안내서

11 샘플프록시규칙구성파일 프록시규칙예 - 가상호스트를기준으로요청라우팅 프록시규칙예 - 헤더값을기준으로요청라우팅 프록시규칙예 - 장치유형을기준으로요청라우팅 프록시규칙예 - URI 를사용하여요청라우팅 프록시규칙예 - 파일확장명을기준으로요청라우팅 프록시규칙예 - 중첩된조건을사용하여요청라우팅 프록시규칙예 - 프록시규칙에정규식사용 프록시규칙예 - 쿠키존재여부를기준으로요청라우팅 프록시규칙예 - 쿠키값을기준으로요청라우팅 제 10 장 : SPS 배포 199 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 고정비트부하분산 신뢰할수있는사이트및신뢰할수없는사이트로의프록시 가상호스트구성 여러가상호스트에대한세션체계매핑구현 제 11 장 : 웹서비스구성 207 인증및권한부여 인증및권한부여웹서비스로작업하는방법 인증및권한부여웹서비스개요 웹서비스구성 클라이언트프로그램생성 보안토큰서비스 여러 CA SiteMinder for Secure Proxy Server 인스턴스배포 제 12 장 : SiteMinder 와 SPS 통합 223 SPS 가 SiteMinder 와상호작용하는방식 인증체계고려사항 프록시관련 WebAgent.conf 설정 대상서버웹에이전트와의정책충돌방지 사용자를리디렉션하는 SiteMinder 규칙구성 SPS 및 SharePoint 리소스 SPS 및 ERP 리소스 SPS 에대한암호서비스 SPS 에대한암호정책구성 SPS 에대한암호서비스확인 목차 11

12 방화벽고려사항 연결유지및연결풀링 Sun Java 웹서버용 HTTP 헤더구성 SPS 를사용한 SiteMinder 처리를위한 HTTP 헤더 인코딩된 URL 처리 제 13 장 : 세션링커를지원하도록 CA SiteMinder SPS 구성 237 세션링커를지원하도록 SPS 구성 세션링커의작동방식 세션링커사용 NPS_Session_Linker ACO 생성 쿠키작업 SessionLinker 문제해결 제 14 장 : SSL 및보안프록시서버 249 SPS 에대해 SSL 구성 고려사항검토 개인키생성 인증서서명요청생성및제출 인증기관으로부터인증서를다운로드하여설치 SSL 사용 가상호스트에 SSL 사용 제 15 장 : Windows 통합인증을지원하도록 CA SiteMinder SPS 구성 261 Windows 통합인증을지원하도록 SPS 구성 Windows 인증체계 Kerberos 인증체계 제 16 장 : CA Wily Introscope 를사용한데이터모니터링 289 CA Wily Introscope 를사용한데이터모니터링 데이터모니터링사용 OneView 모니터를사용하여웹에이전트모니터링 제 17 장 : 에이전트를위한운영체제조정 293 공유메모리세그먼트조정 Solaris 10 리소스컨트롤을조정하는방법 관리안내서

13 제 18 장 : SPS API 297 세션체계 API 세션체계 API 처리개요 사용자지정세션체계구현 다시쓰기가능한세션체계구성 IP 주소세션체계사용 세션저장소 API 필터 API 개요 SPS 가사용자지정필터를처리하는방식 프록시규칙에사용자지정필터연결 필터 API 클래스파일 ProxyFilter 인터페이스 BaseProxyFilter 추상구현 ProxyFilterConfig 인터페이스 ProxyResponse 인터페이스 ProxyFilterException 클래스 ProxyRequest 인터페이스 필터구현 필터 API 예제 필터를사용하여요청된페이지에서절대링크다시쓰기 제 19 장 : 문제해결 319 SSL 구성후브라우저에팝업창이표시됨 UNIX 시스템에서 Apache 를시작할수없음 영어가아닌입력문자에정크문자가포함됨 페더레이션웹서비스오류를로깅할수없음 모든요청에대해 DNS 가캐시됨 리소스요청실패 spsagent 로그구성 SPSAgentTrace 로그구성 mod_jk.log 파일구성 httpclient.log 파일구성 설치프로그램에경고가표시됨 SPS 서버를시작할수없음 브라우저를사용하여 SPS 에액세스할수없음 가상호스트구성문제 가상호스트구성실패 SPS 가요청을전달하지않음 목차 13

14 SharePoint 페이지액세스오류 관리안내서

15 제 1 장 : SiteMinder Secure Proxy Server 개요 이섹션은다음항목을포함하고있습니다. CA SiteMinder for Secure Proxy Server 아키텍처개요 ( 페이지 15) 제품기능 ( 페이지 21) 제품제한사항 ( 페이지 22) 엔터프라이즈의 CA SiteMinder SPS ( 페이지 23) 엑스트라넷액세스제어에대한 CA SiteMinder SPS 지원 ( 페이지 29) CA SiteMinder for Secure Proxy Server 아키텍처개요 CA SiteMinder?for Secure Proxy Server(CA SiteMinder for Secure Proxy Server) 는액세스제어를위한프록시기반솔루션을제공하는독립실행형서버입니다. CA SiteMinder for Secure Proxy Server 는기업을위한네트워크게이트웨이를제공하는프록시엔진을사용하며기존쿠키기반기술에의존하지않는다중세션체계를지원합니다. 프록시서버아키텍처 기존프록시서버는방화벽과내부네트워크사이에있으며내부네트워크의사용자에게리소스캐싱및보안기능을제공합니다. 기존프록시서버는인터넷상의모든리소스에대해사용자그룹을대신하는프록시역할을합니다. 다음그림에서는프록시서버구성을보여줍니다. 프록시서버는 DMZ(Demilitarized Zone) 에서이러한리소스에대한요청이더욱빠르게처리되도록액세스한리소스를자주캐시합니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 15

16 CA SiteMinder for Secure Proxy Server 아키텍처개요 기존리버스프록시서버아키텍처 리버스프록시서버는하나이상의대상서버를나타냅니다. 리버스프록시아키텍처를사용하면일반적으로다음과같은기능이제공됩니다. 캐시된리소스 보안 SSL 가속화 부하분산 대상서버에서직접리소스를요청하는대신리버스프록시서버가대상서버의콘텐츠중상당수를캐시하므로사용자액세스가용이해집니다. 프록시가사용자에게투명하게처리되고엔터프라이즈의대상서버를대신하여작동하므로이유형의프록시서버배포는리버스프록시로간주됩니다. 부하분산을위해여러개의리버스프록시서버를사용할수있으며이경우 HTTPS 요청에대해일부 SSL 가속화기능을제공할수도있습니다. 또한리버스프록시서버는 DMZ 뒤에있는대상서버를격리하여추가보안계층을제공합니다. SPS 아키텍처 CA SiteMinder for Secure Proxy Server 는리소스캐싱을제공하지않으므로기존리버스프록시솔루션과는다릅니다. CA SiteMinder for Secure Proxy Server 는네트워크액세스방법에상관없이엔터프라이즈리소스에액세스하기위한단일게이트웨이의역할을합니다. 일련의구성가능한프록시규칙에따라 CA SiteMinder for Secure Proxy Server 가사용자요청을처리하는방식이결정됩니다. 사용자는사용자에이전트유형과가상호스트간의매핑을기반으로여러세션체계를통해리소스에액세스할수있습니다. 요청은네트워크에액세스하는데사용되는장치의유형에따라각기다른대상서버로라우팅될수있습니다. 16 관리안내서

17 CA SiteMinder for Secure Proxy Server 아키텍처개요 다음그림에서는 CA SiteMinder for Secure Proxy Server 의구성을보여줍니다. 사용자는다양한장치를사용하여 CA SiteMinder for Secure Proxy Server 에액세스합니다. CA SiteMinder for Secure Proxy Server 는액세스장치를기반으로생성할세션체계를결정한다음요청을적절한대상서버로전달하거나리디렉션합니다. 사용자는엔터프라이즈에리버스프록시서버가있다는것을인식하지못합니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 17

18 CA SiteMinder for Secure Proxy Server 아키텍처개요 구성요소 독립실행형 CA SiteMinder for Secure Proxy Server 는다음그림과같이 HTTP 수신기 (Apache) 와 Tomcat 서블릿컨테이너로구성됩니다. 18 관리안내서

19 CA SiteMinder for Secure Proxy Server 아키텍처개요 CA SiteMinder for Secure Proxy Server 아키텍처에는다음구성요소가포함됩니다. Apache CA SiteMinder for Secure Proxy Server 는오픈소스 Apache 웹서버를사용하여들어오는요청에대해 HTTP 수신기의역할을합니다. 추가구성요소인 mod_jk(1.2.18) 는 AJP(Apache JServ Protocol) 를사용하여 Apache 웹서버와 Tomcat 간의통신을가능하게해주는 Tomcat 커넥터의역할을합니다. Tomcat Tomcat 서버는 CA SiteMinder for Secure Proxy Server 에 Tomcat 서블릿컨테이너를제공합니다. Tomcat 초기화는외부응용프로그램또는서블릿의배포를허용하지않도록사용자지정됩니다. 표준 Tomcat xml(server.xml) 은초기화에사용되지않습니다. CA SiteMinder for Secure Proxy Server 의 Tomcat 컨테이너내에있는구성요소로는다음이포함됩니다. 구성확인자 ProxyBootstrap 구성확인자 proxybootstrap 은 server.conf 파일에서 CA SiteMinder for Secure Proxy Server 구성을읽고 CA SiteMinder for Secure Proxy Server 를초기화합니다. 세션검색 세션검색구성요소는들어오는요청을분석하여 CA SiteMinder for Secure Proxy Server 세션정보를추출합니다. 사용되는사용자에이전트유형및가상호스트에따라이구성요소는적절한세션체계를사용하여 CA SiteMinder for Secure Proxy Server 세션정보를추출합니다. 요청에기존 CA SiteMinder for Secure Proxy Server 세션이사용되는경우이구성요소는요청에포함된 CA SiteMinder for Secure Proxy Server 세션식별자를사용하여메모리내세션저장소에서해당 SiteMinder 세션을추출합니다. CA SiteMinder for Secure Proxy Server 는세션유효성검사를위해 SiteMinder 세션을 Java 웹에이전트로전달합니다. 요청에기존 CA SiteMinder for Secure Proxy Server 세션이포함되어있지않으면이구성요소는사용자인증을위해요청을 Java 웹에이전트로전달합니다. Java 웹에이전트 Java 웹에이전트는 SiteMinder 정책서버와함께사용자를인증하고권한을부여합니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 19

20 CA SiteMinder for Secure Proxy Server 아키텍처개요 Post 에이전트세션작성기 Post 에이전트세션작성기는쿠키를사용하지않는세션체계에대한추가처리를수행합니다. Java 웹에이전트가사용자인증및권한부여를수행하고 SiteMinder 세션을생성한후이구성요소가 CA SiteMinder for Secure Proxy Server 세션식별자를생성합니다. 이식별자는 Java 웹에이전트에의해생성된 SiteMinder 세션에추가됩니다. 그런다음이세션식별자가 CA SiteMinder for Secure Proxy Server 의메모리내세션저장소에서유지관리됩니다. 이구성요소는세션저장소에서세션을유지관리할뿐아니라 URI 도변환합니다. 예를들어 Post 에이전트세션작성기는 simple_url 세션체계에대한 URI 를조작합니다. 프록시규칙서블릿필터 프록시규칙서블릿필터는 proxyrules.xml 파일에서프록시규칙을로드합니다. 들어오는요청과프록시규칙에따라요청은백엔드서버로전달되거나리디렉션됩니다. 요청이전달되면오픈소스구성요소인누들이사용됩니다. 프록시규칙을변경할경우시스템을다시시작하지않아도변경내용이적용됩니다. proxyrules.xml 파일에변경내용이있으면프록시규칙이다시로드됩니다. 누들서블릿 누들서블릿은요청을백엔드서버로전달합니다. 또한누들은요청을백엔드서버로전송하기전에수정할수있게해주는프록시사전필터의사용을지원합니다. 마찬가지로응답을사용자클라이언트로다시전송하기전에백엔드서버에서수신된응답을수정할수있게해주는프록시사후필터에대한지원도사용할수있습니다. HTTP 클라이언트 HTTP 클라이언트는요청을백엔드서버로전송하고백엔드서버로부터응답을수신합니다. 20 관리안내서

21 제품기능 제품기능 CA SiteMinder for Secure Proxy Server 는다음과같은기능을제공합니다. HTTP 및 HTTPS 요청에대한액세스제어 CA SiteMinder for Secure Proxy Server 를사용하면포함된 SiteMinder 웹에이전트를통해 HTTP 및 HTTPS 요청과대상서버간의흐름을제어할수있습니다. 또한 CA SiteMinder for Secure Proxy Server 는 SiteMinder 와완전히통합되어 e- 비즈니스트랜잭션을관리합니다. 싱글사인온 CA SiteMinder for Secure Proxy Server 에포함된웹에이전트는엔터프라이즈내대상서버에설치할수있는 SiteMinder 웹에이전트를사용한 SSO( 싱글사인온 ) 를비롯하여엔터프라이즈에서의 SSO 를가능하게해줍니다. 여러세션체계 세션체계는인증후사용자의아이덴티티를유지관리하기위한방법입니다. 핵심 SiteMinder 제품은쿠키를사용하여세션을유지관리합니다. 그러나 CA SiteMinder for Secure Proxy Server 는 SSL ID, 미니쿠키, 핸드헬드장치의장치 ID, URL 다시쓰기, IP 주소, 세션체계 API 를사용하여생성된체계등을기반으로세션을유지관리할수있습니다. 세션저장소 CA SiteMinder for Secure Proxy Server 는메모리내세션저장소를갖추고있습니다. 세션저장소는세션정보를유지관리합니다. CA SiteMinder for Secure Proxy Server 는미니쿠키또는 SSL ID 와같은토큰을사용하여세션저장소의세션정보를참조합니다. 여러세션체계와메모리내세션저장소를통해 CA SiteMinder for Secure Proxy Server 는컴퓨터나 PAD 및무선전화같은무선장치이상의 e- 비즈니스관리솔루션을제공할수있습니다. 쿠키를사용하지않는싱글사인온 일부엔터프라이즈는쿠키기술을사용하지않는솔루션을선호합니다. CA SiteMinder for Secure Proxy Server 는세션체계와세션저장소를기본적으로제공하므로쿠키기반세션관리를대체하려는엔터프라이즈에적절한솔루션을제공합니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 21

22 제품제한사항 지능형프록시규칙 프록시규칙을사용하면 CA SiteMinder for Secure Proxy Server 에서클라이언트요청을이행하기위한경로를요청된가상호스트또는 URI 문자열등의특성에따라서로다르게구성할수있습니다. 프록시엔진은일련의프록시규칙을해석하여사용자요청을처리할방법을결정합니다. 중앙집중식액세스제어관리 CA SiteMinder for Secure Proxy Server 는네트워크리소스에대한단일게이트웨이를제공하여회사네트워크를분리하고액세스제어를중앙집중화합니다. 엔터프라이즈클래스아키텍처 CA SiteMinder for Secure Proxy Server 는확장성과관리용이성을높일수있도록설계되었습니다. 제품제한사항 CA SiteMinder for Secure Proxy Server 에는다음과같은제한이있습니다. CA SiteMinder for Secure Proxy Server 는다른웹서버에대한플러그인이아닙니다. CA SiteMinder for Secure Proxy Server 는완전히지원되는독립실행형서버입니다. CA SiteMinder for Secure Proxy Server 는로컬콘텐츠를지원하지않습니다. 콘텐츠를 CA SiteMinder for Secure Proxy Server 에배치하는기능이노출되지않으며 CA SiteMinder for Secure Proxy Server 는로컬콘텐츠에대한액세스를제공하기위한프록시규칙을지원하지않습니다. CA SiteMinder for Secure Proxy Server 를사용할경우 CA SiteMinder for Secure Proxy Server 와동일한시스템에웹서버를배치할수없습니다. 같은시스템에둘모두가설치되어있으면웹서버에액세스할때는인터넷이사용됩니다. 이구성의경우보안이확실하지않습니다. CA SiteMinder for Secure Proxy Server 는고유한세션저장소를제공합니다. 그러나세션저장소에는일반세션서버로사용할수있는공용 API 가없습니다. 22 관리안내서

23 엔터프라이즈의 CA SiteMinder SPS CA SiteMinder for Secure Proxy Server 를사용하는일부엔터프라이즈의경우대상서버에 SiteMinder 웹에이전트나응용프로그램서버에이전트를설정했을수도있습니다. CA SiteMinder for Secure Proxy Server 에이전트에대한정책이대상서버에설치된에이전트에대한정책과일치하지않는경우 CA SiteMinder for Secure Proxy Server 는호출하는클라이언트로응답을다시전달할수있습니다. CA SiteMinder for Secure Proxy Server 는이러한정책을처리할때불일치에대한경고를제공하지않으므로이러한환경에서 SiteMinder 정책을설정할때는주의해야합니다. CA SiteMinder for Secure Proxy Server 는요청이수신될때마다대상서버로새요청을보냅니다. 모든캐싱지시문은무시됩니다. simple_url 세션체계에서는 CA SiteMinder for Secure Proxy Server 가 JavaScript 에포함된 URL 이나 JavaScript 에서생성된 URL 을다시쓰지않습니다. simple_url 세션체계는보호된리소스에포스트할때 POST 데이터를유지하지않습니다. 엔터프라이즈의 CA SiteMinder SPS 직원, 고객및파트너에게네트워크리소스에대한액세스를제공하는엔터프라이즈는다음과같은여러과제를해결해야합니다. 적절한서비스로요청전달 사용자아이덴티티확인및권한설정 권한이있는사용자의세션유지관리 중앙집중식액세스제어구성제공 여러장치유형지원 유연하고안전한아키텍처사용 제 1 장 : SiteMinder Secure Proxy Server 개요 23

24 엔터프라이즈의 CA SiteMinder SPS SiteMinder 는사용자인증및권한부여와사용자권한을평가하기위한복잡한엔진을포함하여이러한다양한과제에대한솔루션을제공합니다. 또한 CA SiteMinder for Secure Proxy Server 는리버스프록시솔루션을제공하여핵심정책서버및웹에이전트기능의이점을더욱확대해줍니다. 이리버스프록시솔루션은다음과같은기능을추가합니다. 기존 SiteMinder 웹에이전트와의상호운용성 쿠키를사용하지않는싱글사인온및세션저장소 프록시규칙을통한중앙집중식구성 다양한세션유지관리옵션 여러장치지원 엔터프라이즈에 CA SiteMinder for Secure Proxy Server 를배포하면다음과같은기능을제공할수있습니다. 중앙집중식액세스제어필터역할 쿠키를사용하지않는세션체계지원 엑스트라넷액세스제어지원 중앙집중식액세스제어필터역할을하는 CA SiteMinder for Secure Proxy Server 대상서버에대한액세스를제한하고네트워크에대한중앙진입점을제공하기위해 CA SiteMinder for Secure Proxy Server 를엔터프라이즈의모든대상서버앞에배치할수있습니다. 엔터프라이즈로들어오는 HTTP 또는 HTTPS 요청은 CA SiteMinder for Secure Proxy Server 를통해필터링된후이행을위해적절한대상서버로전달될수있습니다. 24 관리안내서

25 엔터프라이즈의 CA SiteMinder SPS 다음그림에서는 CA SiteMinder for Secure Proxy Server 가모든 HTTP 및 HTTPS 요청을처리하는방식을보여줍니다. 콘텐츠가포함된대상서버에는 SiteMinder 웹에이전트가필요하지않습니다. 첫번째방화벽뒤에있는네트워크요소는 CA SiteMinder for Secure Proxy Server 뿐입니다. 모든사용자는두번째방화벽뒤에있는 SiteMinder 를통해인증되고권한을부여받아야합니다. SiteMinder 와 CA SiteMinder for Secure Proxy Server 가사용자권한을확인한후에는대상서버가콘텐츠를제공합니다. 이배포환경의이점은다음과같습니다. 프록시규칙을통해구성중앙집중화 CA SiteMinder for Secure Proxy Server 는 XML 구성파일에정의된프록시규칙을사용하여 CA SiteMinder for Secure Proxy Server 가요청을처리할방법을설정합니다. 프록시규칙은다음을기반으로할수있습니다. 호스트이름 URI 하위문자열 HTTP 헤더 SiteMinder 헤더 URI 를기반으로하는정규식 또한프록시규칙에대한조건을중첩시켜여러조건을통합한규칙을생성할수도있습니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 25

26 엔터프라이즈의 CA SiteMinder SPS 적절한서비스로요청전달 모든 HTTP 및 HTTPS 트래픽은 CA SiteMinder for Secure Proxy Server 를통해전달됩니다. 요청은 CA SiteMinder for Secure Proxy Server 에대해설정된프록시규칙을기반으로적절한대상서버로전달되어이행됩니다. 사용자아이덴티티확인및권한설정 CA SiteMinder for Secure Proxy Server 는기본제공웹에이전트를사용하여 SiteMinder 와통신하고요청에대한인증및권한부여를수행합니다. 쿠키를사용하지않는세션에대한 CA SiteMinder SPS 지원 대부분의솔루션은쿠키기술을사용합니다. 그러나일부엔터프라이즈는 HTTP 또는 HTTPS 를통해리소스에액세스할때사용자세션을설정및유지관리하기위한대체방법을필요로하며싱글사인온에쿠키를사용하지않는솔루션을제공합니다. CA SiteMinder for Secure Proxy Server 는메모리내세션저장소를제공하고쿠키를사용하지않는다음과같은세션체계를사용할수있게해줍니다. 미니쿠키 ( 표준 SiteMinder 쿠키대신작은쿠키사용 ) SSL ID 장치 ID 단순 URL 다시쓰기 IP 주소 26 관리안내서

27 엔터프라이즈의 CA SiteMinder SPS 다음그림에서는 CA SiteMinder for Secure Proxy Server 가쿠키를사용하는표준세션과쿠키를사용하지않는세션을함께제공하는배포환경을보여줍니다. 위그림의배포환경에는다음과같은이점이있습니다. 여러장치유형지원 CA SiteMinder for Secure Proxy Server 는일련의프록시규칙을통해요청을실행하는장치의유형에따라요청을전달하거나리디렉션합니다. 예를들어모든초기요청은 CA SiteMinder for Secure Proxy Server 에전달된후장치유형에따라대상서버로전달될수있습니다. 브라우저요청은대상서버로리디렉션될수있으며 CA SiteMinder for Secure Proxy Server 는무선요청을처리합니다. 권한이있는사용자의세션유지관리 사용자세션을유지관리하는데는표준 SiteMinder 쿠키세션체계와쿠키를사용하지않는세션체계가모두사용됩니다. 세션체계는각가상호스트의사용자에이전트유형에따라할당됩니다. 예를들어웹브라우저를통해네트워크에액세스하는모든사용자는표준쿠키세션체계에할당됩니다. 무선전화를통해리소스에액세스하는사용자는장치 ID 세션체계에할당됩니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 27

28 엔터프라이즈의 CA SiteMinder SPS 쿠키를사용하지않는싱글사인온및세션저장소제공 CA SiteMinder for Secure Proxy Server 는메모리내세션저장소와여러세션체계에대한지원을통해쿠키기반세션에대한대체방법을제공합니다. CA SiteMinder for Secure Proxy Server 는세션저장소에서세션정보를유지관리하고토큰을반환합니다. 이토큰은모든트랜잭션과교환되므로 CA SiteMinder for Secure Proxy Server 는세션저장소에서캡처된세션정보와토큰을일치시킬수있습니다. 다양한세션유지관리옵션제공 페더레이션환경의쿠키를사용하지않는세션체계 CA SiteMinder for Secure Proxy Server 는쿠키를사용하지않는세션체계를처리할수있는기능이기본적으로포함되어있으므로무선장치등의사용자에이전트가기존 SiteMinder 쿠키를지원하지않는환경에도배포될수있습니다. SiteMinder FSS(Federation Security Services) 환경에 CA SiteMinder for Secure Proxy Server 를배포할경우사용자요청이수신되면다음프로세스가적용됩니다. 1. CA SiteMinder for Secure Proxy Server 가페더레이션된리소스에대한요청을수신합니다. 요청이어설션생산사이트의 FWS( 페더레이션웹서비스 ) 응용프로그램으로리디렉션됩니다. 2. CA SiteMinder for Secure Proxy Server 가리디렉션을요청하는가상호스트에쿠키를사용하지않는페더레이션이사용되는지여부를확인합니다. 3. 쿠키를사용하지않는체계가사용되는경우 CA SiteMinder for Secure Proxy Server 가현재세션의세션키 (SMSESSION 쿠키 ) 를제거합니다. 4. CA SiteMinder for Secure Proxy Server 가 FWS 리디렉션을통해제공된링크로사용자를보냅니다. CA SiteMinder for Secure Proxy Server 가 simple_url 세션체계와같이다시쓰기가능한세션체계를사용하는경우 CA SiteMinder for Secure Proxy Server 가리디렉션된 URL 에세션키정보를포함하도록리디렉션응답을다시씁니다. 28 관리안내서

29 엑스트라넷액세스제어에대한 CA SiteMinder SPS 지원 엑스트라넷액세스제어에대한 CA SiteMinder SPS 지원 또다른 CA SiteMinder for Secure Proxy Server 배포방식의경우외부사용자에대해서는액세스제어를제공하지만내부사용자에대해서는대상서버에대한직접액세스를허용합니다. 대상서버가엔터프라이즈내의개인에게보안응용프로그램에대한액세스를제공하는경우액세스제어를제공하기위해대상서버에표준 SiteMinder 웹에이전트를설치할수있습니다. CA SiteMinder for Secure Proxy Server 를통해올바르게인증된사용자는싱글사인온을사용할수있습니다. 다음그림에서는엑스트라넷네트워크배포의예를보여줍니다. 이배포환경의이점은다음과같습니다. 엑스트라넷소스에서의요청전달 사용자가요청한리소스에대해인증되고권한이부여된후모든엑스트라넷트래픽은 CA SiteMinder for Secure Proxy Server 를통해적절한대상서버로전달됩니다. 제 1 장 : SiteMinder Secure Proxy Server 개요 29

30 엑스트라넷액세스제어에대한 CA SiteMinder SPS 지원 유연한아키텍처사용 모든정보는엑스트라넷공격으로부터보호하기위해여러방화벽뒤에배치됩니다. 인트라넷사용자에적절한정보는 SiteMinder 통신에에이전트오버헤드를발생시키지않습니다. 그러나 SiteMinder 는여전히중요한리소스를보호할수있습니다. 웹에이전트간상호운용성제공 CA SiteMinder for Secure Proxy Server 웹에이전트와인트라넷웹에이전트는동일한정책서버를사용하며모든대상서버에서권한이있는엑스트라넷사용자에게싱글사인온을제공합니다. 30 관리안내서

31 제 2 장 : SPS 설치, 업그레이드및구성 이섹션은다음항목을포함하고있습니다. 수동 SPS 설치, 업그레이드및구성 ( 페이지 31) SPS 자동설치및구성 ( 페이지 45) CA SiteMinder for Secure Proxy Server 제거 ( 페이지 46) 다른언어로로그파일및명령줄도움말설정 ( 페이지 46) 수동 SPS 설치, 업그레이드및구성 CA SiteMinder Secure Proxy Server 는액세스제어를위한프록시기반솔루션을제공하는독립실행형서버입니다. CA SiteMinder for Secure Proxy Server 는엔터프라이즈용네트워크게이트웨이를제공하는프록시엔진을사용하며, 기존쿠키기반기술을사용하지않는여러세션체계를지원합니다. 제 2 장 : SPS 설치, 업그레이드및구성 31

32 수동 SPS 설치, 업그레이드및구성 다음다이어그램에서는 CA SiteMinder for Secure Proxy Server 를설치및구성하는방법에대해설명합니다. 32 관리안내서

33 수동 SPS 설치, 업그레이드및구성 사전요구사항 CA SiteMinder for Secure Proxy Server 의설치또는업그레이드전에다음사전요구사항을확인하십시오. CA SiteMinder for Secure Proxy Server 는정책서버가설치된컴퓨터에설치해서는안됩니다. Linux 의경우 /opt/etc/ca 디렉터리에쓰기권한이있는지확인하십시오. Linux 의경우 CA SiteMinder for Secure Proxy Server 를설치하는폴더에충분한권한 (755) 이있어야합니다. /root 폴더는기본권한 (750) 이충분하지않으므로이폴더에는 CA SiteMinder for Secure Proxy Server 를설치하지마십시오. Solaris 의경우 CA SiteMinder for Secure Proxy Server 는 "nobody" 사용자로실행됩니다. CA SiteMinder for Secure Proxy Server 를이사용자로실행하지않으려면대체사용자를생성하고필요한권한을할당하십시오. RHEL 에 CA SiteMinder for Secure Proxy Server 를설치하는경우 ncurses 패키지를설치했는지확인하십시오. CA SiteMinder for Secure Proxy Server 를 RHEL 5 또는 RHEL 6 64 비트컴퓨터에설치하는경우컴퓨터에다음라이브러리가설치되어있는지확인하십시오. libstdc++.so.6 libexpat.so.0 libuuid.so.01 libkeyutils.so.1 참고 : 이러한라이브러리는 64 비트바이너리가아니라 32 비트바이너리여야합니다. CA SiteMinder for Secure Proxy Server 를 RHEL 5.5 컴퓨터에설치하는경우컴퓨터에 Legacy Software Development 패키지가설치되어있는지확인하십시오. Linux 에서 CA SiteMinder for Secure Proxy Server 를설치또는업그레이드하는경우 keyutils-libs el6.i686.rpm 패키지를설치했는지확인하십시오. 제 2 장 : SPS 설치, 업그레이드및구성 33

34 수동 SPS 설치, 업그레이드및구성 JCE - Java 암호화알고리즘을사용하려면최신 JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction 패치가필요합니다. 운영플랫폼에맞는 JCE 패키지를찾으려면 Oracle 웹사이트를방문하십시오. 패치를시스템의다음파일에적용하십시오. local_policy.jar US_export_policy.jar 이러한파일은다음디렉터리에있습니다. Windows: jre_home\lib\security UNIX: jre_home/lib/security jre_home 이변수는 Java Runtime Environment 설치위치를지정합니다. 설치워크시트 CA SiteMinder for Secure Proxy Server 구성마법사에서트러스트된호스트를등록할때는필요한정보를묻는일련의메시지가표시됩니다. 트러스트된호스트는 SiteMinder 웹에이전트를하나이상설치할수있는클라이언트컴퓨터입니다. 트러스트된호스트와정책서버간의연결을설정하려면정책서버에호스트를등록하십시오. 등록이완료되면등록도구가 SmHost.conf 파일을생성합니다. 이파일이생성되면클라이언트컴퓨터가트러스트된호스트가됩니다. CA SiteMinder for Secure Proxy Server 를설치, 업그레이드또는구성하기전에호스트등록, 포함된 Apache 웹서버및 Tomcat 서버에필요한다음정보를수집했는지확인하십시오. 매개변수 SiteMinder 관리자이름 SiteMinder 관리자암호 설명 정책서버에이미정의되어있는이름과일치하는관리자의이름입니다. 이관리자는트러스트된호스트를만들권한이있어야합니다. 트러스트된호스트를등록할수있는권한이있는 SiteMinder 관리자의암호입니다. 정책서버에서사용되는암호와일치해야합니다. 34 관리안내서

35 수동 SPS 설치, 업그레이드및구성 매개변수 트러스트된호스트이름 호스트구성개체 에이전트구성개체 호스트를등록할정책서버의 IP 주소 에이전트이름 마스터키 호스트구성파일이름및위치 웹에이전트구성파일의이름및위치 Apache 웹서버관리자의전자메일주소 서버의정규화된호스트이름 Apache HTTP 요청에사용되는포트번호 Apache SSL 요청에사용되는포트번호 Tomcat HTTP 요청에사용되는포트번호 설명 설치중할당된트러스트된호스트의이름입니다. 관리 UI 에이미정의되어있는호스트구성개체의이름입니다. 관리 UI 에정의되어있는기존에이전트구성개체의이름입니다. 이름 : SiteMinder 가방화벽뒤에있는경우포트번호를포함하십시오. 예 : :12 기본에이전트또는 ACO 에정의된에이전트의이름입니다. 고급인증서버를위한마스트암호화키를식별합니다. 정책서버에구성한것과동일한값을입력하십시오. 웹에이전트및사용자지정에이전트가트러스트된호스트대신작업을수행하는데사용하는 SmHost.conf 파일을식별합니다. 마법사에는기본위치가표시됩니다. 마법사에는기본위치가표시됩니다. 관리자의전자메일주소입니다. 기본값 : admin@company.com computer_name.company.com 형식의정규화된이름입니다. Apache 의 HTTP 요청을수신대기하는포트입니다. 기본값 : 80 Apache 의 SSL 요청을수신대기하는포트입니다. 기본값 : 443 Tomcat 의 HTTP 요청을수신대기하는포트입니다. 기본값 : 8080 제 2 장 : SPS 설치, 업그레이드및구성 35

36 수동 SPS 설치, 업그레이드및구성 매개변수 Tomcat SSL 요청에사용되는포트번호 Tomcat 종료요청에사용되는포트번호 설명 Tomcat 의 SSL 요청을수신대기하는포트입니다. 기본값 : 543 Tomcat 의종료요청을수신대기하는포트입니다. 기본값 : 8005 AJP 의포트번호 AJP 의포트번호입니다. 기본값 : 8009 CA SiteMinder SPS 설치 Windows 에 CA SiteMinder SPS 설치 CA SiteMinder for Secure Proxy Server 를설치하기전에 CA SiteMinder for Secure Proxy Server 를설치하는데필요한정보를수집했는지확인하십시오. 다음단계를수행하십시오. 1. CA Support 사이트의다운로드위치에서설치프로그램을복사합니다. 2. 실행파일을마우스오른쪽단추로클릭하고 " 관리자권한으로실행 " 을선택합니다. 3. ca-proxy-<version>-<operating_system>.exe 를두번클릭합니다. 설치프로그램이시작됩니다. 4. 설치마법사의지시를따릅니다. 참고 : 기본적으로 CA SiteMinder for Secure Proxy Server 는처음설치시인스턴스이름을기본값으로설정합니다. 이기본값을수정할수없으며다른 CA SiteMinder for Secure Proxy Server 인스턴스에이이름을사용할수도없습니다. 5. 설치를완료한후시스템을다시시작합니다. 36 관리안내서

37 수동 SPS 설치, 업그레이드및구성 Linux 또는 Solaris 에 CA SiteMinder SPS 설치 CA SiteMinder SPS 설치확인 CA SiteMinder for Secure Proxy Server 는 Linux 및 Solaris 에설치가능합니다. 다음단계를수행하십시오. 1. CA Support 사이트의다운로드위치에서다음프로그램중하나를임시디렉터리에복사합니다. Solaris: ca-proxy-12.5-sol.bin Linux: ca-proxy-12.5-rhel30.bin 2. 다음명령중하나를입력합니다. sh./ca-proxy-12.5-sol.bin sh./ca-proxy-12.5-rhel30.bin 3. 설치마법사가제공하는화면프롬프트를따릅니다. InstallLog 파일을검사하여 CA SiteMinder for Secure Proxy Server 가성공적으로설치되었는지확인할수있습니다. 모든플랫폼에서 InstallLog 는기본적으로다음위치에설치됩니다. sps_home\install_config_info\ca_siteminder_secure_proxy_server_installlog.log 여러 CA SiteMinder SPS 인스턴스설치 여러 CA SiteMinder for Secure Proxy Server 인스턴스를같은컴퓨터에설치할수있습니다. 각 CA SiteMinder for Secure Proxy Server 인스턴스는고유한인스턴스이름과통신포트를사용하며개별디렉터리구조를생성합니다. 다음단계를수행하십시오. 1. ca-proxy-<version>-<operating_system>.exe 를두번클릭합니다. 설치프로그램이시작됩니다. 2. 새인스턴스를설치하는옵션을선택합니다. 3. 설치마법사의지시를따릅니다. 참고 : 인스턴스이름과통신에사용되는포트를에고유한값으로입력했는지확인하십시오. 제 2 장 : SPS 설치, 업그레이드및구성 37

38 수동 SPS 설치, 업그레이드및구성 CA SiteMinder SPS 업그레이드 업그레이드를위한추가태스크 설치프로그램을실행하여이전버전의 CA SiteMinder for Secure Proxy Server 를현재버전으로업그레이드할수있습니다. 참고 : 필터를구성하고세션체계를사용자지정한경우업그레이드전에 Tomcat/ 경로의 lib 디렉터리를백업하십시오. 다음단계를수행하십시오. 1. ca-proxy-<version>-<operating_system>.exe 를두번클릭합니다. 설치프로그램이시작됩니다. 2. " 확인 " 을클릭하여 CA SiteMinder for Secure Proxy Server 버전을업그레이드합니다. 3. 설치마법사의지시를따릅니다. 4. 설치를완료한후시스템을다시시작합니다. 설치프로세스의마지막에몇가지추가단계를수행하여업그레이드를지원할수있습니다. CA SiteMinder for Secure Proxy Server 배포환경에서사용자지정된항목의양에따라다음태스크중하나이상을수행할수있습니다. ssl.conf 파일및 server.conf 파일내의 SSL 구성경로가사용환경에올바르게지정되었는지확인하십시오. 업그레이드중자동화된단계에서는모든인증서가기본위치에있는것으로가정합니다. Linux 에서 SSL 을사용하도록설정하고 CA SiteMinder for Secure Proxy Server 를이전릴리스에서 CA SiteMinder for Secure Proxy Server 12.5 로업그레이드한경우다음명령을실행하여 Apache 를 SSL 모드에서시작하십시오. <install-path>/secure-proxy/proxy-engine/sps-ctl startssl 인증서, 인증기관및키가모두 sps_home\secure-proxy\ssl 의해당폴더에올바르게복사되었는지확인하십시오. 경로를 proxyrules.xml 파일의프록시규칙 DTD 파일로수정하십시오. DTD 파일의기본경로는 sps_home\proxy-engine\conf\dtd\proxyrules.dtd 입니다. 38 관리안내서

39 수동 SPS 설치, 업그레이드및구성 JVM 매개변수사용자지정 다음파일에서 JVM(Java Virtual Machine) 매개변수를사용자지정할수있습니다. Windows 의경우 sps_home\proxy-engine\conf 디렉터리에있는 SmSpsProxyEngine.properties 파일을수정하십시오. UNIX 의경우 sps_home/proxy-engine 디렉터리에있는 proxyserver.sh 파일을수정하십시오. 제 2 장 : SPS 설치, 업그레이드및구성 39

40 수동 SPS 설치, 업그레이드및구성 CA SiteMinder SPS 구성 CA SiteMinder for Secure Proxy Server 를설치한후구성마법사를실행하십시오. 구성마법사를사용하여포함된 SiteMinder 웹에이전트에대한트러스트된호스트를등록하고포함된 Apache 웹서버에대한일부관리태스크를수행할수있습니다. 중요! 마법사를실행하기전에호스트를등록할정책서버에필요한개체를설정했는지확인하십시오. 이러한개체가구성되어있지않으면트러스트된호스트등록이실패합니다. 다음단계를수행하십시오. 1. 콘솔창을열고 sps_home/secure-proxy 디렉터리로이동합니다. 2. 다음명령중하나를입력합니다. Windows: ca-sps-config.exe UNIX: ca-sps-config.sh 구성마법사가시작됩니다. 3. CA SiteMinder for Secure Proxy Server 를구성할정책서버의버전을선택합니다. 4. 호스트등록을즉시수행하는옵션을선택합니다. 5. ( 선택사항 ) 공유암호롤오버를사용하도록설정하는옵션을선택합니다. 6. 다음단계를수행하여트러스트된호스트를등록합니다. a. SiteMinder 관리자의이름과암호를지정합니다. 참고 : 입력하는정보는트러스트된호스트를등록할정책서버에이미정의되어있어야합니다. b. 트러스트된호스트및호스트구성개체의이름을지정합니다. 참고 : 트러스트된호스트에대해입력하는이름은고유해야합니다. 호스트구성개체의이름은트러스트된호스트를등록할정책서버에이미정의되어있어야합니다. c. 트러스트된호스트를등록할정책서버의 IP 주소를입력합니다. d. FIPS 모드를선택합니다. e. 호스트구성파일 SmHost.conf 의이름과위치를지정합니다. 마법사에는기본위치가표시됩니다. f. 에이전트구성개체의이름을지정합니다. 40 관리안내서

41 수동 SPS 설치, 업그레이드및구성 참고 : 입력하는에이전트구성개체는트러스트된호스트를등록할정책서버에이미정의되어있어야합니다. 7. Apache 웹서버에대한다음정보를입력합니다. 서버이름 웹서버관리자의전자메일주소 HTTP 포트번호 SSL 포트번호 8. Tomcat 서버에대한다음정보를입력합니다. HTTP 포트번호 SSL 포트 종료포트번호 AJP 포트번호 참고 : Solaris 또는 Linux 를실행하는시스템에설치하는경우 Tomcat 및 Apache 를실행할수있는사용자의이름을묻는추가화면이표시됩니다. 이사용자는루트일수없으며해당사용자계정을수동으로생성해야합니다. 설치프로그램은이사용자계정을자동으로생성하지않습니다. Tomcat 사용자에게는로그디렉터리에대한모든권한 (rwa) 이있어야합니다. 9. 웹에이전트를사용하도록설정하려면 " 예 " 를선택합니다. 10. CA SiteMinder for Secure Proxy Server 가페더레이션게이트웨이로작동하도록하려면 " 예 " 를선택합니다. 11. 구성요약을검토합니다. 12. "Install"( 설치 ) 을클릭합니다. CA SiteMinder for Secure Proxy Server 가구성되고구성파일이설치됩니다. 13. "Done"( 완료 ) 을클릭하여마법사를종료합니다. 14. SiteMinder 보안프록시및 SiteMinder 프록시엔진서비스를시작합니다. 참고 : 구성마법사를다시실행할경우 SSL 을다시초기화해야합니다. 제 2 장 : SPS 설치, 업그레이드및구성 41

42 수동 SPS 설치, 업그레이드및구성 SPS 에대한추가구성 CA SiteMinder for Secure Proxy Server 를설치하고구성마법사를실행한후사용환경에맞게 CA SiteMinder for Secure Proxy Server 구성을수정할수있습니다. 다음구성파일에는 CA SiteMinder for Secure Proxy Server 에영향을주는설정이포함되어있습니다. httpd.conf Apache 웹서버에대한설정이포함되어있습니다. server.conf 가상호스트및세션체계매핑을비롯한 CA SiteMinder for Secure Proxy Server 동작을결정하는설정이포함되어있습니다. logger.properties CA SiteMinder for Secure Proxy Server 로깅동작을결정하는설정이포함되어있습니다. proxyrules.xml CA SiteMinder for Secure Proxy Server 가들어오는요청을처리하는방식을결정하는규칙이포함되어있습니다. 추가정보 : 프록시규칙구성 ( 페이지 165) Apache 웹서버구성 ( 페이지 93) 세션보증관리 기본적으로 CA SiteMinder for Secure Proxy Server 는세션보증을활성화합니다. 이기능을비활성화하려면다음단계를수행하십시오. 1. server.conf 파일을엽니다. 2. <Context name="aaloginservice"> 섹션으로이동하여활성화값을 no 로설정합니다. 3. <Context name="advanced Auth Application"> 섹션으로이동하여활성화값을 no 로설정합니다. 4. <Context name="ui Application"> 섹션으로이동하여활성화값을 no 로설정합니다. 5. 변경내용을저장합니다. 42 관리안내서

43 수동 SPS 설치, 업그레이드및구성 SiteMinder 양식의기본위치수정 CA SiteMinder for Secure Proxy Server v6.0 부터 SiteMinder 양식의기본위치는더이상 /siteminderagent/forms 가아닙니다. 계속이위치를사용하여양식을제공하려면 CA SiteMinder for Secure Proxy Server 양식위치를수정하십시오. 다음단계를수행하십시오. 1. 다음위치에 siteminderagent 디렉터리를생성합니다. sps_home/proxy-engine/examples/siteminderagent 2. 다음디렉터리의 forms 폴더를복사합니다. sps_home/proxy-engine/examples 복사한폴더를다음디렉터리에붙여넣습니다. sps_home/proxy-engine/examples/siteminderagent 양식이 sps_home/proxy-engine/examples/siteminderagent/forms 에복사됩니다. 참고 : 양식폴더의위치를사용자지정하는경우에는 httpd.conf 파일을양식이미지의위치로업데이트해야합니다. 관리사용자인터페이스보호 기본적으로설치관리자는관리사용자인터페이스를보고하기위한보호정책을만듭니다. 설치관리자는정의된에이전트이름을사용하여다음과같은정보로보호정책을만듭니다. 도메인 : DOMAIN-SPSPADMINUI 정책 : POLICY-SPSADMINUI 이보호정책은사용자디렉터리정보를수록하지않습니다. 다음단계를수행하여관리사용자인터페이스에로그인합니다. 1. 사용자디렉터리정보를사용하여 DOMAIN-SPSPADMINUI 를업데이트합니다. 2. 사용자정보를사용하여 POLICY-SPSADMINUI 를업데이트합니다. 제 2 장 : SPS 설치, 업그레이드및구성 43

44 수동 SPS 설치, 업그레이드및구성 관리사용자인터페이스시작 프록시엔진서비스를시작한후관리사용자인터페이스를시작할수있습니다. URL 을시작하려면웹브라우저에다음 URL 을입력하십시오. CA SiteMinder for Secure Proxy Server 가설치또는업그레이드되고구성됩니다. 처음설치후자동설치및구성을수행하려면자동설치및구성을참조하십시오. CA SiteMinder for Secure Proxy Server 를제거하려면 CA SiteMinder for Secure Proxy Server 제거를참조하십시오. CA SiteMinder for Secure Proxy Server 를다양한모드에서시작하려면단일또는다중프로세스모드에서 CA SiteMinder for Secure Proxy Server 시작을참조하십시오. SiteMinder 양식의기본위치를수정하려면 SiteMinder 양식의기본위치수정을참조하십시오. 44 관리안내서

45 SPS 자동설치및구성 SPS 자동설치및구성 CA SiteMinder for Secure Proxy Server 를처음설치하고구성한후나중에무인모드로다시설치하거나저장된구성데이터를사용하여다른 CA SiteMinder for Secure Proxy Server 인스턴스를무인모드로설치할수있습니다. 설치후 CA SiteMinder for Secure Proxy Server 는 sps-home/install_config_info 폴더에샘플속성파일을생성합니다. 구성후에는동일한속성파일이구성에사용된추가속성으로업데이트됩니다. 이속성파일은이후에사용자지정된값으로자동설치및구성을수행하는데사용됩니다. 다음단계를수행하십시오. 1. 명령창을엽니다. 2. 속성파일을설치한폴더로이동합니다. 기본값은 sps-home/install_config_info 입니다. 3. 명령프롬프트를엽니다. 4. 다음단계중하나또는둘모두를수행합니다. a. 자동설치를수행하려면다음명령을실행합니다. ca-proxy-12.5-operating_system -i silent -f ca-sps-installer.properties operating_system 운영체제 (win32, sol 또는 rhel30) 를정의합니다. b. 자동구성을수행하려면다음명령을실행합니다. ca-sps-config -i silent -f ca-sps-installer.properties 추가사용자개입없이설치또는구성이진행됩니다. 제 2 장 : SPS 설치, 업그레이드및구성 45

46 CA SiteMinder for Secure Proxy Server 제거 CA SiteMinder for Secure Proxy Server 제거 Windows 에서제거하려면다음단계를수행하십시오. 1. 명령프롬프트를열고루트설치디렉터리로이동합니다. 2. 제거할각인스턴스에대해다음명령을실행합니다. ca-sps-uninstall.cmd UNIX 에서제거하려면다음단계를수행하십시오. 1. 콘솔창을열고루트설치디렉터리로이동합니다. 2. 다음프로그램을실행합니다../ca-sps-uninstall.sh 참고 : server.conf 와같은임의파일을수정한경우해당파일이나부모폴더는자동으로제거되지않습니다. 파일및폴더를수동으로삭제해야합니다. 다른언어로로그파일및명령줄도움말설정 다음구성요소는다른언어로로그파일및명령줄도움말을설정할수있습니다. 정책서버 웹에이전트 보고서서버 CA SiteMinder Agent for SharePoint CA SiteMinder for Secure Proxy Server [set AGENT value for your book] CA SiteMinder SDK 로만든모든사용자지정소프트웨어 46 관리안내서

47 다른언어로로그파일및명령줄도움말설정 다음그래프는다른언어로로그파일및명령줄도움말을설정하기위한워크플로를설명합니다. 다음단계를수행하십시오. 1. 언어의 IANA 코드를파악합니다 ( 페이지 48). 2. 다음절차중하나를사용하여운영환경에대한환경변수를만듭니다. Windows 운영환경에서로캘변수를설정합니다 ( 페이지 50). UNIX 또는 Linux 운영환경에서로캘변수를설정합니다 ( 페이지 52). 3. ( 선택사항 ) Windows 운영환경에서로캘변수설정을확인합니다 ( 페이지 51). 4. ( 선택사항 ) 1-3 단계를반복하여환경의모든다른구성요소를동일한언어로설정합니다. 제 2 장 : SPS 설치, 업그레이드및구성 47

48 다른언어로로그파일및명령줄도움말설정 언어의 IANA 코드파악 각언어에는고유코드가있습니다. IANA(Internet Assigned Numbers Authority) 는이러한언어코드를할당합니다. 언어코드를로캘변수에추가하면소프트웨어가표시하는언어가변경됩니다. 로캘변수를만들기전에원하는언어에대한올바른코드를파악하십시오. 다음표에는이소프트웨어에서지원되는언어에해당되는 IANA 코드가수록되어있습니다. 언어포르투갈어 ( 브라질 ) 프랑스어독일어이탈리아어일본어한국어중국어간체스페인어 IANA 코드 pt_br fr de it ja ko zh-hans es 참고 : IANA 언어코드의목록은이타사웹사이트에서볼수있습니다. 48 관리안내서

49 다른언어로로그파일및명령줄도움말설정 환경변수 환경변수는사용자가자신의필요에맞게컴퓨터를사용자지정하기위해사용할수있는설정입니다. 환경변수의예로는다음과같은항목이포함됩니다. 다운로드된파일을검색또는저장하기위한기본디렉터리 사용자이름 실행파일을검색하기위한위치의목록 ( 경로 ) Windows 운영환경에서는컴퓨터의모든사용자에게적용되는글로벌환경변수를사용할수있습니다. UNIX 또는 Linux 운영환경의환경변수는각사용자또는프로그램에대해설정되어야합니다. 로캘변수를설정하려면다음목록에서운영환경에대한절차를선택하십시오. Windows 운영환경에서로캘변수를설정합니다 ( 페이지 50). UNIX 또는 Linux 운영환경에서로캘변수를설정합니다 ( 페이지 52). 제 2 장 : SPS 설치, 업그레이드및구성 49

50 다른언어로로그파일및명령줄도움말설정 Windows 운영환경에서로캘변수설정 다음로캘변수는소프트웨어에대한언어설정을지정합니다. SM_ADMIN_LOCALE 이변수를만들고원하는언어로설정하십시오. 다른언어를사용할각구성요소에서이변수를설정하십시오. 예를들어, 정책서버와에이전트를프랑스어로설정하려고한다고가정합니다. 이경우, 이러한두구성요소에서이변수를프랑스어로설정하십시오. 참고 : 설치관리자또는구성프로그램은이변수를설정하지않습니다. 다음단계를수행하십시오. 1. " 시작 ", " 제어판 ", " 시스템 ", " 고급시스템설정 " 을클릭합니다. " 시스템속성 " 대화상자가나타납니다. 2. " 고급 " 탭을클릭합니다. 3. " 환경변수 " 를클릭합니다. 4. " 시스템변수 " 섹션으로이동하여 " 새로만들기 " 를클릭합니다. " 새시스템변수 " 대화상자가열리고그안의 " 변수이름 :" 필드에커서가위치합니다. 5. 다음텍스트를입력합니다. SM_ADMIN_LOCALE 6. " 변수이름 :" 필드를클릭한다음원하는 IANA 언어코드 ( 페이지 48) 를입력합니다. 7. " 확인 " 을클릭합니다. " 새시스템변수 " 대화상자가닫히고목록에서 SM_ADMIN_LOCALE 변수가표시됩니다. 8. " 확인 " 을두번클릭합니다. 로캘변수가설정되었습니다. 9. ( 선택사항 ) 1-8 단계를반복하여동일한언어로다른구성요소를설정합니다. 50 관리안내서

51 다른언어로로그파일및명령줄도움말설정 Windows 운영환경에서로캘변수값확인 로캘변수가설정된값을언제든확인할수있습니다. 이절차는변수를설치한후올바로설정되었는지확인하기위해수행할수있습니다. 참고 : UNIX 및 Linux 에서변수값을확인하는방법은설정절차 ( 페이지 52) 에설명되어있습니다. 다음단계를수행하십시오. 1. 다음단계를사용하여명령줄창을엽니다. a. " 시작 ", " 실행 " 을차례로클릭합니다. b. 다음명령을입력합니다. cmd c. " 확인 " 을클릭합니다. 명령줄창이열립니다. 2. 다음명령을입력합니다. echo %SM_ADMIN_LOCALE% 다음줄에로캘이표시됩니다. 예를들어, 언어가독일어로설정된경우다음코드가표시됩니다. de 로캘변수의값이확인되었습니다. 제 2 장 : SPS 설치, 업그레이드및구성 51

52 다른언어로로그파일및명령줄도움말설정 UNIX 또는 Linux 운영환경에서로캘변수설정 다음로캘변수는소프트웨어에대한언어설정을지정합니다. SM_ADMIN_LOCALE 이변수를만들고원하는언어로설정하십시오. 다른언어를사용할각구성요소에서이변수를설정하십시오. 예를들어, 정책서버와에이전트를프랑스어로설정하려고한다고가정합니다. 이경우, 이러한두구성요소에서이변수를프랑스어로설정하십시오. 참고 : 설치관리자또는구성프로그램은이변수를설정하지않습니다. 다음단계를수행하십시오. 1. 원하는구성요소를실행하는컴퓨터에로그인합니다. 2. 콘솔 ( 명령줄 ) 창을엽니다. 3. 다음명령을입력합니다. export SM_ADMIN_LOCALE=IANA_language_code 다음예의명령은언어를프랑스어로설정합니다. export SM_ADMIN_LOCALE=fr 로캘변수가설정되었습니다. 4. ( 선택사항 ) 다음명령을입력하여로캘변수가올바로설정되었는지확인합니다. echo $SM_ADMIN_LOCALE 다음줄에로캘이표시됩니다. 예를들어, 언어가독일어로설정된경우다음코드가표시됩니다. de 5. ( 선택사항 ) 1-4 단계를반복하여동일한언어로다른구성요소를설정합니다. 52 관리안내서

53 제 3 장 : FIPS-140 지원 이섹션은다음항목을포함하고있습니다. FIPS 지원개요 ( 페이지 53) FIPS 전용모드에대한구성프로세스 ( 페이지 54) FIPS 마이그레이션모드로마이그레이션 ( 페이지 55) FIPS 전용모드로마이그레이션 ( 페이지 56) FIPS 지원개요 보안프록시서버는 FIPS 표준에지정된암호화모듈에대한요구사항을지원합니다. CA SiteMinder for Secure Proxy Server 를설치하면현재사용중인구성에필요한 FIPS 지원수준을선택하라는대화상자가나타납니다. 새로설치할때는다음세개의 FIPS 모드중하나를선택할수있습니다. 호환성 - 설치가 FIPS 와호환되지않음을나타냅니다. 이전버전의 CA SiteMinder for Secure Proxy Server 를실행하는클라이언트와상호작용하려면이모드를선택합니다. 마이그레이션 - 데이터가마이그레이션되는동안 CA SiteMinder for Secure Proxy Server 가 FIPS 호환알고리즘과이전버전의 CA SiteMinder for Secure Proxy Server 에사용되는알고리즘을모두동시에사용하여작동하도록지정합니다. 전용 - CA SiteMinder for Secure Proxy Server 에서 FIPS 호환알고리즘만사용되고허용되도록지정합니다. 이모드에서설치하는경우수동구성이추가로필요합니다. 제 3 장 : FIPS-140 지원 53

54 FIPS 전용모드에대한구성프로세스 설치시선택하는 FIPS 모드는대개정책서버에구성된 FIPS 모드와동일합니다. 정책서버가마이그레이션모드에있는경우에는모든모드에서 CA SiteMinder for Secure Proxy Server 와함께작동할수있습니다. COMPAT 모드를사용하고기존 CA SiteMinder for Secure Proxy Server 설치를업그레이드한경우, 새설치는계속 COMPAT 모드에서작동합니다. 다음단계에주목하십시오. 이후단원에서설명하는대로 smreghost 명령을사용하여모드를수동으로변경할수있습니다. JsafeJCE 보안공급자의최초 FIPS 모드를설정하기위해다음줄을 JVM_HOME\jre\lib\security\java.security (Windows) 또는 JVM_HOME/jre/lib/security/java.security (UNIX) 에추가하십시오. com.rsa.cryptoj.fips140initialmode=non_fips140_mode 모드를변경한후에는웹에이전트, CA SiteMinder SPS 서버및 Apache 서버가변경내용을적용하도록시스템을다시시작하십시오. 추가정보 : FIPS 마이그레이션모드로마이그레이션 ( 페이지 55) FIPS 전용모드에대한구성프로세스 ( 페이지 54) FIPS 전용모드에대한구성프로세스 FIPS 전용모드에서 CA SiteMinder for Secure Proxy Server 를설치한후에는다음과같은추가구성단계를수행해야합니다. CA SiteMinder for Secure Proxy Server 가전체 SSL 모드에서실행중인지확인합니다. SSL 모드에서 CA SiteMinder for Secure Proxy Server 를구성하는데사용된서버키가 FIPS 호환암호화알고리즘을사용하여생성되었는지확인합니다. FIPS 전용모드에서 SSL 을구성하는절차를따릅니다. 54 관리안내서

55 FIPS 마이그레이션모드로마이그레이션 FIPS 마이그레이션모드로마이그레이션 이전버전에서업그레이드하고 FIPS 호환알고리즘을사용하려면 CA SiteMinder for Secure Proxy Server 내의웹에이전트를호환성모드에서마이그레이션모드로변경합니다. CA SiteMinder for Secure Proxy Server 를 FIPS 마이그레이션모드로설정하려면 1. CA SiteMinder for Secure Proxy Server 서비스를중지합니다. 2. 명령줄창을엽니다. 3. 다음명령을입력합니다. smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf MIGRATE 예 : smreghost -i localhost -u siteminder -p firewall -hn helloworld -hc host -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o -cf MIGRATE 4. 컴퓨터를다시시작합니다 (Windows 에만해당 ). 5. CA SiteMinder for Secure Proxy Server 서비스를다시시작합니다. CA SiteMinder for Secure Proxy Server 내의웹에이전트가 FIPS 호환성모드에서 FIPS 마이그레이션모드로변경되었습니다. 제 3 장 : FIPS-140 지원 55

56 FIPS 전용모드로마이그레이션 FIPS 전용모드로마이그레이션 SiteMinder 정책서버가 FIPS 전용또는 FIPS 호환성모드에있는경우업그레이드후 CA SiteMinder for Secure Proxy Server 의 FIPS 모드를 FIPS 호환성에서 FIPS 전용으로변경할수있습니다. 다음단계를수행하십시오. 1. CA SiteMinder for Secure Proxy Server 서비스를중지합니다. 2. OPENSSL_FIPS 환경변수의값을 1 로설정합니다. 3. 다음단계중하나를수행합니다. 1. Windows 에서 FIPS 모드를변경하려면 CA_SM_PS_FIPS140 환경변수를 ONLY 로설정합니다. 2. UNIX 에서 FIPS 모드를변경하려면다음단계를수행합니다. a. proxyserver.sh 파일을엽니다. 기본경로 : sps-home/proxy-engine/proxyserver.sh b. CA_SM_PS_FIPS140 환경변수의값을 ONLY 로설정합니다. 4. 명령프롬프트에서다음명령을실행합니다. smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf ONLY 예 : smreghost -i localhost -u siteminder -p firewall -hn helloworld -hc host -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o -cf ONLY 5. CA SiteMinder for Secure Proxy Server 가전체 SSL 모드에서실행중인지확인합니다. CA SiteMinder for Secure Proxy Server 내의 Apache 에 SSL 이이미사용되도록설정되어있는경우 SSL 을사용하지않도록설정하고 FIPS 전용모드용으로다시구성해야합니다. 6. httpd-ssl.conf 파일을엽니다. 기본경로 : sps_home\httpd\conf\extra\httpd-ssl.conf 7. SSLPassPhraseDialog 변수의값을 custom 으로설정합니다. 8. 다음행의주석처리를제거합니다. SSLCustomPropertiesFile "<sps_home>/tomcat/properties/spsssl.properties" 56 관리안내서

57 FIPS 전용모드로마이그레이션 9. SSLCustomPropertiesFile 변수의값을 <sps_home>\httpd\conf\spsapachessl.properties 로설정합니다. 10. SSLSpsFipsMode 변수의값을 ONLY 로설정합니다. 11. 컴퓨터를다시시작합니다. 12. CA SiteMinder for Secure Proxy Server 서비스를시작합니다. 제 3 장 : FIPS-140 지원 57

58

59 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 이섹션은다음항목을포함하고있습니다. FSS 소개 ( 페이지 59) SiteMinder 페더레이션환경에서의 SPS 사용사례 ( 페이지 60) SiteMinder 페더레이션환경에서의 SPS 역할 ( 페이지 65) SPS 사용사례에대한솔루션 ( 페이지 66) 쿠키를사용하지않는페더레이션 ( 페이지 77) 웹에이전트대신 SPS 사용 ( 페이지 80) 페더레이션게이트웨이로 SPS 사용 ( 페이지 82) FSS 소개 SiteMinder FSS(Federation Security Services) 는비즈니스파트너간에보안정보를교환할수있게해줍니다. 이서비스는엔터프라이즈간의원활한인증및세부적인권한부여기능을제공합니다. FSS 는다음방법으로 CA SiteMinder for Secure Proxy Server 와함께구현됩니다. SiteMinder 웹에이전트의대체서비스로 SiteMinder 웹에이전트및웹에이전트옵션팩의대체서비스로 페더레이션서비스를사용하여조직과조직의파트너는다음을수행할수있습니다. 사용자정보를안전하게교환합니다. 한조직의사용자아이덴티티를다른조직의사용자아이덴티티에매핑합니다. 서로다른조직간에싱글사인온을제공합니다. 파트너에서수신한사용자정보를기반으로리소스에대한액세스를제어합니다. Windows, UNIX 및다양한웹서버 ( 예 : IIS, Sun Java System 및 Apache) 같은이종환경에서상호운용합니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 59

60 SiteMinder 페더레이션환경에서의 SPS 사용사례 SiteMinder 페더레이션환경에서의 SPS 사용사례 파트너간의비즈니스처리방식이다양한만큼페더레이션된네트워크의사용사례도다양할수있습니다. 다음사용사례에서는파트너간에싱글사인온을제공하기위해사용자아이덴티티를처리하는다양한방법을보여줍니다. 자세한사용사례는 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 를참조하십시오. 사용사례 1: 계정연결에기반한싱글사인온 사용사례 1 에서 smcompany.com 은파트너회사인 ahealthco.com 과직원의료혜택관리계약을맺습니다. smcompany.com 의직원이이회사의직원포털사이트 ( 에서인증을받은다음 ahealthco.com 의의료혜택정보를보기위해링크를클릭합니다. 이직원은 ahealthco.com 웹사이트에연결되며웹사이트에사인온할필요없이해당직원의의료혜택정보가제공됩니다. 다음그림에서는이사용사례를보여줍니다. 60 관리안내서

61 SiteMinder 페더레이션환경에서의 SPS 사용사례 ahealthco.com 이라는회사가 smcompany.com 의직원에대한모든의료관련정보를유지관리합니다. 이를위해 ahealthco.com 은 smcompany.com 의모든직원에대한사용자아이덴티티를유지관리합니다. smcompany.com 의직원이 ahealthco.com 에액세스하면해당직원에대한식별자가안전한방식으로 smcompany.com 에서 ahealthco.com 으로전달됩니다. 이식별자를통해 ahealthco.com 은사용자를확인하고해당사용자에대해허용할액세스수준을결정할수있습니다. 추가정보 : 솔루션 1: 계정연결에기반한 SSO ( 페이지 66) 사용사례 2: 사용자특성프로필에기반한싱글사인온 사용사례 2 에서 smcompany.com 은 partsco.com 이라는파트너로부터부품을구매합니다. 엔지니어가직원포털 (smcompany.com) 에서인증을받은다음 partsco.com 의정보에액세스하기위해링크를클릭합니다. smcompany.com 의엔지니어인사용자는로그인할필요없이 partsco.com 웹사이트의 "Specifications"( 사양 ) 부분에직접연결됩니다. smcompany.com 의구매자가인증을받은다음 partsco.com 에대한링크를클릭하면 partsco.com 웹사이트의 "Parts List"( 부품목록 ) 부분에직접연결됩니다. 구매자는로그인할필요가없습니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 61

62 SiteMinder 페더레이션환경에서의 SPS 사용사례 개별사용자에대한인터페이스를개인화하기위해사용자이름등의추가특성이 smcompany.com 에서 partsco.com 으로전달됩니다. partsco.com 은 smcompany.com 의일부직원에대한사용자아이덴티티만유지관리하면서웹사이트의중요한부분에대한액세스를제어하고자합니다. 액세스를제어하기위해 partsco.com 은 smcompany.com 에있는사용자에대해제한된수의프로필아이덴티티를유지관리합니다. 엔지니어에대한프로필아이덴티티와구매자에대한프로필아이덴티티가하나씩유지관리됩니다. smcompany.com 의직원이 partsco.com 에액세스하면 smcompany.com 이안전한방식으로사용자특성을 partsco.com 에보냅니다. partsco.com 은특성을사용하여액세스를제어하는프로필아이덴티티를결정합니다. 추가정보 : 솔루션 2: 사용자특성프로필을사용하는 SSO ( 페이지 70) 사용사례 3: 로컬사용자계정이없는싱글사인온 사용사례 3 에서 smcompany.com 은 discounts.com 과의파트너관계를설정하여직원에게할인을제공합니다. smcompany.com 의직원은 smcompany.com 에서인증되고링크를클릭하여 discounts.com 에액세스합니다. 이직원은 discounts.com 웹사이트에연결되며 discounts.com 웹사이트에로그인할필요없이 smcompany.com 의직원이사용할수있는할인이제공됩니다. 62 관리안내서

63 SiteMinder 페더레이션환경에서의 SPS 사용사례 다음그림에서는이사용사례를보여줍니다. discounts.com 은 smcompany.com 에대한아이덴티티를유지관리하지않습니다. 이회사는 smcompany.com 의모든직원이 smcompany.com 에서인증을받은경우 discounts.com 에액세스하도록허용합니다. smcompany.com 의직원이 discounts.com 에액세스하면인증정보가안전한방식으로 smcompany.com 에서 discounts.com 으로전송됩니다. 이정보는 discounts.com 에대한액세스를허용하는데사용됩니다. 개별사용자에대한인터페이스를개인화하기위해사용자이름등의추가특성이 smcompany.com 에서 discounts.com 으로전달됩니다. 추가정보 : 솔루션 3: 로컬사용자계정이없는 SSO ( 페이지 72) 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 63

64 SiteMinder 페더레이션환경에서의 SPS 사용사례 사용사례 4: 확장네트워크 사용사례 4 에서 smcompany.com, ahealthco.com 및 discounts.com 은모두확장페더레이션된네트워크에참여합니다. 이사례는이전사용사례를확장한것입니다. 이네트워크에서 ahealthco.com 의일부고객은 smcompany.com 에서근무하지않습니다. ahealthco.com 은 ahealthco.com 과 discounts.com 간의관계를설정하여해당고객에게만할인을제공합니다. ahealthco.com 은 ahealthco.com 이각사용자에대한암호등의로컬자격증명을관리하도록모든고객에대한사용자아이덴티티를유지관리합니다. 로컬자격증명을관리하여 ahealthco.com 은사용자를인증할수있고해당파트너에대한싱글사인온액세스를제공할수있습니다. 이확장네트워크에서사용자는다음과같이각웹사이트에다르게액세스합니다. 사용자 1 은 ahealthco.com 웹사이트의의료혜택정보에액세스합니다. 사용자 1 은직원포털 (smcompany.com) 에있는 PartsSupplier 링크를클릭하여 partsco.com 웹사이트에액세스할수있습니다. 사용자 1 이직원포털에있는링크를클릭하여 discounts.com 의할인에액세스할수도있습니다. 64 관리안내서

65 SiteMinder 페더레이션환경에서의 SPS 역할 사용자 2 는 ahealthco.com 웹사이트에서인증을받은다음 discounts.com 웹사이트에로그인할필요없이링크를클릭하여 discounts.com 의할인에액세스합니다. 이사이트가사용자 2 에게제공하는할인은 ahealthco.com 과 discounts.com 간의비즈니스처리방식을반영합니다. smcompany.com 의직원인사용자 2 가 ahealthco.com 에있는링크를클릭하고웹사이트에로그인할필요없이직원포털 (smcompany.com) 에액세스할수도있습니다. 사용자 3( 예에나와있지않음 ) 은 ahealthco.com 의고객이지만 smcompany.com 의직원이아닙니다. 사용자 3 이 ahealthco.com 웹사이트에서인증을받은다음 discounts.com 의할인에액세스하기위해링크를클릭합니다. 사용자 3 은웹사이트에로그인하지않습니다. 이사이트가사용자 3 에게제공하는할인은 ahealthco.com 과 discounts.com 간의비즈니스처리방식을반영합니다. 사용자 3 은 smcompany.com 의직원이아니기때문에 smcompany.com 웹사이트에액세스할수없습니다. 추가정보 : 솔루션 4: 확장네트워크의 SSO ( 페이지 74) SiteMinder 페더레이션환경에서의 SPS 역할 CA SiteMinder for Secure Proxy Server 는다음두가지역할중하나로페더레이션사용사례에대한솔루션을제공할수있습니다. SiteMinder 웹에이전트를대체하는표준프록시서버 페더레이션게이트웨이 이두역할의주요차이점은필요한구성과배포작업에있습니다. SPS 를웹에이전트를대체하는프록시서버로사용할경우에는페더레이션웹서비스응용프로그램을실행하기위한별도의서버및서블릿엔진도설정해야합니다. 페더레이션게이트웨이의역할을하는프록시서버에는웹에이전트및페더레이션웹서비스응용프로그램의구성요소가기본적으로제공됩니다. 전용서버및서블릿엔진이별도로구성되지않으므로페더레이션설정이간단합니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 65

66 SPS 사용사례에대한솔루션 SPS 사용사례에대한솔루션 다음단원에서는페더레이션사용사례에대한 CA SiteMinder for Secure Proxy Server 솔루션을보여줍니다. 솔루션 1: 계정연결에기반한 SSO 솔루션 1 에서는 smcompany.com 과 ahealthco.com 에 FSS(Federation Security Services) 를배포하여사용사례 1: 계정연결에기반한싱글사인온 ( 페이지 60) 을해결하는방법을보여줍니다. 66 관리안내서

67 SPS 사용사례에대한솔루션 다음그림에서는계정연결을기반으로하는솔루션을보여줍니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 67

68 SPS 사용사례에대한솔루션 솔루션 1 에 SAML 1.x 아티팩트인증사용 CA SiteMinder 는 68 두사이트모두에배포되며설치는 smcompany.com 과 ahealthco.com 모두동일합니다. CA SiteMinder for Secure Proxy Server 와웹에이전트옵션팩, 또는 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이는웹서버시스템에설치될수있으며정책서버옵션팩을포함한정책서버는다른컴퓨터에설치됩니다. 생산측의 FWS 응용프로그램은어설션을검색하는서비스를제공합니다. 소비측의 FWS 응용프로그램은어설션을소비하는서비스를제공합니다. 다음프로세스는계정연결을사용하는싱글사인온을위한한가지솔루션입니다. 이솔루션은 SAML 1.x 아티팩트프로필을사용합니다. 이사용사례에대해다른프로필 (SAML 1.x POST 와 SAML 2.0 아티팩트및 POST) 을사용하는다른솔루션도있습니다. 이러한솔루션은 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 를참조하십시오. 이솔루션에서 smcompany.com 은생산자사이트로작동하고있습니다. smcompany.com 의직원이직원포털 ( 에액세스하는경우이벤트순서는다음과같습니다. 1. CA SiteMinder for Secure Proxy Server 가초기인증을제공합니다. 2. 직원이 ahealthco.com 의의료혜택정보를보기위해 smcompany.com 에있는링크를클릭하면해당링크가 의사이트간전송서비스에요청합니다. 3. 사이트간전송서비스가어설션생성기를호출하면어설션생성기가 SAML 어설션을생성하여 SiteMinder 세션서버에삽입하고 SAML 아티팩트를반환합니다. 4. CA SiteMinder for Secure Proxy Server 가 SAML 브라우저아티팩트프로토콜에따라 SAML 아티팩트와함께사용자를 으로리디렉션합니다. 68 관리안내서

69 SPS 사용사례에대한솔루션 ahealthco.com 은소비자사이트로작동하고있습니다. SAML 아티팩트가포함된리디렉션요청은 ahealthco.com 의 SAML 자격증명수집기페더레이션웹서비스에의해처리됩니다. 이벤트순서는다음과같습니다. 1. SAML 자격증명수집기가 SAML 아티팩트인증체계를호출하여 smcompany.com 의어설션검색서비스위치를파악합니다. 2. SAML 자격증명수집기가 의어설션검색서비스를호출합니다 의어설션검색서비스가 SiteMinder 세션서버에서어설션을검색하여 ahealthco.com 의 SAML 자격증명수집기로반환합니다. 4. 그런다음유효성검사와세션생성을위해 SAML 자격증명수집기가어설션을 SAML 아티팩트인증체계에전달하고사용자의브라우저에 SiteMinder 세션쿠키를발급합니다. 5. 이제사용자는 ahealthco.com 의정책서버에정의되고 ahealthco.com 의 CA SiteMinder for Secure Proxy Server 에의해적용된정책을기반으로 ahealthco.com 의리소스에액세스할수있습니다. 이예에서 smcompany.com 의관리자는정책서버사용자인터페이스를사용하여 ahealthco.com 에대해가맹을구성합니다. 가맹은고유사용자 ID 인특성을사용하여구성됩니다. 이로인해어설션생성기는해당특성을 ahealthco.com 에대해생성된 SAML 어설션에사용자프로필의일부로포함합니다. ahealthco.com 의관리자는정책서버사용자인터페이스를사용하여 smcompany.com 에대한 SAML 아티팩트인증체계를구성합니다. 이인증체계는 smcompany.com 의어설션검색서비스위치, SAML 어설션에서고유사용자 ID 를추출하는방법, 어설션에서추출된값과일치하는사용자레코드를 ahealthco.com 의사용자디렉터리에서검색하는방법등을지정합니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 69

70 SPS 사용사례에대한솔루션 솔루션 2: 사용자특성프로필을사용하는 SSO 솔루션 2 에서는 smcompany.com 과 partsco.com 에 SiteMinder FSS(Federation Security Services) 를배포하여사용사례 2: 사용자특성프로필에기반한싱글사인온 ( 페이지 61) 을해결하는방법을보여줍니다. CA SiteMinder 는 70 두사이트모두에배포됩니다. 사용자와각사이트간의상호작용은유사합니다. 이때 partsco.com 은소비기관으로작동합니다. 생산측의 FWS 응용프로그램은어설션을검색하는서비스를제공합니다. 소비측의 FWS 응용프로그램은어설션을소비하는서비스를제공합니다. 다음그림은 SAML 1.x, SAML 2.0 및 WS- 페더레이션의경우유사하지만다음과같이페더레이션웹서비스구성요소가다릅니다. SAML 1.x 의경우어설션검색서비스 ( 아티팩트프로필만해당 ) 는생산자에있고 SAML 자격증명수집기는 SP 에있습니다. SAML 2.0 의경우아티팩트레졸루션서비스 ( 아티팩트바인딩만해당 ) 는 IdP 에있고어설션소비자서비스는 SP 에있습니다. WS- 페더레이션의경우싱글사인온서비스는 AP 에있고보안토큰소비자서비스는 RP 에있습니다. 참고 : WS- 페더레이션은 HTTP-POST 바인딩만지원합니다. 70 관리안내서

71 SPS 사용사례에대한솔루션 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 71

72 SPS 사용사례에대한솔루션 구성은다음을제외하고솔루션 1: 계정연결에기반한싱글사인온과유사합니다. smcompany.com 의관리자는이회사의사용자부서를지정하는특성을사용하여 partsco.com 에대한소비자 /SP 를정의합니다. 어설션생성기는이특성을 partsco.com 에대해생성되는 SAML 어설션에사용자프로필의일부로포함합니다. partsco.com 의관리자는 smcompany.com 에대한인증체계 ( 아티팩트, POST 또는 WS- 페더레이션 ) 를정의합니다. 이체계는 SAML 어설션에서부서특성을추출하고 partsco.com 의사용자디렉터리에서어설션의부서값과일치하는사용자레코드를검색합니다. 관리자는 partsco.com 의웹사이트에액세스하도록허용된각부서에대해사용자프로필레코드를하나씩정의합니다. 솔루션 3: 로컬사용자계정이없는 SSO 솔루션 3 에서는 smcompany.com 과 discounts.com 에 SiteMinder FSS(Federation Security Services) 를배포하여사용사례 3: 로컬사용자계정이없는싱글사인온 ( 페이지 62) 을해결하는방법을보여줍니다. CA SiteMinder for Secure Proxy Server 와웹에이전트옵션팩을각각별도의컴퓨터에설치하고세번째컴퓨터에는정책서버옵션팩을포함한정책서버를설치하여 smcompany.com 에 CA SiteMinder 가 72 배포됩니다. SAML 가맹에이전트는 discounts.com 에설치됩니다. 이에이전트는 SAML 1.0 만지원합니다. 생산측의 FWS 응용프로그램은어설션검색서비스를제공합니다. 소비자측의 FWS 응용프로그램은 SAML 자격증명수집기를제공합니다. 참고 : CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이는 SAML 1.0 을지원하지않으므로 SAML 가맹에이전트에대한생산자로작동할수없습니다. 72 관리안내서

73 SPS 사용사례에대한솔루션 다음그림에서는로컬사용자계정이없는싱글사인온을보여줍니다. smcompany.com 은 SAML 1.x 생산자로작동하고있습니다. smcompany.com 의직원이직원포털 ( 에액세스하면다음프로세스가발생합니다. 1. CA SiteMinder for Secure Proxy Server 가초기인증을제공합니다. 2. 직원이 discounts.com 의거래에액세스하기위해 에있는링크를클릭하면해당링크가 의 CA SiteMinder for Secure Proxy Server 에요청합니다 의 CA SiteMinder for Secure Proxy Server 가어설션생성기를호출하면어설션생성기가 SAML 어설션을생성하여 SiteMinder 세션서버에삽입하고 SAML 아티팩트를반환합니다. 4. CA SiteMinder for Secure Proxy Server 가 SAML 브라우저아티팩트프로토콜에따라 SAML 아티팩트와함께사용자를 으로리디렉션합니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 73

74 SPS 사용사례에대한솔루션 discounts.com 은소비자사이트로작동하고있습니다. SAML 아티팩트가포함된리디렉션요청은다음과같이 의 SAML 가맹에이전트에의해처리됩니다. 1. SAML 가맹에이전트가구성파일에서 의어설션검색서비스위치를파악합니다. 2. SAML 가맹에이전트가 의어설션검색서비스를호출합니다 의어설션검색서비스가 SiteMinder 세션서버에서어설션을검색하여 의 SAML 가맹에이전트로반환합니다. 4. 그런다음 SAML 가맹에이전트가 SAML 어설션의유효성을검사하고사용자의브라우저에 SiteMinder 가맹세션쿠키를발급합니다. 5. 이제사용자가 discounts.com 의리소스에액세스할수있습니다. smcompany.com 의관리자는정책서버사용자인터페이스를사용하여 discounts.com 에대해가맹을구성합니다. 가맹은 discounts.com 에전달될특성정보를사용하여구성됩니다. 어설션생성기는이러한특성을 discounts.com 에대해생성되는 SAML 어설션에사용자프로필의일부로포함합니다. discounts.com 의관리자는 discounts.com 사이트, smcompany.com 의어설션검색서비스위치, smcompany.com 에정의된가맹이보호할리소스등에대한정보를사용하여 SAML 가맹에이전트를구성합니다. 솔루션 4: 확장네트워크의 SSO 솔루션 4 에서는 smcompany.com, ahealthco.com 및 discounts.com 에 SiteMinder FSS(Federation Security Services) 를배포하여사용사례 4: 확장네트워크 ( 페이지 64) 를해결하는방법을보여줍니다. 74 관리안내서

75 SPS 사용사례에대한솔루션 다음그림에서는확장네트워크를보여줍니다. SAML 1.x 는사용되는프로토콜입니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 75

76 SPS 사용사례에대한솔루션 SiteMinder 는 smcompany.com 과 ahealthco.com 에배포됩니다. smcompany.com 에서는 CA SiteMinder for Secure Proxy Server 와웹에이전트옵션팩을두컴퓨터에나눠설치하거나 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이를한컴퓨터에설치할수있습니다. 정책서버옵션팩을포함한정책서버는또다른컴퓨터에설치합니다. ahealthco.com 에서는 CA SiteMinder for Secure Proxy Server 와웹에이전트옵션팩을두컴퓨터에나눠설치하고정책서버옵션팩을포함한정책서버를또다른컴퓨터에설치합니다. discounts.com 에는 SAML 가맹에이전트가설치됩니다. 생산측의 FWS 응용프로그램은어설션을검색하는서비스를제공합니다. 소비측의 FWS 응용프로그램은어설션을소비하는서비스를제공합니다. 솔루션 4 에서 smcompany.com 은사용자 1 에대한생산자와사용자 2 에대한소비자로작동합니다. ahealthco.com 은사용자 1 에대한소비자와사용자 2 및사용자 3 에대한생산자로작동합니다. discounts.com 은사용자 1, 사용자 2 및사용자 3 에대한소비자로작동합니다. smcompany.com 의관리자는가맹도메인에 ahealthco.com 과 discounts.com 을나타내는엔터티두개를구성했습니다. 이러한사이트는앞서설명한예 1 및예 3 과유사한방식으로구성되었지만다음과같이해당구성이확장되었습니다. smcompany.com 의관리자는 SAML 인증체계 ( 아티팩트또는 POST) 를구성했습니다. 사용자 2 의경우인증체계를통해 smcompany.com 이 ahealthco.com 에대한소비자로작동할수있습니다. ahealthco.com 에서 관리자는사용자 2 에대한어설션이생성되도록 smcompany.com 을나타내는가맹개체를구성했습니다. 이로인해 smcompany.com 에대한싱글사인온이가능해집니다. 관리자는사용자 2 와사용자 3 에대한어설션이생성되도록 discounts.com 을나타내는가맹개체를구성했습니다. 이로인해 discounts.com 에대한싱글사인온이가능해집니다. 76 관리안내서

77 쿠키를사용하지않는페더레이션 discounts.com 의관리자는예 3 과마찬가지로 smcompany.com 에대한소비자로작동하도록 SAML 가맹에이전트를구성했습니다. 두사이트를연결하는화살표는그림에나와있지않습니다. 또한 discounts.com 의관리자는 SAML 가맹에이전트가사용자 2 와사용자 3 에대해 ahealthco.com 으로부터받은어설션을소비할수있도록 ahealthco.com 에대한구성정보를추가했습니다. 쿠키를사용하지않는페더레이션 일부장치또는환경에서는사용자세션을설정하고싱글사인온을제공하는데쿠키를사용할수없습니다. 페더레이션환경에서사용할수있는세션체계유형은쿠키를사용하지않는체계뿐입니다. 쿠키를사용하지않는페더레이션체계는싱글사인온을설정하는데사용됩니다. 쿠키를지원하지않는모바일장치를사용할경우 FWS 가생성한쿠키 ( 세션및특성 ) 가클라이언트로다시전송되지않는지확인하십시오. 생산사이트에서쿠키를사용하지않는페더레이션 어설션을생산하는사이트에서쿠키를사용하지않는트랜잭션은다음과같이처리됩니다. 1. CA SiteMinder for Secure Proxy Server 가리디렉션을요청하는가상호스트에쿠키를사용하지않는페더레이션이사용되는지여부를확인합니다. 2. CA SiteMinder for Secure Proxy Server 가세션체계가 simple_url 체계와같이다시쓰기가능한체계인지확인합니다. 3. 체계가다시쓰기가능한체계이면 CA SiteMinder for Secure Proxy Server 는해당세션에대한세션키가생성되었는지여부와이키를사용할수있는지여부를확인합니다. 4. CA SiteMinder for Secure Proxy Server 가 HTTP 응답의위치헤더가다음조건중하나를충족하는지확인합니다. 위치헤더가다시써져야합니다. 위치헤더가요청의호스트와동일해야합니다. 5. CA SiteMinder for Secure Proxy Server 가리디렉션된 URL 에세션키정보를포함하도록리디렉션응답을다시씁니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 77

78 쿠키를사용하지않는페더레이션 소비사이트에서쿠키를사용하지않는페더레이션 어설션을소비하는사이트에서쿠키를사용하지않는페더레이션이사용될경우웹에이전트를대체하는 CA SiteMinder for Secure Proxy Server 는백엔드서버에서 SAML 인증을사용하여리디렉션을처리합니다. 쿠키를사용하지않는페더레이션에서 CA SiteMinder for Secure Proxy Server 가요청을처리하는방식은다음과같습니다. 1. CA SiteMinder for Secure Proxy Server 가휴대폰과같이쿠키를사용하지않는장치에서요청을수신합니다. 2. CA SiteMinder for Secure Proxy Server 가리디렉션을요청하는가상호스트에대해쿠키를사용하지않는페더레이션이사용되도록설정되어있는지확인합니다. 3. CA SiteMinder for Secure Proxy Server 가다음조건이충족되었는지확인합니다. 백엔드서버로부터의응답이리디렉션응답이어야합니다. 응답에 SMSESSION 쿠키가포함되어있어야합니다. 이두조건이동시에충족되면백엔드서버의 FWS 응용프로그램에서 SAML 인증이수행되었음을나타냅니다. 4. CA SiteMinder for Secure Proxy Server 가사용중인세션체계를검색합니다. 5. CA SiteMinder for Secure Proxy Server 가쿠키를사용하지않는관련세션을생성하고해당세션정보를세션저장소에추가합니다. 6. 세션체계가단순 URL 세션체계와같이다시쓰기가능한체계일경우 CA SiteMinder for Secure Proxy Server 가해당세션키를사용하여위치헤더를다시씁니다. 7. 쿠키를사용하지않는페더레이션세션변환이수행된것으로확인되면 CA SiteMinder for Secure Proxy Server 가브라우저로전송되는응답에서 SMSESSION 쿠키를삭제합니다. 8. CA SiteMinder for Secure Proxy Server 가특성쿠키도삭제해야하는지확인합니다. 이작업은 deleteallcookiesforfed 매개변수 ( 페이지 142) 를확인하는방법으로수행됩니다. 이매개변수가 yes 로설정되어있으면 CA SiteMinder for Secure Proxy Server 가브라우저로전송되는응답에서다른모든쿠키를삭제합니다. 78 관리안내서

79 쿠키를사용하지않는페더레이션 소비측에서쿠키를사용하지않는페더레이션을사용하도록설정 어설션소비측에서 CA SiteMinder for Secure Proxy Server 가웹에이전트를대체하는경우 CA SiteMinder for Secure Proxy Server 에의해구현되며쿠키를사용하지않는모든세션체계에대해쿠키를사용하지않는페더레이션매개변수가사용되도록설정됩니다. 소비측에서 CA SiteMinder for Secure Proxy Server 에대해쿠키를사용하지않는페더레이션을사용하도록설정하려면 1. sps_home/secure-proxy/tomcat/properties 의 noodle.properties 파일을엽니다. 2. 다음두줄에서 '#' 을제거하고파일을저장합니다. filter._cookielessfederation_.class=org.tigris.noodle.filters.cookielessfe dfilter filter._cookielessfederation_.order=1 설정이저장됩니다. 3. sps_home/secure-proxy/proxy-engine/conf 에있는 server.conf 파일을엽니다. 4. FWS 서비스를제공하는가상호스트에대한가상호스트섹션에다음코드를추가합니다. cookielessfederation="yes" 5. 파일을저장합니다. 소비하는파트너에서 CA SiteMinder for Secure Proxy Server 가쿠키를사용하지않는페더레이션용으로구성되었습니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 79

80 웹에이전트대신 SPS 사용 웹에이전트대신 SPS 사용 페더레이션된싱글사인온을제공하기위해 CA SiteMinder for Secure Proxy Server 를 SiteMinder 웹에이전트를대체하는역할로사용할수있습니다. CA SiteMinder for Secure Proxy Server 는웹에이전트옵션팩과결합하여서블릿패키지의모음인 FWS( 페더레이션웹서비스 ) 응용프로그램을웹응용프로그램으로제공합니다. 이응용프로그램은 SiteMinder 페더레이션기능의상당수를제공합니다. 페더레이션환경에서 CA SiteMinder for Secure Proxy Server 를구성하려면 SiteMinder FSS(Federation Security Services) 에대해잘알고있어야합니다. FSS 에대한자세한내용은 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 를참조하십시오. 다음그림에서는 CA SiteMinder for Secure Proxy Server 가 SiteMinder 웹에이전트를대체하는환경을보여줍니다. F ire w a ll F ire w a ll H T T P / H T T P S tra ffic SPS (e m b e d d e d W e b A g e n t) W e b A g e n t O p tio n P a c k (F W S ) P o lic y S e rv e r/ P o lic y S e rv e r O p tio n P a c k D e s tin a tio n S e rv e r 중요! 페더레이션환경에웹에이전트대신 CA SiteMinder for Secure Proxy Server 를사용하려면웹에이전트옵션팩에전용웹서버및서블릿엔진이필요합니다. 80 관리안내서

81 웹에이전트대신 SPS 사용 SPS 를웹에이전트대체서비스로사용하기위한사전요구사항 CA SiteMinder for Secure Proxy Server 를 SiteMinder FSS(Federation Security Services) 환경에서사용할수있도록구성하기전에다음사항을고려하십시오. SiteMinder 환경을 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 의정보에따라구성해야합니다. FSS 가올바르게구성되도록하려면표준웹에이전트를사용하여페더레이션환경을구성해야합니다. SiteMinder 정책서버사용자인터페이스에서어설션을생성하는 CA SiteMinder for Secure Proxy Server 시스템의호스트정보 ( 서버및포트번호 ) 를정의하십시오. CA SiteMinder for Secure Proxy Server 호스트는지정하려는페더레이션파트너에대한적절한속성대화상자의 " 서버 " 필드에서정의합니다. SPS 를페더레이션용웹에이전트대체역할로구성 페더레이션환경에서 CA SiteMinder for Secure Proxy Server 가작동하도록하기위한구성프로세스는표준 CA SiteMinder for Secure Proxy Server 구성프로세스와유사합니다. CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이에대한전체구성프로세스는다음과같습니다. 1. CA SiteMinder for Secure Proxy Server 를설치합니다. 2. 구성마법사를실행합니다. 3. server.conf 파일에서일반적인서버설정을지정합니다. 대부분의 server.conf 설정에기본값이있지만로깅, 세션체계또는가상호스트설정등의설정은수정할수있습니다. 4. 요청이백엔드서버로리디렉션되도록 proxyrules.xml 파일에서프록시규칙을정의합니다. 엔터프라이즈생산어설션에서 FWS 를호스트하는백엔드서버로요청을전달하는프록시규칙을정의합니다. 어설션을소비하는측에는대상리소스에대한사용자액세스가허용된후요청을대상서버로전달하는규칙이있어야합니다. 5. ( 선택사항 ) CA SiteMinder for Secure Proxy Server 에대한가상호스트를구성하려면 Apache 웹서버파일 (httpd.conf) 을수정합니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 81

82 페더레이션게이트웨이로 SPS 사용 추가정보 : 프록시규칙구성 ( 페이지 165) Apache 웹서버구성 ( 페이지 93) SPS 서버설정구성 ( 페이지 95) 페더레이션게이트웨이로 SPS 사용 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이를사용하면페더레이션환경에관련된구성이단순해집니다. 일반적인페더레이션환경에서는파트너가여러웹서버를통해통신합니다. 각웹서버마다웹에이전트와웹에이전트옵션팩을설치하고구성해야합니다. CA SiteMinder for Secure Proxy Server 를페더레이션게이트웨이로사용하도록설정하면설치및설정해야하는구성요소의수가줄어듭니다. CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이에는 CA SiteMinder for Secure Proxy Server 의표준구성요소와웹에이전트옵션팩이제공하는페더레이션웹서비스응용프로그램이포함되어있습니다. 참고 : 페더레이션환경에서 CA SiteMinder for Secure Proxy Server 를구성하려면 SiteMinder FSS(Federation Security Services) 에대해잘알고있어야합니다. FSS 에대한자세한내용은 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 를참조하십시오. 82 관리안내서

83 페더레이션게이트웨이로 SPS 사용 다음그림에서는 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이를사용할때와사용하지않을때의차이를보여줍니다. F e d e r a te d E n v ir o n m e n t w ith o u t th e S P S F e d e r a tio n G a te w a y Firew all Firew all P a rtn e r 3 P a rtn e r 2 P o lic y S e rv e r/ P o lic y S e rv e r O p tio n P a c k D e s tin a tio n S e rv e r P a rtn e r 1 W e b A g e n ts / W e b A g e n t O p tio n P a c k s F e d e r a te d E n v ir o n m e n t w ith th e S P S F e d e r a tio n G a te w a y Firew all Firew all P a rtn e r 3 P a rtn e r 2 S P S F e d e ra tio n G a te w a y P o lic y S e rv e r/ P o lic y S e rv e r O p tio n P a c k D e s tin a tio n S e rv e r P a rtn e r 1 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 83

84 페더레이션게이트웨이로 SPS 사용 페더레이션게이트웨이를사용하기위한사전요구사항 CA SiteMinder for Secure Proxy Server 를페더레이션게이트웨이로설정하려면먼저다음을고려해야합니다. SiteMinder 환경을 CA SiteMinder Federation Security Services Guide(CA SiteMinder Federation Security Services 안내서 ) 의정보에따라구성해야합니다. 페더레이션의정책서버측구성요소가구성되어있는지확인하십시오. CA SiteMinder for Secure Proxy Server 를설치하고, 관련메시지가표시되면 enablefederationgateway 설정을사용하도록설정하십시오. SiteMinder 정책서버사용자인터페이스에서어설션을생성하는 CA SiteMinder for Secure Proxy Server 시스템의호스트정보 ( 서버및포트번호 ) 를정의해야합니다. CA SiteMinder for Secure Proxy Server 호스트는지정하려는페더레이션파트너에대한적절한속성대화상자의 " 서버 " 필드에서정의합니다. SPS 페더레이션게이트웨이구성 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이는생산자사이트와소비자사이트에있을수있습니다. CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이에대한전체구성프로세스는다음과같습니다. 1. CA SiteMinder for Secure Proxy Server 를설치합니다. 2. 구성마법사를실행합니다. 3. server.conf 파일에서일반적인서버설정을지정합니다. 대부분의 server.conf 설정에기본값이있지만세션체계또는가상호스트설정등의설정은수정할수있습니다. 84 관리안내서

85 페더레이션게이트웨이로 SPS 사용 4. 요청이백엔드서버로리디렉션되도록 proxyrules.xml 파일에서프록시규칙을정의합니다. 어설션을생산하는엔터프라이즈에서는페더레이션요청이 CA SiteMinder for Secure Proxy Server 에포함된 Tomcat 서버로전달됩니다. Tomcat 서버는 FWS 응용프로그램을호스트합니다. 페더레이션요청이처리될때는프록시규칙및필터가아무영향도주지않습니다. 어설션을소비하는엔터프라이즈에서는대상리소스에대한사용자액세스가허용된후요청을대상서버로전달하는프록시규칙을정의해야합니다. 5. ( 선택사항 ) Apache 웹서버파일 (httpd.conf) 을수정할수있습니다. SPS 페더레이션게이트웨이의제한사항 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이를사용하는경우다음제한사항에유의하십시오. 페더레이션리소스를요청중인경우에는사전필터및사후필터 ( 기본제공필터및사용자구성필터포함 ) 가실행되지않습니다. 기본컨텍스트에대해실행되는페더레이션되지않은요청의경우에는이러한필터가정상적으로실행됩니다. 페더레이션된리소스를요청중인경우에는프록시규칙이실행되지않습니다. 기본컨텍스트에대해실행되는페더레이션되지않은요청의경우에는이러한규칙이정상적으로실행됩니다. 제 4 장 : FSS(Federation Security Services) 와함께 SPS 사용 85

86

87 제 5 장 : SPS 의보안영역 이섹션은다음항목을포함하고있습니다. 싱글사인온보안영역개요 ( 페이지 87) 보안영역의이점 ( 페이지 88) 보안영역의기본사용사례 ( 페이지 89) 보안영역에대한매개변수 ( 페이지 90) CA SiteMinder for Secure Proxy Server 보안영역구성 ( 페이지 91) 싱글사인온보안영역개요 SSO 보안영역은같은쿠키도메인내의응용프로그램그룹간에구성가능한트러스트관계를제공합니다. 사용자는같은영역내에서싱글사인온기능을사용하지만다른영역에들어갈때는영역간에정의된트러스트관계에따라인증이요청될수있습니다. 트러스트관계에포함된영역은해당그룹의영역에서유효한세션을가진사용자에게인증을요청하지않습니다. CA SiteMinder 웹에이전트는싱글사인온보안영역을구현합니다. 각영역은독립된웹에이전트인스턴스에있어야하며같은에이전트구성개체를통해구성된모든웹에이전트는같은싱글사인온영역에속합니다. 웹에이전트가생성한쿠키는보안영역을식별합니다. 기본적으로웹에이전트는두개의쿠키를생성하는데, 하나는 SMSESSION 이라는세션쿠키이고다른하나는 SMIDENTITY 라는아이덴티티쿠키입니다. 보안영역을구성하는경우웹에이전트는쿠키이름에영역가맹이반영되도록고유이름을사용하여세션쿠키와아이덴티티쿠키를생성합니다. 참고 : SSO 보안영역에대한자세한내용은 CA SiteMinder Web Agent Guide(CA SiteMinder 웹에이전트안내서 ) 를참조하십시오. 제 5 장 : SPS 의보안영역 87

88 보안영역의이점 보안영역의이점 SSO 보안영역은 CA SiteMinder 관리자가하나의쿠키도메인내에서싱글사인온환경을분할하려는경우사용할수있는기능입니다. 예를들어 CA.COM 도메인을가정해봅니다. CA SiteMinder 의표준 SSO 기능을사용하면 CA.COM 에서 CA SiteMinder 로보호되는모든응용프로그램은 SMSESSION 쿠키를사용하여싱글사인온을관리합니다. SSO 보안영역이없는다음과같은시나리오를가정해봅니다. 1. 사용자가 APP1 응용프로그램에액세스합니다. 사용자는 CA SiteMinder 에서인증요청을받고 CA SiteMinder 에로그인하여 SMSESSION 쿠키를생성합니다. 2. 사용자가다른응용프로그램 APP2 에액세스하면 CA SiteMinder 에서다시인증이요청됩니다. 규칙에따라사용자는 APP1 사용자자격증명으로 APP2 에액세스할수없으므로 SSO 가실행되지않습니다. 사용자가로그인하여새 SMSESSION 쿠키를생성하면 APP2 에대한새로그인세션으로이전세션을덮어쓰게됩니다. 3. 이제사용자가 APP1 에반환되지만원래 APP1 세션이손실되었고 APP2 세션은 APP1 에허용되지않으므로사용자에게다시인증이요청됩니다. 즉, APP1 과 APP2 간에 SSO 가실행되지않으며이는매우불편한상황을만들수있습니다. SSO 보안영역을사용하면 APP1 을 Z1 영역에두고 APP2 를 Z2 영역에둘수있습니다. 그런다음 APP1 에로그인하면 Z1SESSION 쿠키가생성되고 APP2 에액세스하면 Z2SESSION 쿠키가생성됩니다. 쿠키이름이서로다르므로다른쿠키를덮어쓰지않게되고위의예제와같이사용자가다른응용프로그램으로이동할때마다로그인하지않고응용프로그램별로한번만로그인하면됩니다. SSO 보안영역기능이나오기전에응용프로그램에대해이와같은 SSO 그룹화를수행할수있는방법은네트워크도메인, 즉쿠키도메인 (CA1.COM, CA2.COM 등 ) 을여러개생성하고쿠키공급자를통해다중쿠키도메인구성을사용하는것뿐이었습니다. 네트워크도메인을여러개사용하면특정한 IT 유지관리및지원이필요하므로이방법은대부분의기업에적합하지않습니다. 88 관리안내서

89 보안영역의기본사용사례 보안영역의기본사용사례 싱글사인온은구성가능한트러스트관계가설정된여러보안영역으로분할될수있습니다. 예를들어다음과같은영역 A 와영역 B 를가정해봅니다. 영역 A 에는트러스트된영역이하나뿐입니다 ( 영역 A). 영역 B 에는트러스트된영역이두개있습니다 ( 영역 A, 영역 B). 위의그림에서화살표는트러스트관계를나타내는데, 영역 A 에서설정된사용자세션을영역 B 에서싱글사인온에사용할수있다는의미입니다. 이예제의경우영역 A 는관리자전용영역이고영역 B 는공용액세스영역으로볼수있습니다. 영역 A 에서인증된관리자는재인증없이영역 B 에액세스할수있습니다. 그러나영역 B 에서인증된사용자가영역 A 에액세스하려면재인증이필요합니다. 영역이다른사용자세션은서로독립적입니다. 사용자가처음에영역 B 에서인증된후다시영역 B 에서인증되는경우를가정해봅니다. 그러면서로다른두세션이생성됩니다. 실제로두세션에서사용자의아이덴티티가다를수있습니다. 사용자가영역 A 로반환되면해당영역에서설정된세션이사용됩니다. 사용자세션이없는영역에서싱글사인온을사용하여해당사용자의유효성을검사하는경우어떤결과가발생할지생각해보십시오. 사용자가영역 A 에서인증된후처음으로영역 B 를방문하면정책서버에의해업데이트된영역 A 의세션정보를기반으로영역 B 에서사용자세션이생성됩니다. 영역 A 의사용자세션은사용자가영역 A 에반환될때까지업데이트되지않습니다. 제 5 장 : SPS 의보안영역 89

90 보안영역에대한매개변수 보안영역에대한매개변수 다음에나열된두개의싱글사인온매개변수는정책저장소의웹에이전트구성개체에수동으로추가됩니다. 이러한설정은로컬구성파일에서도사용될수있으며설치시함께설치되는샘플로컬구성파일에추가되어있습니다. SSOZoneName 웹에이전트가지원하는 SSO( 싱글사인온 ) 보안영역의이름 ( 대 / 소문자구분 ) 을지정합니다. 이매개변수의값은웹에이전트가생성하는쿠키이름앞에추가됩니다. 이매개변수가비어있지않으면 CA SiteMinder 는 ZonenameCookiename 명명규칙을사용하여쿠키를생성합니다. 기본적으로이매개변수는비어있으며, 이경우 SM 이영역이름으로사용되며쿠키에는다음기본이름이지정됩니다. SMSESSION SMIDENTITY SMDATA SMTRYNO SMCHALLENGE SMONDENIEDREDIR 예 : 값을 Z1 로설정하면다음쿠키가생성됩니다. Z1SESSION Z1IDENTITY Z1DATA Z1TRYNO Z1CHALLENGE Z1ONDENIEDREDIR SSOTrustedZone SSO( 싱글사인온 ) 보안영역에대한트러스트에서트러스트된 SSOZoneName 의정렬된목록 ( 대 / 소문자구분 ) 을정의합니다. 필요한경우 SM 을사용하여기본영역을추가하십시오. 에이전트는항상다른모든트러스트된 SSO( 싱글사인온 ) 영역보다자체의고유한 SSOZoneName 을트러스트합니다. 기본값은빈값이거나 SM 또는 SSOZoneName( 제공된경우 ) 일수있습니다. 90 관리안내서

91 CA SiteMinder for Secure Proxy Server 보안영역구성 CA SiteMinder for Secure Proxy Server 보안영역구성 다음방법중하나로 CA SiteMinder for Secure Proxy Server 의보안영역을구성할수있습니다. ACO 개체를기반으로정책서버로구성된여러 CA SiteMinder for Secure Proxy Server 서버에보안영역을구성합니다. CA SiteMinder for Secure Proxy Server 서버뒤에배포된여러웹서버에보안영역을구성합니다. 여러 CA SiteMinder for Secure Proxy Server 서버에보안영역을구성하려면다음단계를수행하십시오. 1. 첫번째 CA SiteMinder for Secure Proxy Server 서버에서 SSOZoneName 매개변수를구성합니다. 2. 하나의보안영역또는서로다른여러보안영역으로그룹화할 CA SiteMinder for Secure Proxy Server 서버에서 SSOZoneName 및 SSOTrustedZone 매개변수를구성합니다. CA SiteMinder for Secure Proxy Server 서버의여러웹서버에보안영역을구성하려면다음단계를수행하십시오. 1. 보안영역에속해야하는각웹서버에대해 ACO 를생성합니다. 2. 보안영역에속해야하는단일웹서버또는웹서버그룹에대해가상호스트를생성합니다. 3. 각가상호스트가서로다른보안영역에속하도록고유한 ACO 가가상호스트를가리키는지확인합니다. 4. 첫번째웹서버의 ACO 에서 SSOZoneName 매개변수를구성합니다. 5. 하나의보안영역이나서로다른여러보안영역으로그룹화할가상호스트의 ACO 에서 SSOZoneName 및 SSOTrustedZone 매개변수를구성합니다. 제 5 장 : SPS 의보안영역 91

92

93 제 6 장 : Apache 웹서버구성 이섹션은다음항목을포함하고있습니다. Apache 웹서버구성파일 ( 페이지 93) Apache 웹서버구성파일 CA SiteMinder for Secure Proxy Server 프록시엔진은포함된 Apache 웹서버와함께작동합니다. 예를들어 SPS 용가상호스트를구성하려는경우 Apache 웹서버구성을수정할수있습니다. Apache 웹서버의구성파일은다음위치에있는 httpd.conf 파일입니다. sps_home/secure-proxy/httpd/conf/ 중요! SPS 를업그레이드하는동안또는다른재구성시나리오중에 Apache 설정을변경할경우에는 CA SiteMinder for Secure Proxy Server 서비스를다시시작해야변경내용이적용됩니다. 또한 CA SiteMinder for Secure Proxy Server 도새설정 ( 예 : 새포트번호 ) 을사용하여다시시작해야합니다. 제 6 장 : Apache 웹서버구성 93

94

95 제 7 장 : SPS 서버설정구성 SPS server.conf 파일개요 CA SiteMinder for Secure Proxy Server 는 server.conf 파일에포함된설정을통해구성됩니다. 이파일의설정은 CA SiteMinder for Secure Proxy Server 가시작시읽는이름 / 값쌍이나지시문의그룹입니다. CA SiteMinder for Secure Proxy Server 는작동후이파일의값을확인하여 CA SiteMinder for Secure Proxy Server 웹에이전트로그수준설정이변경되었는지확인합니다. 변경이감지되면네트워크트래픽을중단하지않고 CA SiteMinder for Secure Proxy Server 를동적으로업데이트할수있도록관련설정이다시로드됩니다. server.conf 파일은다음디렉터리에있습니다. sps_home/secure-proxy/proxy-engine/conf 이파일의내용은다음과같은섹션으로나뉘어있습니다. 서버 - 서버작업, 페더레이션게이트웨이작업및 SSL 에대한설정을포함합니다. 세션저장소 - 세션저장소를정의합니다. 서비스디스패처 - 이전역서버매개변수에대한설정을정의합니다. 프록시및리디렉션서비스 - 프록시서비스에대한연결풀및필터와리디렉션서비스에대한클래스를지정합니다. 세션체계 - 세션체계를정의합니다. 사용자에이전트 - 사용자에이전트의유형을지정합니다. 가상호스트 - 기본가상호스트및해당설정을식별합니다. 제 7 장 : SPS 서버설정구성 95

96 server.conf 파일수정 각섹션은 XML 과유사한요소태그입니다. 섹션이름이 XML 요소의시작태그이고, 해당하는끝태그로섹션이끝납니다. 각섹션에포함된지시문은 name=value 형식을따릅니다. # 기호로시작하는행은주석이므로 CA SiteMinder for Secure Proxy Server 가구성설정을로드할때이행은읽지않습니다. 참고 : Windows 시스템의경로이름에는이중백슬래시 (\\) 가사용됩니다 ( 예 : \\logs\\server.log). server.conf 파일수정 CA SiteMinder for Secure Proxy Server 에대한설정은다음디렉터리에있는 server.conf 파일에서유지관리됩니다. sps_home/secure-proxy/proxy-engine/conf server.conf 파일의설정을변경하려면 1. 텍스트편집기에서파일을엽니다. 2. 지시문을필요한대로편집합니다. 3. SPS 를다시시작합니다. 설정이변경됩니다. server.conf 파일의일반서버설정 server.conf 파일의 <Server> 섹션에는서버커넥터, 페더레이션및 SSL 에대한매개변수가포함되어있습니다. 이러한매개변수는다음에나오는단원에설명되어있습니다. 96 관리안내서

97 server.conf 파일의일반서버설정 HTTP 연결매개변수 #Define the listeners between #HTTP listener and proxy engine. worker.ajp13.port=8009 worker.ajp13.host=localhost worker.ajp13.reply_timeout=0 worker.ajp13.retries=2 참고 : 커넥터지시문의값은따옴표로묶지않습니다. 다른유형의지시문값은따옴표로묶습니다. 이름 / 값쌍은다음과같습니다. worker.ajp13.port=8009 ajp13 커넥터의포트를지정합니다. worker.ajp13.host=localhost 로컬 ajp13 호스트를로컬호스트로지정합니다. 다음을포함하여 HTTP 수신기와프록시엔진간의연결에대한추가조정매개변수를정의할수있습니다. worker.ajp13.reply_timeout 프록시엔진에서받은두패킷간의최대시간간격 ( 밀리초 ) 을지정합니다. 이시간이지나면 HTTP 수신기와프록시엔진사이의연결이끊깁니다. 값을 0 으로지정하면응답이수신될때까지무기한기다리게됩니다. 기본값 : 0 worker.ajp13.retries 작업자가통신오류시프록시엔진에요청을보내는최대횟수를지정합니다. 기본값 : 2 제 7 장 : SPS 서버설정구성 97

98 server.conf 파일의일반서버설정 server.conf 파일의 Tomcat 조정매개변수 SPS 에는 Tomcat 서버가포함되어있습니다. Tomcat 서버는서블릿컨테이너와서블릿엔진을제공합니다. 다음은 server.conf 파일의 Tomcat 조정섹션중일부분입니다. #Define AJP13 tuning parameters #Number of request waiting in queue (queue length) #Number of threads created at initialization time #Maximum number of concurrent connections possible worker.ajp13.accept_count=10 worker.ajp13.min_spare_threads=10 worker.ajp13.max_threads=400 worker.apj13.connection_pool_timeout=0 worker.apj13.max_packet_size= 관리안내서

99 server.conf 파일의일반서버설정 Tomcat 조정지시문은다음과같습니다. worker.ajp13.accept_count 사용가능한요청처리스레드가모두사용중일때큐에서대기하는요청의수를정의합니다. 큐가가득차면수신되는모든요청이거부됩니다. 기본값 : 10 worker.ajp13.min_spare_threads 언제든지새요청이도착하기를기다리는최소유휴스레드수를정의합니다. min_spare_threads 는 0 보다커야합니다. 기본값 : 10 worker.ajp13.max_threads 가능한최대동시연결수를정의합니다. 풀은이스레드수를초과하여스레드를생성하지않습니다. 기본값 : 400 worker.apj13.connection_pool_timeout mod-jk 를통한 Apache 와 Tomcat 간의유휴연결이시간이만료되기전에연결풀에서유지되는시간 ( 초 ) 을정의합니다. 기본값은연결이시간만료되지않음을나타내는 0 입니다. 기본값 : 0 worker.ajp13.max_packet_size 최대패킷크기 ( 바이트 ) 를정의합니다. 최대값은 입니다. 기본값 : 8192 서로다른 Tomcat 버전의쿠키사양차이해결 Tomcat 버전 5.5 에서는쿠키처리동작이변경되었습니다. 기본적으로 Tomcat version 5.5 는쿠키를따옴표로묶습니다. 이전버전의 Tomcat 은쿠키를따옴표로묶지않습니다. Tomcat 은쿠키를다시브라우저로전송합니다. CA SiteMinder for Secure Proxy Server r12.0 SP 3 은 Tomcat 버전 5.5 를사용합니다. 배포환경에서이전버전의 SPS 에연결해야하는경우쿠키를디코딩할수없습니다. 이전버전의 CA SiteMinder for Secure Proxy Server 는 Tomcat 버전 5.0 을사용하므로쿠키를따옴표로묶지않습니다. 제 7 장 : SPS 서버설정구성 99

100 server.conf 파일의일반서버설정 서로다른버전의 SPS 간에쿠키동작이호환되도록하려면 server.conf 파일의 addquotestobrowsercookie 매개변수를 "no" 로설정하십시오. 그러면 Tomcat org.apache.catalina.strict_servlet_compliance 변수가 "TRUE" 로설정됩니다. Tomcat 은서블릿사양에따라쿠키를구문분석하므로따옴표가추가되지않습니다. addquotestobrowsercookie 매개변수가 "yes" 로설정된경우 CA SiteMinder for Secure Proxy Server 는기본값인 Tomcat 버전 5.5 쿠키동작을사용하도록설정합니다. 쿠키내의등호구문분석 Tomcat 5.5 이상은쿠키에등호 (=) 를추가합니다. CA SiteMinder for Secure Proxy Server 는이러한동작을허용하고등호가포함된쿠키값을구문분석합니다. server.conf 파일의 allowequalsincookievalue 매개변수값은 "yes" 입니다. 쿠키값을구문분석하여등호가있을경우종료하려면 allowequalsincookievalue 매개변수를 "no" 로설정하십시오. 100 관리안내서

101 server.conf 파일의일반서버설정 server.conf 파일의페더레이션설정 server.conf 파일의페더레이션설정을사용하여 CA SiteMinder for Secure Proxy Server 가 SiteMinder 페더레이션네트워크내에서페더레이션게이트웨이의역할을하도록할수있습니다. 다음코드는 server.conf 파일의 <federation> 섹션중일부분입니다. # Provide the values for the Federation related parameters here # # enablefederationgateway - "yes" or "no" - Enable or Disable SPS Federation Gateway # fedrootcontext - Name of the Federation root context ("affwebservices" by default) # authurlcontext - Path of the Authentication URL (without the jsp file name) (siteminderagent/redirectjsp by default) # protectedbackchannelservices - Names of protected Backchannel services <federation> enablefederationgateway="yes" fedrootcontext="affwebservices" authurlcontext="siteminderagent/redirectjsp" protectedbackchannelservices="saml2artifactresolution,saml2certartifactre solution, saml2attributeservice,saml2certattributeservice,assertionretriever,certassert ionretriever" </federation> 페더레이션매개변수는다음과같습니다. enablefederationgateway CA SiteMinder for Secure Proxy Server 가페더레이션게이트웨이프록시서버의역할을할수있도록합니다. 제한 : yes 또는 no 이매개변수는설치중에설정됩니다. fedrootcontext 페더레이션웹서비스응용프로그램의루트컨텍스트를지정합니다. 이매개변수는변경하지마십시오. 기본값 : affwebservices 제 7 장 : SPS 서버설정구성 101

102 server.conf 파일의일반서버설정 authurlcontext redirect.jsp 파일의별칭을지정합니다. 사용자가보호된페더레이션리소스를요청할때어설션을생산하는사이트에사용자의 SiteMinder 세션이없으면사용자는 redirect.jsp 파일을가리키는이 URL 로보내집니다. 사용자는생산사이트의웹에이전트로리디렉션되고여기에서인증챌린지가표시되며성공적으로로그인하면세션이설정됩니다. 기본값 : siteminderagent/redirectjsp protectedbackchannelservices 통신에보안백채널이필요한서비스를나열합니다. HttpClient 로깅 HttpClient 로깅구성 httpclientlog 매개변수를 "yes" 로설정하여 HttpLogging 을사용하도록설정할수있습니다. 이매개변수는 server.conf 파일의 <Server> 섹션에있습니다. 기본적으로이매개변수는 "no" 로설정되어있습니다. 디버깅하는경우에만 HttpClient 로깅을사용하도록설정하는것이좋습니다. 프로덕션환경에서로깅을사용하도록설정하면성능이저하될수있습니다. httpclientlogging.properties 파일에서매개변수값을설정하여 HttpClient 로깅의다양한측면을구성할수있습니다. 이파일은 sps_home\tomcat\properties 디렉터리에있습니다. 중요! 프로덕션환경에서는성능이저하될수있으므로 HttpClient 로깅을사용하도록설정하지마십시오. 102 관리안내서

103 server.conf 파일의일반서버설정 httpclientlogging.properties 파일에는다음과같이구성가능한매개변수가있습니다. java.util.logging.filehandler.formatter 설명 : 포맷터클래스의이름을지정합니다. 제한 : java.util.logging.simpleformatter - 로그레코드의간단한요약을작성합니다. java.util.logging.xmlformatter - XML 형식의자세한설명을작성합니다. 기본값 : java.util.logging.simpleformatter java.util.logging.filehandler.pattern 설명 : HttpClient 로그파일의이름을지정합니다. 제한 : sps_home\proxy-engine\logs\httpclient%g.log %g 는교환된로그파일의생성번호를나타냅니다. java.util.logging.filehandler.count 설명 : 한주기의출력파일수를지정합니다. 기본값 : 10 java.util.logging.filehandler.limit 설명 : 로그파일에작성할수있는최대바이트수를대략적으로지정합니다. 제한 : 0 으로설정된경우제한이없습니다. 기본값 : 5,000,000 제 7 장 : SPS 서버설정구성 103

104 server.conf 파일의일반서버설정 server.conf 파일의 SSL 설정 server.conf 파일의 <sslparams> 섹션에는 CA SiteMinder for Secure Proxy Server 와대상서버간에 SSL(Secure Sockets Layer) 통신이사용되도록설정하는데필요한설정이포함되어있습니다. SSL 구성섹션은다음과같습니다. <sslparams> # Set the SSL protocol version to support:sslv3, TLSv1 # NOTE: SSL version 2 is no longer supported versions="sslv3" ciphers="-rsa_with_null_sha,+rsa_with_null_md5,-rsa_with_rc4_sha,+rsa_with_rc 4_MD5,+RSA_With_DES_CBC_SHA,+RSA_Export_With_RC4_40_MD5,-RSA_Export_With_DES_ 40_CBC_SHA,+RSA_Export_With_RC2_40_CBC_MD5,-DH_RSA_With_DES_CBC_SHA,-DH_RSA_W ith_3des_ede_cbc_sha,-dh_rsa_export_with_des_40_cbc_sha,-dh_dss_with_des_cbc_ SHA,-DH_DSS_Export_With_DES_40_CBC_SHA,-DH_Anon_With_RC4_MD5,-DH_Anon_With_DE S_CBC_SHA,-DH_Anon_With_3DES_EDE_CBC_SHA,-DH_Anon_Export_With_DES_40_CBC_SHA, -DH_Anon_Export_With_RC4_40_MD5,-DHE_RSA_With_DES_CBC_SHA,-DHE_RSA_Export_Wit h_des_40_cbc_sha,-dhe_dss_with_des_cbc_sha,-dhe_dss_export_with_des_40_cbc_sh A" fipsciphers="+dhe_dss_with_aes_256_cbc_sha, +DHE_RSA_With_AES_256_CBC_SHA, +RSA_With_AES_256_CBC_SHA, +DH_DSS_With_AES_256_CBC_SHA, +DH_RSA_With_AES_256_CBC_SHA, +DHE_DSS_With_AES_128_CBC_SHA, +DHE_RSA_With_AES_128_CBC_SHA, +RSA_With_AES_128_CBC_SHA, +DH_DSS_With_AES_128_CBC_SHA, +DH_RSA_With_AES_128_CBC_SHA, +DHE_DSS_With_3DES_EDE_CBC_SHA, +DHE_RSA_With_3DES_EDE_CBC_SHA, +RSA_With_3DES_EDE_CBC_SHA, +DH_DSS_With_3DES_EDE_CBC_SHA" # Covalent SSL CA certificate bundle and certs path to be converted # The bundle and/or certs located at defined location will be converted # to binary (DER) format and loaded as SSLParams. # NOTE: Only put Base64 (PEM) encoded cert files/bundles in the covalent # certificate directory. cacertpath="<install-dir>\ssl\certs" cacertfilename="<install-dir>\ssl\certs\ca-bundle.cert" # This certificate configured below is used as SPS client certificate for the backend servers when # SSL client authentication is enabled. # Location of the Key file : <install-dir>\ssl\clientcert\key\ # Location of public certs : <install-dir>\ssl\clientcert\certs\ # NOTE: Only put DER encoded, password encrypted pkcs8 keyfile. # Client pass phrase should be encrypted using EncryptUtil tool. #ClientKeyFile= #ClientPassPhrase= </sslparams> 104 관리안내서

105 server.conf 파일의일반서버설정 SSL 매개변수로는다음이포함됩니다. versions SPS 가지원하는 SSL 버전을결정합니다. 이항목은다음중하나이상이될수있습니다. ciphers SSLV3 TLSV1 버전을둘이상지정할경우값을쉼표로구분하십시오. 사용하거나사용하지않도록설정할수있는암호화의목록을지정합니다. 사용되도록설정된암호화앞에는 + 기호가옵니다. 사용되지않도록설정된암호화앞에는 - 기호가옵니다. 암호화를둘이상지정할경우각항목을쉼표로구분하십시오. cacertpath 트러스트된인증기관정보가들어있는디렉터리의경로를지정합니다. 이경로는 SPS 의설치경로에상대적인경로입니다. 이값은 CA SiteMinder for Secure Proxy Server 설치도중구성마법사를실행할때구성되며이값을변경하면안됩니다. cacertfilename 인증기관인증서번들이들어있는파일의정규화된경로이름을지정합니다. 이파일은파일확장명이.cer 또는.cert 이며 PEM 으로인코딩되어있어야합니다. 또한 CA( 인증기관 ) 번들의전체경로도포함되어야합니다. 이값은 CA SiteMinder for Secure Proxy Server 설치도중구성마법사를실행할때구성됩니다. ClientKeyFile DER 로인코딩되고암호로암호화된 pkcs8 형식의 CA SiteMinder for Secure Proxy Server 클라이언트인증서키파일이름을지정합니다. 이파일이다음위치에있는지확인하십시오. <CA SiteMinder for Secure Proxy Server Installation Path>/SSL/clientcert/key ClientPassPhrase EncryptUtil 도구를사용하여 CA SiteMinder for Secure Proxy Server 클라이언트인증서키파일에서키를추출하는암호를지정합니다. 제 7 장 : SPS 서버설정구성 105

106 server.conf 파일의일반서버설정 클라이언트인증서인증 maxcachetime CA SiteMinder for Secure Proxy Server HTTPS 클라이언트가재사용할수있도록 SSL 세션 ID 가캐시되는기간 ( 밀리초 ) 을지정합니다. 사용자가 HTTPS 연결을통해파일을요청하면 SSL 핸드셰이크가수행되고 SSL 세션 ID 가생성됩니다. 이 SSL 세션 ID 는 CA SiteMinder for Secure Proxy Server 와백엔드서버에서사용자세션을식별하는데사용됩니다. 사용자에대해 HTTPS 연결이종료되면 CA SiteMinder for Secure Proxy Server 는이매개변수에지정된최대기간동안 SSL 세션 ID 를캐시합니다. 동일한사용자가백엔드서버에대한새 HTTPS 연결을요청할때는빠른응답을위해캐시된 SSL 세션 ID 를전송할수있습니다. 이경우사용자가제공하는 SSL 세션 ID 와캐시된 SSL 세션 ID 가비교됩니다. 캐시에사용가능한 SSL 세션 ID 가있으면새 HTTPS 연결이더빨리설정됩니다. 기본값 : 120,000 밀리초 참고 : SSL 통신을사용하도록설정하기전에 SPS 를설치하는데사용된 JDK 위치에 JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction Policy Files 를설치했는지확인하십시오. CA SiteMinder for Secure Proxy Server 와웹서버간의보안 SSL 연결에대해클라이언트인증서인증을설정할수도있습니다. 클라이언트인증서인증을사용하도록설정하면 CA SiteMinder for Secure Proxy Server 는웹서버에리소스를요청할때클라이언트인증서를사용하여인증합니다. 106 관리안내서

107 server.conf 파일의일반서버설정 사전요구사항 클라이언트인증서인증을사용하도록 CA SiteMinder for Secure Proxy Server 를구성하려면먼저다음태스크가완료되었는지확인하십시오. 클라이언트인증서인증은사용자요청을전달할웹서버에서사용되도록설정됩니다. CA SiteMinder for Secure Proxy Server 용클라이언트인증서는 CA SiteMinder for Secure Proxy Server 설치시함께설치되는 openssl.exe 유틸리티를사용하여 pkcs8 표준형식으로생성됩니다. 기존클라이언트인증서가사용되는경우에는 pkcs8 DER 형식으로변환됩니다. 공용인증서와 CA SiteMinder for Secure Proxy Server 클라이언트인증서의루트인증서는 <SPS_Installation_Path>\SSL\Clientcert\certs 에있습니다. 구성된웹서버의공용인증서는 <SPS_Installation_Path>\SSL\certs\ca-bundle.cert 에있습니다. CA SiteMinder for Secure Proxy Server 클라이언트인증서의공용인증서는구성된웹서버의트러스트된저장소에있습니다. 제 7 장 : SPS 서버설정구성 107

108 server.conf 파일의일반서버설정 클라이언트인증서인증사용 클라이언트인증서인증을사용하도록 CA SiteMinder for Secure Proxy Server 를구성하십시오. 다음단계를수행하십시오. 1. 다음단계를수행하여 CA SiteMinder for Secure Proxy Server 클라이언트인증서의개인키암호를암호화합니다. a. 명령프롬프트를엽니다. b. <SPS_Installation_Path>\SSL\bin 위치로이동합니다. c. 다음명령을실행합니다. Windows EncryptUtil.bat <SPSCertificatePrivateKey_Password> UNIX EncryptUtil.sh <SPSCertificatePrivateKey_Password> 암호화된암호가표시됩니다. 2. server.conf 파일의 sslparams 섹션에서다음단계를수행하여클라이언트인증서인증상세정보를구성합니다. a. ClientKeyFile 에 pkcs8 형식의 CA SiteMinder for Secure Proxy Server 클라이언트인증서키파일이름을입력합니다. b. ClientPassPhrase 에 1 단계에서생성한암호화된암호를입력합니다. server.conf 파일에클라이언트인증서인증이구성되었습니다. 3. 클라이언트요청을구성된웹서버로전달하도록 proxyrules.xml 파일을구성합니다. 4. SPS 를다시시작합니다. CA SiteMinder for Secure Proxy Server 와웹서버간에클라이언트인증서인증이사용되도록설정되었습니다. 108 관리안내서

109 server.conf 파일의일반서버설정 쿠키내의특수문자에대한설정 server.conf 파일에는 CA SiteMinder for Secure Proxy Server 가쿠키매개변수값이 0 이아닌경우해당값을큰따옴표로묶는작업을유지하기위한 addquotestocookie 매개변수가포함되어있습니다. CA SiteMinder for Secure Proxy Server 가쿠키값을백엔드로전송하기전에큰따옴표로묶지않도록하려면 addquotestocookie 값을 "no" 로변경하면됩니다. server.conf 파일에서이항목은다음과같이나타납니다. <Server>.. <sslparams>.. </sslparams> #This parameter is applicable to the cookie added by backend. #"yes"--- Default Value. Quotes will be added to the cookie parameter value #which contains special characters if the cookie version is other than "0" #"no" --- Quotes will not be added to the cookie. addquotestocookie="yes" </Server> 코드헤더의문자집합선택 requestheadercharset 매개변수의값을설정하여적절한로캘의문자집합을지정할수있습니다. HttpClient 응용프로그램은이값을읽고백엔드서버로전송할헤더의인코딩방법을결정합니다. 가능한값은다음과같습니다. US-ASCII - 로캘에미국영어가사용되도록지정합니다. Shift_JIS - 일본어사용자이름에대한지원을포함하여로캘에일본어가사용되도록지정합니다. 기본값은 requestheadercharset="us-ascii" 입니다. 제 7 장 : SPS 서버설정구성 109

110 server.conf 파일의일반서버설정 POST 데이터캐싱 server.conf 에는 POST 데이터캐싱을사용하도록설정하고캐시되는데이터의크기를설정하기위한다음두개의매개변수가포함되어있습니다. enablecachepostdata 설명 : CA SiteMinder for Secure Proxy Server 가 POST 데이터를캐시할지여부를지정합니다. 제한 : Yes, No 기본값 : Yes maxcachedpostdata 설명 : 캐시할 POST 데이터의크기 (KB) 를지정합니다. 제한 : 없음 기본값 : 1024KB SSL 예외무시 백엔드웹서버가 CA SiteMinder for Secure Proxy Server 에연결끊기알림을반환할때심각하지않은 SSL 예외를무시하도록 CA SiteMinder for Secure Proxy Server 를구성할수있습니다. 심각하지않은 SSL 예외를무시하려면 ignoresslbackendexception 매개변수를 yes 로설정하십시오. 110 관리안내서

111 사용자지정오류페이지매개변수 사용자지정오류페이지매개변수 CA SiteMinder for Secure Proxy Server 는사용자지정오류페이지기능을지원하므로클라이언트요청이실패할경우웹서버에표시되는오류페이지를사용자지정할수있습니다. 사용자지정오류페이지섹션의형식은다음과같습니다. <customerrorpages> #possible values are: "yes","no" #default value is "no" enable="no yes" #custom error pages implementation class class="com.netegrity.proxy.errorpages.errorpageimpl" #defines type of locale. #possible values are: "0" (for Server specific), "1" (for Browser specific) #default value is "0" locale_type="0 1" #this value should be the language code that will be understood by the java #locale object, say "zh" for Chinese, "fr" for French, "es" for Spanish, "en" for #english, etc. #default value is "en" locale_language="en" #this value should be the country/region code that will be understood by the #java locale object, say "CN" for China, "CH" for Switzerland, "AR" for #Argentina, "US" for United States. #default value is "US" locale_country="us" #display the complete call stack for exceptions </customerrorpages> no yes 0 1 #possible values: "true" or "false". #default value: "false" showcallstack="true" CA SiteMinder for Secure Proxy Server 가웹서버오류페이지를관리하는방식을지정합니다. 이값이 yes 로설정되어있으면웹서버오류페이지를사용자지정하여클라이언트요청이실패할경우웹서버에사용자지정된오류페이지가표시되도록할수있습니다. 이값이 no 로설정되어있으면클라이언트요청이실패할경우웹서버에기본 HTTP 1.1 오류페이지가표시됩니다. CA SiteMinder for Secure Proxy Server 는시작시이값을읽습니다. 기본값 : no 제 7 장 : SPS 서버설정구성 111

112 사용자지정오류페이지매개변수 사용자지정오류페이지의로캘을지정합니다. 이값이 0 으로설정되어있으면 CA SiteMinder for Secure Proxy Server 는사용자지정오류메시지를표시하는데 CA SiteMinder for Secure Proxy Server 서버의로캘설정을사용합니다. 이값이 1 로설정되어있으면 CA SiteMinder for Secure Proxy Server 는사용자지정오류메시지를표시하는데브라우저의로캘설정을사용합니다. 기본값 : 0 showcallstack 디버깅할예외를추적하기위해호출스택을가져와야하는지여부를지정합니다. 이값이 true 로설정되어있으면 CA SiteMinder for Secure Proxy Server 는호출스택을가져와사용자지정오류페이지에표시합니다. 이값이 false 로설정되어있으면호출스택이숨겨집니다. 기본값 : false 중요! 디버깅할예외의전체상세정보를추적하려는경우가아니면보안을위해 showcallstack 옵션을사용하도록설정하지않는것이좋습니다. 디버깅을완료한후에는 showcallstack 을사용하지않도록설정하십시오. 사용자지정오류메시지사용 클라이언트요청이실패할경우웹서버에사용자지정된오류페이지를표시하는기능을사용하도록설정하고오류메시지또는코드를사용자지정하십시오. 기본적으로 CA SiteMinder for Secure Proxy Server 는모든 HTTP 1.1 오류코드를지원합니다. 다음단계를수행하십시오. 1. server.conf 파일을엽니다. 2. customerrorpages 섹션으로이동합니다. 3. 다음명령을설정합니다. enable="yes" 4. 변경내용을저장합니다. 5. CA SiteMinder for Secure Proxy Server 서버를다시시작합니다. 112 관리안내서

113 사용자지정오류페이지매개변수 기본사용자지정오류페이지 기본적으로 CA SiteMinder for Secure Proxy Server 는 CA SiteMinder for Secure Proxy Server 와웹서버에서수신될수있는요청오류의목록을제공합니다. SPSErrorMessages.properties 및 WebServerErrorMessages.properties 파일에있는오류메시지의형식은다음과같습니다. exception error code=error message URL 설명 exception error code 사용자요청이실패할경우 CA SiteMinder for Secure Proxy Server 또는웹서버가반환하는예외또는오류코드를정의합니다. 제한 : 100 자 error message URL 예외또는오류코드가반환될때 CA SiteMinder for Secure Proxy Server 또는웹서버가표시하는오류메시지를정의합니다. 오류메시지는일반텍스트나사용자가사용해야하는대상 URL 로지정할수있습니다. 제한 : 4,096 자 제 7 장 : SPS 서버설정구성 113

114 사용자지정오류페이지매개변수 기본 CA SiteMinder for Secure Proxy Server 오류페이지 기본적으로 CA SiteMinder for Secure Proxy Server 서버의구성설정이적절하지않아사용자요청이실패하면 CA SiteMinder for Secure Proxy Server 는오류페이지를표시합니다. 각오류페이지는오류코드에매핑됩니다. 사용자요청이실패하면 CA SiteMinder for Secure Proxy Server 는오류코드를확인하고해당오류페이지를표시합니다. 다음표에는 CA SiteMinder for Secure Proxy Server 서버의구성설정이적절하지않아 CA SiteMinder for Secure Proxy Server 가표시하는기본오류가나와있습니다. 오류코드 VirtualHostNotFound SessionSchemeNotFound SessionCreateError SessionUpdateError 오류메시지 "Virtual host might not have been configured properly. Verify the virtual host settings in the server.conf file" ( 가상호스트가올바르게구성되어있지않을수있습니다. server.conf 파일에서가상호스트설정을확인하십시오.) "The defined session scheme is not found. Verify the session scheme settings in the server.conf file" ( 정의된세션체계를찾을수없습니다. server.conf 파일에서세션체계설정을확인하십시오.) "The session store might have been corrupted during creation. Restart the SPS" ( 세션저장소가생성중에손상되었을수있습니다. SPS 를다시시작하십시오.) "The session store might have been corrupted during update. Restart the SPS" ( 세션저장소가업데이트중에손상되었을수있습니다. SPS 를다시시작하십시오.) 114 관리안내서

115 사용자지정오류페이지매개변수 오류코드 WebAgentException Noodle_GenericException Noodle_FilterException Noodle_UnknownHostException Noodle_ConnectException 오류메시지 "CA SiteMinder for Secure Proxy Server might not be communicating with the Web agent. For more information about the error, see CA SiteMinder for Secure Proxy Server logs" (CA SiteMinder for Secure Proxy Server 가웹에이전트와통신하고있지않을수있습니다. 오류에대한자세한내용은 CA SiteMinder for Secure Proxy Server 로그를참조하십시오." "There might be an error during processing a request at noodle stage. For more information about the error, see CA SiteMinder for Secure Proxy Server logs" ( 요청을처리하는중누들단계에서오류가발생한것같습니다. 오류에대한자세한내용은 CA SiteMinder for Secure Proxy Server 로그를참조하십시오." "There might be an error during pre/post processing of filters at noodle." ( 누들에서필터전처리 / 후처리중오류가발생한것같습니다.) "The IP address of the targeted host could not be determined" ( 대상호스트의 IP 주소를확인하지못했습니다.) "An error occurred while attempting to connect a socket to a remote address and port" ( 소켓을원격주소및포트에연결하는중오류가발생했습니다.) 제 7 장 : SPS 서버설정구성 115

116 사용자지정오류페이지매개변수 오류코드 Noodle_NoRouteHostException Noodle_InteruptedIOException Noodle_SocketException Noodle_NoSuchMethodException Noodle_ProxytoProxyNotSupported Noodle_CouldNotConnectToBackEndS erver Noodle_NoAvailableConnections 오류메시지 "An error occurred while attempting to connect a socket to a remote address and port because of an intervening firewall or unavailability of an intermediate router" ( 소켓을원격주소및포트에연결하는도중중간에방화벽이있거나중간라우터를사용할수없어서오류가발생했습니다.) "An input or output transfer is terminated because the thread that is performing the transfer was interrupted" ( 전송을수행하고있는스레드가중단되어입력또는출력전송이종료되었습니다.) "An error occurred in the underlying protocol" ( 기본프로토콜에서오류가발생했습니다.) "CA SiteMinder for Secure Proxy Server does not support the method" (CA SiteMinder for Secure Proxy Server 는이메서드를지원하지않습니다.) "CA SiteMinder for Secure Proxy Server does not support proxy Web Server" (CA SiteMinder for Secure Proxy Server 는프록시웹서버를지원하지않습니다.) "Could not connect to backend web server due to lack of processing threads at the SPS" (SPS 의처리스레드가부족하여백엔드웹서버에연결할수없습니다.) "There are no connections available to serve the request" ( 요청을처리하는데사용할수있는연결이없습니다.) 116 관리안내서

117 사용자지정오류페이지매개변수 오류코드 Redirect_NoTargetURLParameter FedRequest_Redirect_ImproperURL FedRequest_Redirect_RewriteLocatio nheaderfailure FedRequest_CookieProcessingError FedRequest_ResponseProcess_AddSes sionerror 오류메시지 "No URL is specified during Redirect" ( 리디렉션중에지정된 URL 이없습니다.) "The redirect URL is not specified or is malformed. Verify the federation settings or the RelayState in the client request" ( 리디렉션 URL 이지정되지않았거나잘못된형식입니다. 페더레이션설정이나클라이언트요청의 RelayState 를확인하십시오.) "Unable to create a redirect session because the memory holding the session keys might have crashed while processing the federation request" ( 페더레이션요청을처리하는도중세션키를보관하는메모리가손상되어리디렉션세션을생성하지못했습니다.) "Unable to create a cookie while processing the federation request" ( 페더레이션요청을처리하는도중쿠키를생성하지못했습니다.) "An error occurred while adding the session during the federation request processing, the memory holding the session keys might have crashed" ( 페더레이션요청을처리하는도중세션추가단계에서오류가발생했습니다. 세션키를보관하는메모리가손상된것같습니다.) 제 7 장 : SPS 서버설정구성 117

118 사용자지정오류페이지매개변수 오류코드 FedRequest_ResponseProcess_LocHea dermodifyerror SPSException 오류메시지 "An error occurred while updating the location header during federation request processing, the memory holding the session keys might have crashed" ( 페더레이션요청을처리하는도중위치헤더업데이트단계에서오류가발생했습니다. 세션키를보관하는메모리가손상된것같습니다.) "An error occurred while processing the request. For more information about the error, see CA SiteMinder for Secure Proxy Server logs" ( 요청을처리하는중오류가발생했습니다. 오류에대한자세한내용은 CA SiteMinder for Secure Proxy Server 로그를참조하십시오." CA SiteMinder for Secure Proxy Server 오류페이지수정 CA SiteMinder for Secure Proxy Server 오류페이지의오류메시지를수정할수있습니다. 다음단계를수행하십시오. 1. SPSErrorMessages.properties 파일을엽니다. 기본경로 : <SPS_installation_folder>\Tomcat\properties\ 2. 수정할오류레코드로이동합니다. 3. 필요한대로변경합니다. 4. 변경내용을저장합니다. 118 관리안내서

119 server.conf 파일의세션저장소설정 기본웹서버오류페이지 웹서버오류페이지수정 기본적으로 CA SiteMinder for Secure Proxy Server 는모든 HTTP 1.1 오류코드를지원하며, 클라이언트요청이실패할경우웹서버에는기본 HTTP 1.1 오류페이지가표시됩니다. 사용자지정오류페이지기능을사용하도록설정하면오류페이지를사용자지정할수있으며이경우클라이언트요청이실패하면웹서버에사용자지정오류상세정보가표시됩니다. 각오류페이지는오류코드에매핑됩니다. 이기능을사용하도록설정하고오류페이지를사용자지정하면오류가발생할경우웹서버에사용자지정된오류페이지가표시됩니다. 이기능을사용하도록설정하고오류페이지를사용자지정하지않으면오류가발생할경우웹서버가반환하는기본오류페이지가웹서버에표시됩니다. 웹서버오류페이지의오류코드나오류메시지를추가, 수정또는삭제할수있습니다. 오류코드의오류메시지를삭제하면 CA SiteMinder for Secure Proxy Server 는다음메시지가포함된페이지를표시합니다. "No custom message to display. Find more details in logs." ( 표시할사용자지정메시지가 없습니다. 자세한내용은로그에서확인하십시오.) 다음단계를수행하십시오. 1. WebServerErrorMessages.properties 파일을엽니다. 기본경로 : <SPS_installation_folder>\Tomcat\properties\ 2. 수정할오류레코드로이동합니다. 3. 필요한대로변경합니다. 4. 변경내용을저장합니다. server.conf 파일의세션저장소설정 server.conf 파일의 <SessionStore> 섹션은사용자세션을저장하기위한설정을지정합니다. 세션저장소구성형식은다음과같습니다. <SessionStore> # Session Store Information class="com.netegrity.proxy.session.simplesessionstore" max_size="10000" clean_up_frequency="60" </SessionStore> 제 7 장 : SPS 서버설정구성 119

120 server.conf 파일의서비스디스패처설정 SessionStore 매개변수는다음과같습니다. class 사용자세션을유지관리하는데사용되는구현을나타냅니다. 이값은수정하지마십시오. 기본값 : com.netegrity.proxy.session.simplesessionstore max_size 세션저장소의최대크기를지정합니다. 지정된숫자는메모리내세션저장소의최대동시세션수입니다. 기본값 : clean_up_frequency CA SiteMinder for Secure Proxy Server 가세션저장소캐시에있는만료된세션을지우기전에대기하는간격 ( 초 ) 을설정합니다. 참고 : 세션만료시간이길면서버가암호화및암호해독해야하는세션쿠키의수가줄지만캐시에유지되는총세션수는늘어날수있습니다. 사용자연결횟수가적은경우캐시시간은짧게, 캐시크기는작게지정하십시오. 그러나사이트에자주오는사용자가많은경우에는캐시시간을길게, 캐시크기를크게지정하십시오. server.conf 파일의서비스디스패처설정 <ServiceDispatcher> 섹션은 CA SiteMinder for Secure Proxy Server 가프록시서비스를제공하는방식을결정합니다. 또한프록시규칙 XML 구성파일의위치를지정합니다. 참고 : 이매개변수는전역서버구성매개변수로, 각개별가상호스트에대해구성되지않습니다. <ServiceDispatcher> 섹션은다음과같습니다. # Service Dispatcher # This is new since proxy 6.0 # Service Dispatcher is now a global server configuration parameter and is no longer # configured on a per virtual host basis. <ServiceDispatcher> class="com.netegrity.proxy.service.smproxyrules" rules_file= "C:\Program Files\CA\secure-proxy\proxy-engine\conf\proxyrules.xml" </ServiceDispatcher> 120 관리안내서

121 server.conf 파일의프록시및리디렉션설정 이섹션의매개변수는다음과같습니다. class CA SiteMinder for Secure Proxy Server 가사용자요청을라우팅하는데사용하는서비스디스패처를지정합니다. 기본값을변경하지마십시오. 기본값 : com.netegrity.proxy.service.smproxyrules rules_file proxyrules.xml 의위치를지정합니다. file 기본값 : sps_home/secure-proxy/proxy-engine/conf/proxyrules.xml server.conf 파일의프록시및리디렉션설정 server.conf 파일의 <Service> 섹션은프록시서비스와리디렉션서비스로구성되어있습니다. CA SiteMinder for Secure Proxy Server 에대해미리정의된두개의프록시서비스는다음과같습니다. 전달 리디렉션 파일에는이러한각서비스마다 <Service name> 요소로정의된섹션이있습니다. 사용자지정서비스는관리자가설정한매개변수를포함하여 server.conf 파일에유사하게정의됩니다. 프록시서비스구성 CA SiteMinder for Secure Proxy Server 의전달서비스는프록시규칙 XML 구성파일의조건및사례에따라요청을적절한대상서버로전달합니다. 이서비스의매개변수는 server.conf 파일의 <Service name="forward"> 섹션에정의되어있습니다. 대부분의지시문은 SPS 에의해유지관리되는연결풀을관리합니다. 이러한지시문은연결을유지관리하고대상서버로들어오는각요청마다새연결을설정하는오버헤드를줄여서버성능을향상시키는데유용합니다. 제 7 장 : SPS 서버설정구성 121

122 server.conf 파일의프록시및리디렉션설정 추가지시문은프록시필터를정의합니다. 프록시필터를추가지시문에정의하여요청이대상서버로전달되기전이나대상서버가 SPS 에데이터를반환한후에처리태스크를수행할수있습니다. 필터이름은고유합니다. 다음은 <Service name="forward"> 섹션중일부분입니다. 참고 : 여기에는실제 server.conf 파일에표시되는대부분의주석이포함되어있지않습니다. # Proxy Service <Service name="forward"> class="org.tigris.noodle.noodle" protocol.multiple="true" http_connection_pool_min_size"2" http_connection_pool_max_size="420" http_connection_pool_incremental_factor="2" http_connection_pool_connection_timeout="1" http_connection_pool_wait_timeout="0" http_connection_pool_max_attempts="3" http_connection_timeout="3 minutes" http_connection_stalecheck="true" # Proxy filters may be defined here to perform pre/post processing tasks. # The following format must be used to configure filters: # filter.<filter name>.class=<fully qualified filter class name> (required) # filter.<filter name>.init-param.<param name1>=<param value1> (optional) # filter.<filter name>.init-param.<param name2>=<param value2> # filter.<filter name>.init-param.<param name3>=<param value3> # The following example illustrates the use of custom filters in a group # Defines filter groups with valid Custom filter names. #groupfilter.group1="filter1,filter2" </Service> 122 관리안내서

123 server.conf 파일의프록시및리디렉션설정 전달섹션의매개변수는다음과같습니다. class SPS 에대한전달서비스를제공하는구현을지정합니다. 이값을변경하지마십시오. 이값은드물기는하지만사용자지정서비스가프록시규칙 XML 구성파일에지정된요청을전달할수있는경우를위해서만제공됩니다. 기본값 : org.tigris.noodle.noodle protocol.multiple CA SiteMinder for Secure Proxy Server 가 HTTP 이외의프로토콜을지원하는지여부를나타냅니다. 다음값중하나를지정합니다. true false HTTP 이외의프로토콜이지원됨을나타냅니다. 현재 SPS 에서는 HTTPS 만추가프로토콜로지원됩니다. true 가이지시문의기본값입니다. HTTP 프로토콜만지원됨을나타냅니다. http_connection_pool_min_size 사용자요청을처리할수있는단일대상서버에대한최소연결수를설정합니다. 기본값 : 2 http_connection_pool_max_size CA SiteMinder for Secure Proxy Server 와대상서버간의최대연결수를설정합니다. 기본값 : 420 중요! CA SiteMinder for Secure Proxy Server 가설정한각연결마다소켓이생성됩니다. UNIX 운영체제의경우연결풀의최대크기가크면많은수의소켓을수용할수있도록파일설명자에대한제한을늘릴수있습니다. http_connection_pool_incremental_factor 요청을처리하는데사용가능한모든연결이사용중인경우 CA SiteMinder for Secure Proxy Server 가여는대상서버에대한연결수를설정합니다. 기본값 : 2 제 7 장 : SPS 서버설정구성 123

124 server.conf 파일의프록시및리디렉션설정 http_connection_pool_connection_timeout_unit 만료시간단위를초또는분으로설정합니다. 기본값 : Minutes http_connection_pool_connection_timeout 시스템이연결풀의유휴연결을닫기전에대기하는시간 ( 분 ) 을정의합니다. 기본값 : 1 http_connection_pool_wait_timeout CA SiteMinder for Secure Proxy Server 가사용가능한연결을기다리는시간 ( 밀리초 ) 을정의합니다. 기본값 : 0 기본값 0 은 CA SiteMinder for Secure Proxy Server 가알림을받고 http_connection_pool_max_attempts 의사용을무효화할때까지연결을기다리도록지정합니다. http_connection_pool_max_attempts 시스템이연결을가져오기위해시도하는횟수를나타냅니다. 이지시문은대기만료시간이 0 이아닌경우에만사용할수있습니다. 기본값 : 3 다음값중하나를지정합니다. 0 3 CA SiteMinder for Secure Proxy Server 가무한대로시도함을나타냅니다. CA SiteMinder for Secure Proxy Server 가세번시도함을나타냅니다. 124 관리안내서

125 server.conf 파일의프록시및리디렉션설정 http_connection_timeout 소켓을생성할때호스트이름변환과백엔드서버와의연결을생성하는데소요되는시간 ( 밀리초 ) 을정의합니다. 기본값 : 3 분 참고 이시간만료는명시적으로 HTTP 연결을의미하며연결풀을의미하지않습니다. CA SiteMinder for Secure Proxy Server 시작중 SmSpsProxyEngine.properties 파일에 -Dhttp_connection_timeout 매개변수를구성한경우 -Dhttp_connection_timeout 의값이 http_connection_timeout 의값보다우선합니다. http_connection_stalecheck 오래된연결검사를수행해야하는지여부를지정합니다. 이값을 true 로설정할경우각요청을실행하기전에오래된연결검사가수행됩니다. 이값을 false 로설정할경우백엔드웹서버에서닫힌연결을통해요청을실행하면 I/O 오류가발생할수있습니다. 기본값 : true filter.filter name.class=fully qualified filter class name 프록시규칙에서호출된각고유필터에 server.conf 파일에구성된필터를지정합니다. 예 : filter.preprocess.class=samplefilter filter.filter name.init-param.param name1=param value1 필터가필터 API 를사용하여정의되는방식에따라필터에대한초기화매개변수를지정합니다. server.conf 파일을구성하여각필터에대한매개변수를정의합니다. 예 : filter.preprocess.init-param.param1=value1 제 7 장 : SPS 서버설정구성 125

126 server.conf 파일의프록시및리디렉션설정 groupfilter.<groupname> = "filtername1,filtername2,.filtername" 지정된프록시규칙에대해하나이상의필터를구현할필터그룹을지정합니다. CA SiteMinder for Secure Proxy Server 는그룹필터에선언된필터이름을읽고해당필터를한체인에서처리합니다. 그룹필터이름은 proxyrules.xml 의필터이름과유사하게사용될수있습니다. CA SiteMinder for Secure Proxy Server 가그룹필터를처리할때는사후필터보다사전필터가먼저처리되며이는그룹필터에필터가정의된순서가그반대인경우에도해당됩니다. 다음과같은제한사항이적용됩니다. 필터이름은유효하고고유해야합니다. 그룹필터이름은고유해야합니다. 여러그룹에동일한그룹이름을지정할경우마지막그룹만유지됩니다. 그룹필터이름과필터이름은달라야합니다. 예 : groupfilter.batchprocess="samplefilter1, SampleFilter2, SampleFilter3" 연결풀링권장사항 연결풀링은 CA SiteMinder for Secure Proxy Server 성능을관리하는데중요한부분입니다. 엔터프라이즈에서 CA SiteMinder for Secure Proxy Server 가가능한최상의서비스를제공하도록하려면연결에연결유지메시지가사용되도록설정된상태로대상서버를구성해야합니다. 대상서버에대한연결유지메시지를사용하도록설정하면 CA SiteMinder for Secure Proxy Server 가연결풀링기능을사용할수있습니다. 연결유지메시지는웹서버유형마다다르게관리됩니다. 연결유지메시지를사용하도록설정할뿐아니라대상서버와 SPS 에다음설정도사용하는것이좋습니다. 다음표에는시간만료및연결풀권장사항이나와있습니다. 설정 HTTP HTTPS 대상서버연결유지최대요청수 (http_connection_pool_max_attempts) 제한없음 제한없음 대상서버만료시간 시간만료되지않음 HTTP 연결풀만료 시간보다크거나같음 126 관리안내서

127 server.conf 파일의프록시및리디렉션설정 설정 HTTP HTTPS 보안프록시서버 HTTP 연결풀만료시간단위 (http_connection_pool_connection_timeout _unit) 초또는분으로설정 ( 기본값 : 분 ) 초또는분으로설정 ( 기본값 : 분 ) 보안프록시서버 HTTP 연결풀만료시간 (http_connection_pool_connection_timeout) 1 분 1 분 보안프록시서버 HTTP 연결풀대기만료시간 (http_connection_pool_wait_timeout) 보안프록시서버 HTTP 연결풀최대시도횟수 (http_connection_pool_max_attempts) 0 알림이있을때까지대기 3 이값은 HTTP 연결풀만료시간이 0 보다큰경우에만유용합니다. 0 알림이있을때까지대기 3 이값은 HTTP 연결풀만료시간이 0 보다큰경우에만유용합니다. 보안프록시서버 HTTP 연결만료시간 (http_connection_timeout) 3 분 3 분 리디렉션서비스구성 CA SiteMinder for Secure Proxy Server 의리디렉션서비스는대상서버에요청을전송합니다. 전달서비스와달리이후요청은 SPS 가아니라대상서버가처리합니다. 리디렉션서비스의형식은다음과같습니다. <Service name="redirect"> </Service> class=com.netegrity.proxy.service.redirectservice 지시문은다음과같습니다. class 리디렉션된요청을처리하는구현을나타냅니다. 이지시문은수정하면안됩니다. 기본값 : com.netegrity.proxy.service.redirectservice 제 7 장 : SPS 서버설정구성 127

128 server.conf 파일의프록시및리디렉션설정 연결지향연결풀구성 웹서버가연결지향인증체계를사용하는경우안전한요청전달처리를위해연결지향연결풀을구성하십시오. 중요! 연결지향연결풀은가급적구성하지않는것이좋습니다. 다음단계를수행하십시오. 1. httpd.conf 파일에서 JK 환경변수 REMOTE_PORT 의값이설정되어있는지확인합니다. 2. server.conf 를열고 <Service name="forward"> 섹션에다음행을추가합니다. # Pool configuraiton for connection oriented authentication backend # connections eg: NTLM. <connection-pool name="connection oriented authentication"> connection-timeout="connection_timeout_value" max-size="maximum_connections" enabled="yes no" </connection-pool> connection_timeout_value 연결만료시간 ( 초 ) 을정의합니다. 될수록낮은값을설정하는것이좋습니다. 기본값 : 5 maximum_connections yes no 연결풀의연결수를정의합니다. 기본값 : 50 연결지향연결풀의상태를지정합니다. 연결지향연결풀을사용하도록설정하려면값을 yes 로설정합니다. 기본값 : yes 3. proxyrules.xml 을열고전달규칙에 connection-auth 특성을추가합니다. 예 : <nete:forward connection-auth="yes">hostname:port$1</nete:forward> 128 관리안내서

129 server.conf 파일의세션체계설정 server.conf 파일의세션체계설정 세션체계는사용자의아이덴티티가유지관리되는방식을결정하여세션과정중에싱글사인온을제공합니다. 각각의잠재적세션체계가 server.conf 파일의 SessionScheme 섹션에포함되어야합니다. 세션체계는세션의동작을정의하는 Java 클래스파일과연결되어야합니다. 특정유형의사용자에이전트에대해세션체계가지정되지않은경우기본세션체계가사용됩니다. 엔터프라이즈트랜잭션에서중요한한가지과제는사용자세션을유지관리하는것입니다. SiteMinder 는쿠키를사용하여세션정보를캡슐화합니다. SiteMinder 와달리 CA SiteMinder for Secure Proxy Server 는여러방법을사용하며, 쿠키를사용하지않고세션을유지관리하기위한대체방법을지원하는일련의 API 를제공합니다. 쿠키를사용하지않는세션체계에는 CA SiteMinder for Secure Proxy Server 메모리내세션저장소에서유지관리되는세션정보를참조하는일종의토큰이사용됩니다. 세션저장소는 CA SiteMinder for Secure Proxy Server 서버의메모리에상주하며서버를다시시작하면지울수있습니다. CA SiteMinder for Secure Proxy Server 는 server.conf 파일에서구성할수있는다음과같은세션체계를기본적으로제공합니다. 이러한체계는 server.conf 파일에정의된각가상호스트의사용자에이전트유형에연결되어있을수있습니다. 세션체계와사용자에이전트유형의연결을세션체계매핑이라고합니다. CA SiteMinder for Secure Proxy Server 에는다음과같은체계가포함되어있습니다. 기본체계 SSL ID IP 주소 제 7 장 : SPS 서버설정구성 129

130 server.conf 파일의세션체계설정 미니쿠키 단순 URL 다시쓰기 장치 ID 참고 추가사용자지정세션체계를생성하려면세션체계 API 를사용하면됩니다. 세션체계 API 를사용하여고유한세션체계를생성하는경우사용자지정세션체계와연결된이름및 Java 클래스에대한특정정보를포함하여 <SessionScheme> 섹션을 server.conf 파일에추가해야합니다. makefile.cygwin 을사용하여사용자지정세션체계를생성하려면 cygwin 지침에따라 JAVA_HOME 및 SPS_HOME 의값을설정하십시오. 예를들어 Windows 2008 R2 컴퓨터에서 makefile.cygwin 을사용하려면다음값을설정하면됩니다. JAVA_HOME=C:/Progra~2/Java/jdk1.7.0_03 SPS_HOME=C:/Progra~2/CA/secure-proxy 사용자세션설정 사용자세션을설정하려면다음과같이고유한단계를거칩니다. 1. 검색단계 이세션단계중에 CA SiteMinder for Secure Proxy Server 는사용자에이전트유형을기반으로적절한세션키를찾습니다. 세션키는 SiteMinder 쿠키이거나 CA SiteMinder for Secure Proxy Server 메모리내세션저장소의적절한정보를가리키는토큰입니다. 이전에설명한것처럼토큰은미니쿠키, SSL ID, 장치 ID 또는다른토큰형식일수있습니다. 세션키를식별할수없으면 CA SiteMinder for Secure Proxy Server 의웹에이전트는인증및권한부여에대한요청을승계하여전달하고사용자의아이덴티티및권한을설정합니다. 2. 에이전트처리단계 CA SiteMinder for Secure Proxy Server 에는 SiteMinder 와통신하는웹에이전트가포함되어있습니다. 이웹에이전트는 SiteMinder 세션정보를암호해독하고 SiteMinder 를사용하여세션의유효성을검사하는작업을수행합니다. 사용자요청이 SMSESSION 쿠키와함께수신되거나 CA SiteMinder for Secure Proxy Server 의세션저장소에사용자세션이있는경우웹에이전트는 SiteMinder 를사용하여사용자요청의유효성을검사합니다. 130 관리안내서

131 server.conf 파일의세션체계설정 3. 리버스프록시단계 사용자세션의유효성이검사된후이단계에서는 CA SiteMinder for Secure Proxy Server 가정의된서비스 ( 전달, 리디렉션또는기타서비스 ) 중하나를사용하여사용자의요청을처리합니다. 이단계에서 CA SiteMinder for Secure Proxy Server 의작업은프록시규칙 XML 구성파일에포함된프록시규칙에따라결정됩니다. 참고 : URL 다시쓰기세션체계의경우콘텐츠가사용자에게다시전송되기전에이단계에서다시쓰기메커니즘으로전달됩니다. 기본세션체계 기본세션체계는사용자에이전트유형에지정된다른체계가없는경우 CA SiteMinder for Secure Proxy Server 가사용자세션을설정및유지관리하는데사용하는체계입니다. <SessionScheme> 요소에는사용자에이전트유형에체계를할당할때세션체계를식별하는데사용되는 name 특성이포함되어있습니다. server.conf 파일에는기본세션체계구성이포함되어야합니다. 사용가능한세션체계를사용하도록기본세션체계를구성할수있습니다. 기본세션체계섹션의형식은다음과같습니다. #Session Schemes <SessionScheme name="default"> class="com.netegrity.proxy.session.sessioncookiescheme" accepts_smsession_cookies="true" </SessionScheme> 제 7 장 : SPS 서버설정구성 131

132 server.conf 파일의세션체계설정 <SessionScheme> 요소에는다음과같은지시문이있습니다. class 기본세션체계가포함된 Java 클래스를나타냅니다. 기본값 : com.netegrity.proxy.session.sslidsessionscheme accepts_smsession_cookies 사용자에이전트유형이 SiteMinder 쿠키세션체계와연결된경우해당사용자에이전트유형을통해리소스에액세스하는사용자가기존 SiteMinder 쿠키를사용하여세션을유지관리함을나타냅니다. SiteMinder 는쿠키를사용하여세션을추적하므로 SPS 는쿠키체계를지원합니다. SMSESSION 쿠키가허용되는지여부를나타냅니다. 다음값중하나를지정합니다. true false SMSESSION 쿠키가허용되며세션체계에서사용됨을나타냅니다. 세션체계에서 SMSESSION 쿠키가지원되지않음을나타냅니다. 132 관리안내서

133 server.conf 파일의세션체계설정 기본세션체계지정 기본세션체계는사용자에이전트유형에대해다른세션체계가지정되지않은경우에사용됩니다. 기본세션체계지시문은다음과같습니다. defaultsessionscheme 기본체계로 SiteMinder 쿠키세션체계가아닌다른세션체계를지정합니다. 이항목을수정하여사용자가원하는세션체계를기본세션체계로포함할수있습니다. 기본값 : default enablewritecookiepath CA SiteMinder for Secure Proxy Server 가프록시뒤에있는서버가설정한 URI 에서초기요청의 URI 로쿠키경로를다시쓰도록합니다. 기본값 : no enablewritecookiedomain CA SiteMinder for Secure Proxy Server 가프록시뒤에있는서버가설정한도메인에서초기요청의도메인으로쿠키도메인을다시쓰도록합니다. 기본값 : no SSL ID 세션체계 SSL(Secure Sockets Layer) 연결에는 SSL 연결이시작될때생성된고유식별자가포함되어있습니다. CA SiteMinder for Secure Proxy Server 는 CA SiteMinder for Secure Proxy Server 메모리내세션저장소에서유지관리되는사용자에대한세션정보를참조할때이고유 ID 를토큰으로사용합니다. 이체계는사용자의세션을유지관리하기위한메커니즘으로쿠키를제거합니다. SSL ID 세션체계의제한사항은 CA SiteMinder for Secure Proxy Server 와의초기연결시 SSL 세션 ID 가설정된다는점입니다. 사용자의 SSL 세션이중단되고새 SSL 연결이설정될경우새 SSL 연결에서는새서버에연결하게되므로해당서버가동일한시스템에있는가상서버이더라도사용자인증및권한부여를다시수행해야합니다. 이는또한 HTML 양식인증체계에사용되는양식을보호된리소스와동일한호스트이름에서제공해야함을의미합니다. 제 7 장 : SPS 서버설정구성 133

134 server.conf 파일의세션체계설정 SSL ID 세션체계구성 SSL ID 섹션에는 SSL ID 를사용하는세션체계가나열됩니다. SSL ID 세션체계는 SPS 와함께패키지로제공되는 Java 클래스를사용하여사용자지정작업없이지원될수있습니다. 중요! SSL ID 인증체계를사용하려면 Apache 웹서버의 httpd.conf 파일에있는설정도사용하도록설정해야합니다. SSL ID 세션체계의형식은다음과같습니다. <SessionScheme name="ssl_id"> class="com.netegrity.proxy.session.sslidsessionscheme" accepts_smsession_cookies="false" </SessionScheme> ssl_id 에대한지시문은다음과같습니다. class SSL ID 세션체계를처리하는 Java 클래스를지정합니다. 기본값 : com.netegrity.proxy.session.sslidsessionscheme accepts_smsession_cookies SMSESSION 쿠키가허용되는지여부를나타냅니다. 다음값중하나를지정합니다. true false SSL ID 체계의 httpd.conf 파일수정 SMSESSION 쿠키가허용되며세션체계에서사용됨을나타냅니다. 세션체계에서 SMSESSION 쿠키가지원되지않음을나타냅니다. server.conf 파일에서 SSL ID 세션체계를구성할뿐아니라, SSL 을사용하도록 Apache 웹서버 httpd.conf 파일도수정해야합니다. SSL ID 체계의 httpd.conf 파일을수정하려면 1. sps_home/secure-proxy/httpd/conf 디렉터리에있는 httpd.conf 파일을엽니다. 2. 이파일에서다음행을찾습니다. #SSLOptions +StdEnvVars +ExportCertData +CompatEnvVars 134 관리안내서

135 server.conf 파일의세션체계설정 3. 행의처음부분에서 # 기호를삭제합니다. 참고 : CA SiteMinder for Secure Proxy Server r6.0 SP 3 이상의경우행이다음과같이되도록 +CompateEnvVars 도제거하십시오. SSLOptions +StdEnvVars +ExportCertData 4. httpd.conf 파일을저장합니다. 5. SPS 를다시시작합니다. IP 주소세션체계 IP 주소가고정된환경에서 CA SiteMinder for Secure Proxy Server 는 IP 주소를사용하여세션저장소에있는사용자의세션정보를참조할수있습니다. 이체계는쿠키를제거하지만, 사용자에게고정 IP 주소가할당되는환경에서만이체계를사용할수있다는단점이있습니다. 미니쿠키세션체계 미니쿠키세션체계구성 기존 SiteMinder 쿠키기반세션체계의단점중하나는쿠키크기에있습니다. 각요청과함께전송되는데이터의양이증가하면무선전화와같은일부장치유형의경우액세스비용도증가합니다. 미니쿠키는 SiteMinder 메모리내저장소의세션정보를참조하는데사용할수있는토큰이포함된약 10 바이트크기의작은쿠키입니다. 미니쿠키는표준 SiteMinder 쿠키의크기에비해매우작으며표준 SiteMinder 쿠키대신사용할수있습니다. 미니쿠키세션체계는세션정보를 CA SiteMinder for Secure Proxy Server 메모리내세션저장소에저장하고 CA SiteMinder for Secure Proxy Server 가사용자에게반환하는암호화된토큰이포함된쿠키를생성합니다. 이섹션의형식은다음과같습니다. <SessionScheme name="minicookie"> class="com.netegrity.proxy.session.minicookiesessionscheme" accepts_smsession_cookies="false" # The name of the small cookie to be stored in the client. cookie_name="smid" </SessionScheme> 제 7 장 : SPS 서버설정구성 135

136 server.conf 파일의세션체계설정 미니쿠키세션체계의지시문은다음과같습니다. class 세션체계를정의하는 Java 클래스를지정합니다. SPS 와함께제공되는미니쿠키세션체계를사용하려는경우에는이지시문을수정하지않습니다. 기본값 : com.netegrity.proxy.session.minicookiesessionscheme accepts_smsession_cookies SMSESSION 쿠키가허용되는지여부를나타냅니다. 다음값중하나를지정합니다. true false cookie_name SMSESSION 쿠키가허용되며세션체계에서사용됨을나타냅니다. 세션체계에서 SMSESSION 쿠키가지원되지않음을나타냅니다. 세션체계에미니쿠키세션만사용되는지확인하려면이설정을사용하십시오. 사용자세션에대한토큰이포함된미니쿠키의이름을나타냅니다. 참고 : 이이름은싱글사인온을제공하는모든 CA SiteMinder for Secure Proxy Server 에대해동일한값을사용하여구성되지않습니다. 단순 URL 다시쓰기세션체계 단순 URL 다시쓰기구성 단순 URL 다시쓰기는요청된 URL 에토큰을추가하여사용자세션을추적하기위한방법입니다. 이토큰은메모리내세션저장소에서세션정보를검색하는데사용됩니다. simple_url 체계는사용자지정작업없이수행할수있는단순 URL 다시쓰기를지원합니다. 참고 : CGI 기반및 FCC 기반암호체계는 simple_url 세션체계와함께지원됩니다. 136 관리안내서

137 server.conf 파일의세션체계설정 예 사용자가호스트에액세스하여단순 URL 다시쓰기세션체계를통해사용자세션이설정됩니다. 초기요청은다음예와같을수있습니다. 사용자가적절한자격증명을제공하여인증을받고권한이부여되면사용자가요청한 URL 이다음과유사한형식으로다시써져서사용자에게반환됩니다. nnnnnnnnnn CA SiteMinder for Secure Proxy Server 가사용자세션을식별하는데사용하는무작위로생성된해시토큰을나타냅니다. 중요! 단순 URL 다시쓰기세션체계가작동하기위해서는엔터프라이즈에정의된모든링크가상대링크여야합니다. 링크가절대링크인경우에는단순 URL 다시쓰기체계가실패합니다. 또한요청이전달될때 CA SiteMinder for Secure Proxy Server 가 URL 에추가하는토큰이제거됩니다. 이토큰은백엔드서버처리에방해가되지않도록 CA SiteMinder for Secure Proxy Server 상호작용수준에서만추가됩니다. SimpleURL 체계의형식은다음과같습니다. <SessionScheme name="simple_url"> class="com.netegrity.proxy.session.simpleurlsessionscheme" accepts_smsession_cookies="false" session_key_name="smid" </SessionScheme> SimpleURL 체계의지시문은다음과같습니다. class 세션체계를정의하는 Java 클래스를지정합니다. 쿠키를사용하지않는다시쓰기세션체계를사용하려는경우에는이지시문을수정하지않습니다. 기본값 : com.netegrity.proxy.session.simpleurlsessionscheme 제 7 장 : SPS 서버설정구성 137

138 server.conf 파일의세션체계설정 accepts_smsession_cookies SMSESSION 쿠키가허용되는지여부를나타냅니다. 다음값중하나를지정합니다. true false SMSESSION 쿠키가허용되며세션체계에서사용됨을나타냅니다. 세션체계에서 SMSESSION 쿠키가지원되지않음을나타냅니다. 세션체계에쿠키를사용하지않는다시쓰기쿠키세션만사용되는지확인하려면이설정을사용하십시오. session_key_name SMID(SiteMinder ID) 세션식별자를지정합니다 참고 : 쿠키를사용하지않는페더레이션트랜잭션이 CA SiteMinder for Secure Proxy Server 페더레이션게이트웨이에의해처리되고 simple_url 세션체계가사용될때는 SMID 가 URI 에추가되지않고요청에쿼리매개변수로추가됩니다. 다시쓰기가능한세션체계에대해쿠키를사용하지않는페더레이션을사용하도록설정 페더레이션환경에서 CA SiteMinder for Secure Proxy Server 가단순 URL 세션체계와같이다시쓰기가능한세션체계를사용할수있도록하려면쿠키를사용하지않는페더레이션을구성하십시오. 쿠키를사용하지않는페더레이션을구성하려면 1. 텍스트편집기에서 server.conf 파일을엽니다. 이파일은 sps_home/secure-proxy/proxy-engine/conf 디렉터리에있습니다. 2. FWS 서비스를제공하는가상호스트에대한가상호스트섹션에다음코드를추가합니다. cookielessfederation="yes" 3. 파일을저장합니다. 4. SPS 를다시시작합니다. 참고 : SPS 페더레이션게이트웨이에는 CookielessFedFilter 와같은별도의사후필터를사용하도록설정할필요가없습니다. 이기능은페더레이션게이트웨이기능을사용하도록설정하면기본적으로제공됩니다. SPS 가페더레이션게이트웨이로작동하지않는경우에는이사후필터를사용하도록설정해야합니다. 138 관리안내서

139 server.conf 파일의세션체계설정 단순 URL 세션체계의 FWS 리디렉션다시쓰기 페더레이션환경에 CA SiteMinder for Secure Proxy Server 를배포할경우사이트제작어설션측에서사용할수있는세션체계중하나는단순 URL 세션체계입니다. 이체계를사용할경우세션키가링크에추가되도록사용자를적절한사이트로연결하는링크를다시써야할수있습니다. SiteMinder 설명서에서는이러한 SAML 1.x 용링크를사이트간전송 URL 이라고합니다. SAML 2.0 의경우에는이러한링크를원치않는응답또는 AuthnRequest 링크라고합니다. URL 기준에세션키정보가추가되도록링크를다시쓰기위해샘플사후필터인 RewriteLinksPostFilter 가 CA SiteMinder for Secure Proxy Server 필터예제와함께제공됩니다. 이필터를컴파일하여사이트간전송 URL, 원치않는응답또는 AuthnRequest 로의전달을처리하는적절한프록시규칙에추가할수있습니다. CA SiteMinder for Secure Proxy Server 와함께제공되는 RewriteLinksPostFilter 는샘플필터입니다. 이필터를사용하려면요구사항에맞게구성해야합니다. 참고 : SPS 페더레이션게이트웨이를사용하는트랜잭션에 simple_url 세션체계를사용하는경우세션키 (SMID) 는 URI 에추가되는대신요청에쿼리매개변수로추가됩니다. 그러나백엔드서버에서최종대상리소스에액세스하는경우에는 SMID 가 URI 에추가됩니다. 무선장치 ID 세션체계 일부무선장치에는고유한장치식별번호가있습니다. 이번호는리소스에대한요청과함께헤더변수로전송됩니다. CA SiteMinder for Secure Proxy Server 는이장치 ID 를토큰으로사용하여세션저장소의세션정보를참조할수있습니다. 장치 ID 는무선장치공급업체에따라다르므로 server.conf 파일에서장치 ID 세션체계를정의하십시오. 이체계에는클래스정보와공급업체관련장치 ID 로설정된 device_id_header_name 지시문을포함해야합니다. 장치 ID 체계의형식은다음과같습니다. <SessionScheme name="device_id"> class="com.netegrity.proxy.session.deviceidsessionscheme" accepts_smsession_cookies="false" device_id_header_name="vendor_device_id_header_name" </SessionScheme> 제 7 장 : SPS 서버설정구성 139

140 server.conf 파일의세션체계설정 각세션체계의사용사례 다음표에서는각세션체계가사용되는시나리오를보여줍니다. 세션체계는가상호스트에있는리소스의중요도를기반으로합니다. 세션체계보안수준권장사항 SSL 세션 ID 높음 이체계는사용자세션을유지하기위한완전하고높은보안수단을제공합니다. 이체계는사용가능한체계중가장안전하지만확장성에제한이있습니다. 모든콘텐츠는 SSL 을통해제공되어야하고, 사용자가계속동일한 CA SiteMinder for Secure Proxy Server 서버에액세스해야세션이유지됩니다. 또한일부브라우저 ( 일부 IE 버전 ) 는기본적으로 2 분후에 SSL 세션을종료합니다. 이체계는보안요구사항이높은인트라넷및엑스트라넷응용프로그램에적합합니다. SiteMinder 쿠키 중간또는높음 이체계는기존 SiteMinder 세션메커니즘으로, 많은 엔터프라이즈배포환경에서보안수준이높은것으로 입증되었습니다. 보안을최대화하기위해 WebAgent SecureCookie 설정은 "Yes" 로설정되어있습니다. IP 주소 낮음 이체계는사용자가 HTTP GET 을사용하여보호된리소스에서정보를검색하며 HTTP POST 를사용하여보안응용프로그램으로정보를전송하지않는응용프로그램에만사용됩니다. 적절한응용프로그램의예로는온라인라이브러리를들수있습니다. 적절하지않은응용프로그램의예로는채권거래응용프로그램을들수있습니다. 미니쿠키 중간또는높음 이체계는사용자클라이언트가쿠키를허용하지만속도 및대역폭이제한된연결을통해응용프로그램에 액세스하는응용프로그램에적합합니다. 단순 URL 다시쓰기 중간 보안을최대화하기위해 WebAgent SecureCookie 설정은 "Yes" 로설정되어있습니다. 이체계는쿠키를지원하지않거나쿠키를사용하지않으려는환경에적합합니다. 장치 ID 중간 이체계는사용자를식별하기위해모든클라이언트 요청과함께장치 ID 가전송되는무선환경에맞게 설계되었습니다. 140 관리안내서

141 server.conf 파일의세션체계설정 가상호스트에대한여러세션체계 CA SiteMinder for Secure Proxy Server 는엔터프라이즈의각가상호스트에대해여러세션체계를지원합니다. 가상호스트에액세스할수있는각사용자에이전트유형에세션체계를할당할수있습니다. 다음그림에서는네개의가상호스트에대해구성된 CA SiteMinder for Secure Proxy Server 를보여줍니다. 위그림에서는사용자가액세스한가상호스트에따라사용자에이전트에대한세션체계가달라짐을보여줍니다. 예를들어브라우저에서 에액세스하는경우 CA SiteMinder for Secure Proxy Server 는 SiteMinder 쿠키를사용하여사용자세션을유지관리합니다. 그러나 BondTrading.company.com 에액세스할경우에는브라우저세션이사용자 HTTPS 연결의 SSL ID 를사용하여유지관리됩니다. PDA 및무선사용자의세션은쿠키를사용하지않는세션체계를통해유지관리되는반면에브라우저사용자세션은쿠키또는미니쿠키를통해유지관리됩니다. 제 7 장 : SPS 서버설정구성 141

142 Server.conf 의사용자에이전트설정 쿠키를사용하지않는페더레이션을위해특성쿠키삭제 쿠키를교환하지않으려는환경을지원하기위해 CA SiteMinder for Secure Proxy Server 는쿠키를사용하지않는세션체계에 SiteMinder 세션쿠키를매핑하고응답에서쿠키를삭제합니다. 하지만특성쿠키는매핑된상태로응답에유지됩니다. FWS 응용프로그램은페더레이션요청을처리하고특성쿠키와 SiteMinder 가생성한쿠키를응답에삽입합니다. 이응답은 SPS 로전달됩니다. FWS 응용프로그램에의해삽입된특성쿠키를삭제하도록 CA SiteMinder for Secure Proxy Server 를구성할수있습니다. 세션및특성쿠키를삭제하도록 CA SiteMinder for Secure Proxy Server 를구성하려면 1. 텍스트편집기에서 server.conf 파일을엽니다. 이파일은 sps_home/secure-proxy/proxy-engine/conf 디렉터리에있습니다. 2. FWS 서비스를제공하는가상호스트에대한가상호스트섹션에다음코드를추가합니다. deleteallcookiesforfed="yes" 3. 파일을저장합니다. 4. SPS 를다시시작합니다. Server.conf 의사용자에이전트설정 사용자에이전트는사용자가네트워크리소스에액세스하는데사용할수있는웹브라우저, 무선전화, PDA 등의장치유형을정의합니다. 모든사용자에이전트는 <UserAgent> 요소에서정의해야합니다. 각 <UserAgent> 요소에는사용자에이전트유형을식별하는이름특성이포함됩니다. 기본적으로 server.conf 파일에미리정의된사용자에이전트유형은없습니다. 사용자에이전트구성섹션의형식은다음과같습니다. #<UserAgent name="user_agent_name_1"> # header_name_1=some regular expression # </UserAgent> 142 관리안내서

143 Server.conf 의사용자에이전트설정 UserAgent 섹션의지시문은다음과같습니다. header_name 이지시문에는 HTTP 요청의사용자 - 에이전트헤더가포함됩니다. 이헤더는요청을하는장치의유형을나타냅니다. 정규식을사용할수있으며식의일부로이름의일부를제공할수있습니다. 이를통해사용자 - 에이전트헤더에포함된버전번호등이약간다른사용자에이전트유형도지정할수있습니다. <SessionSchemeMapping> 요소에서장치유형을세션체계와연결하려면먼저 <UserAgent> 요소에서장치유형을정의해야합니다. Nokia 사용자에이전트설정 Nokia 무선전화를위한 Nokia 사용자에이전트유형을지정할수있습니다. <UserAgent> 섹션의 name 특성은세션체계매핑을지정할때사용자에이전트유형을식별하는데사용되는이름입니다. Nokia 사용자에이전트항목의형식은다음과같습니다. # Nokia <UserAgent name="nokia"> User-Agent="Nokia." attribute_name="value" </UserAgent> Nokia 사용자에이전트에대한지시문은다음과같습니다. User-Agent 이지시문에는 HTTP 요청의사용자에이전트헤더내용이포함됩니다. 이헤더는요청을하는장치의유형을나타냅니다. 정규식을사용할수있으며식의일부로이름의일부를제공할수있습니다. 이지시문을통해사용자 - 에이전트헤더에포함된버전번호등이약간다른사용자에이전트유형도지정할수있습니다. 기본값 : Nokia attribute_name server.conf 에서무선장치및다른사용자에이전트유형에대한섹션은추가특성과이러한특성의값을포함할수있습니다. 특성은반드시필요한것은아니지만일부응용프로그램에는사용하는것이좋을수있습니다. 제 7 장 : SPS 서버설정구성 143

144 server.conf 파일의가상호스트설정 server.conf 파일의가상호스트설정 server.conf 파일의 <VirtualHostDefaults> 요소는가상호스트에대한기본설정을지정합니다. 이러한설정은 SPS 에추가하는각가상호스트에사용됩니다. 가상호스트에대해기본값이아닌값을지정하려면 <VirtualHostDefaults> 요소뒤에 <VirtualHost> 요소를추가하십시오. <VirtualHost> 요소에는기본가상호스트와는다른지시문및값을포함해야합니다. 기본가상호스트설정은다음과같은섹션으로나뉩니다. 기본세션체계 세션체계매핑 WebAgent.conf 설정 기본가상호스트이름 <VirtualHostDefaults> 섹션의형식은다음과같습니다. <VirtualHostDefaults> # default session scheme defaultsessionscheme="default" enablerewritecookiepath="no" enablerewritecookiedomain="no" enableproxypreservehost="no" filteroverridepreservehost="no" # specify the block size for request and response in KBs requestblocksize="4" responseblocksize="4" #TO-DO: Define any session scheme mappings #<SessionSchemeMappings> # user_agent_name=session_scheme_name #</SessionSchemeMappings> # Web Agent.conf <WebAgent> sminitfile="c:\program Files\netegrity\secure-proxy\proxy-engine\ conf\defaultagent\webagent.conf" </WebAgent> </VirtualHostDefaults> 144 관리안내서

145 server.conf 파일의가상호스트설정 가상호스트쿠키경로및도메인을올바른 URI 로설정 server.conf 파일의가상호스트구성에는 enablerewritecookiepath 및 enablerewritecookiedomain 매개변수가포함되어있으며이매개변수를사용하여 SPS 뒤에있는대상서버가생성한쿠키를관리할수있습니다. CA SiteMinder for Secure Proxy Server 는클라이언트로부터요청을수신하면사용자를인증하고클라이언트를요청된대상서버에연결합니다. 대상서버가쿠키를생성하여브라우저에배치하면 CA SiteMinder for Secure Proxy Server 는이쿠키를사용하여사용자에게클라이언트응답을다시전송합니다. 클라이언트는 SPS 로부터응답을받은후쿠키를저장합니다. 클라이언트가후속요청을전송하면브라우저는저장된쿠키에서해당 URL 과연결된쿠키를검색합니다. 일부경우에는대상서버가쿠키경로를초기요청의 URI 가아니라자체리소스 URI 로설정했을수있습니다. 따라서클라이언트가후속요청을전송할때브라우저에는잘못된쿠키가포함되어있거나쿠키가아예없습니다. 요청은대상서버에서잘못된쿠키를포함하거나쿠키를포함하지않은상태로수신됩니다. 브라우저에서올바른쿠키가설정되도록하려면쿠키경로와쿠키도메인을다시쓰도록 CA SiteMinder for Secure Proxy Server 를구성하면됩니다. 대상서버는쿠키경로와쿠키도메인을 CA SiteMinder for Secure Proxy Server 서버에있는리소스의 URI 로설정합니다. 클라이언트는후속요청에서올바른쿠키를 SPS 로다시전송할수있습니다. 다음두매개변수가사용됩니다. enablerewritecookiepath CA SiteMinder for Secure Proxy Server 가프록시뒤에있는서버가설정한 URI 에서초기요청의 URI 로쿠키경로를다시쓰도록합니다. 기본값 : no enablerewritecookiedomain CA SiteMinder for Secure Proxy Server 가프록시뒤에있는서버가설정한도메인에서초기요청의도메인으로쿠키도메인을다시쓰도록합니다. 기본값 : no 제 7 장 : SPS 서버설정구성 145

146 server.conf 파일의가상호스트설정 예 클라이언트가 CA SiteMinder for Secure Proxy Server 리소스 을요청합니다. enablerewritecookiepath 가 yes 로설정되어있으면브라우저가클라이언트로다시보내지기전에쿠키경로가 /basic/test 로다시써집니다. 이쿠키는원래 CA SiteMinder for Secure Proxy Server 가대상서버에서수신한쿠키에있던쿠키경로와상관없이다시써집니다. 백엔드쿠키경로및도메인을다시쓰려면 1. 텍스트편집기에서 server.conf 파일을엽니다. 2. 다음매개변수중하나또는둘모두를 yes 로설정합니다. enablerewritecookiepath enablerewritecookiedomain 3. 파일을저장합니다. 4. SPS 를다시시작합니다. 146 관리안내서

147 server.conf 파일의가상호스트설정 HOST 헤더파일유지 HTTP HOST 헤더파일을유지하고 enableproxypreservehost 매개변수를사용하여이파일을백엔드서버로보낼수있습니다. enableproxypreservehost 매개변수를사용하려면다음단계를수행하십시오. 1. server.conf 파일을엽니다. 2. 구성할가상호스트의 Virtual Host 섹션에다음매개변수를추가합니다. enableproxypreservehost 3. enableproxypreservehost 의값을 yes 로설정합니다. enableproxypreservehost 를활성화하면이매개변수는 HTTP HOST 헤더를제어하도록구성된필터보다우선적으로적용됩니다. enableproxypreservehost 를비활성화하고필터가이매개변수보다우선적으로적용되도록하려면다음단계를수행하십시오. 1. server.conf 파일을엽니다. 2. 구성할가상호스트의 Virtual Host 섹션에다음매개변수를추가합니다. filteroverridepreservehost 3. filteroverridepreservehost 의값을 yes 로설정합니다. HTTP HOST 헤더를제어하는필터가있는경우에만 filteroverridepreservehost 를활성화할수있습니다. 데이터블록을사용하여대용량파일처리 CA SiteMinder for Secure Proxy Server 는 CA SiteMinder for Secure Proxy Server 와백엔드서버사이에전송되는데이터를블록으로나누는방법으로사용자에게보내는대용량파일의전송을처리합니다. CA SiteMinder for Secure Proxy Server 가읽는블록크기는 server.conf 파일의가상호스트섹션에있는다음두매개변수를사용하여제어합니다. requestblocksize responseblocksize 사용자가파일을백엔드서버로전송하면 CA SiteMinder for Secure Proxy Server 는해당가상호스트에대해지정된 requestblocksize 를확인합니다. 이 requestblocksize 의값에따라 CA SiteMinder for Secure Proxy Server 는데이터를여러블록으로나눈다음블록을백엔드서버에전달합니다. 제 7 장 : SPS 서버설정구성 147

148 server.conf 파일의가상호스트설정 마찬가지로백엔드서버가데이터를사용자에게전송하면 CA SiteMinder for Secure Proxy Server 는해당가상호스트에대해지정된 responseblocksize 를확인합니다. 이 responseblocksize 의값에따라 CA SiteMinder for Secure Proxy Server 는블록처리를계속하기전에백엔드서버에서블록내의데이터를읽습니다. 이경우사용자는이러한파일전송을위한읽기 - 쓰기작업의수를제어할수있습니다. 대용량파일전송을처리하려면큰블록크기를사용하십시오. 참고 : requestblocksize 및 responseblocksize 매개변수는 CA SiteMinder for Secure Proxy Server Java 프로세스의사용가능한 JVM 힙크기및할당된 JVM 힙크기에비례하여정의되어야합니다. 대용량파일처리를위한파일데이터블록크기정의 가상호스트에대한블록크기를구성할때대용량파일을처리하기위한블록크기를정의하려면각가상호스트의요청및응답블록크기를수정하십시오. 이러한매개변수는해당가상호스트에만유효합니다. 데이터블록크기는가상호스트마다다를수있으며, 해당설정은구성하는관련가상호스트에만적용됩니다. 148 관리안내서

149 server.conf 파일의가상호스트설정 데이터블록의 JVM 힙크기조정 다음단계를수행하십시오. 1. 텍스트편집기에서 server.conf 파일을엽니다. 2. 가상호스트구성에서다음매개변수를편집합니다. requestblocksize 데이터블록을백엔드서버로전송하기전에한번에읽을요청데이터의블록크기를정의합니다. 블록크기의단위는 KB 입니다. 제한 : 1 KB ~ 약 352,000 KB. 값이 8 KB 보다크거나같은경우 8 KB 의청크가생성됩니다. 값이 1 KB 에서 8 KB 사이인경우에는해당하는크기의청크가생성됩니다. 기본값 : 4 responseblocksize 백엔드서버에서사용자에게데이터블록을전달하기전에한번에읽을응답데이터의블록크기를정의합니다. 블록크기의단위는 KB 입니다. 제한 : 1 KB ~ 약 352,000 KB. 기본값 : 8 3. server.conf 파일을저장합니다. 4. SPS 를다시시작합니다. requestblocksize 및 responseblocksize 매개변수는 CA SiteMinder for Secure Proxy Server Java 프로세스의사용가능한 JVM 힙크기및할당된 JVM 힙크기에비례하여정의됩니다. CA SiteMinder for Secure Proxy Server JVM 힙크기를정의하려면 1. 적절한디렉터리로이동합니다. Windows: sps_home/secure-proxy/proxy-engine/conf UNIX: sps_home/secure-proxy/proxy-engine 2. 다음파일중하나를엽니다. Windows 시스템 : SmSpsProxyEngine.properties 파일 UNIX 시스템 : proxyserver.sh 파일 제 7 장 : SPS 서버설정구성 149

150 server.conf 파일의가상호스트설정 3. 파일의 Java 섹션에다음매개변수를추가합니다. -Xms256m -Xmx512m 4. 파일을저장합니다. 기본가상호스트에대한세션체계매핑 세션체계매핑은세션체계를사용자에이전트유형과연결합니다. server.conf 파일의 <UserAgent> 요소에정의된사용자에이전트유형은 <SessionScheme> 요소에정의된세션체계에매핑되어야합니다. 사용자에이전트와연결된세션체계매핑의형식은다음과같습니다. #<SessionSchemeMappings> # user_agent_name=session_scheme_name #</SessionSchemeMappings> 이섹션의지시문은다음과같습니다. user_agent_name 사용자에이전트를세션체계와연결합니다. 다음과같이값을설정합니다. user_agent_name 파일의 <UserAgent> 섹션에정의된이름을지정합니다. session_scheme_name SessionScheme 요소에정의된체계를지정합니다. 예 : browser, phone1 및 phone2 라는사용자에이전트가정의되어파일에정의된세션체계에매핑되었습니다. 이예의경우 browser 는 default 세션체계에매핑되고, phone1 은 simple_url 체계에매핑되고, phone2 는 minicookie 세션체계에매핑되었습니다. 150 관리안내서

151 server.conf 파일의가상호스트설정 결과 <SessionSchemeMappings> 요소는다음과같이나타납니다. # Session Scheme Maps <SessionSchemeMappings> browser="default" phone1="simple_url" phone2="minicookie" </SessionSchemeMappings> 기본가상호스트에대한웹에이전트설정 server.conf 파일에는 <VirtuallHostDefaults> 에대한 <WebAgent> 섹션이포함되어있습니다. sminitfile 지시문은기본웹에이전트에대한구성파일인 WebAgent.conf 를지정합니다. 로컬구성이허용되는경우 WebAgent.conf 파일은로컬구성파일 LocalConfig.config 를가리킵니다. 가상호스트를여러개생성하는경우웹에이전트구성파일의대체설정을사용하지않으려면기본웹에이전트를사용합니다. 예를들어다른로그수준을지정하기위해지시문을다르게설정하려면새가상호스트에대해다른웹에이전트를사용하십시오. 새가상호스트에대한새웹에이전트를구성하려면 1. serverb 와같은새가상호스트이름으로디렉터리를생성합니다. 2. 기본가상호스트의디렉터리내용을새디렉터리에복사합니다. 새웹에이전트가설치된다른 SiteMinder 를가리키는경우 smreghost 를실행합니다. 참고 : 두가상호스트의웹에이전트구성개체가모두동일한 SiteMinder 설치를가리키는경우에는 smreghost 를실행할필요가없습니다. 두웹에이전트모두에동일한 smhost 파일을사용하면됩니다. 3. 텍스트편집기를사용하여새에이전트구성개체를반영하도록 WebAgent.conf 를수정합니다. 웹에이전트에다른로그파일이있는지확인합니다. 제 7 장 : SPS 서버설정구성 151

152 server.conf 파일의가상호스트설정 4. WebAgent.conf 파일을열고다음의필수지시문을고유값과함께추가합니다. ServerPath="path" path requirecookies 매개변수설정 편집중인 WebAgent.conf 파일의정규화된경로를지정합니다. Windows 의경우이값은고유한영숫자문자열이어야합니다. 이문자열에는백슬래시 ('\') 문자가허용되지않습니다. UNIX 의경우이값은편집중인 WebAgent.conf 파일의정규화된경로여야합니다. 5. 정책서버에서 server.conf 파일의첫번째호스트구성개체에해당하는에이전트구성개체에액세스합니다. MaxResoureceCacheSize 및 MaxSessionCacheSize 의에이전트캐시설정을확인하고캐시제한이모든에이전트구성개체를고려한것인지확인합니다. 참고 : 웹에이전트설정에대한자세한내용은 CA SiteMinder Web Agent Guide(CA SiteMinder 웹에이전트안내서 ) 를참조하십시오. server.conf 파일의 requirecookies 설정은정책서버구성중에기본인증이설정된경우에만유용한특수웹에이전트설정입니다. 이설정을사용할경우에이전트는 SMSESSION 또는 SMCHALLENGE 쿠키가있어야기본인증헤더를포함하여 HTTP 요청을성공적으로처리할수있습니다. 포함된웹에이전트를쿠키가필요하도록구성할경우브라우저가 HTTP 쿠키를허용해야합니다. 브라우저가 HTTP 쿠키를허용하지않으면에이전트에서보호된모든리소스에대한액세스를거부하는오류메시지가표시됩니다. 연결된가상서버의모든사용자에이전트유형이기본세션체계를사용하는경우 requirecookies 설정을 yes 로설정하십시오. 에이전트유형이쿠키를사용하지않는세션체계를사용하는경우에는 requirecookies 매개변수를 no 로설정하십시오. 152 관리안내서

153 server.conf 파일의가상호스트설정 대상서버에의한리디렉션처리 일부대상서버는 CA SiteMinder for Secure Proxy Server 의요청에대해리디렉션으로응답할수있습니다. 참고 : CA SiteMinder for Secure Proxy Server 에대한요청의결과로발생하는리디렉션은프록시규칙에서발생하는리디렉션과같지않습니다. 프록시규칙의리디렉션에대한자세한내용은 nete:redirect 를참조하십시오. 대상서버가시작하는리디렉션의대상은 DMZ 뒤의서버일수있으며이경우리디렉션에지정된 URL 로인해오류가발생합니다. 그러나대상서버에서의리디렉션대신가상호스트서버이름및포트번호로대체하는매개변수를가상호스트구성에포함할수있습니다. 리디렉션작성대신가상호스트서버및포트로대체하려면다음을구성하십시오. enableredirectrewrite 리디렉션다시쓰기를사용하거나사용하지않도록설정합니다. 이지시문의값이 yes 로설정되어있으면대상서버가시작하는리디렉션의 URL 이 SPS 에의해검사됩니다. 리디렉션 URL 에관련 redirectrewritablehostnames 매개변수에지정된문자열목록의문자열이포함되어있는경우, 리디렉션의서버이름및포트번호가가상호스트의서버이름및포트번호로대체됩니다. 이매개변수의값이 no 로설정되어있으면대상서버가시작하는모든리디렉션이요청하는사용자에게다시전달됩니다. redirectrewritablehostnames 대상서버에의해리디렉션이시작될때 CA SiteMinder for Secure Proxy Server 가검색하는문자열의쉼표로구분된목록을포함합니다. 지정된문자열이리디렉션 URL 의서버또는포트부분에있는경우 CA SiteMinder for Secure Proxy Server 는리디렉션 URL 의서버이름및포트부분을가상호스트의이름및포트번호로대체합니다. 이매개변수의값을 "ALL" 로지정하면 CA SiteMinder for Secure Proxy Server 는대상서버가시작하는모든리디렉션을가상호스트의서버이름및포트번호로대체합니다. 제 7 장 : SPS 서버설정구성 153

154 server.conf 파일의가상호스트설정 예를들어 server.conf 파일의가상호스트구성에다음매개변수가포함되어있다고가정하십시오. <VirtualHost name="sales"> hostnames="sales, sales.company.com" enableredirectrewrite="yes" redirectrewritablehostnames="server1.company.com,domain1.com" </VirtualHost> 사용자가 에서요청하면 CA SiteMinder for Secure Proxy Server 는해당요청을프록시규칙에따라대상서버에전달합니다. 대상서버가 server1.internal.company.com 에대한리디렉션으로응답하는경우에는리디렉션이사용자에게 sales.company.com:80 으로전달되기전에다시써집니다. 참고 : 리디렉션된요청을처리하도록 CA SiteMinder for Secure Proxy Server 에대한프록시규칙을구성해야합니다. 가상호스트이름구성 CA SiteMinder for Secure Proxy Server 가하나이상의호스트이름에대해가상호스트역할을하도록하려면관련호스트이름및 IP 주소에대한 <VirtualHost> 요소를구성하십시오. 각 server.conf 파일에는기본가상호스트에대한 <VirtualHost> 요소하나와다른 IP 주소에있는호스트이름에대한추가요소가포함되어야합니다. 다음은 server.conf 파일의기본가상호스트에대한 <VirtualHost> 요소의예입니다. # Default Virtual Host <VirtualHost name="default"> hostnames="home, home.company.com" addresses=" " </VirtualHost> 위의예에서기본가상호스트는 IP 주소 에있는 home.company.com 이라는호스트입니다. 호스트이름을쉼표로구분된값목록으로추가하여기본가상호스트로확인되는호스트이름을추가할수있습니다. 프록시구성에다른가상호스트를추가하려면추가가상호스트에대한호스트이름지시문을포함하는다른 <VirtualHost> 요소를추가하십시오. 154 관리안내서

155 server.conf 파일의가상호스트설정 예 : 서버에대한영업가상호스트 (sales.company.com 가상호스트 ) 를추가하려면다음요소를추가하십시오. <VirtualHost name="sales"> hostnames="sales, sales.company.com" </VirtualHost> 가상호스트의기본값재정의 특정가상호스트에대해명시적으로설정을입력하지않은한 server.conf 파일에정의된모든가상호스트에는 <VirtualHostDefaults> 설정이사용됩니다. 따라서단일가상호스트에대해모든가상설정을다시구성할필요가없습니다. <VirtualHost> 요소에서다시정의되지않은모든설정은 <VirtualHostDefaults> 설정에서적용됩니다. 가상호스트기본값을재정의하려면 1. 수정하려는 <VirtualHost> 요소에기본가상호스트구성의지시문을추가합니다. 2. <VirtualHost> 요소에서지시문값을새로지정합니다. 3. 파일을저장합니다. 4. SPS 를다시시작합니다. 예 "sales" 라는가상호스트에기본가상호스트에대해구성된기본세션체계가필요한경우 <VirtualHost> 요소를다음과같이수정할수있습니다. <VirtualHost name="sales"> hostnames="sales, sales.company.com" addresses=" " defaultsessionscheme="minicookie" </VirtualHost> 제 7 장 : SPS 서버설정구성 155

156

157 제 8 장 : SPS 로그설정구성 SPS logger.properties 파일개요 CA SiteMinder for Secure Proxy Server 로그설정은 logger.properties 파일을통해구성됩니다. 이파일의설정은 CA SiteMinder for Secure Proxy Server 가런타임에읽는이름 / 값쌍이나지시문의그룹입니다. SPS 를다시시작하지않고도 logger.properties 파일을업데이트할수있습니다. logger.properties 파일의기본위치는다음과같습니다. sps_home/tomcat/properties logger.properties 파일수정 CA SiteMinder for Secure Proxy Server 에대한로그설정은다음디렉터리에있는 logger.properties 파일에서유지관리됩니다. sps_home/tomcat/properties 다음단계를수행하십시오. 1. 텍스트편집기에서파일을엽니다. 2. 지시문을필요한대로편집합니다. 3. 파일을저장합니다. 로그설정이변경되었습니다. 제 8 장 : SPS 로그설정구성 157

158 로깅설정 로깅설정 logger.properties 파일의내용은다음과같은섹션으로나뉘어있습니다. SvrConsoleAppender 설정 SvrFileAppender 설정 서버로그설정 서버로그롤링설정 이파일에포함된지시문은 name=value 형식을따릅니다. # 기호로시작하는행은주석이므로 CA SiteMinder for Secure Proxy Server 가구성설정을로드할때이행은읽지않습니다. 참고 : Windows 시스템의경로이름에는이중백슬래시 (\\) 가사용됩니다. SvrConsoleAppender 설정 SvrConsoleAppender 설정섹션에는콘솔에이벤트를로깅하기위한설정이포함되어있습니다. 이섹션의형식은다음과같습니다. # SvrConsoleAppender is set to be a ConsoleAppender. log4j.appender.svrconsoleappender=org.apache.log4j.consoleappender log4j.appender.svrconsoleappender.layout=org.apache.log4j.patternlayout log4j.appender.svrconsoleappender.layout.conversionpattern=<log_message_display_f ormat_on_console> log_message_display_format_on_console 콘솔에표시할로그메시지의형식을지정합니다. 이제품은모든 log4j 날짜패턴문자열을지원합니다. 기본값 : [%d{dd/mmm/yyyy:hh:mm:ss-sss}] [%p] - %m%n 158 관리안내서

159 로깅설정 SvrFileAppender 설정 SvrFileAppender 설정섹션에는파일에이벤트를로깅하기위한설정이포함되어있습니다. 이섹션의형식은다음과같습니다. # SvrFileAppender is set to be a FileAppender. log4j.appender.svrfileappender=org.apache.log4j.fileappender log4j.appender.svrfileappender.layout=org.apache.log4j.patternlayout log4j.appender.svrfileappender.layout.conversionpattern=<log_message_display_form at_in_file> log_message_display_format_in_file 파일에표시할로그메시지의형식을지정합니다. 이제품은모든 log4j 날짜패턴문자열을지원합니다. 기본값 : [%d{dd/mmm/yyyy:hh:mm:ss-sss}] [%p] - %m%n 제 8 장 : SPS 로그설정구성 159

160 로깅설정 로그설정 서버로그설정섹션에서는로깅을사용하거나사용하지않도록설정하고, 로깅수준을설정하고, 로그메시지의출력형식을설정할수있습니다. 이섹션의형식은다음과같습니다. # Server.conf settings: # details of setting "log4j.rootcategory": # For First attribute: # Depending on the logging level needed, set the appropriate level # Possible values : OFF, FATAL, ERROR, WARN, INFO, DEBUG, ALL # For Second attribute: # if you want to enable log console, then add SvrConsoleAppender, else don't add this. # For Third attribute: # if you want to enable logging into file, theb add SvrFileAppender, else don't add this. log4j.rootcategory=<log_level>,<output_format> log_level 메시지의로그수준을지정합니다. 다음목록에는가능한값이우선순위기준오름차순으로나와있습니다. OFF FATAL ERROR WARN INFO DEBUG ALL 값이 OFF 로설정되어있으면로깅이사용되지않습니다. 값이 OFF 가아닌다른값으로설정되어있으면로깅이사용됩니다. 기본값 : INFO output_format 로그메시지가표시되는방식을지정합니다. 로그메시지를콘솔에표시하거나, 파일에저장하거나, 둘모두를수행할수있습니다. 기본값 : SvrFileAppender 예를들어로그수준이 INFO 인경우로그메시지를콘솔에표시하고파일에저장하려면다음명령을사용하십시오. log4j.rootcategory=info,svrconsoleappender,svrfileappender 160 관리안내서

161 로깅설정 로그롤링설정 서버로그롤링설정섹션에서는로그롤링을사용하도록설정할수있습니다. 다음메커니즘중하나를기반으로로그롤링을사용하도록설정할수있습니다. 파일크기를기반으로한로그롤링 파일사용기간을기반으로한로그롤링 이섹션의형식은다음과같습니다. # Enable the below setting only if file logging is enabled above. if not make it as an comment by adding "#" at the begging of the line. log4j.appender.svrfileappender.file=<logfile_path> # Enable this only if file logging is enabled above. # set vale to "true" if messages are to be appended to the existing file. else set to "false" log4j.appender.svrfileappender.append=true false #Configurations to rollover server log file based on file size log4j.appender.svrfileappender=org.apache.log4j.rollingfileappender log4j.appender.svrfileappender.maxfilesize=<maximum_logfile_size> log4j.appender.svrfileappender.maxbackupindex=<maximum_number_of_logfile> 파일크기를기반으로한로그롤링섹션에는파일크기를기반으로로그롤링을사용하도록설정하기위한다음설정이포함되어있습니다. logfile_path 로그파일의이름과경로를지정합니다. 기본이름 : server.log 기본경로 : install_dir_home/secure-proxy/proxy-engine/logs/ true false 시스템이로그파일을관리하는방식을지정합니다. 이값이 true 로설정되어있으면시스템은시작시새로그메시지를기존로그파일에추가합니다. 이값이 false 로설정되어있으면시스템은시작시기존로그파일을롤오버하고새로그메시지를위한로그파일을생성합니다. 기본값 : true 제 8 장 : SPS 로그설정구성 161

162 로깅설정 MaxFileSize 로그파일의최대크기를지정합니다. 이크기를넘으면시스템이새로그파일을만들어야합니다. 기본값 : 1 MB MaxBackupIndex 시스템이생성하는최대로그파일수를지정합니다. 로그파일의수가지정된최대수를초과하면시스템은가장오래된로그파일을삭제하고새로그파일을만듭니다. 기본값 : 10 파일사용기간을기반으로한로그롤링섹션에는파일사용기간을기반으로로그롤링을사용하도록설정하기위한다음설정이포함되어있습니다. date_pattern 시스템이새로그파일을생성해야하는날짜를지정합니다. 기본값 : yyyy-mm-dd 다음형식으로새로그파일이생성되었습니다. <logfile_name>.<date_format> logfile_name 로그파일의이름을지정합니다. 기본값 : server.log date_format 로그파일이생성된날짜를지정합니다. 이파일은모든 log4j 날짜패턴문자열을지원합니다. 기본값 : yyyy-mm-dd 162 관리안내서

163 로깅을위해 WebAgent.conf 의 ServerPath 수정 로깅을위해 WebAgent.conf 의 ServerPath 수정 가상호스트에대한웹에이전트를구성하는경우각호스트마다고유한웹에이전트캐시, 로그파일및건전성모니터링리소스가있어야합니다. 리소스가고유하도록하려면 ServerPath 매개변수를구성하십시오. ServerPath 매개변수는캐시, 로깅및건전성모니터링의웹에이전트리소스에대한고유식별자를지정합니다. 각서버인스턴스가이러한에이전트리소스의고유집합을갖도록하려면 ServerPath 매개변수의값이고유해야합니다. 예를들어 ServerPath 매개변수를웹서버로그파일이저장된디렉터리 ( 예 : server_instance_root/logs) 로설정할수있습니다. 사용환경에가상호스트가있는경우각 WebAgent.conf 파일에 ServerPath 매개변수가있는지확인하십시오. 각 WebAgent.conf 파일에 ServerPath 매개변수가있는지확인하려면 1. sps_home\secure-proxy\proxy-engine\conf\defaultagent 디렉터리에있는 WebAgent.conf 파일로이동합니다. 2. 파일을엽니다. 3. ServerPath 설정이고유문자열또는경로로구성되어있는지확인합니다. Windows 의경우고유문자열을지정할수있습니다. UNIX 의경우에는고유시스템경로를지정하십시오. 4. WebAgent.conf 파일을저장합니다. 제 8 장 : SPS 로그설정구성 163

164

165 제 9 장 : 프록시규칙구성 이섹션은다음항목을포함하고있습니다. 프록시규칙개요 ( 페이지 165) 프록시규칙구성파일설정 ( 페이지 169) 프록시규칙 DTD ( 페이지 170) nete:xprcond 요소의작동방식 ( 페이지 183) 정규식구문 ( 페이지 184) 전달, 리디렉션및결과필터의헤더값 ( 페이지 188) 응답처리 ( 페이지 190) 프록시규칙수정 ( 페이지 190) 샘플프록시규칙구성파일 ( 페이지 191) 프록시규칙개요 CA SiteMinder for Secure Proxy Server 의기본용도는요청을엔터프라이즈의적절한대상서버로라우팅하는것입니다. CA SiteMinder for Secure Proxy Server 는서버의기본제공프록시엔진을사용하여요청을라우팅합니다. 프록시엔진은프록시규칙을해석하고, 백엔드리소스에대한모든사용자요청의배치를처리하기위한전달서비스와리디렉션서비스를제공합니다. 프록시규칙은 CA SiteMinder for Secure Proxy Server 가엔터프라이즈내대상서버에있는리소스에대한요청을전달하거나리디렉션하는방식을세부적으로정의합니다. SPS 와함께설치된프록시규칙 DTD 에따라일련의프록시규칙이 XML 구성파일에정의되어있습니다. 참고 : proxyrules.xml 파일에는요청을 으로전달하는기본규칙이포함되어있습니다. 여기서 $0 은원래요청의전체 URI 가대상 ( 이경우 에추가됨을나타냅니다. 사용환경에맞게이규칙을수정해야합니다. 추가정보 : 프록시규칙 DTD ( 페이지 170) 제 9 장 : 프록시규칙구성 165

166 프록시규칙개요 들어오는요청에대한라우팅계획 proxyrules.xml 파일을설정하기전에들어오는요청에대한라우팅을자세히계획해야합니다. 요청된리소스가포함된가상호스트에따라프록시규칙은기본대상을사용하거나, 사용자에이전트유형을기준으로요청을전달하거나, HTTP 헤더값을사용하여요청을이행할대상서버를결정할수있습니다. CA SiteMinder for Secure Proxy Server 는여러가상호스트에대한액세스를제공할수있습니다. 다음그림에서는프록시규칙을사용하여요청을적절한대상서버로라우팅하는방법을보여줍니다. 참고 : 프록시규칙구성파일은 CA SiteMinder for Secure Proxy Server 에의해하향식으로처리됩니다. 즉, 들어오는요청이충족하는첫번째조건에따라프록시엔진의동작이결정됩니다. 예를들어프록시규칙집합에요청의 URI 에포함된문자열을기준으로하는조건이두개있고들어오는요청의 URI 중일부가두문자열모두와일치하는경우해당요청을라우팅하는데는프록시규칙파일에나열된첫번째조건이사용됩니다. 166 관리안내서

167 프록시규칙개요 프록시규칙을사용하여요청을대상서버로전달하기위한더복잡한조건을제어할수도있습니다. 다음그림에서는부모조건내에중첩된두번째수준의조건과함께프록시규칙을사용하는방법을보여줍니다. 제 9 장 : 프록시규칙구성 167

168 프록시규칙개요 프록시규칙용어 프록시규칙구성파일에서는 CA SiteMinder for Secure Proxy Server 가사용자요청을라우팅할때사용하는 XML 요소를설명합니다. 프록시규칙을설명하는데사용되는용어는다음과같습니다. 대상 조건 대상은요청을이행하는 URL 입니다. CA SiteMinder for Secure Proxy Server 는요청을대상에전달하거나대상을지정하는사용자에게리디렉션응답을전송합니다. 프록시규칙집합에는프록시규칙에정의된조건및사례에따라연결할수있는대상이포함되어야합니다. 조건은 CA SiteMinder for Secure Proxy Server 가요청의대상을확인할수있게해주는요청특성입니다. 각조건에는 CA SiteMinder for Secure Proxy Server 가요청을적절한대상으로리디렉션하기위해평가하는여러사례가있을수있습니다. 각조건에는요청이조건에정의된사례와일치하지않을경우의동작을정의하는기본요소가포함되어야합니다. 조건에는다음중하나또는그이상이포함될수있습니다. URI CA SiteMinder for Secure Proxy Server 는요청된 URL 중호스트이름다음에나오는부분을사용하여요청을라우팅할방법을결정합니다. DTD 에설명된조건을사용하면요청된리소스의파일확장명과같은 URI 의일부분을사용하여요청을라우팅할수있습니다. 쿼리문자열 CA SiteMinder for Secure Proxy Server 는 URI 의쿼리문자열부분을사용하여요청을라우팅할방법을결정합니다. 쿼리문자열에는요청에서 '?' 뒤에나오는모든문자가포함됩니다. 호스트 CA SiteMinder for Secure Proxy Server 는요청된서버호스트이름을사용하여요청을라우팅할방법을결정합니다. 호스트이름의포트번호를요청을라우팅하기위한조건으로사용할수도있습니다. 이조건은프록시에가상서버가여러개있는경우에사용됩니다. 168 관리안내서

169 프록시규칙구성파일설정 사례 헤더 쿠키 CA SiteMinder for Secure Proxy Server 는 HTTP 헤더의값을사용하여요청을라우팅할방법을결정합니다. 리소스에액세스하는데사용되는장치유형을기준으로요청을라우팅하기위해 USER_AGENT HTTP 헤더에따라요청을라우팅할수있습니다. 참고 : SiteMinder 응답에서파생된 HTTP 헤더를사용하여요청을라우팅할방법을결정할수도있습니다. CA SiteMinder for Secure Proxy Server 는쿠키가있는지여부와쿠키값을사용하여요청을라우팅할방법을결정합니다. 쿠키값이인코딩된경우인코딩매개변수에서인코딩체계를지정하십시오. CA SiteMinder for Secure Proxy Server 는 base64 인코딩체계만지원합니다. 사례는 CA SiteMinder for Secure Proxy Server 가요청의최종대상을결정하는데필요한정보를제공하는조건에대한일련의특정값입니다. 예를들어일련의프록시규칙이호스트조건을사용하는경우사례에는 home.company.com 및 banking.company.com 과같이시스템에대해구성된가상호스트가포함됩니다. 프록시규칙구성파일설정 프록시규칙구성파일은 server.conf 파일에서 <ServiceDispatcher> 요소의 rules_file 지시문으로식별되는 XML 구성입니다. rules_file 지시문은설치디렉터리에서프록시규칙구성파일까지의상대경로를나타냅니다. 설치시기본프록시규칙구성파일의상대경로가자동으로생성되어기본가상호스트에대한 rules_file 지시문에삽입됩니다. 생성되는경로와프록시규칙파일이름은다음과같습니다. sps_home/secure-proxy/proxy-engine/conf/proxyrules.xml 제 9 장 : 프록시규칙구성 169

170 프록시규칙 DTD proxyrules.xml 파일의모든항목은올바르게구성되고 XML 사양에따른구문규칙을충족해야합니다. 프록시규칙구성파일을변경할경우서버를다시시작하지않아도변경내용이적용됩니다. 파일이변경되면 CA SiteMinder for Secure Proxy Server 는이를감지하고새프록시규칙파일을로드합니다. 참고 : SPS 는요청을충족시키는백엔드서버의 MBCS( 멀티바이트문자집합 ) URL 로전달된요청을수신할수있습니다. 프록시규칙을구문분석하는동안규칙에서오류를발견하면 CA SiteMinder for Secure Proxy Server 는서버로그에오류를기록하며변경내용을무시하고기존프록시규칙을사용합니다. 서버로그파일위치는 logger.properties 파일에지정되어있습니다. 추가정보 : server.conf 파일의서비스디스패처설정 ( 페이지 120) 프록시규칙 DTD proxyrules.xml 파일은프록시규칙 DTD 를사용하여생성해야합니다. 프록시규칙 DTD 를보려면다음디렉터리로이동하십시오. sps_home\secure-proxy\proxy-engine\conf\dtd DTD 에서구성할수있는요소는다음과같습니다. nete:proxyrules nete:description nete:case nete:cond nete:default nete:forward nete:redirect nete:local nete:xprcond 170 관리안내서

171 프록시규칙 DTD nete:proxyrules nete:proxyrules 요소에대한전체정의는다음과같습니다. <!ELEMENT nete:proxyrules (nete:description?,(nete:cond nete:forward nete:redirect nete:local)) > 이요소는프록시규칙 XML 구성파일의루트요소입니다. 이요소에는선택적 nete:description 요소와다음요소중하나가포함되어있습니다. nete:cond nete:xprcond nete:forward nete:redirect nete:local nete:proxyrules 요소는프록시규칙구성파일에반드시있어야합니다. debug 특성 nete:proxyrules 요소에는다음특성이있습니다. <ATTLIST nete:proxyrules debug (yes no) "no" 이특성은프록시규칙을디버깅하는데도움이되는로깅을사용하거나사용하지않도록설정합니다. 이특성의기본값은 no 입니다. 로깅을사용하도록설정하려면이특성을 yes 로설정하십시오. 예를들면다음과같습니다. <nete:proxyrules xmlns:nete=" debug="yes"> 로깅이사용되도록설정되면 CA SiteMinder for Secure Proxy Server 에대한추적로깅정보가추적로그에포함됩니다. 로그파일의위치는 CA SiteMinder for Secure Proxy Server 설치프로세스중에지정한에이전트구성개체의 TraceFileName 매개변수에따라결정됩니다. 동일한에이전트구성개체의 TraceConfigFile 매개변수는보안프록시관련추적로깅구성파일을가리켜야합니다. 제 9 장 : 프록시규칙구성 171

172 프록시규칙 DTD 이파일은기본적으로다음위치에있습니다. <install-dir>\proxy-engine\conf\defaultagent\secureproxytrace.conf 참고 : 이변경내용은 CA SiteMinder for Secure Proxy Server 를다시시작할필요없이바로적용됩니다. nete:description nete:description 요소에대한전체정의는다음과같습니다. <!ELEMENT nete:description (#PCDATA)> 이요소는다른요소에대한 PCDATA( 구문분석된문자데이터 ) 설명을포함하는선택적요소입니다. 참고 : PCDATA 는태그텍스트가아닌텍스트입니다. nete:description 요소는 nete:proxyrules 요소의자식요소로, 선택항목에대한설명을포함할수있습니다. nete:case nete:case 요소는 nete:cond 부모요소에정의된특정조건값과연결되는대상을제공합니다. SPS 는 nete:case 요소의값을사용하여사례를평가합니다. nete:case 요소는다음과같이정의됩니다. <!ELEMENT nete:case (nete:cond nete:xprcond nete:forward nete:redirect nete:local)> 모든 nete:case 요소에다음자식요소중하나가포함되어야합니다. nete:cond nete:case 요소는추가 nete:cond 요소를포함할수있습니다. 그러면프록시규칙집합에여러조건을중첩시킬수있습니다. nete:xprcond nete:case 요소는 URI 의정규식일치를위한추가 nete:xprcond 요소를포함할수있습니다. 그러면다른조건집합에정규식조건을중첩시킬수있습니다. 172 관리안내서

173 프록시규칙 DTD nete:forward nete:case 비교를수행하는요청이전달될대상을제공합니다. nete:redirect nete:case 비교를수행하는요청이리디렉션될대상을제공합니다. 리디렉션된요청은 SPS 를통하지않고대상서버에의해직접이행됩니다. 다음예에서 nete:cond 요소는 URI 일치를지정하며, nete:case 요소는비교유형특성의가능한사용사례를보여줍니다. <nete:cond type="uri" criteria="beginswith"> <nete:case value="/hr"> <nete:forward> </nete:case> <nete:case value="/employee"> <nete:forward> </nete:case> </nete:cond> </nete:forward> 참고 : <nete:forward>url</nete:forward> 요소는같은줄에있어야합니다. 이예에서는닫는태그 </nete:forward> 가공간제약으로인해별도의줄에표시되기도하지만, 실제프록시규칙파일에줄바꿈이있으면오류가발생합니다. SPS 는닫는태그 </nete:forward> 앞의줄바꿈을 nete:forward 요소에포함된 URL 의일부문자로해석합니다. 제 9 장 : 프록시규칙구성 173

174 프록시규칙 DTD 전달및리디렉션구문 요청을전달하거나리디렉션할때 SPS 는사용자가지정한 URI(Universal Resource Indicator) 의일부또는모두를유지관리하기위한시스템을사용합니다. 이 URI 는대상서버에있는리소스를가리키며, 요청을이행하려면 SPS 가이 URI 를해석해야합니다. 전달또는리디렉션대상에서지정된 URL 에는다음중하나가추가될수있습니다. $0 $1 사용자요청의전체 URI 문자열을프록시규칙에지정된대상에추가합니다. 예를들어프록시규칙이 에대한모든사용자요청을 proxy.company.com$0 으로전달하는경우사용자가 proxy.company.com/employees/hr/index.html 을요청하면해당요청은 로전달됩니다. nete:case 요소에서만사용될수있습니다. 이때부모 nete:cond 요소는 " 다음으로시작 " 비교를사용하여 URI 하위문자열일치를지정합니다. $1 은일치하는텍스트의오른쪽에있는모든문자열이전달또는리디렉션되는요청에추가됨을나타냅니다. 예를들어프록시규칙구성파일에다음과같은 nete:cond 요소가있다고가정하십시오. <nete:cond type="uri" criteria="beginswith"> 또한이조건은 의호스트이름과다음과같은 nete:case 요소에대해 URI 를평가하는조건의자식조건이라고가정하십시오. <nete:case value="/hr"> <nete:forward> </nete:case> 이때사용자가다음을요청합니다. 그러면이요청은다음으로전달됩니다. 참고 : 이예에서는 $1 매개변수를지정하므로요청이 hr.company.com 으로전달될때 URI 의 /hr 부분은생략됩니다. 174 관리안내서

175 프록시규칙 DTD nete:cond nete:cond 요소는다음과같이정의됩니다. <!ELEMENT nete:cond (nete:case+,nete:default)> 또한 nete:cond 요소에는다음과같은특성이있습니다. <!ATTLIST nete:cond type (header host uri query cookie) #REQUIRED criteria (equals beginswith endswith contains exists) "equals" headername CDATA #IMPLIED> nete:cond 요소는 CA SiteMinder for Secure Proxy Server 가들어오는요청을처리할방법을결정하기위해평가되는조건을지정합니다. 이요소에는 SPS 가평가할특성이포함되어야합니다. 가능한특성으로는 ATTLIST 요소에정의된대로다음이포함됩니다. header host HTTP 헤더를지정합니다. HTTP 헤더는 SiteMinder 가사용자디렉터리에서검색할수있는이름 - 값쌍입니다. type 으로 header 를선택할경우에는헤더이름도지정해야합니다. 다음은 type 으로 header 를사용하는 nete:cond 요소의예입니다. <nete:cond type="header" headername="user_agent"> 이요소는요청의대상을결정하는데헤더가사용되며 CA SiteMinder for Secure Proxy Server 에의해평가되는헤더가 USER_AGENT 임을나타냅니다. 요청의실제대상은다음단원에서설명하는대로 nete:cond 요소의자식인 nete:case 요소에의해결정됩니다. 비교유형으로헤더를사용하는조건에는추가인수 headername="value" 가필요합니다. 여기서 value 는 HTTP 또는 SiteMinder 헤더의이름입니다. 참고 : SiteMinder 응답을통해생성된 HTTP 헤더는 nete:cond 요소에지정될수있습니다. 배포환경에서 CA SiteMinder for Secure Proxy Server 가여러가상호스트에대해프록시하는호스트이름을지정합니다. 포트번호는호스트의일부로간주되므로호스트조건과함께뒷부분에설명된 endswith 조건을사용하면포트번호를기준으로요청을라우팅할수있습니다. 제 9 장 : 프록시규칙구성 175

176 프록시규칙 DTD 쿼리 URI 중 '?' 문자다음에나오는쿼리문자열부분을지정합니다. 이는다음과같이 URI 를사용하는 nete:cond 와유사합니다. URI cookie 요청된 URL 중서버이름뒤에나오는부분인 URI(Universal Resource Indicator) 를지정합니다. URI 조건과함께 endswith 조건을사용하면파일확장명을기준으로요청을라우팅할수있습니다. 요청을라우팅할방법을결정하려면 cookie 특성을지정합니다. 쿠키값이인코딩된경우인코딩매개변수에서인코딩체계를지정하십시오. CA SiteMinder for Secure Proxy Server 는 base64 인코딩체계만지원하고쿠키생성은지원하지않습니다. 다음은인코딩된쿠키의가능한사례입니다. 쿠키가 base64 를사용하여인코딩된경우 value 특성에서쿠키값을지정하고 nete:case 요소에서인코딩매개변수로 base64 를지정하십시오. CA SiteMinder for Secure Proxy Server 는 base64 인코딩알고리즘을사용하여 httprequest 에서수신된쿠키값을디코딩하고디코딩된값의결과를 value 특성에지정된값과비교합니다. 쿠키가인코딩되지않은경우 value 특성에쿠키값을일반텍스트로입력하고 nete:case 요소에서인코딩매개변수를빈값으로지정하십시오. CA SiteMinder for Secure Proxy Server 는지정된일반텍스트를쿠키값으로허용하고 nete:cond 를확인합니다. 쿠키가다른인코딩체계를사용하여인코딩된경우 value 특성에인코딩된쿠키값을입력하고 nete:case 요소에서인코딩매개변수를빈값으로지정하십시오. CA SiteMinder for Secure Proxy Server 는지정된인코딩된쿠키값을일반텍스트로허용하고일반텍스트쿠키값을사용하여 nete:cond 를확인합니다. 176 관리안내서

177 프록시규칙 DTD 위에설명된 type 특성중하나가 nete:cond 요소에포함되어야합니다. 또한 nete:cond 요소는프록시엔진이들어오는요청에대해조건값을대상으로실행할비교를정의하는조건을지정해야합니다. 가능한조건은다음과같습니다. equals nete:cond 부모요소의 type 특성값이 nete:case 요소의 value 특성내용과같아야요청이처리됨을나타냅니다. beginswith nete:cond 부모요소의 type 특성값이 nete:case 요소의 value 특성내용으로시작해야요청이처리됨을나타냅니다. endswith nete:cond 부모요소의 type 특성값이 nete:case 요소의 value 특성내용으로끝나야요청이처리됨을나타냅니다. contains exists nete:cond 부모요소의 type 특성값이 nete:case 요소의 value 특성내용을포함해야요청이처리됨을나타냅니다. nete:cond 부모요소가있고 nete:case 요소의 value 특성이 true 여야요청이처리됨을나타냅니다. exists 조건은 header 및 cookie 특성과함께만사용할수있습니다. 참고 : 조건을지정하지않으면 CA SiteMinder for Secure Proxy Server 는기본조건인 equals 가지정된것으로간주합니다. 각 nete:cond 요소에는 nete:case 자식요소가하나이상있어야합니다. nete:case 자식요소는 CA SiteMinder for Secure Proxy Server 가적절한대상으로요청을라우팅하는데사용하는고유한값을제공합니다. 제 9 장 : 프록시규칙구성 177

178 프록시규칙 DTD nete:default nete:default 요소는다음과같이정의됩니다. <!ELEMENT nete:default (nete:cond nete:xprcond nete:forward nete:redirect nete:local)> 이요소는필수요소이며각 nete:cond 요소의자식요소여야합니다. 요청이 nete:cond 요소에포함된 nete:case 요소의요구사항을충족하지않는경우 nete:default 요소가해당요청의처리방법을결정합니다. nete:default 요소와연결될수있는자식요소는 nete:case 요소에사용할수있는요소와동일합니다. nete:cond 요소를 nete:default 의자식요소로생성하는경우 SPS 가가능한모든클라이언트요청을처리할수있도록기본사례를주의깊게고려해야합니다. 다음예에서 nete:default 요소는다른모든프록시규칙의조건을충족하지않는요청을모두일반정보가포함된홈페이지로전달합니다. <nete:default> <nete:forward> </nete:forward> </nete:default> <nete:forward>url</nete:forward> 요소는여는태그와닫는태그를포함하여모두같은줄에있어야합니다. 이예에서는닫는태그 </nete:forward> 가공간제약으로인해별도의줄에표시되기도하지만, 실제프록시규칙파일에줄바꿈이있으면오류가발생합니다. CA SiteMinder for Secure Proxy Server 는닫는태그 </nete:forward> 앞의줄바꿈을 nete:forward 요소에포함된 URL 의일부문자로해석합니다. nete:forward nete:forward 요소는다음과같이정의됩니다. <!ELEMENT nete:forward (#PCDATA)> nete:forward 요소는요청을지정된 URL 에전달합니다. 참고 : <nete:forward> 및 </nete:forward> 태그는프록시규칙파일에서한줄에있어야합니다. 두태그가같은줄에있지않으면 CA SiteMinder for Secure Proxy Server 는줄바꿈을요소에포함된 URL 의일부로해석합니다. 이때문에전달서비스가실패하게됩니다. 178 관리안내서

179 프록시규칙 DTD 다음예에서 nete:forward 요소는사용자가요청한 URI 를유지하면서요청을전달합니다. <nete:forward> 사용자의요청이 nete:case 부모요소의조건을충족하는경우해당요청은 home.company.com 으로전달됩니다. 따라서이전 nete:forward 요소가전달한 에대한요청은요청을 로전달하는방법으로이행됩니다. SSL 을통해요청을전달하려면 <nete:forward> 요소에포함된대상을정의할때 http 대신 https 를사용해야합니다. nete:forward 요소에는다음특성이포함되어있습니다. <!ATTLIST nete:forward filter CDATA #IMPLIED> 이특성을사용하여 CA SiteMinder for Secure Proxy Server 에서대상서버로전달하는동안호출할수있는 Java 필터클래스의이름을지정할수있습니다. 필터는필터 API 를사용하여작성할수있습니다. 추가정보 : 전달및리디렉션구문 ( 페이지 174) 필터 API 개요 ( 페이지 305) 필터특성 nete:forward 요소에는다음특성이포함되어있습니다. <!ATTLIST nete:forward filter CDATA #IMPLIED> 이특성을사용하여 CA SiteMinder for Secure Proxy Server 에서대상서버로전달하는동안호출할수있는 Java 필터클래스의이름을지정할수있습니다. 필터는필터 API 에따라작성할수있습니다. 제 9 장 : 프록시규칙구성 179

180 프록시규칙 DTD nete:redirect nete:redirect 요소는다음과같이정의됩니다. <!ELEMENT nete:redirect (#PCDATA)> nete:redirect 요소는사용자에게반환되며사용자요청을적절한대상서버로리디렉션하는응답을지정합니다. PCDATA 는표준전달및리디렉션구문을따릅니다. 리디렉션후에는 CA SiteMinder for Secure Proxy Server 가요청의완료를처리하지않습니다. 대신리디렉션대상인서버가요청을처리합니다. <nete:redirect> 및 </nete:redirect> 태그는프록시규칙파일에서한줄에있어야합니다. 두태그가같은줄에있지않으면 CA SiteMinder for Secure Proxy Server 는줄바꿈을요소에포함된 URL 의일부로해석합니다. 이때문에리디렉션서비스가실패하게됩니다. 다음예에서 nete:redirect 요소는사용자가요청한 URI 를유지하면서요청을리디렉션합니다. nete:forward 요소와달리요청이리디렉션된후에는트랜잭션에서 CA SiteMinder for Secure Proxy Server 가제외되고대상서버가사용자에게직접리소스를제공합니다. <nete:redirect> 에대한사용자의요청이부모 nete:case 요소의조건을충족하고위의예에의해리디렉션되면사용자가리디렉션되고사용자의브라우저에는다음과같이요청을이행하는대상서버의 URL 이표시됩니다. 참고 : SSL 을통해요청을리디렉션하려면 <nete:redirect> 요소에포함된대상을정의할때 http 대신 https 를사용해야합니다. 추가정보 : 전달및리디렉션구문 ( 페이지 174) nete:local nete:local 요소는향후기능을지원하기위해포함된것으로, 프록시규칙구성파일에이요소를포함하면안됩니다. 180 관리안내서

181 프록시규칙 DTD nete:xprcond nete:xpr 및 nete:xpr-default 프록시규칙에서정규식을조건으로적용하려는경우 nete:xprcond 요소를 nete:cond 요소처럼사용할수있습니다. 정규식은프록시규칙에서 URI 문자열및연결된쿼리문자열을평가하는데사용될수있습니다. nete:xprcond 요소는다음과같이정의됩니다. <!ELEMENT nete:xprcond (nete:xpr+, nete:xpr-default)> 이요소에는 nete:xpr 요소하나이상과 nete:xpr-default 요소하나를포함해야합니다. nete:xpr 요소는 nete:cond 요소와유사하며, 정규식과 CA SiteMinder for Secure Proxy Server 가식의일치항목을찾은경우의결과동작을기반으로하는규칙에대한다른요소도포함합니다. nete:xpr-default 요소에는 URI 또는쿼리문자열조합이 nete:xprcond 요소내의 nete:xpr 요소에포함된어떤정규식과도일치하지않을때의기본동작이포함됩니다. nete:xpr 요소는다음과같이정의됩니다. <!ELEMENT nete:xpr (nete:rule, nete:result)> nete:xpr 요소에는정규식을정의하는 nete:rule 요소와, 정규식과일치하는문자열에대한동작을지정하는 nete:result 요소가포함됩니다. nete:xpr-default 요소는다음과같이정의됩니다. <!ELEMENT nete:xpr-default (nete:forward nete:redirect nete:local)> nete:xpr-default 요소는 CA SiteMinder for Secure Proxy Server 가평가하는 URI 또는쿼리문자열이부모 nete:xprcond 요소내의모든 nete:xpr 요소에명시된조건과일치하지않을경우수행해야하는전달또는리디렉션을지정합니다. 제 9 장 : 프록시규칙구성 181

182 프록시규칙 DTD nete:rule 및 nete:result nete:rule 및 nete:result 요소는 nete:xpr 요소에포함되어야합니다. nete:rule 요소는 SPS 가들어오는요청에대해평가하는정규식을지정합니다. nete:result 요소는일치하는요청에대한동작을결정합니다. nete:rule 요소는다음과같이정의됩니다. <!ELEMENT nete:rule (#PCDATA)> 이요소는정규식문자열을포함합니다. 요청이 nete:xpr 조건을충족하는지확인하기위해요청의 URI 및쿼리문자열이이정규식과일치하는지여부가확인됩니다. nete:result 요소는다음과같이정의됩니다. <!ELEMENT nete:result (#PCDATA)> nete:result 요소에는다음과같은특성이있을수있습니다. <!ATTLIST nete:result service (forward redirect) "forward"> 이요소는 SPS 가서비스 ( 전달또는리디렉션서비스 ) 에전달할 URL 을생성하는데사용하는대체문자열 (URL) 로구성된문자열을포함합니다. service 특성은 URL 을수신할적절한서비스를지정하는데사용됩니다. 기본서비스는 server.conf 구성파일에정의된전달서비스입니다. nete:result 요소의대체 URL 은 $# 을선택적으로포함하는 URL 이어야합니다. 여기서 # 은 0, 1, 2 등입니다. $0 은평가되는전체 URI 및쿼리문자열입니다. $n 은요청된 URI 중연결된 nete:rule 요소에설명된정규식의 n 번째괄호집합과일치하는부분입니다. 예를들어프록시규칙집합에는다음과같은내용이포함될수있습니다. <nete:xprcond> <nete:xpr> <nete:rule>^/realma(.*)</nete:rule> <nete:result> </nete:xpr> <nete:xpr-default> <nete:forward> </nete:xpr-default> </nete:xprcond> 182 관리안내서

183 nete:xprcond 요소의작동방식 <nete:result>url</nete:result> 태그는프록시규칙파일에서한줄에있어야합니다. 두태그가같은줄에있지않으면 CA SiteMinder for Secure Proxy Server 는줄바꿈을요소에포함된 URL 의일부로해석합니다. 이때문에결과서비스가실패하게됩니다. 앞의 nete:xprcond 프록시규칙예에서다음리소스가요청된다고가정하십시오. 이요청은다음으로전달됩니다. nete:xprcond 요소의작동방식 nete:xprcond 요소의처리방식은다른모든 nete:cond 요소의처리방식과유사합니다. CA SiteMinder for Secure Proxy Server 가요청을처리할때프록시규칙구성파일에 nete:xprcond 요소가있으면다음작업이수행됩니다. 1. CA SiteMinder for Secure Proxy Server 가 nete:xprcond 요소에서첫번째 nete:xpr 요소를검사합니다. 2. 프록시엔진이요청의 URI 및쿼리문자열을기준으로 nete:rule 요소에설명된정규식을평가합니다. 3. 요청된 URI 와쿼리문자열이 nete:rule 요소에지정된정규식과일치하면 CA SiteMinder for Secure Proxy Server 는일치결과를사용하여결과문자열을확인하며, 요청은 nete:result 요소에서파생된 URL 을사용하여지정된서비스로전달됩니다. 4. 요청된 URI 와쿼리문자열이첫번째 nete:xpr 요소의정규식과일치하지않으면프록시규칙엔진은 2 단계와 3 단계를반복하여다음 nete:xpr 요소를평가합니다. 이프로세스는규칙엔진이일치항목을찾거나 nete:xpr-default 요소에도달할때까지계속됩니다. 5. nete:xpr-default 요소에도달하기전에일치항목이발견되지않으면 nete:xpr-default 요소의내용에따라요청을라우팅할방법이결정됩니다. 제 9 장 : 프록시규칙구성 183

184 정규식구문 정규식구문 이단원에서는 nete:rule 요소에대한정규식을구성하는데사용되는구문에대해설명합니다. nete:xprcond 요소의형식은다음과같습니다. <nete:xprcond> <nete:xpr> <nete:rule>regular_expression</nete:rule> <nete:result>result</nete:result> </nete:xpr> <nete:xpr-default>forward_destination</nete:xpr-default> </nete:xprcond> nete:xpr 요소에서 nete:rule 요소는다음표에설명된구문을사용하는정규식으로구성해야합니다. 이구문은 Apache 가지원하는정규식구문 ( 참조 ) 과일치합니다. 문자 유니코드문자 결과 동일한유니코드문자와일치 \ 메타문자 ( 예 : '*') 를나타내는데사용됨 \\ 단일 '\' 문자와일치 \0nnn \xhh \\uhhhh 지정된 8 진수문자와일치 지정된 8 비트 16 진수문자와일치 지정된 16 비트 16 진수문자와일치 \t ASCII 탭문자와일치 \n ASCII 줄바꿈문자와일치 \r ASCII 리턴문자와일치 \f ASCII form feed 문자와일치 [abc] [a-za-z] [^abc] [:alnum:] [:alpha:] [:blank:] 단순문자클래스범위가있는문자클래스부정문자클래스영숫자영문자공백및탭문자 184 관리안내서

185 정규식구문 문자 [:cntrl:] [:digit:] [:graph:] [:lower:] 결과 제어문자 숫자 인쇄및표시가가능문자 ( 공백은인쇄가능하지만표시되지는않는반면 a 는인쇄가능하고표시됨 ) 소문자영문자 [:print:] 인쇄가능한문자 ( 제어문자가아닌문자 ) [:punct:] [:space:] [:upper:] [:xdigit:] [:javastart:] [:javapart:] 문장부호 ( 문자, 숫자, 제어문자또는공백이아닌문자 ) 공백문자 ( 예 : 공백, 탭및 formfeed) 대문자영문자 16 진수문자 Java 식별자의처음 Java 식별자의일부. 새줄이아닌모든문자와일치 \w " 단어 " 문자 ( 영숫자 + "_") 와일치 \W 단어가아닌문자와일치 \s 공백문자와일치 \S 공백이아닌문자와일치 \d 숫자와일치 \D 숫자가아닌문자와일치 ^ 줄의시작부분에서만일치 $ 줄의끝부분에서만일치 \b 단어경계에서만일치 \B 비단어경계에서만일치 A* A 와 0 번이상일치 ( 확장 ) A+ A 와 1 번이상일치 ( 확장 ) A? A 와 1 번또는 0 번일치 ( 확장 ) 제 9 장 : 프록시규칙구성 185

186 정규식구문 문자 결과 A { n } A { n, } A 와정확히 n 번일치 ( 확장 ) A 와 n 번이상일치 ( 확장 ) A { n, m } A*? A 와 0 번이상일치 ( 축소 ) A+? A 와 1 번이상일치 ( 축소 ) A?? A 와 0 번또는 1 번일치 ( 축소 ) A 와 n 번이상 m 번이하일치 ( 확장 ) AB A B (A) 순서대로 A 및 B 와일치 A 또는 B 와일치 하위식그룹화에사용됨 \1 첫번째괄호안의하위식에대한후참조 \ n n 번째괄호안의하위식에대한후참조 모든종료연산자 (+, *,?, {m,n}) 는기본적으로확장이므로전체일치가실패하지않고가능한한많은문자열요소와일치합니다. 종료를축소 ( 확장아님 ) 로설정하려는경우뒤에 '?' 만추가하면됩니다. 축소종료는일치항목을찾을때가능한한적은문자열요소와일치합니다. {m,n} 종료는현재축소를지원하지않습니다. 186 관리안내서

187 정규식구문 nete:rule 및 nete:result 의정규식예 여러대상서버에단일규칙매핑 정규식은 CA SiteMinder for Secure Proxy Server 프록시규칙에사용할수있는매우유연하고강력한도구입니다. 이단원에서는프록시규칙에 nete:rule 요소를사용하는몇가지예를제공합니다. 또한이러한예에는 nete:rule 에서그룹화를사용하여 nete:xprcond 요소의자식요소에의해생성된대상에영향을주는방법을보여주기위한 nete:result 요소의다양한사용사례도포함되어있습니다. 다음예에서 nete:rule 요소에는요청을서로다른여러대상으로전달하는데사용할수있는정규식이포함되어있습니다. 이예에서는 CA SiteMinder for Secure Proxy Server 가다음과같은형식의 URI 를수신한다고가정합니다. /GOTO=some path and or filename nete:xprcond 요소에는다음과같은자식요소가포함됩니다. <nete:xpr> <nete:rule>/goto=(.*)/(.*)</nete:rule> <nete:result> </nete:xpr> nete:rule 요소의정규식과관련 nete:result 요소는 /GOTO=string 을생성하는 URI 와일치합니다. 일치항목을찾으면 CA SiteMinder for Secure Proxy Server 는 URI 에서 = 기호다음의첫번째문자열을결과의 $1 값으로사용하고, = 기호다음에나타나는첫번째 / 기호다음의값을 $2 결과로사용합니다. nete:result 요소는이러한요소를조합하여 URL 을생성합니다. 기본적으로 nete:result 요소는 CA SiteMinder for Secure Proxy Server 전달서비스를사용합니다. 제 9 장 : 프록시규칙구성 187

188 전달, 리디렉션및결과필터의헤더값 사용자를리디렉션하는정규식 예를들어위에서설명한 nete:xpr 요소에의해평가되는요청의 URI 가다음과같다고가정하십시오. /GOTO=server1.company.com/index.html 그러면 nete:rule 요소의정규식은일치항목을찾은후 $1 의값을 server1.company.com 으로, $2 의값을 index.html 로할당합니다. nete:result 요소는이러한값을다음 URL 로결합합니다. 이 URL 은 CA SiteMinder for Secure Proxy Server 가요청을확인하는데사용하는대상입니다. nete:result 요소를사용하여리소스를요청하는사용자에게반환되는리디렉션응답을생성할수도있습니다. 그러면인증및권한부여후에 CA SiteMinder for Secure Proxy Server 가아니라서버에서요청이행이처리됩니다. 다음은 nete:result 자식요소에서리디렉션을지정하는 nete:xpr 요소의예입니다. <nete:xpr> <nete:rule>/redir=(.*)/(.*)</nete:rule> <nete:result service="redirect"> </nete:xpr> 참고 : service 특성은 CA SiteMinder for Secure Proxy Server 가기본전달서비스대신리디렉션서비스를사용하도록합니다. 전달, 리디렉션및결과필터의헤더값 HTTP 헤더또는 SiteMinder 응답헤더의값은 nete:forward, nete:redirect 또는 nete:result 요소로직접대체될수있습니다. 전달또는리디렉션요소의 URl 나결과필터요소의규칙에 {{HEADER_NAME}} 이포함되어있는경우프록시엔진은전달, 리디렉션또는결과를확인하기전에요청에서지정된헤더와대체헤더값이일치하는헤더를검색합니다. 요청에일치하는헤더가없으면프록시엔진은헤더값대신빈문자열로대체합니다. 참고 : 헤더이름은대 / 소문자를구분합니다. 188 관리안내서

189 전달, 리디렉션및결과필터의헤더값 nete:forward 의동적헤더값 nete:forward 요소의일부로동적헤더값을사용하려면전달의 URL 부분에 {{HEADER_NAME}} 을삽입하기만하면됩니다. 예를들면다음과같습니다. <nete:forward> 단일 nete:forward 요소에여러헤더를사용할수있습니다. 예를들면다음과같습니다. <nete:forward> </nete:forward> nete:redirect 의동적헤더값 nete:redirect 요소의일부로동적헤더값을사용하려면리디렉션의 URL 부분에 {{HEADER_NAME}} 을삽입하기만하면됩니다. 예를들면다음과같습니다. <nete:redirect> 단일 nete:redirect 요소에여러헤더를사용할수있습니다. 예를들면다음과같습니다. <nete:redirect> </nete:redirect> nete:result 의동적헤더값 nete:result 요소의일부로동적헤더값을사용하려면결과의 URL 부분에 {{HEADER_NAME}} 을삽입하기만하면됩니다. 예를들면다음과같습니다. <nete:result> 필터와같은프록시규칙의다른기능을동적헤더값과함께사용할수있습니다. 예를들면다음과같습니다. <nete:result filter="filter1"> 제 9 장 : 프록시규칙구성 189

190 응답처리 응답처리 CA SiteMinder for Secure Proxy Server 는 SiteMinder 응답을사용하여요청의대상을결정합니다. CA SiteMinder for Secure Proxy Server 를통해라우팅되는트랜잭션에는 CA SiteMinder for Secure Proxy Server 웹에이전트와 SiteMinder 간의상호작용이포함되므로 CA SiteMinder for Secure Proxy Server 는인증및권한부여프로세스중에수집되는모든 SiteMinder 응답을사용하여요청의대상을결정할수있습니다. 예를들어사용자디렉터리에뱅킹웹사이트의계정유형에대한정보가포함되어있는경우 CA SiteMinder for Secure Proxy Server 는사용자를계정유형별로서로다른대상으로프록시할수있습니다. 이를통해기업은우량고객에게더높은품질의서비스를제공할수있습니다. 표준계정을가진고객은대상서버집합하나에서처리하고프리미엄계정을가진고객은별도의고성능대상서버에서처리할수있습니다. 프록시규칙수정 프록시규칙을수정하려면텍스트편집기를사용하여프록시규칙 XML 구성파일을편집해야합니다. 프록시규칙은 XML 파일이므로프록시규칙구성파일은올바르게구성되고유효해야합니다. 올바르게구성된 XML 파일의태그는모두여는태그와닫는태그로구성되어야합니다. 또한유효한파일은 proxyrules.dtd 의지침을따라야합니다. 프록시규칙 XML 구성파일의변경내용은 SPS 에의해자동으로적용됩니다. CA SiteMinder for Secure Proxy Server 는요청을수신하면프록시규칙이변경되었는지여부를확인합니다. 파일이변경되었으면요청을이행하기전에규칙이다시로드됩니다. 참고 : server.conf 파일의 <ServiceDispatcher> 요소에있는 rules_file 지시문에서프록시규칙 XML 구성파일의이름을변경할경우 CA SiteMinder for Secure Proxy Server 를다시시작해야합니다. 190 관리안내서

191 샘플프록시규칙구성파일 샘플프록시규칙구성파일 CA SiteMinder for Secure Proxy Server 는몇가지프록시규칙구성파일예제를설치합니다. 프록시규칙파일을생성할때이러한예제 XML 파일을기초로사용할수있습니다. 이러한예제파일은 sps_home\secure-proxy\proxy-engine\examples\proxyrules 디렉터리에있습니다. 이안내서의설명을읽을때예제파일을함께보는것이좋습니다. 파일을복사하여필요에맞게사용자지정할수도있습니다. 프록시규칙파일을사용자지정및배포하려면 1. sps_home\secure-proxy\proxy-engine\examples\proxyrules 디렉터리로이동합니다. 2. 사용할예제파일의복사본을만듭니다. 3. 내용을사용자지정한후새파일을고유한이름으로저장합니다. 4. 수정한파일을 sps_home/secure-proxy/proxy-engine/conf 디렉터리에복사합니다. 5. server.conf 파일을열고파일의프록시규칙섹션을수정하여사용자지정한파일을가리키도록합니다. 제 9 장 : 프록시규칙구성 191

192 샘플프록시규칙구성파일 프록시규칙예 - 가상호스트를기준으로요청라우팅 예제파일인 proxyrules_example1.xml 파일은요청에지정된호스트이름을기준으로요청을라우팅합니다. 또한예제파일인 proxyrules_example10.xml 파일은요청에지정된호스트이름을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅하고, CA SiteMinder for Secure Proxy Server 는프록시규칙의 PID 를사용하여프록시규칙이트리거된횟수를계산합니다. CA SiteMinder for Secure Proxy Server 를모니터링하도록 CA Wily Introscope 를구성한경우이횟수는 CA Wily Introscope 데이터메트릭에표시됩니다. 이파일에서는간단한프록시규칙집합이요청된리소스에지정된가상호스트를기준으로사용자요청을라우팅합니다. bondtrading.company.com 서버에대한모든요청은 server2 로전달되고, banking.company.com 에대한모든요청은 server1 로전달되며, 다른모든요청은회사홈서버로전달됩니다. 홈서버는다른모든 nete:cond 요소의조건과일치하지않는요청이기본적으로전달되는위치입니다. 참고 : 포트번호는사용자가요청한가상호스트의일부로간주되므로 nete:case 요소에서포트를지정해야합니다. 포트번호가필요하지않도록하려면 beginswith 조건을사용하십시오. 다음표에서는가상호스트를기준으로프록시규칙을사용한요청결과를보여줍니다. 요청된 URL 전달된 URL 관리안내서

193 샘플프록시규칙구성파일 프록시규칙예 - 헤더값을기준으로요청라우팅 예제파일인 proxyrules_example2.xml 파일은 HTTP 헤더의값을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. HTTP 헤더는표준헤더이거나 SiteMinder 응답을사용하여생성된헤더일수있습니다. 참고 : SiteMinder 응답에대한자세한내용은 CA SiteMinder Policy Design(CA SiteMinder 정책설계 ) 을참조하십시오. 이예에서는 CA SiteMinder for Secure Proxy Server 가 의기본가상호스트에대한요청을라우팅하는것으로가정합니다. 이파일에서 HTTP 헤더변수 "HEADER" 의값은요청의대상을결정합니다. 다음표에서는 HTTP 헤더를기준으로프록시규칙을사용한요청결과를보여줍니다. 요청된 URL HTTP_HEADER 가다음값을갖습니다. HTTP_HEADER="value1" HTTP_HEADER 가다음값을갖습니다. HTTP_HEADER="value2" HTTP_HEADER 가 value1 또는 value2 가아닌다른값을갖습니다. 전달된 URL 참고 : nete:cond 요소에는헤더변수이름의 HTTP_ 를포함할필요가없습니다. CA SiteMinder for Secure Proxy Server 는헤더변수이름에대해 HTTP_ 를가정합니다. 헤더값을사용하는프록시규칙은원하는서비스수준을기준으로요청을전달할수있는뛰어난방법입니다. 예를들어사용자계정유형을포함하는 HTTP 헤더변수의값을사용하면프리미엄계정을가진고객을위해요청을고성능서버로분산할수있습니다. 제 9 장 : 프록시규칙구성 193

194 샘플프록시규칙구성파일 프록시규칙예 - 장치유형을기준으로요청라우팅 예제파일인 proxyrules_example3.xml 파일은리소스에액세스하는데사용된장치의유형을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 참고 : 사용자에이전트 HTTP 헤더값은요청을라우팅할방법을결정하는데사용됩니다. 이파일에서브라우저 ( 사용자에이전트에웹브라우저용 Mozilla 가포함됨 ) 를사용하여리소스에액세스하는사용자는웹서버로전달되고다른모든사용자는무선서버로전달됩니다. 다음표에서는장치유형을기준으로프록시규칙을사용한요청결과를보여줍니다. 요청된 URL 사용자가웹브라우저를통해리소스에액세스합니다. 사용자가무선장치를통해리소스에액세스합니다. 전달된 URL 프록시규칙예 - URI 를사용하여요청라우팅 예제파일인 proxyrules_example4.xml 파일은사용자요청에지정된 URI 를기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 다음표에서는 URI 를기준으로프록시규칙을사용한요청결과를보여줍니다. 요청된 URL 전달된 URL 관리안내서

195 샘플프록시규칙구성파일 요청된 URL 전달된 URL 프록시규칙예 - 파일확장명을기준으로요청라우팅 예제파일인 proxyrules_example5.xml 파일은사용자가요청한파일확장명을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 이를위해 URI 조건과 endswith 조건이사용됩니다. 파일에서 <nete:forward> 및 </nete:forward> 태그는공간제약으로인해별도의줄에표시됩니다. 그러나프록시규칙구성파일에서는 <nete:forward> 요소의여는태그와닫는태그가같은줄에표시되어야합니다. 그렇지않으면 CA SiteMinder for Secure Proxy Server 는줄바꿈을전달 URL 의일부로해석하므로요청이올바르게전달되지않습니다. 앞의예에서.jsp 리소스에액세스하는사용자는응용프로그램서버로전달되고무선사용자는무선서버로전달됩니다. 다른모든사용자는홈서버로전달됩니다. 다음표에서는파일확장명을기준으로프록시규칙을사용한요청결과를보여줍니다. 요청된 URL 전달된 URL 제 9 장 : 프록시규칙구성 195

196 샘플프록시규칙구성파일 프록시규칙예 - 중첩된조건을사용하여요청라우팅 예제파일인 proxyrules_example6.xml 파일은호스트이름, 특정헤더및장치유형을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 이파일은 CA SiteMinder for Secure Proxy Server 가단일구성파일에서복잡한관계를처리하는방식을보여줍니다. 이파일에서 <nete:forward>url</nete:forward> 요소는같은줄에있어야합니다. 이예에서는닫는태그 </nete:forward> 가공간제약으로인해별도의줄에표시되기도하지만, 실제프록시규칙파일에줄바꿈이있으면오류가발생합니다. CA SiteMinder for Secure Proxy Server 는닫는태그 </nete:forward> 앞의줄바꿈을 nete:forward 요소에포함된 URL 의일부문자로해석합니다. 다음표에서는중첩된조건과함께프록시규칙을사용한요청결과를보여줍니다. 요청된 URL 헤더값 GOLD_USER="yes" 사용 전달된 URL 헤더값 GOLD_USER="no" 사용 무선장치이름을포함하는 USER_AGENT 헤더값사용 무선장치이름을포함하지않는 USER_AGENT 헤더값사용 tml wireless/index.wml 관리안내서

197 샘플프록시규칙구성파일 프록시규칙예 - 프록시규칙에정규식사용 예제파일인 proxyrules_example7.xml 파일은정규식이포함된 nete:xprcond 요소를기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 정규식은요청의 URI 와쿼리문자열에따라평가됩니다. 이파일에서요청의 URI 및쿼리문자열은 nete:xpr 요소에정의된세개의정규식을기준으로평가됩니다. 첫번째 nete:xpr 요소에대해일치항목을찾을수없으면 CA SiteMinder for Secure Proxy Server 는두번째정규식과마지막으로세번째정규식에대해일치항목을찾습니다. 일치항목을찾을수없으면요청을처리하는데 nete:xpr-default 조건이사용됩니다. 다음표에서는정규식프록시규칙을사용한요청결과를보여줍니다. 요청된 URL dex.html dex.html 전달된 URL html l l 사용자가리디렉션되므로 server2.company.com 이직접사용자의요청을이행해야합니다. 프록시규칙예 - 쿠키존재여부를기준으로요청라우팅 예제파일인 proxyrules_example8.xml 파일은쿠키가있는지여부를기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 이예에서 CA SiteMinder for Secure Proxy Server 는요청에쿠키헤더 "mycookie" 가포함되어있는경우요청을 으로라우팅합니다. 제 9 장 : 프록시규칙구성 197

198 샘플프록시규칙구성파일 프록시규칙예 - 쿠키값을기준으로요청라우팅 예제파일인 proxyrules_example9.xml 파일은쿠키의값을기준으로 CA SiteMinder for Secure Proxy Server 요청을라우팅합니다. 이예에서 CA SiteMinder for Secure Proxy Server 는요청에쿠키헤더 "mycookie" 가포함되어있고요청에인코딩메커니즘이지정되지않은경우요청을 으로라우팅합니다. 요청에쿠키헤더 "mycookie" 와 base64 인코딩메커니즘이포함되어있는경우 CA SiteMinder for Secure Proxy Server 는요청을 으로라우팅합니다. 198 관리안내서

199 제 10 장 : SPS 배포 이섹션은다음항목을포함하고있습니다. 엔터프라이즈의 CA SiteMinder for Secure Proxy Server ( 페이지 199) 엔터프라이즈의 CA SiteMinder for Secure Proxy Server CA SiteMinder for Secure Proxy Server 는리버스프록시아키텍처를사용하여액세스제어, 싱글사인온및 SSL 가속화가가능하게합니다. 그러나콘텐츠캐싱기능과기존리버스프록시서버가제공하는몇가지다른기능은제공하지않습니다. CA SiteMinder for Secure Proxy Server 는다른프록시기술을대체하기위한것이아니라엔터프라이즈아키텍처를보강하기위한것입니다. 따라서 CA SiteMinder for Secure Proxy Server 는양쪽에부하분산장치와캐싱장치를포함하고있는클러스터에배치할수있습니다. 다음그림에서는 CA SiteMinder for Secure Proxy Server 를네트워크에추가하여부하분산장치와함께작동하도록하는방법을보여줍니다. 제 10 장 : SPS 배포 199

200 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 참고 : 부하분산장치외에캐싱장치도 CA SiteMinder for Secure Proxy Server 클러스터의양쪽에배치할수있습니다. 고정비트부하분산 CA SiteMinder for Secure Proxy Server 에서지원되는쿠키를사용하지않는세션체계를사용하는경우 CA SiteMinder for Secure Proxy Server 를통해리소스에액세스하는사용자의세션정보는메모리내세션저장소에서유지관리됩니다. 세션정보는사용자가처음인증된 CA SiteMinder for Secure Proxy Server 에서유지관리되므로단일세션의모든사용자요청에동일한 CA SiteMinder for Secure Proxy Server 가사용됩니다. 클러스터에구현된경우 CA SiteMinder for Secure Proxy Server 를고정비트부하분산과함께사용하여동일한 CA SiteMinder for Secure Proxy Server 에대해일관된연결을제공하고, 기존 SiteMinder 쿠키세션체계가아닌다른세션체계를사용할때싱글사인온이가능하도록해야합니다. 쿠키를사용하지않는세션체계를사용하여 CA SiteMinder for Secure Proxy Server 를배포하려면다음을고려해야합니다. 대부분의배포환경에서 CA SiteMinder for Secure Proxy Server 는들어오는요청의부하가여러서버로분산되는클러스터에배포됩니다. 부하분산은부하분산장치에의해처리됩니다. 이러한장치는고정비트기능이있어야싱글사인온을유지관리할수있습니다. 고정비트부하분산은클러스터의특정 CA SiteMinder for Secure Proxy Server 를사용하여사용자의세션이설정되고나면해당 CA SiteMinder for Secure Proxy Server 가사용자의요청을모두처리할수있도록합니다. CA SiteMinder for Secure Proxy Server 는쿠키를사용하지않는세션에대한세션정보를활성메모리에서유지관리하므로이기능이필요합니다. 사용자요청이고정비트기술을사용하여처리되지않는경우에는서버클러스터에있는다른 CA SiteMinder for Secure Proxy Server 가요청을이행할때마다사용자에게새자격증명이요청됩니다. CA SiteMinder for Secure Proxy Server 에대한설정을구성할때는 CA SiteMinder for Secure Proxy Server 의 server.conf 파일에정의된기본가상호스트를부하분산장치의이름및 IP 주소를사용하여정의해야합니다. 부하분산장치는 CA SiteMinder for Secure Proxy Server 에대한진입점으로구성해야합니다. 부하분산장치는 CA SiteMinder for Secure Proxy Server 클러스터를가리켜야합니다. 200 관리안내서

201 엔터프라이즈의 CA SiteMinder for Secure Proxy Server sps_home/secure-proxy/httpd/conf 디렉터리에있는 httpd.conf 파일을수정하여 ServerName 지시문의값을 CA SiteMinder for Secure Proxy Server 가설치된시스템이아니라부하분산장치의이름으로설정해야합니다. SSL 을사용하는경우인증서는 CA SiteMinder for Secure Proxy Server 가아니라부하분산장치에발급해야합니다. CA SiteMinder for Secure Proxy Server 를설치한시스템에는메모리내세션저장소에서유지관리할동시사용자세션을위한메모리가세션당약 1 KB 씩있어야합니다. 예를들어단일시스템이 1,000 개의동시세션을유지관리해야한다면이시스템에는이용도로사용할수있는 1 MB 의 RAM 이있어야합니다. 신뢰할수있는사이트및신뢰할수없는사이트로의프록시 CA SiteMinder for Secure Proxy Server 는엔터프라이즈내신뢰할수있는사이트를프록시합니다. 프록시트랜잭션을처리하는과정에서 SiteMinder 가생성한 HTTP 헤더변수와 SiteMinder 응답에의해생성된모든변수는각 HTTP 및 HTTPS 요청과함께전달됩니다. 이러한응답은다른엔터프라이즈응용프로그램에서사용될수있습니다. 중요! 신뢰할수없는사이트의콘텐츠를프록시하는트랜잭션에서 CA SiteMinder for Secure Proxy Server 를사용할경우트랜잭션에사용되는헤더도신뢰할수없는사이트로전달됩니다. 따라서 CA SiteMinder for Secure Proxy Server 는엔터프라이즈에서신뢰하는대상을프록시하는데사용하는것이좋습니다. 가상호스트구성 CA SiteMinder for Secure Proxy Server 를여러호스트로구성하고하나이상의호스트이름에대해가상호스트의역할을하도록할수있습니다. 다음단계를수행하십시오. 1. server.conf 파일의 <VirtualHost> 매개변수를편집하여 CA SiteMinder for Secure Proxy Server 가하나이상의호스트이름에대해가상호스트의역할을하도록구성합니다. 2. 포함된 Apache 웹서버의구성파일을편집합니다. 제 10 장 : SPS 배포 201

202 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 추가정보 : 가상호스트이름구성 ( 페이지 154) 여러가상호스트를처리하도록 Apache 구성파일편집 여러가상호스트를 CA SiteMinder for Secure Proxy Server 와함께동일한운영환경에서실행중이고이환경에서트랜잭션이실행되는경우 Apache 구성파일 (httpd.conf) 을업데이트하십시오. 이파일은 sps_home\secure-proxy\httpd\conf 디렉터리에있습니다. 웹서버에 SSL 이사용되도록설정된경우에는 httpd-ssl.conf 파일에대해서도동일한업데이트를수행하십시오. 이파일은 sps_home\secure-proxy\httpd\conf\extra 디렉터리에있습니다. 업데이트는운영환경이 IPv4 를기반으로하는지 IPv6 을기반으로하는지에따라다릅니다. httpd.conf 파일과선택적으로 httpd-ssl.conf 파일을업데이트하여여러가상호스트를처리하려면 IPv4 환경의경우다음 LISTEN 지시문을추가합니다. LISTEN :<_port> IPv6 환경의경우다음 LISTEN 지시문을추가합니다. LISTEN [::1]:<_port> IPv4 및 IPv6 을지원하는이중스택환경의경우다음 LISTEN 지시문을추가합니다. LISTEN :<_port> LISTEN [::1]:<_port> 또한새호스트이름이추가되도록다음과같이호스트파일의루프백주소항목을업데이트하십시오. IPV4: IPV6: [::1] Windows 의경우호스트파일은대개 C:\WINDOWS\system32\drivers\hosts 에있습니다. UNIX 의경우호스트파일은대개 /etc/hosts 에있습니다. 202 관리안내서

203 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 여러가상호스트에대한세션체계매핑구현 여러사용자에이전트유형을인식하여가상호스트를기준으로각사용자에이전트에대해서로다른세션체계매핑을할당하도록 CA SiteMinder for Secure Proxy Server 를구성하려면다음단계를수행해야합니다. 1. 세션체계를구성하거나, CA SiteMinder for Secure Proxy Server 와함께제공된체계의구성을확인합니다. 2. server.conf 파일에서사용자에이전트유형을정의합니다. 3. server.conf 파일에서각가상호스트에대해기본설정과는다른지시문을정의하는섹션을생성합니다 ( 가상호스트에대한기본값재정의 ). 4. 각가상호스트에대한세션체계매핑을정의합니다. 다음은 server.conf 파일의일부분으로, IE(Internet Explorer) 브라우저사용자에대해사용자에이전트유형이정의된예를제공합니다. IE 사용자는가상호스트에대해정의된기본세션체계가아닌다른세션체계를사용하도록매핑됩니다. 다음예에서는 server.conf 파일에정의된세션체계를보여줍니다. #Session Schemes <SessionScheme name="default"> class="com.netegrity.proxy.session.sessioncookiescheme" accepts_smsession_cookies="true" </SessionScheme> <SessionScheme name="ssl_id"> class="com.netegrity.proxy.session.sslidsessionscheme" accepts_smsession_cookies="false" </SessionScheme> <SessionScheme name="simple_url"> class="com.netegrity.proxy.session.simpleurlsessionscheme" accepts_smsession_cookies="false" </SessionScheme> <SessionScheme name="minicookie"> class="com.netegrity.proxy.session.minicookiesessionscheme" accepts_smsession_cookies="false" cookie_name="minime" </SessionScheme> 제 10 장 : SPS 배포 203

204 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 다음예에서는 IE 사용자에이전트유형의정의를보여줍니다. 이사용자에이전트유형은나중에 server.conf 파일에서세션체계매핑을정의할때참조됩니다. # TO-DO: Define Any User Agents, if you want to # use a different session scheme based on # the type of client accessing the server. # # NOTE: UserAgent matching is done in the order # in which the user agents are defined in this file. <UserAgent name="ie"> User-Agent="MSIE" </UserAgent> # <UserAgent name="ns"> # User-Agent=some other regular expression # </UserAgent> 앞의예에서는 defaultsessionscheme 지시문에지정된기본세션체계가미니쿠키임을보여줍니다. 이세션체계는세션체계매핑에다른세션체계가명시적으로포함되었거나다른체계가가상호스트정의의기본세션체계를재정의하지않는한모든트랜잭션에사용됩니다. <VirtualHostDefaults> 지시문은 <UserAgent name="ie"> 에정의된 IE 사용자에이전트유형에대한세션체계매핑을보여줍니다. 이매핑은기본세션체계매핑을사용하는모든가상호스트에대해 IE 브라우저사용자의세션이단순 URL 다시쓰기세션체계를사용하여유지관리됨을나타냅니다. <VirtualHostDefaults> # Service Dispatcher <ServiceDispatcher> class="com.netegrity.proxy.service.smproxyrules" rules_file="conf\proxyrules.xml" </ServiceDispatcher> # default session scheme defaultsessionscheme="minicookie" #TO-DO: Define any session scheme mappings <SessionSchemeMappings> # user_agent_name=session_scheme_name IE="simple_url" # NS=simple_url </SessionSchemeMappings> 204 관리안내서

205 엔터프라이즈의 CA SiteMinder for Secure Proxy Server 가상호스트지시문은 CA SiteMinder for Secure Proxy Server 에대해구성된기본가상호스트의서버이름과 IP 주소를보여줍니다. # Default Virtual Host <VirtualHost name="default"> hostnames="server1, server1.company.com" addresses=" " #The defaults can be overriden #not only for the Virtual Host #but for the WebAgent for that #virtual host as well #<WebAgent> #</WebAgent> </VirtualHost> 추가가상호스트에대한가상호스트지시문은 server2 가상호스트에대해재정의되는특정기본가상호스트설정을보여줍니다. 이러한재정의에는새세션체계매핑이포함되어있습니다. server2 의기본체계는 "default" 입니다. 세션체계지시문에서 "default" 는기존 SiteMinder 쿠키세션체계로정의되어있습니다. 또한가상호스트지시문에서 IE 사용자에대한세션체계매핑은 "default" 체계에도매핑됩니다. 따라서 CA SiteMinder for Secure Proxy Server 는 SiteMinder 쿠키세션체계를사용하여 server2 에액세스하는모든사용자에대한세션을유지관리합니다. # Additional Virtual Host <VirtualHost name="host2"> requestblocksize="4" responseblocksize="4" hostnames="server2, server2.company.com" #addresses=" " # default session scheme defaultsessionscheme="default" #TO-DO: Define any session scheme mappings <SessionSchemeMappings> #user_agent_name=session_scheme_name IE="default" </SessionSchemeMappings> #<WebAgent> #</WebAgent> </VirtualHost> 제 10 장 : SPS 배포 205

206

207 제 11 장 : 웹서비스구성 이섹션은다음항목을포함하고있습니다. 인증및권한부여 ( 페이지 207) 보안토큰서비스 ( 페이지 219) 인증및권한부여 인증및권한부여웹서비스로작업하는방법 CA SiteMinder 에서는현재인증웹서비스와권한부여웹서비스를제공하고있습니다. CA SiteMinder 인증및권한부여웹서비스를사용하는프로세스에는다음다이어그램의절차가포함됩니다. 제 11 장 : 웹서비스구성 207

208 인증및권한부여 인증및권한부여웹서비스에대한작업을하려면다음단계를수행하십시오. 1. ACO 를생성합니다 ( 페이지 210). 2. 웹서비스를보호합니다 ( 페이지 211). 3. 웹서비스가사용되도록설정합니다 ( 페이지 211). 4. 웹서비스로그를구성합니다 ( 페이지 212). 5. 클라이언트프로그램을생성합니다 ( 페이지 213). 인증및권한부여웹서비스개요 CA SiteMinder 인증및권한부여웹서비스는 CA SiteMinder for Secure Proxy Server 설치에포함됩니다. 각구성요소의사용여부를개별적으로설정할수있습니다. 웹서비스구성프로세스에서는다음과같은 CA SiteMinder 개체가구성되어있다고가정합니다. 호출자가인증하는대상응용프로그램을보호하기위한에이전트하나이상 인증및권한부여에필요한영역, 사용자디렉터리, 정책및응답 인증및권한부여웹서비스를사용하면다른방법으로보호되지않는응용프로그램을지원할수있습니다. 예를들어휴대폰의독립형응용프로그램은적절한 CA SiteMinder 개체가있으면사용자를인증할수있습니다. 이러한웹서비스는 SOAP 1.2 프로토콜과 HTTP 기반 RESTful 아키텍처를지원합니다. 인증및권한부여웹서비스에서는다음과같은기능을제공합니다. 로그인 (login) - 인증을시도하고인증이성공하면세션토큰을반환합니다. 참고 : 사용자추적사용옵션이사용되도록설정되면응답에아이덴티티토큰도포함됩니다. 부울로그인 (blogin) - 인증을시도하고로그인성공여부를확인합니다. 세션토큰은반환하지않습니다. 208 관리안내서

209 인증및권한부여 로그아웃 (logout) - 사용자또는사용자그룹을로그아웃합니다. 권한부여 (authorize) - 권한부여상태메시지와새로고친세션토큰을반환합니다. 작업요청에대한응답은 SiteMinder 에서생성한헤더에따라다릅니다. 리소스가익명인증체계로보호되는경우응답에세션토큰이포함되지않고아이덴티티토큰이포함됩니다. 이아이덴티티토큰을이후권한부여요청에세션토큰대신사용할수있습니다. 인증요청에는다음매개변수가포함됩니다. 응용프로그램 ID(appId) 리소스문자열 (resource) 작업 (action) 사용자자격증명 응용프로그램 ID 는 CA SiteMinder 응용프로그램개체가아니라리소스계층의위치에대해사용자가정의한논리적이름을나타냅니다. 응용프로그램 ID 는내부적으로에이전트에매핑됩니다. CA SiteMinder 는 209 에이전트이름을사용하여영역을확인합니다. 영역, 리소스문자열및사용자자격증명으로사용자를인증할수있습니다. 권한부여요청은인증요청보다단순합니다. 권한부여요청에는로그인응답에서가져온응용프로그램 ID(appId), 리소스경로, 작업및세션토큰이포함됩니다. 웹서비스는토큰의유효성을검사한후지정된리소스에대한액세스권한을부여할지여부를결정합니다. 웹서비스구성 기본적으로 CA SiteMinder for Secure Proxy Server 을설치하거나 SPS 로업그레이드하면웹서비스기능이설치됩니다. 웹서비스를구성하려면다음단계를수행하십시오. 1. WAMUI 를통해웹서비스에대한 ACO 를생성합니다. 2. 웹서비스를보호합니다. 3. 관리 UI 를통해웹서비스가사용되도록설정합니다. 4. ( 선택사항 ) 웹서비스로그를구성합니다. 제 11 장 : 웹서비스구성 209

210 인증및권한부여 웹서비스에대한 ACO 생성 ACO 를통해웹서비스를관리할수있습니다. ACO 는또한리소스액세스보호를위해서도사용되며, AgentName 에반드시정의되어야합니다. 웹서비스를사용하려면 enableauth 매개변수나 enableaz 매개변수, 또는둘모두를활성화해야합니다. 다음단계를수행하십시오. 1. WAMUI 에서 AuthAzServiceDefaultSettings 템플릿을기반으로하는 ACO 를생성합니다. 2. 웹서비스를서비스로서사용하도록다음매개변수를구성합니다. AgentName 리소스를보호하는웹에이전트의이름, defaultagentname 또는웹서비스를보호하는 ACO 의에이전트이름을정의합니다. 이러한값을 AgentName 에추가해야합니다. 응용프로그램을보호하는여러웹에이전트를정의하려면다음형식으로여러값쌍을입력하십시오. agent_name1,appid1 agent_name2,appid2 agent_namen,appidn agent_name appid 리소스를보호하는웹에이전트의이름을정의합니다. agent_name 에지정된웹에이전트의참조이름또는웹에이전트에의해보호되는응용프로그램의참조이름을정의합니다. CA SiteMinder 는웹서비스요청에서이값을사용하므로사용자로부터에이전트이름을보호합니다. 지정된 AgentName 에 defaultagentname 을추가하거나또는웹서비스를보호하는 ACO 의에이전트이름을추가하십시오. 웹서비스를보호하는 ACO 의에이전트이름을사용하려면다음형식으로에이전트이름을정의하십시오. agent_name,hostname 웹서비스를보호하는 ACO 의 defaultagentname 을사용하려면다음형식으로에이전트이름을정의하십시오. agent_name enableauth 210 관리안내서

211 인증및권한부여 인증웹서비스의상태를지정합니다. 인증웹서비스를사용하려면이값을 yes 로설정하십시오. enableaz 권한부여웹서비스의상태를지정합니다. 권한부여웹서비스를사용하려면이값을 yes 로설정하십시오. RequireAgentEnforcement CA SiteMinder 에이전트가웹서비스를보호해야하는지여부를지정합니다. 프로덕션환경에서는 CA SiteMinder 에이전트가웹서비스를보호하도록이값을 yes 로설정할것을강력히권장합니다. 이값을 yes 로설정한경우웹서비스가보호되지않으면웹서비스에대한요청이실패합니다. 참고 : RequireAgentEnforcement 의값은테스트환경인경우또는 CA SiteMinder 이외의다른메커니즘을사용하여웹서비스를보호하는경우 'no' 로설정할수있습니다. 3. 변경내용을저장합니다. 웹서비스보호 웹서비스가사용되도록설정 프로덕션환경에서는웹서비스를보호할것을권장합니다. 웹서비스의웹에이전트를보호하면사용자요청이처리되기전에 CA SiteMinder 가 211 웹서비스클라이언트를인증및권한부여할수있습니다. 프로덕션환경에서웹서비스를보호하면 CA SiteMinder for Secure Proxy Server 가사용자요청에 SMSESSION 쿠키를포함합니다. RequestSmSessionCookie ACO 매개변수가활성화된경우 CA SiteMinder 는 211 웹서비스가사용자요청을처리하기전에 SMSESSION 쿠키에대한사용자요청을확인하도록합니다. 웹서비스를보호하기위해 X.509 클라이언트인증서인증체계를사용하여웹서비스루트 URL 을보호하도록 CA SiteMinder for Secure Proxy Server 를구성할것을권장합니다. 관리 UI 를통해이전절차에서생성한 ACO 를사용하여웹서비스가사용되도록설정하십시오. 참고 : enableauth 및 enableaz 의값이 no 로설정되어있으면 CA SiteMinder for Secure Proxy Server 관리 UI 를통해해당지원기능이사용되도록설정해도웹서비스가작동하지않습니다. 제 11 장 : 웹서비스구성 211

212 인증및권한부여 다음단계를수행하십시오. 1. " 프록시구성 ", " 인증및권한부여웹서비스 " 로이동합니다. 2. " 호스트이름 " 에웹서비스가상호스트의고유호스트이름을입력합니다. 3. " 에이전트구성개체 " 에웹서비스에대해생성한 ACO 의이름을입력합니다. 4. " 저장 " 을클릭합니다. 웹서비스가사용되도록설정됩니다. 웹서비스로그구성 웹서비스가사용되도록설정하면 CA SiteMinder for Secure Proxy Server 에서해당웹서비스의로그를 server.log 파일에저장합니다. 로그위치를 server.log 에서 authazws.log 로변경할수도있습니다. 로그위치를변경하려면다음단계를수행하십시오. 1. sps_home/proxy-engine/conf/webservicesagent 로이동합니다. 2. authaz-log4j.xml 파일을백업합니다. 3. 원본 authaz-log4j.xml 파일을열고다음단계를수행합니다. a. 다음 AuthAZ_ROLLING appender 태그의주석처리를제거합니다. <appender name="authaz_rolling" class="org.apache.log4j.dailyrollingfileappender"> <param name="file" value="logs/authazws.log"/> </layout> </appender> <layout class="org.apache.log4j.patternlayout"> <param name="conversionpattern" value="%d %-5p [%c] - %m%n"/> b. AuthAZ_ROLLING 태그에대한다음 appender-ref 를모두찾아해당주석처리를제거합니다. <appender-ref ref="authaz_rolling"/> 4. 변경내용을저장하고 CA SiteMinder for Secure Proxy Server 를다시시작합니다. 로그위치가 sps_home/proxy-engine/logs/ 에있는 authazws.log 파일로변경됩니다. 212 관리안내서

213 인증및권한부여 클라이언트프로그램생성 인증 SOAP 인터페이스 클라이언트프로그램은다른응용프로그램대신웹서비스에대한인증및권한부여요청을발행하는역할을합니다. 클라이언트프로그램에는클라이언트스텁에대한코드가필요합니다. 스텁은웹서비스와의통신을위해메시지를관리하고서로주고받습니다. 웹서비스는 WSDL 파일 (SOAP 프로토콜의경우 ) 과 WADL 파일 (REST 아키텍처의경우 ) 을지원합니다. 웹브라우저를사용하여 WSDL 또는 WADL 파일에액세스한후이를 XML 파일로저장할수있습니다. 다음단계를수행하십시오. 1. 필요한자격증명을수집하는응용프로그램용비즈니스논리를작성합니다. 2. 클라이언트스텁을생성합니다. 필요한경우타사도구와함께 WSDL 또는 WADL 파일을사용하여클라이언트스텁을생성할수있습니다. WSDL 을로드하려면다음 URL 을사용하십시오 : WADL 을로드하려면다음 URL 을사용하십시오 : 참고 : 이러한위치에서메타데이터를가져오려면 ACO 의 DefaultAgentName 매개변수를에이전트중하나로설정하십시오. 3. 클라이언트스텁을가져오고, 웹서비스를호출하는스텁개체를인스턴스화합니다. 다음단원에서는참조를위해단순화된샘플 SOAP 및 REST 메시지를보여줍니다. 이단순화된샘플에서는 SOAP 프로토콜을사용한인증작업을보여줍니다. username, password 및 binarycredentials 라는세개의필드만으로구성된 IdentityContext 로대부분의인증체계를지원할수있습니다. 다른필드가더필요한체계의경우자격증명유형에맞게입력이조정된추가작업에서지원됩니다. 제 11 장 : 웹서비스구성 213

214 인증및권한부여 다음예제는인증웹서비스의일반적인사용자로그인요청입니다. <s:envelope xmlns:s=" <s:header/> <s:body> <aut:login> xmlns:aut=" <identitycontext> <binarycreds> </binarycreds> <password>user1</password> <username>user1</username> </identitycontext> <appid>app1</appid > <action>get</action> <resource>/*</resource > </aut:login> </s:body> </s:envelope> 부울로그인 (blogin) 작업은로그인 (login) 작업과유사하지만다음예제와같이 blogin 은응답에 SMSESSION 값을반환하지않는다는차이점이있습니다. <s:envelope xmlns:s=" <s:header/> <s:body> <aut:blogin> xmlns:aut=" <identitycontext> <binarycreds> </binarycreds> <password>user1</password> <username>user1</username> </identitycontext> <appid>app1</appid > <action>get</action> <resource>/*</resource > </aut:blogin> </s:body> </s:envelope> 214 관리안내서

215 인증및권한부여 다음예제에서는성공적인로그인응답을나타냅니다. <s:envelope xmlns:s=" <s:header/> <s:body> <aut:loginresponse xmlns:aut=" <return> <message>authentication successful.</message> <resultcode>login_success</resultcode> <sessiontoken>session</sessiontoken> <responses> <response/> <response/> </responses> </return> </aut:loginresponse> </s:body> </s:envelope> 다음예제에서는실패한로그인시도를나타냅니다. <s:envelope xmlns:s=" <s:header/> <s:body> <ns2:loginresponse xmlns:ns2=" <return> <message>authentication failured</message> <resultcode>login_failed</resultcode> <smsessioncookievalue/> </return> </ns2:loginresponse> </s:body> </s:envelope> 다음예제에서는인증웹서비스사용자로그아웃요청을나타냅니다. 참고 : 사용자가성공적으로로그아웃했더라도해당 SessionToken 은유효한사용자자격증명으로간주되므로에이전트가권한부여에이 SessionToken 을계속사용할수있습니다. <s:envelope xmlns:s=" <s:header/> <s:body> <aut:logout> xmlns:aut=" <smsessioncookievalue>session</smsessioncookievalue> </aut:logout> </s:body> </s:envelope> 제 11 장 : 웹서비스구성 215

216 인증및권한부여 인증 REST 인터페이스 다음예제에서는성공적인인증웹서비스로그아웃응답을나타냅니다. <s:envelope xmlns:s=" <s:header/> <s:body> <ns2:logoutresponse xmlns:ns2=" <return> <message>logout successful.</message> <resultcode>success</resultcode> </return> </ns2:logoutresponse> </s:body> </s:envelope> REST 는 REpresentational State Transfer 를의미합니다. REST 에서는서비스요청이개체의상태를 URI 를통해액세스할수있도록변환합니다. HTTP 의경우생성, 읽기, 업데이트및삭제같은작업을통해상태가변경됩니다. 인증및권한부여를위한 URI 매핑은 appid 와 resourcepath 로구성됩니다. 리소스상태란인증또는권한부여된사용자와리소스를연결한것을총칭합니다. 인증에사용되는서비스이름은 login, blogin 및 logout 입니다. 형식의 URI 는다음과같은요청을게시합니다. <loginrequest> <binarycreds></binarycreds> <password>user1</password> <username>user1</username> <action>get</action> </loginrequest> 로그인응답 : HTTP 반환코드 200 <loginresponse> <message>authentication successful</message> <resultcode>login_success</resultcode> <sessiontoken>session</sessiontoken> <authenticationresponses> <response> </response> <name>sm_sessiondrift</name> <value>0</value> </authenticationresponses> </loginresponse> 216 관리안내서

217 인증및권한부여 HTTP 반환코드 400 <loginresponse> <message>bad Request</message> <resultcode>login_error</resultcode> </loginresponse> HTTP 반환코드 200 <loginresponse> <message>authentication Failed</message> <resultcode>login_failed</resultcode> <authenticationresponses> <response><name>sm_authreason</name> <value>0</value> </response> </authenticationresponses> </loginresponse> HTTP 반환코드 500 <loginresponse> <message>system</message> <resultcode>server Error</resultCode> </loginresponse> 부울로그인 (blogin) 작업은로그인 (login) 과유사합니다. 형식의 URI 는로그인요청에표시된것과같이포스트하며, 응답메시지에서 yes 또는 no 를반환합니다. 형식의 URI 는다음과같은로그아웃요청을포스트합니다. <logoutrequest> <sessiontoken>session</sessiontoken> </logoutrequest> 인증웹서비스로그아웃응답 : <logoutresponse> <message> 로그아웃성공 </message> <resultcode>logout_success</resultcode> <smsessioncookievalue>yyy</smessioncookievalue> </logoutresponse> <logoutresponse> <message> 로그아웃실패 </message> <resultcode>logout_failure</resultcode> <smsessioncookievalue>yyy</smessioncookievalue> </logoutresponse> 제 11 장 : 웹서비스구성 217

218 인증및권한부여 권한부여 SOAP 서비스 다음 XML 은웹서비스에대한권한부여요청을대략적으로나타낸것입니다. <soapenv:envelope xmlns:soapenv=" xmlns:aut=" <soapenv:header/> <soapenv:body> <aut:authorize> <sessiontoken>session</sessiontoken> <appid></appid> <action>get,post</action> <resource>/domainadmin/a.jsp</resource> </aut:authorize> </soapenv:body> </soapenv:envelope> 다음예제에서는권한부여웹서비스 AUTHORIZED 응답을나타냅니다. <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:authorizeresponse xmlns:ns2=" <return> <message>authorization Successful</message> <resultcode>authorized</resultcode> <sessiontoken>aklaks</sessiontoken> <authorizationresponses> <response/> </authorizationresponses> </return> </ns2:authorizeresponse> </env:body> </env:envelope> 다음예제에서는권한부여웹서비스 UN AUTORIZED 응답을나타냅니다. <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:authorizeresponse xmlns:ns2=" <return> <message> Authorization Failed</message> <resultcode>notauthorized</resultcode> </return> </ns2:authorizeresponse> </env:body> </env:envelope> 218 관리안내서

219 보안토큰서비스 권한부여 REST 인터페이스 참고 : 유효한세션토큰을포함한권한부여웹서비스요청의경우 NOTAUTHORIZED 권한부여응답에는다음과같은제약조건이있습니다. 1. WAMUI 에서다음특성으로만응답을구성할수있습니다. SM_ONREJECTTEXT SMREDIRECTURL 또는 SM_REDIRECTURL SMERROR 2. 응답에는세션토큰이포함되지않습니다. 권한부여를위한 REST 인터페이스는 입니다. <authorizationrequest> <action>post</action> <resource>realma/index.html</resource> <sessiontoken>affl;;alkf;l;fd</sessiontoken> </authorizationrequest> HTTP 반환코드 200: <authorizationresult > <message>the user is authorized.</message> <resultcode>authorized</resultcode> </authorizationresult > 보안토큰서비스 CA SiteMinder for Secure Proxy Server 는토큰발급및트랜잭션에 WS-Trust 기반메커니즘을제공할수있도록 Office 365 용 STS( 보안토큰서비스 ) 를지원합니다. 하나의 CA SiteMinder for Secure Proxy Server 컴퓨터에하나또는여러개의 STS 인스턴스를배포할수있습니다. 제 11 장 : 웹서비스구성 219

220 보안토큰서비스 여러 CA SiteMinder for Secure Proxy Server 인스턴스배포 여러 STS 인스턴스를배포하려면각 STS 인스턴스가개별로그파일에로깅하도록모든 STS 인스턴스가동일한 log4j 구성을사용해야합니다. 다음단계를수행하십시오. 1. 다음작업중하나를수행합니다. Windows 에서다음단계를수행하십시오. a. installation_home/proxy-engine/conf 로이동합니다. b. SmSpsProxyEngine.properties 파일을열고파일에서 STS_AGENT_LOG_CONFIG_FILE 변수의주석처리를해제합니다. c. 변경내용을저장합니다. UNIX 에서다음단계를수행하십시오. a. installation_home/proxy-engine 으로이동합니다. b. proxyserver.sh 파일을열고파일에서 STS_AGENT_LOG_CONFIG_FILE 변수의주석처리를해제합니다. c. 변경내용을저장합니다. 2. installation_home/proxy-engine/conf/sts-config/globalconfig 로이동합니다. 3. agent-multiinstance-log4j.xml 파일을엽니다. 4. 각 STS 인스턴스에대해다음단계를수행합니다. a. STS 인스턴스에대한어펜더를만듭니다. 참고 : 기본적으로이파일은하나의 STS 인스턴스에대한하나의어펜더를포함하고있습니다. b. 어펜더에서 [SPS ROOT FOLDER] 를 CA SiteMinder for Secure Proxy Server 루트폴더로변경합니다. c. 어펜더에서 [STS Service Name] 을 STS 인스턴스의서비스이름을변경합니다. 5. 변경내용을저장합니다. 6. CA SiteMinder for Secure Proxy Server 를다시시작합니다. 각 STS 인스턴스의로그파일이다음형식으로 installation_home/proxy-engine/logs 에만들어집니다. STS_service_name.log 220 관리안내서

221 보안토큰서비스 7. 각 STS 인스턴스가개별로그파일에로깅하는지확인합니다. 제 11 장 : 웹서비스구성 221

222

223 제 12 장 : SiteMinder 와 SPS 통합 이섹션은다음항목을포함하고있습니다. SPS 가 SiteMinder 와상호작용하는방식 ( 페이지 223) SPS 및 SharePoint 리소스 ( 페이지 230) SPS 및 ERP 리소스 ( 페이지 230) SPS 에대한암호서비스 ( 페이지 232) 방화벽고려사항 ( 페이지 234) 연결유지및연결풀링 ( 페이지 234) Sun Java 웹서버용 HTTP 헤더구성 ( 페이지 235) SPS 를사용한 SiteMinder 처리를위한 HTTP 헤더 ( 페이지 235) 인코딩된 URL 처리 ( 페이지 236) SPS 가 SiteMinder 와상호작용하는방식 SiteMinder 는 e- 비즈니스를안전하게관리하기위한솔루션입니다. SiteMinder 는엔터프라이즈의정책을지정할수있는정책서버와웹서버에설치되는웹에이전트로구성되어있습니다. 웹에이전트는정책서버와통신하여인증, 권한부여및기타기능을제공합니다. CA SiteMinder for Secure Proxy Server 에는 SiteMinder 웹에이전트및정책서버기술과호환되는웹에이전트가포함되어있습니다. 모든 SiteMinder 웹에이전트와마찬가지로 CA SiteMinder for Secure Proxy Server 도 SiteMinder 의개체로구성해야합니다. 또한대상서버에액세스하기위한인증및권한부여요구사항을결정하는정책을생성해야합니다. SiteMinder 개체는 SiteMinder <adminui> 를사용하여구성됩니다. 다음개체를구성할수있습니다. 에이전트 SPS 에포함된웹에이전트에대한설정을사용하여에이전트개체를구성하십시오. 영역을생성할때이웹에이전트를지정하십시오. 사용자디렉터리 사용자를인증하고권한을부여하는사용자디렉터리에대한연결을구성하십시오. 제 12 장 : SiteMinder 와 SPS 통합 223

224 SPS 가 SiteMinder 와상호작용하는방식 정책도메인 영역 규칙 응답 정책 영역, 규칙및정책을포함하는정책도메인을구성하십시오. SiteMinder 로보호할리소스를포함하는영역을구성하십시오. SiteMinder 로보호할특정리소스및작업을식별하는규칙을구성하십시오. 응용프로그램또는 SPS 에정보를반환할수있는응답을구성하십시오. CA SiteMinder for Secure Proxy Server 에반환되는정보는사용자요청의라우팅방식을결정할수있습니다. 사용자및그룹을규칙및응답에바인딩하는정책을구성하십시오. 참고 : SiteMinder 개체를구성하는방법에대한자세한내용은 CA SiteMinder 정책서버구성안내서를참조하십시오. 인증체계고려사항 SiteMinder 는리소스를보호하기위해인증체계를적용합니다. 사용자가 SiteMinder 웹에이전트나 SPS 를통해보호된리소스에액세스하려고하면 SiteMinder 는해당리소스를보호하는인증체계에따라자격증명을요구합니다. 또한 SiteMinder 는각인증체계에보호수준을제공합니다. 보호수준은사용자가다른인증체계로보호되는리소스에액세스하려고할때싱글사인온중에적용됩니다. 이러한경우각인증체계에대한보호수준이동일하거나더낮으면사용자는재인증없이도다른인증체계로보호되는리소스에액세스할수있습니다. 낮은보호수준에서높은보호수준으로이동할때는사용자에게인증이요청됩니다. 높은보호수준에서낮은보호수준으로이동할때는사용자에게재인증이요청되지않습니다. 224 관리안내서

225 SPS 가 SiteMinder 와상호작용하는방식 CA SiteMinder for Secure Proxy Server 가 SiteMinder 와통합된경우 CA SiteMinder for Secure Proxy Server 는 SiteMinder 웹에이전트와유사하게작동합니다. 하지만기본인증을사용하는 CA SiteMinder for Secure Proxy Server 는 CA SiteMinder for Secure Proxy Server 가기본 SessionCookieScheme 체계를사용하여사용자세션을추적하도록구성된경우에만웹에이전트와유사하게작동합니다. CA SiteMinder for Secure Proxy Server 가다른고급세션체계나쿠키를사용하지않는세션체계를사용하도록구성되어있으면사용자가다시인증해야합니다. 싱글사인온은작동하지않습니다. 예를들어보호수준이 5 인기본인증체계가 resource1 및 resource2 라는두리소스를보호하며 CA SiteMinder for Secure Proxy Server 가미니쿠키세션체계또는쿠키를사용하지않는다른세션체계를사용하여사용자세션을추적하도록구성되어있는경우, 사용자가 resource1 에액세스하려고하면 CA SiteMinder for Secure Proxy Server 는요청을 SiteMinder 로전달합니다. SiteMinder 는 resource1 에대한인증체계를확인하고사용자에게자격증명을요청합니다. CA SiteMinder for Secure Proxy Server 는사용자로부터자격증명을수집하고, SiteMinder 에의해인증에성공하면해당사용자가 resource1 에액세스할수있도록합니다. 그런다음사용자가 resource2 에액세스하려고하면 CA SiteMinder for Secure Proxy Server 는요청을 SiteMinder 로전달합니다. SiteMinder 는 resource2 에대한인증체계를확인하고사용자에게자격증명을요청합니다. 이때 CA SiteMinder for Secure Proxy Server 는미니쿠키세션체계를사용하도록구성되어있으므로사용자에게다시인증할것을요청합니다. CA SiteMinder for Secure Proxy Server 가기본 SiteMinder 쿠키세션체계를사용하도록구성되어있으면사용자는다시인증할필요없이 resource2 에액세스할수있습니다. 참고 : 인증체계및해당보호수준에대한자세한내용은 CA SiteMinder Policy Configuration Guide(CA SiteMinder 정책구성안내서 ) 를참조하십시오. 제 12 장 : SiteMinder 와 SPS 통합 225

226 SPS 가 SiteMinder 와상호작용하는방식 프록시관련 WebAgent.conf 설정 엔터프라이즈의 DMZ 뒤에설치된웹에이전트에대한 WebAgent.conf 구성파일에는 SPS 에특정영향을주는여러설정이있습니다. 대상서버의 WebAgent.conf 파일에서수정해야하는설정은다음과같습니다. proxytrust 최적화방법으로 SPS 뒤에있는대상서버웹에이전트에대해 proxytrust 지시문을설정할수있습니다. 다음설정중하나를입력하십시오. yes no proxytimeout 대상서버웹에이전트가 SPS 에의한권한부여를자동으로트러스트합니다. 대상서버웹에이전트가항상인증을요청합니다. 기본값입니다. 대상서버의웹에이전트가 SPS 의요청에사용된싱글사인온토큰을일정시간후만료시키도록합니다. 값을초단위로입력하십시오. 기본값 : 120 초 226 관리안내서

227 SPS 가 SiteMinder 와상호작용하는방식 대상서버웹에이전트와의정책충돌방지 일부배포환경에서 CA SiteMinder for Secure Proxy Server 가프록시트러스트모드에서실행중인경우 CA SiteMinder for Secure Proxy Server 는리소스를한사용자집합으로부터보호하고대상서버의웹에이전트는동일한리소스를다른사용자집합으로부터보호합니다. 다음그림에서는대상서버 2 에고유한웹에이전트가있습니다. 엑스트라넷사용자는 SPS 에서인증되고권한이부여되는반면에인트라넷사용자는대상서버의웹에이전트를통해인증되고권한이부여됩니다. 이경우포함된 CA SiteMinder for Secure Proxy Server 웹에이전트와대상서버의웹에이전트에대한정책이 SiteMinder 정책저장소에있어야합니다. 참고 : 정책을생성할때관리자는정책이서로충돌하지않도록해야합니다. 정책이서로충돌하면 SiteMinder 가원하지않거나예기치않은동작을허용하게될수있습니다. 제 12 장 : SiteMinder 와 SPS 통합 227

228 SPS 가 SiteMinder 와상호작용하는방식 대상서버 2 에포함된리소스에대해정책과그밖의필요한 SiteMinder 개체를올바르게생성하려면 SiteMinder 에다음개체를생성합니다. CA SiteMinder for Secure Proxy Server 웹에이전트 대상서버 2 웹에이전트 CA SiteMinder for Secure Proxy Server 웹에이전트를사용하는영역 대상서버 2 웹에이전트를사용하는영역 CA SiteMinder for Secure Proxy Server 웹에이전트를통해액세스하는리소스에대한규칙 대상서버 2 웹에이전트를통해액세스하는리소스에대한규칙 CA SiteMinder for Secure Proxy Server 웹에이전트리소스에대한정책 대상서버 2 웹에이전트리소스에대한정책 다음그림에서는 CA SiteMinder for Secure Proxy Server 와웹에이전트가모두포함된환경에서호환성모드가사용되는경우단일리소스를보호하려면두정책을어떻게생성해야하는지보여줍니다. 228 관리안내서