CA SiteMinder Federation Standalone Agent for Windows Authentication 안내서 r12.52
도움말시스템및전자적으로배포된매체를포함하는본문서 ( 이하 " 문서 ") 는최종사용자에게정보를제공하기위한것이며, CA 는언제든지본문서를변경또는철회할수있습니다. 본문서는 CA 의재산적정보이며 CA 의사전서면동의없이본문서의전체혹은일부를복사, 전송, 재생, 공개, 수정또는복제할수없습니다. CA 소프트웨어의라이선스를허여받은사용자들은본인및그직원들의해당소프트웨어와관련된내부적인사용을위해 1 부의문서사본을만들수있습니다. 단, 이경우복사본에는 CA 저작권표시및문구일체가기재되어야합니다. 본건문서의사본인쇄또는제작권한은해당소프트웨어의라이선스가전체효력을가지고유효한상태를유지하는기간으로제한됩니다. 어떤사유로인해라이선스가종료되는경우, 귀하는서면으로문서의전체또는일부복사본이 CA 에반환되거나파기되었음을입증할책임이있습니다. CA 는관련법의허용범위내에서, 상품성에대한묵시적보증, 특정목적에대한적합성또는권리위반보호를비롯하여 ( 이에제한되지않음 ) 어떤종류의보증없이본문서를 " 있는그대로 " 제공합니다. CA 는본시스템의사용으로인해발생되는직, 간접손실이나손해 ( 수익의손실, 사업중단, 영업권또는데이터손실포함 ) 에대해서는 ( 상기손실이나손해에대해사전에명시적으로통지를받은경우라하더라도 ) 귀하나제 3 자에게책임을지지않습니다. 본건문서에언급된모든소프트웨어제품의사용조건은해당라이선스계약을따르며어떠한경우에도이문서에서언급된조건에의해라이선스계약이수정되지않습니다. 본문서는 CA 에서제작되었습니다. 본시스템은 " 제한적권리 " 와함께제공됩니다. 미합중국정부에의한사용, 복제또는공개는연방조달규정 (FAR) 제 12.212 조, 제 52.227-14 조, 제 52.227-19(c)(1) 호 - 제 (2) 호및국방연방구매규정 (DFARS) 제 252.227-7014(b)(3) 호또는해당하는경우후속조항에명시된제한사항을따릅니다. Copyright 2013 CA. All rights reserved. 이문서에서언급된모든상표, 상호, 서비스표시및로고는각해당회사의소유입니다. CA 에문의 기술지원팀에문의 온라인기술지원및지사목록, 기본서비스시간, 전화번호에대해서는 http://www.ca.com/worldwide 에서기술지원팀에문의하십시오.
설명서변경사항 CA SiteMinder?Federation Standalone 의이전릴리스에서발견된문제점으로인해 12.52 설명서에서업데이트된내용은없습니다.
목차 제 1 장 : Federation Agent for Windows Authentication 소개 7 CA SiteMinder Federation Standalone Windows Agent 개요... 7 대상사용자... 8 Federation Agent for Windows 사용사례... 8 용어... 10 NTLM 프로토콜... 12 Kerberos 프로토콜... 14 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 17 배포개요... 17 NTLM 모드에대한사전요구사항 (Windows 에만해당 )... 18 Windows 기반 KDC 및 CA SiteMinder Federation Standalone 에서 Kerberos 모드를사용하기위한사전요구사항... 19 Windows 기반 CA SiteMinder Federation Standalone 및 UNIX 기반 KDC 에서 Kerberos 모드를사용하기위한사전요구사항... 19 UNIX 기반 CA SiteMinder Federation Standalone 및 Windows 기반 KDC 에서 Kerberos 모드를사용하기위한사전요구사항... 20 UNIX 시스템기반 KDC 및 CA SiteMinder Federation Standalone 에서 Kerberos 모드를사용하기위한사전요구사항... 20 Windows 에서 NTLM 에대한도메인컨트롤러설정... 21 Windows 에서 Kerberos 에대한도메인컨트롤러설정... 21 UNIX 시스템에서 KDC 구성... 23 Windows 에서 Keytab 파일생성... 23 UNIX 시스템에서 Keytab 파일생성... 24 Windows 에서 Kerberos 에대한추가구성... 25 UNIX 에서 Kerberos 에대한추가구성... 25 로컬인트라넷속성설정... 26 인트라넷인증설정... 27 프록시서버를통한브라우저인증... 27 포트사양... 28 제 3 장 : Federation Agent for Windows Authentication 설치 31 설치요구사항... 31 r12.52 의설치실행파일... 32 목차 5
Federation Agent(Windows) 설치... 32 Federation Agent 설치 (UNIX)... 33 Federation Agent 무인설치... 34 Federation Agent 제거 (Windows)... 35 Federation Agent 제거 (UNIX)... 35 Federation Agent 를 r12.52 로업그레이드... 36 제 4 장 : Federation Agent for Windows Authentication 구성 37 구성마법사에필요한정보... 37 Windows 에서구성마법사실행... 39 UNIX 에서구성마법사실행... 40 무인구성 (Windows)... 40 무인구성 (UNIX)... 41 Federation Agent 구성파일수정 ( 선택사항 )... 42 제 5 장 : 위임된인증구성 45 위임된인증설정... 45 제 6 장 : 문제해결 47 Windows Agent 추적로그파일검토... 47 6 Agent for Windows Authentication 안내서
제 1 장 : Federation Agent for Windows Authentication 소개 이섹션은다음항목을포함하고있습니다. CA SiteMinder Federation Standalone Windows Agent 개요 ( 페이지 7) 대상사용자 ( 페이지 8) Federation Agent for Windows 사용사례 ( 페이지 8) 용어 ( 페이지 10) NTLM 프로토콜 ( 페이지 12) Kerberos 프로토콜 ( 페이지 14) CA SiteMinder Federation Standalone Windows Agent 개요 Federation Agent for Windows Authentication 을사용하는사용자는시스템에 IWA(Windows 통합인증 ) 프로토콜중하나를구현하여비즈니스파트너와페더레이션할수있습니다. 사용자가보호된리소스에대한액세스를요청하면 CA SiteMinder?Federation Standalone 은타사 WAM( 웹액세스관리 ) 시스템의로그온아이덴티티정보를사용합니다. 이와같이타사 WAM 을사용하는프로세스를위임된인증이라고합니다. 페더레이션시스템은요청을 Federation Agent 로리디렉션합니다. Federation Agent 는사용자아이덴티티를확인하고, 개방형식쿠키를생성하고, 쿠키를페더레이션시스템에전달합니다. 그러면페더레이션시스템은 SAML 어설션을생성하여신뢰당사자에게전달합니다. 참고 : 위임된인증에대한자세한내용은 Federation Standalone 안내서를참조하십시오. IWA 는 Windows NTLM(NT LAN Manager) 및 Kerberos 암호화프로토콜을지원합니다. Windows 시스템의 Federation Agent 는 NTLM 또는 Kerberos 를사용할수있습니다. UNIX 시스템의 Windows Agent 는 Kerberos 만사용할수있습니다. 제 1 장 : Federation Agent for Windows Authentication 소개 7
대상사용자 Federation Agent 는 CA SiteMinder?Federation Standalone 이설치된것과동일한 Windows 또는 UNIX 시스템에설치됩니다. 다음제한이적용됩니다. Federation Agent 는 SiteMinder 커넥터를사용하는 CA SiteMinder Federation Standalone 설치환경과호환되지않습니다. SSO( 싱글사인온 ) 요청을실행하는브라우저는페더레이션서버와동일한시스템에있을수없습니다. 대상사용자 CA SiteMinder?Federation Standalone Agent for Windows Authentication 안내서는인증서버설치및관리를담당하는시스템및보안관리자를위한안내서입니다. 관리자는 Windows 통합인증프로토콜 (NTLM 및 Kerberos) 에대한지식이있어야합니다. 페더레이션개념과 CA SiteMinder?Federation Standalone 관리에대해서도잘알고있어야합니다. Federation Agent for Windows 사용사례 위임된인증사용사례에서는 Federation Agent 의작동방식을보여줍니다. 이사용사례에서한백화점은공급업체인 ForwardInc Sporting Goods 의직원에게싱글사인온액세스권한을부여하여특별할인을제공하려고합니다. 이백화점및 ForwardInc Sporting Goods 는페더레이션된파트너관계가있습니다. ForwardInc Sporting Goods 의직원은주로도메인사용자이름과암호를사용하여회사계정에로그인합니다. 직원이이백화점웹사이트를방문할때는인증요청없이 IWA 프로토콜중하나를통해액세스권한을부여받습니다. 8 Agent for Windows Authentication 안내서
Federation Agent for Windows 사용사례 다음그림에서는페더레이션된파트너관계에서 Federation Agent 의역할을보여줍니다. 다이어그램에표시된트랜잭션은다음과같습니다. 1. 사용자가 ForwardInc Sporting Goods 의 WAM( 웹액세스관리 ) 시스템에로그인합니다. 2. 사용자가브라우저를열고신뢰당사자인이백화점의 URL 로이동합니다. 참고 : 브라우저는 CA SiteMinder Federation Standalone 및 Windows Agent 가설치된시스템과동일한시스템에있을수없습니다. 3. 신뢰당사자가어설션당사자로인증요청을보냅니다. 어설션당사자의페더레이션시스템은이파트너관계에대해위임된인증이구성되었음을파악합니다. 4. 페더레이션시스템은이사용자에대한보안컨텍스트의유효성을검사하기위해 Windows Agent 로요청을보냅니다. 제 1 장 : Federation Agent for Windows Authentication 소개 9
용어 5. Windows Agent 는이요청에서유효성검사된정보를추출합니다. 6. Windows Agent 는사용자정보를개방형식쿠키에저장합니다. 7. Windows Agent 는쿠키를페더레이션시스템으로보냅니다. 8. 어설션당사자의페더레이션시스템은사용자정보를추출하여어설션에저장한다음이어설션을신뢰당사자에게전달합니다. 사용자는로그인없이이백화점웹사이트에액세스할수있게됩니다. 용어 이안내서에서는 Windows 인증과관련하여다음과같은용어를사용합니다. 인증서버 (AS) 인증서버는 KDC(Key Distribution Center) 의일부로, 클라이언트의초기인증요청에응답합니다. 사용자가인증되면인증서버는 TGT(Ticket Granting Ticket) 를발급합니다. TGT 를사용하여사용자는암호를다시입력하지않고도다른 Kerberos 서비스티켓을얻을수있습니다. IWA(Windows 통합인증 ) Windows 통합인증은 Windows 클라이언트응용프로그램에사용자로그온자격증명의인증정보를제공합니다. 인증교환에서사용자를식별하지못하는경우브라우저에서 Windows ID 와암호를묻는메시지를표시합니다. Windows 통합인증은표준또는인증프로토콜이아니며 Kerberos 또는 NTLM 프로토콜을사용합니다. Kerberos Kerberos 인증프로토콜을사용하면네트워크를통해안전하게통신할수있습니다. Kerberos 는 MIT(Massachusetts Institute of Technology) 에서발표한무료소프트웨어제품군을의미하기도하며, 이소프트웨어에서는 Kerberos 프로토콜이구현됩니다. Kerberos 는티켓을사용하여사용자아이덴티티를확인합니다. Kerberos 프로토콜메시지는도청및재생공격으로부터보호됩니다. Kerberos 는대칭키암호화를기반으로구축되며트러스트된타사 Key Distribution Center 가필요합니다. 10 Agent for Windows Authentication 안내서
용어 KDC(Key Distribution Center) Keytab NTLM Key Distribution Center 는암호화시스템의일부로, 인증서버및 TGS(Ticket Granting Server) 를포함합니다. Key Distribution Center 의용도는키교환시내재된위험을줄이는것입니다. Key Distribution Center 는일부사용자가특정서비스를특정시점에만사용할수있고그외에는사용할수없는시스템에서작동되는경우가많습니다. Keytab 은 Kerberos 프린서펄과 Kerberos 암호에서파생된암호화된키가쌍으로구성되어있는파일입니다. 이파일은 Key Distribution Center 에로그인하는데사용됩니다. NTLM 은싱글사인온을위한다양한 Microsoft 네트워크구현에서사용되는인증프로토콜입니다. NTLM 은인증을위해챌린지 - 응답메커니즘을사용합니다. 이메커니즘에서는클라이언트가서버에암호를보내지않고자신의아이덴티티를증명합니다. NTLM 은일반적으로유형 1( 협상 ), 유형 2( 챌린지 ) 및유형 3( 인증 ) 이라고하는세가지메시지로구성됩니다. 유형 3 메시지의응답은클라이언트사용자가계정암호를알고있음을서버에증명하는것이므로가장중요합니다. TGT(Ticket Granting Ticket) TGT(Ticket Granting Ticket) 는암호화된작은 ID 파일로, 유효기간이제한되어있습니다. 인증후 KDC 인증서버가데이터트래픽보호를위해이파일을사용자에게발급합니다. TGT 파일에는세션키, 티켓의만료날짜및사용자 IP 주소가포함됩니다. TGS(Ticket Granting Server) Ticket Granting Server 는유효한 TGT 가있는클라이언트에서비스티켓을배포하는 KDC 구성요소입니다. Ticket Granting Server 는응용프로그램서버와마찬가지로티켓을서비스로발급합니다. 제 1 장 : Federation Agent for Windows Authentication 소개 11
NTLM 프로토콜 NTLM 프로토콜 NTLM 에는다양한인증및세션보안프로토콜이포함되어있습니다. NTML 은챌린지 - 응답모델을기반으로하며, 이모델에서는세가지메시지유형이다음과같은순서로교환됩니다. 1. 클라이언트가유형 1 메시지 ( 협상 ) 를서버에보냅니다. 유형 1 메시지는클라이언트가지원하는기능을지정하고서버에요청합니다. 2. 서버가유형 2 메시지 ( 챌린지 ) 를클라이언트에보냅니다. 이메시지의기본기능은클라이언트사용자의아이덴티티를요청하는것입니다. 3. 클라이언트가유형 3 메시지 ( 인증 ) 를서버에보냅니다. 유형 3 메시지는클라이언트사용자의사용자이름및도메인을포함하며유형 2 메시지의챌린지에응답합니다. 다음그림에서는 CA SiteMinder?Federation Standalone 및 Federation Agent for Windows Authentication 이 NTLM 프로토콜을사용하는방법을보여줍니다. 12 Agent for Windows Authentication 안내서
NTLM 프로토콜 다음프로세스에서는앞의다이어그램에있는주석을참조합니다. 1. 어설션당사자의페더레이션시스템에대해인증요청을보냅니다. 2. 페더레이션시스템이이요청을위임된인증요청으로인식하고 Federation Agent 로리디렉션합니다. 3. Federation Agent 가응답을브라우저에다시보냅니다. 4. 브라우저가 IWA 를사용하도록구성된경우브라우저는권한부여헤더의 NTLM 협상토큰 ( 유형 1 메시지 ) 을 Federation Agent 에보냅니다. 5. Federation Agent 가 NTLM 챌린지토큰 ( 유형 2 메시지 ) 을브라우저에보냅니다. 6. 브라우저가 NTLM 인증토큰 ( 유형 3 메시지 ) 을 Federation Agent 에보냅니다. 7. 보안컨텍스트가사용자에연결된경우 Federation Agent 가설정된컨텍스트에서사용자아이덴티티를검색합니다. 8. 에이전트가사용자아이덴티티정보를포함하는개방형식쿠키를생성합니다. 9. Federation Agent 가쿠키를페더레이션시스템으로보냅니다. 10. 페더레이션시스템이어설션을신뢰당사자에게보내페더레이션처리를완료합니다. 제 1 장 : Federation Agent for Windows Authentication 소개 13
Kerberos 프로토콜 Kerberos 프로토콜 다음그림에서는 CA SiteMinder?Federation Standalone 및 Federation Agent 가 Kerberos 프로토콜을사용하는방법을보여줍니다. 다음프로세스에서는앞의다이어그램에있는주석을참조합니다. 1. 어설션당사자의페더레이션시스템에대해인증요청을보냅니다. 페더레이션시스템이이요청을위임된인증요청으로인식합니다. 2. CA SiteMinder Federation Standalone 이 Federation Agent 로리디렉션합니다. 3. Federation Agent 가브라우저에서 HTTP 권한부여를요청합니다. 4. 브라우저가 IWA 를사용하도록구성된경우 SPNEGO 토큰을 Federation Agent 에보냅니다. 이토큰을사용하여이니시에이터와승인자는 Kerberos 를사용할지또는 NTLM 을사용할지협상할수있습니다. 14 Agent for Windows Authentication 안내서
Kerberos 프로토콜 5. Federation Agent 가 SPNEGO 토큰에서 Kerberos 토큰을추출합니다. 6. Kerberos 토큰을통해보안컨텍스트가설정되고나면에이전트가사용자아이덴티티정보를검색합니다. 7. 에이전트가개방형식쿠키를생성하고리디렉션 URL 을작성합니다. 8. Federation Agent 가쿠키를페더레이션시스템으로보냅니다. 9. CA SiteMinder Federation Standalone 이필요한처리를수행하여어설션을신뢰당사자에게보냅니다. 제 1 장 : Federation Agent for Windows Authentication 소개 15
제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 이섹션은다음항목을포함하고있습니다. 배포개요 ( 페이지 17) Windows 에서 NTLM 에대한도메인컨트롤러설정 ( 페이지 21) Windows 에서 Kerberos 에대한도메인컨트롤러설정 ( 페이지 21) UNIX 시스템에서 KDC 구성 ( 페이지 23) Windows 에서 Keytab 파일생성 ( 페이지 23) UNIX 시스템에서 Keytab 파일생성 ( 페이지 24) Windows 에서 Kerberos 에대한추가구성 ( 페이지 25) UNIX 에서 Kerberos 에대한추가구성 ( 페이지 25) 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) 프록시서버를통한브라우저인증 ( 페이지 27) 포트사양 ( 페이지 28) 배포개요 CA SiteMinder?Federation Standalone Windows Agent 의경우선택하는인증프로토콜에따라다음세가지작동모드가있습니다. NTLM 모드 (Windows 에서만지원 ) Kerberos 모드 (Windows 및 UNIX 에서지원 ) NTLM 에대한장애조치가적용되는 Kerberos 모드 (Windows 에서만지원 ) 에이전트구성마법사의첫번째화면에서작동모드를선택합니다. 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 17
배포개요 CA SiteMinder?Federation Standalone Windows Agent 의전체배포프로세스에는다음단계가포함됩니다. 1. 작동모드및운영환경에따라다음과같이다양한시스템사전요구사항을충족해야합니다. Windows 기반에이전트에서 NTLM 사용 ( 페이지 18) Windows 기반에이전트및 Windows 기반 KDC 에서 Kerberos 사용 ( 페이지 19) Windows 기반에이전트및 UNIX 기반 KDC 에서 Kerberos 사용 ( 페이지 19) UNIX 기반에이전트및 Windows 기반 KDC 에서 Kerberos 사용 ( 페이지 20) UNIX 기반에이전트및 UNIX 기반 KDC 에서 Kerberos 사용 ( 페이지 20) 2. CA SiteMinder Federation Standalone Windows Agent 를설치합니다. ( 페이지 31) 3. CA SiteMinder Federation Standalone Windows Agent 를구성합니다. ( 페이지 37) 4. 위임된인증을사용하도록 CA SiteMinder Federation Standalone 서버를구성합니다. ( 페이지 45) NTLM 모드에대한사전요구사항 (Windows 에만해당 ) Windows 를실행하는시스템에서 NTLM 모드를사용하여 CA SiteMinder?Federation Standalone Windows Agent 를설치하기위한사전요구사항은다음과같습니다. Windows 에서 NTLM 에대한도메인컨트롤러를설정합니다 ( 페이지 21). 다음과같은 Internet Explorer 설정을구성합니다. 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) ( 선택사항 ) 프록시서버를통한브라우저인증 ( 페이지 27) ( 선택사항 ) 포트사양 ( 페이지 28) 18 Agent for Windows Authentication 안내서
배포개요 Windows 기반 KDC 및 CA SiteMinder Federation Standalone 에서 Kerberos 모드를사용하기위한사전요구사항 Windows 를실행하는시스템에서 KDC 를구성하고 Kerberos 모드를사용하는 Windows 시스템에서 CA SiteMinder?Federation Standalone Windows Agent 를설치하기위한사전요구사항은다음과같습니다. 1. Windows 에서 Kerberos 에대한도메인컨트롤러를설정합니다 ( 페이지 21). 2. Windows 에서 keytab 파일을생성합니다 ( 페이지 23). 3. Windows 에서 CA SiteMinder Federation Standalone 서버에대한추가 Kerberos 구성을수행합니다. ( 페이지 25) 4. 다음과같은 Internet Explorer 설정을구성합니다. 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) ( 선택사항 ) 프록시서버를통한브라우저인증 ( 페이지 27) ( 선택사항 ) 포트사양 ( 페이지 28) Windows 기반 CA SiteMinder Federation Standalone 및 UNIX 기반 KDC 에서 Kerberos 모드를사용하기위한사전요구사항 UNIX 시스템에서 KDC 를구성하고 Kerberos 모드로 Windows 를실행하는시스템에서 CA SiteMinder?Federation Standalone Windows Agent 를설치하기위한사전요구사항은다음과같습니다. 1. UNIX 시스템에서 CA SiteMinder Federation Standalone 에대한 KDC 를구성합니다. ( 페이지 23) 2. UNIX 시스템에서 keytab 파일을생성합니다 ( 페이지 24). 3. Windows 에서 CA SiteMinder Federation Standalone 서버에대한추가 Kerberos 구성을수행합니다. ( 페이지 25) 4. 다음과같은 Internet Explorer 설정을구성합니다. 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) ( 선택사항 ) 프록시서버를통한브라우저인증 ( 페이지 27) ( 선택사항 ) 포트사양 ( 페이지 28) 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 19
배포개요 UNIX 기반 CA SiteMinder Federation Standalone 및 Windows 기반 KDC 에서 Kerberos 모드를사용하기위한사전요구사항 Windows 시스템에서 KDC 를구성하고 Kerberos 모드로실행되는 UNIX 시스템에서 CA SiteMinder?Federation Standalone Windows Agent 를설치하기위한사전요구사항은다음과같습니다. 1. Windows 에서 Kerberos 에대한도메인컨트롤러를설정합니다. ( 페이지 21) 2. Windows 에서 keytab 파일을생성합니다 ( 페이지 23). 3. UNIX 에서 CA SiteMinder Federation Standalone 서버에대한추가 Kerberos 구성을수행합니다 ( 페이지 25). 4. 다음과같은 Internet Explorer 설정을구성합니다. 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) ( 선택사항 ) 프록시서버를통한브라우저인증 ( 페이지 27) ( 선택사항 ) 포트사양 ( 페이지 28) UNIX 시스템기반 KDC 및 CA SiteMinder Federation Standalone 에서 Kerberos 모드를사용하기위한사전요구사항 UNIX 시스템에서 KDC 를구성하고 Kerberos 모드로실행되는 UNIX 시스템에서 CA SiteMinder?Federation Standalone Windows Agent 를설치하기위한사전요구사항은다음과같습니다. 1. UNIX 시스템에서 CA SiteMinder Federation Standalone 에대한 KDC 를구성합니다 ( 페이지 23). 2. UNIX 시스템에서 keytab 파일을생성합니다 ( 페이지 24). 3. UNIX 에서 CA SiteMinder Federation Standalone 서버에대한추가 Kerberos 구성을수행합니다. ( 페이지 25) 4. 다음과같은 Explorer 설정을구성합니다. 로컬인트라넷속성설정 ( 페이지 26) 인트라넷인증설정 ( 페이지 27) ( 선택사항 ) 프록시서버를통한브라우저인증 ( 페이지 27) ( 선택사항 ) 포트사양 ( 페이지 28) 20 Agent for Windows Authentication 안내서
Windows 에서 NTLM 에대한도메인컨트롤러설정 Windows 에서 NTLM 에대한도메인컨트롤러설정 Windows 2003 SP 1 Active Directory 는 Windows 도메인의주도메인컨트롤러입니다. 이호스트는사용자, 서비스계정, 자격증명및 Windows 도메인서비스에대한저장소를제공합니다. CA SiteMinder?Federation Standalone Windows Agent 는신뢰당사자가보낸 NTML 챌린지메시지에대한 NTLM 응답메시지를생성합니다. 신뢰당사자의서버는챌린지및응답을도메인컨트롤러에전달합니다. 응답은사용자암호의해시를사용하여암호화된챌린지버전입니다. 도메인컨트롤러는암호의동일한해시를사용하여챌린지를암호화하고어설션당사자측에서생성된응답과비교합니다. 일치하는경우인증이완료됩니다. 도메인컨트롤러가신뢰당사자의서버에알려줍니다. NTLM 을사용할때도메인컨트롤러를배포하려면 1. Windows dcpromo 유틸리티를사용하여 Windows 2003 SP 1 서버를도메인컨트롤러로승격합니다. 2. " 관리도구 " 에서 "Active Directory 사용자및컴퓨터 " 대화상자를엽니다. 3. " 사용자계정만들기 " 를선택합니다. 4. 이계정을생성하기위한암호를입력합니다. 5. " 다음로그온할때반드시암호변경 " 옵션을선택취소합니다. NTLM 에대한도메인컨트롤러가배포됩니다. Windows 에서 Kerberos 에대한도메인컨트롤러설정 Kerberos 를사용할경우도메인컨트롤러가 Kerberos 영역의 KDC(Key Distribution Centre) 입니다. 순수한 Windows 2003 환경에서는 Kerberos 영역이 Windows 도메인에해당합니다. 도메인컨트롤러호스트는사용자, 서비스계정, 자격증명, Kerberos 티켓서비스및 Windows 도메인서비스에대한저장소를제공합니다. 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 21
Windows 에서 Kerberos 에대한도메인컨트롤러설정 Kerberos 인증에는 keytab 파일이필요합니다. 이인증에서는사용자에게암호를요구하지않고 KDC 로사용자를인증하여 CA SiteMinder?Federation Standalone 서버에로그온할수있게해줍니다. keytab 파일은 ktpass 유틸리티를사용하여생성합니다. ktpass 명령도구유틸리티는 Windows 지원도구입니다. 기본암호화유형은 RC4-HMAC-NT 입니다. 암호화유형은명령프롬프트에서 ktpass /? 를실행하여확인할수있습니다. Kerberos 버전번호도확인해야합니다. Kerberos 를사용하는경우 Windows 도메인컨트롤러를배포하려면 1. Windows dcpromo 유틸리티를사용하여 Windows 2003 SP 1 서버를도메인컨트롤러로승격합니다. 2. " 관리도구 " 에서 "Active Directory 사용자및컴퓨터 " 대화상자를엽니다. 3. " 사용자계정만들기 " 를선택합니다. 4. 이계정에대한암호를입력합니다. 5. " 다음로그온할때반드시암호변경 " 옵션을선택취소합니다. 6. Windows 2003 워크스테이션계정을서버프린서펄이름 ( 예 : HTTP/IWAConnectorHostName.idp.com@IDP.COM) 과연결합니다. 7. Keytab 파일을생성합니다 ( 페이지 23). 4 단계에서입력한암호를사용하십시오. 8. 어설션당사자의 CA SiteMinder Federation Standalone 서버에서안전한위치로 keytab 파일을복사합니다. 중요! CA SiteMinder Federation Standalone Windows Agent 를구성할때 keytab 이름과전체경로를 "Keytab Location"(Keytab 위치 ) 필드에지정해야합니다. Windows 를실행하는시스템에 Kerberos 에대한도메인컨트롤러가배포됩니다. 22 Agent for Windows Authentication 안내서
UNIX 시스템에서 KDC 구성 UNIX 시스템에서 KDC 구성 Kerberos KDC(Key Distribution Center) 를호스트하는 UNIX 서버는 CA SiteMinder?Federation Standalone 서버를지원하도록구성해야합니다. UNIX KDC 서버에서 CA SiteMinder Federation Standalone 을구성하려면 1. 명령프롬프트창을엽니다. 2. 명령줄프롬프트에다음명령을입력합니다. usr/sbin/kadmin.local 3. 다음명령으로 CA SiteMinder Federation Standalone 시스템서비스프린서펄이름을추가합니다. addprinc -pw <password> HTTP/AgentHost Name.domainname.com@DOMAINNAME.COM 4. Keytab 파일을생성합니다. ( 페이지 24) 5. quit 를입력합니다. UNIX KDC 서버에서 CA SiteMinder?Federation Standalone 구성이완료되었습니다. Windows 에서 Keytab 파일생성 Kerberos 인증에는 keytab 파일이필요합니다. Keytab 파일은 Windows 시스템이나 UNIX 시스템에서생성할수있습니다. Windows 에서 keytab 파일을생성하려면 1. 명령프롬프트창을엽니다. 2. 다음명령을입력합니다. ktpass -out output_keytab_location -princ SPN_name -ptype KRB5_NT_PRINCIPAL -mapuser username -pass password Keytab 파일이생성됩니다. 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 23
UNIX 시스템에서 Keytab 파일생성 예를들면다음과같습니다. ktpass -out c:\workstation.keytab -princ HTTP/ IWAConnectorHostName.idp.com@IDP.COM -ptype KRB5_NT_PRINCIPAL -mapuser testkrb -pass password Targeting domain controller: winkdc.idp.com Using legacy password setting method Successfully mapped HTTP/ IWAConnectorHostName.idp.com to testkrb. Key created. Output keytab to c:\workstation.keytab: Keytab version: 0x502 keysize 67 HTTP/ IWAConnectorHostName.idp.com@IDP.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype 0x17 (RC4-HMAC) keylength 16 (0xfd77a26f1f5d61d1fafd67a2d88784c7) UNIX 시스템에서 Keytab 파일생성 Kerberos 인증에는 keytab 파일이필요합니다. Keytab 파일은 Windows 시스템이나 UNIX 시스템에서생성할수있습니다. UNIX 시스템에서 keytab 파일을생성하려면 1. 명령프롬프트창을엽니다. 2. 다음명령을입력합니다. ktadd -k output_keytab_location SPN name Keytab 파일이생성됩니다. 24 Agent for Windows Authentication 안내서
Windows 에서 Kerberos 에대한추가구성 Windows 에서 Kerberos 에대한추가구성 Windows 에서 Kerberos 를사용할경우 CA SiteMinder?Federation Standalone 서버에서다음작업을수행해야합니다. Kerberos 구성파일 (krb5.ini) 을구성하고 krb5.ini 를 Windows 시스템루트경로에넣습니다. a. Windows 2003 도메인컨트롤러를사용하도록 Windows 2003 Kerberos 영역 ( 도메인 ) 에대한 KDC 를구성합니다. b. 워크스테이션프린서펄의자격증명이포함된 Windows 2003 KDC keytab 파일을사용하도록 krb5.ini 를구성합니다. [libdefaults] default_realm = IDP.COM default_keytab_name = C:\WINDOWS\krb5.keytab default_tkt_enctypes = des-cbc-md5 rc4-hmac default_tgs_enctypes = des-cbc-md5 rc4-hmac [realms] IDP.COM = { kdc = winkdc.idp.com:88 default_domain = IDP.COM } [domain_realm].idp.com = IDP.COM krb5.ini 에대해설명한대로 Windows 2003 KDC keytab 파일을안전한위치에배포합니다. UNIX 에서 Kerberos 에대한추가구성 Kerberos 를구성하려면 UNIX 시스템의 CA SiteMinder?Federation Standalone 서버에대해다음명령이필요합니다. scp root@kdc system name:/etc/krb/krb.conf cat krb.profile kclient -p krb.profile Kerberos 인증을사용하도록 UNIX 시스템이구성되었습니다. 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 25
로컬인트라넷속성설정 로컬인트라넷속성설정 Internet Explorer 가싱글사인온배포에서작동하려면몇가지특정설정이필요합니다. 브라우저를설정하려면로컬인트라넷속성과인트라넷인증을구성해야합니다. 이러한설정은사용하는인증프로토콜이 Kerberos 이든 NTLM 이든상관없이적용됩니다. 로컬인트라넷속성을구성하려면 1. Internet Explorer 브라우저를엽니다. 2. Internet Explorer 메뉴표시줄에서 " 도구 " 를선택합니다. 3. 드롭다운메뉴에서 "Internet 옵션 " 을선택합니다. 4. " 보안 " 탭을클릭합니다. 5. " 로컬인트라넷 " 단추를클릭합니다. 6. " 사이트 " 단추를클릭합니다. 7. " 프록시서버를사용하지않는사이트를모두포함 " 확인란이선택되어있는지확인합니다. 8. " 고급 " 단추를클릭합니다. 9. 인트라넷에서사용되는모든도메인이름을입력합니다 ( 예 : AgentHostName.domainname.com). 10. " 고급 " 탭을선택합니다. 11. " 보안 " 섹션으로스크롤합니다. 12. " 통합된 Windows 인증사용 ( 다시시작해야함 )" 을선택합니다. 13. 시스템을다시시작합니다. 14. " 확인 " 을클릭합니다. 로컬인트라넷속성이구성되었습니다. 26 Agent for Windows Authentication 안내서
인트라넷인증설정 인트라넷인증설정 싱글사인온솔루션으로작동하려면 Internet Explorer 에대한몇가지특정설정이필요합니다. 이러한클라이언트브라우저설정에서는인트라넷환경을사용한다고가정합니다. 브라우저를설정하려면로컬인트라넷속성과인트라넷인증을구성해야합니다. 인트라넷인증설정을구성하려면 1. Internet Explorer 브라우저를엽니다. 2. Internet Explorer 메뉴표시줄에서 " 도구 " 메뉴를선택합니다. 3. 드롭다운메뉴에서 "Internet 옵션 " 을선택합니다. 4. " 보안 " 탭을클릭합니다. 5. " 로컬인트라넷 " 단추를클릭합니다. 6. " 사용자지정수준 " 단추를클릭합니다. 7. " 보안 " 탭을선택합니다. 8. 아래로스크롤하여 " 사용자인증 " 섹션을찾습니다. 9. " 인트라넷영역에서만자동으로로그온 " 을선택합니다. 10. " 확인 " 을클릭합니다. 사용자가인트라넷영역에서인증됩니다. 프록시서버를통한브라우저인증 CA SiteMinder?Federation Standalone 어설션당사자와동일한 CA SiteMinder?Federation Standalone Windows Agent 서버와브라우저사이에프록시서버를삽입하는경우인증이더이상작동하지않습니다. 이경우상대도메인이름을사용하는모든 URL 이프록시서버를통과하지않도록구성해야합니다. CA SiteMinder Federation Standalone Windows Agent 를사용하는경우프록시설정을구성하려면 1. Internet Explorer 브라우저를엽니다. 2. Internet Explorer 메뉴표시줄에서 " 도구 " 메뉴를선택합니다. 3. 드롭다운메뉴에서 "Internet 옵션 " 을선택합니다. 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 27
포트사양 4. " 고급 " 탭을클릭합니다. 5. 아래로스크롤하여 " 보안 " 섹션을찾습니다. 6. " 통합된 Windows 인증사용 " 이선택되어있는지확인합니다. 7. " 연결 " 탭을클릭합니다. 8. "LAN 설정 " 단추를클릭합니다. 9. 프록시서버주소와포트번호가올바른지확인합니다. 10. " 고급 " 단추를클릭합니다. 11. " 예외 " 필드에관련도메인이름을나열합니다. 12. " 확인 " 을클릭합니다. 브라우저가지정된도메인에대해프록시서버를건너뛰도록구성됩니다. 포트사양 CA SiteMinder?Federation Standalone Windows Agent 와도메인컨트롤러사이에방화벽이있는구성의경우다음과같은정적포트를열어통신을허용해야합니다. Microsoft-DS 트래픽 (445/tcp, 445/udp) LDAP(Lightweight Directory Access Protocol) ping(389/udp) DNS(Domain Name System)(53/tcp, 53/udp) Kerberos 인증프로토콜 (88/tcp, 88/udp) NetBIOS 데이터그램서비스 (138/tcp, 138/udp) NetBIOS-ns 서비스 (137/tcp, 137/udp) epmap(135/tcp, 135/udp) 28 Agent for Windows Authentication 안내서
포트사양 또한다음로컬보안기관 (LSA) 포트는동적포트이므로레지스트리항목을수정하여정적으로만들어야합니다. Local Security Authority Service(NTDS)(1025/tcp, 1025/udp): NTLM 에필요한구성가능한포트 Local Security Authority Service(NetLogin)(1026/tcp, 1026/udp): Kerberos 에필요한구성가능한포트 LSA 포트에대한자세한내용은다음사이트를참조하십시오. http://support.microsoft.com/kb/224196/ 제 2 장 : Federation Agent for Windows 에대한배포사전요구사항 29
제 3 장 : Federation Agent for Windows Authentication 설치 이섹션은다음항목을포함하고있습니다. 설치요구사항 ( 페이지 31) r12.52 의설치실행파일 ( 페이지 32) Federation Agent(Windows) 설치 ( 페이지 32) Federation Agent 설치 (UNIX) ( 페이지 33) Federation Agent 무인설치 ( 페이지 34) Federation Agent 제거 (Windows) ( 페이지 35) Federation Agent 제거 (UNIX) ( 페이지 35) Federation Agent 를 r12.52 로업그레이드 ( 페이지 36) 설치요구사항 다음설치요구사항을고려하십시오. CA SiteMinder Federation Standalone Windows Agent 는 CA SiteMinder Federation Standalone 이이미설치되어있는시스템에설치해야합니다. CA SiteMinder Federation Standalone 이 SiteMinder 커넥터를사용하는시스템에는 CA SiteMinder Federation Standalone Windows Agent 를설치하지마십시오. 중요! r12.52 로업그레이드할때 Agent for Windows Authentication 이설치되어있는경우에는에이전트를 CA SiteMinder Federation Standalone 과동일한버전으로업그레이드하십시오. 그렇지않으면에이전트가제대로작동하지않습니다. 제 3 장 : Federation Agent for Windows Authentication 설치 31
r12.52 의설치실행파일 r12.52 의설치실행파일 다음표에는 Agent for Windows Authentication 에대한설치실행파일이나와있습니다. 표는플랫폼별로구성되어있습니다. 참고 : 설치실행파일과폴더이름에포함된 iwa 문자열은 Windows 통합인증기술에대한지원을나타냅니다. 플랫폼 Solaris Linux Windows 설치실행파일 ca-fedmgr-iwa-r12.52-sol.bin ca-fedmgr-iwa-r12.52-rhel30.bin ca-fedmgr-iwa-r12.52-win32.exe 지원되는운영체제에대한자세한내용은기술지원사이트의제품 "Platform Support Matrix"( 플랫폼지원표 ) 를참조하십시오. Federation Agent(Windows) 설치 기술지원사이트에있는실행파일을통해 Federation Agent for Windows Authentication 설치관리자를실행할수있습니다. 설치키트를찾으려면 1. 기술지원사이트로이동합니다. 2. 사이트에로그온합니다. 3. "Download Center"( 다운로드센터 ) 를클릭합니다. 4. "Download Center"( 다운로드센터 ) 에서설치키트를검색하고로컬시스템으로다운로드합니다. Windows 에서에이전트를설치하려면 1. 실행중인응용프로그램을모두종료합니다. 2. 설치실행파일이있는위치로이동합니다. 3. 운영플랫폼의설치실행파일을실행합니다. 실행파일목록은여기를참조하십시오. 설치마법사가시작됩니다. 32 Agent for Windows Authentication 안내서
Federation Agent 설치 (UNIX) 4. 설치마법사의지시에따릅니다. Windows Agent 가시스템에설치됩니다. 5. 설치가완료되면구성마법사 ( 페이지 39) 를실행합니다. Federation Agent 설치 (UNIX) 기술지원사이트에있는실행파일을통해 Federation Agent for Windows Authentication 설치관리자를실행할수있습니다. 설치키트를찾으려면 1. 기술지원사이트로이동합니다. 2. 사이트에로그온합니다. 3. "Download Center"( 다운로드센터 ) 를클릭합니다. 4. "Download Center"( 다운로드센터 ) 에서설치키트를검색하고로컬시스템으로다운로드합니다. UNIX 시스템에서에이전트를설치하려면 1. 실행중인응용프로그램을모두종료합니다. 2. 설치실행파일이있는위치로이동합니다. 3. 운영플랫폼의설치실행파일을실행합니다. 실행파일목록은여기를참조하십시오. 설치마법사가시작됩니다. 4. 설치마법사의지시에따릅니다. Windows Agent 가시스템에설치됩니다. 5. 설치가완료되면구성마법사를실행합니다. 제 3 장 : Federation Agent for Windows Authentication 설치 33
Federation Agent 무인설치 Federation Agent 무인설치 Federation Agent 를수동으로설치한후에는동일한시스템이나다른시스템에서무인설치모드를사용하여에이전트를설치할수있습니다. 무인설치에서는속성파일을가리키는하나의명령을사용합니다. 기본속성템플릿파일을요구사항에맞게수정할수있습니다. 무인설치프로세스는모든플랫폼에서동일합니다. 실행파일이름만다릅니다. 다음단계를수행하십시오. 1. 설치실행파일이있는디렉터리로이동합니다. 설치실행파일목록은여기를참조하십시오. 2. 명령프롬프트에다음명령을입력합니다. installation_executable -i silent -f ca-fedmanager-iwa-installer.properties -f -i Windows Agent 설치관리자속성파일의이름을지정합니다. 속성파일이설치실행파일과동일한디렉터리에없는경우속성파일의상대경로를지정합니다. 설치모드를지정합니다. 설치가실행되고설정이속성파일에기록됩니다. 무인설치가완료되었습니다. 34 Agent for Windows Authentication 안내서
Federation Agent 제거 (Windows) Federation Agent 제거 (Windows) Windows 시스템에서 Federation Agent 가더이상필요하지않은경우제거할수있습니다. 다음단계를수행하십시오. 1. " 시작 ", " 모든프로그램 ", "CA", "Federation Standalone", "CA SiteMinder Federation Standalone Windows Authentication Agent 제거 " 를선택합니다. 마법사가시작됩니다. 2. 마법사의지시를따릅니다. 3. 필요한경우 Program Files\CA\Federation Standalone\connector 디렉터리로이동하고 IWA 폴더와하위폴더를모두삭제합니다. 4. 시스템을재부팅합니다. Federation Agent for Windows Authentication 이시스템에서제거되었습니다. Federation Agent 제거 (UNIX) UNIX 시스템에서 Windows Agent 가더이상필요하지않은경우제거할수있습니다. 다음단계를수행하십시오. 1. 명령창을엽니다. 2. Federation Agent for Windows Authentication 홈디렉터리로이동합니다. 3. 다음명령을입력합니다../ca-federation-iwa-uninstall.sh 4. 필요한경우나머지폴더와모든하위폴더를삭제합니다. Federation Agent 가시스템에서제거되었습니다. 제 3 장 : Federation Agent for Windows Authentication 설치 35
Federation Agent 를 r12.52 로업그레이드 Federation Agent 를 r12.52 로업그레이드 설치프로그램은현재사용중인 Federation Agent for Windows Authentication 버전을업그레이드할수도있습니다. CA SiteMinder?Federation Standalone 이이미설치되어있는시스템에 Federation Agent 를설치해야합니다. 중요! Federation Agent 는 CA SiteMinder Federation Standalone 의버전과동일해야합니다. CA SiteMinder Federation Standalone 을업그레이드하는경우 Federation Agent 가설치되어있으면 Federation Agent 를업그레이드하십시오. 그렇지않으면에이전트가제대로작동하지않습니다. 다음단계를수행하십시오. 1. 기본페더레이션시스템의버전이업그레이드할 Federation Agent 의버전과동일한지확인합니다. 그렇지않으면먼저 CA SiteMinder Federation Standalone 을업그레이드합니다. 2. 운영플랫폼의 Windows Agent 설치실행파일을실행합니다. 실행파일목록은여기를참조하십시오. 추가구성이필요하지않습니다. 3. 구성마법사 ( 페이지 37) 를실행합니다. 36 Agent for Windows Authentication 안내서
제 4 장 : Federation Agent for Windows Authentication 구성 이섹션은다음항목을포함하고있습니다. 구성마법사에필요한정보 ( 페이지 37) Windows 에서구성마법사실행 ( 페이지 39) UNIX 에서구성마법사실행 ( 페이지 40) 무인구성 (Windows) ( 페이지 40) 무인구성 (UNIX) ( 페이지 41) Federation Agent 구성파일수정 ( 선택사항 ) ( 페이지 42) 구성마법사에필요한정보 Federation Agent 를설치한후구성마법사를실행하십시오. Windows 시스템에서는인증프로토콜 (Kerberos 또는 NTLM) 을선택하십시오. UNIX 시스템에서는 Kerberos 프로토콜만지원됩니다. 참고 : 구성실행파일과폴더이름에포함된 iwa 문자열은 Windows 통합인증기술에대한지원을나타냅니다. NTLM 및 Kerberos 구성에는다음매개변수가필요합니다. 중요! 이러한매개변수의값은 CA SiteMinder?Federation Standalone 관리 UI 의배포설정에지정된값과일치해야합니다. Federation Agent 를구성하기전에먼저 CA SiteMinder?Federation Standalone 관리자에서이러한설정값을확인하십시오. 쿠키영역 싱글사인온보안영역이름을지정합니다. 기본값 : FED 값 : 영문자문자열 제 4 장 : Federation Agent for Windows Authentication 구성 37
구성마법사에필요한정보 쿠키이름 개방형식쿠키의이름을지정합니다. 기본값 : "" 값 : 영문자문자열 암호화암호 쿠키를암호화할키를파생시키는암호를지정합니다. 기본값 : "" 값 : 영숫자문자열 Encryption Transformation type( 암호화변환유형 ) FIPS 호환암호화변환을지정합니다. 기본값 : AES128/CBC/PKCS5Padding 제한 : AES128/CBC/PKCS5Padding, AES192/CBC/PKCS5Padding, AES256/CBC/PKCS5Padding, 3DES_EDE/CBC/PKCS5Padding UseHMAC HMAC( 해시메시지인증코드 ) 를사용할지여부를지정합니다. 기본값 : false 제한 : true 또는 false 참고 : Windows 를실행하는시스템에서 Kerberos 인증프로토콜을선택한경우선택적으로 NTLM 을장애조치옵션을선택할수있습니다. Kerberos 프로토콜을지정할경우다음매개변수에대한값을제공하십시오. KDC 주소 KDC(Key Distribution Center) 의정규화된도메인이름을지정합니다. KDC realm(kdc 영역 ) KDC 가있는시스템의도메인이름을지정합니다. 38 Agent for Windows Authentication 안내서
Windows 에서구성마법사실행 Keytab location(keytab 위치 ) Keytab 파일의경로를지정합니다. 이파일은 KDC 시스템에서생성된후 Federation Agent 가설치된시스템으로이동됩니다. 프린서펄 서비스인스턴스를고유하게식별하는 SPN( 서비스프린서필이름 ) 을지정합니다 ( 예 : HTTP/host.abc.com). HTTP 는서비스이름이고 host.abc.com 은서비스가있는호스트의이름입니다. Keytab 위치및프린서펄매개변수는 login.conf 파일에기록됩니다. 다른매개변수는 IWAConnectorConfig.conf 파일에기록됩니다. 참고 : login.conf 파일을검토하는경우 isinitiator 매개변수값을변경하지마십시오. Windows 에서구성마법사실행 설치후 Federation Agent for Windows Authentication 에대한구성마법사를실행하십시오. 이마법사에서는인증프로토콜및쿠키사양과관련된매개변수의값을설정합니다. 다음단계를수행하십시오. 1. 실행중인응용프로그램을모두종료합니다. 2. 구성명령파일이있는다음위치로이동합니다. federation_installation_dir\connectors\iwa 3. ca-fedmanager-iwa-config.cmd 를두번클릭합니다. 구성마법사가시작됩니다. 4. 마법사에서제공되는지시에따릅니다. 구성이완료되었습니다. 제 4 장 : Federation Agent for Windows Authentication 구성 39
UNIX 에서구성마법사실행 UNIX 에서구성마법사실행 CA SiteMinder?Federation Standalone Windows Agent 의구성마법사는인증프로토콜및쿠키사양과관련된매개변수값을설정합니다. 구성마법사를실행하여설치프로세스를완료하십시오. 다음단계를수행하십시오. 1. 실행중인응용프로그램을모두종료합니다. 2. 구성명령파일이있는다음위치로이동합니다. federation_installation_dir/connectors/iwa 3. ca-fedmanager-iwa-config.sh 스크립트를실행합니다. 구성마법사가시작됩니다. 4. 마법사의지시에따라구성을완료합니다. 5. 에이전트가제대로작동하도록다음스크립트의경로를수정합니다.. /federation_install_dir/connectors/iwa/ca_fedmgr_iwa_env.ksh 6. 다음과같이 CA SiteMinder Federation Standalone 서비스를다시시작합니다. a. 명령창을엽니다. b. 다음스크립트를실행합니다. federation_install_dir/fedmanager.sh stop federation_install_dir/fedmanager.sh start 참고 : 서비스를중지했다가루트사용자로시작하지마십시오. 루트가아닌사용자여야합니다. 무인구성 (Windows) 마법사를사용하여 Federation Agent 를한번구성한후에는동일한시스템이나다른시스템에서무인모드를사용하여 Federation Agent 를구성할수있습니다. 무인모드구성에서는속성파일을가리키는하나의명령을사용합니다. 구성속성을요구사항에맞게수정할수있습니다. 40 Agent for Windows Authentication 안내서
무인구성 (UNIX) 다음단계를수행하십시오. 1. 구성실행파일이있는다음디렉터리로이동합니다. federation_installation_dir\connectors\iwa\install_config_info 2. 명령프롬프트에다음명령을입력합니다. ca-fedmanager-iwa-confg.bin i-silent -f ca-fedmanager-iwa-config.properties -f -i Federation Agent 구성속성파일의이름을지정합니다. 속성파일이실행파일과동일한디렉터리에없는경우속성파일의상대경로를지정합니다. 구성모드를지정합니다. 무인모드의경우값은 silent 입니다. 무인구성이완료되었습니다. 무인구성 (UNIX) 마법사를사용하여 Federation Agent 를한번구성한후에는동일한시스템이나다른시스템에서무인모드를사용하여 Federation Agent 를구성할수있습니다. 무인모드구성에서는속성파일을가리키는하나의명령을사용합니다. 구성속성파일을요구사항에맞게수정할수있습니다. 제 4 장 : Federation Agent for Windows Authentication 구성 41
Federation Agent 구성파일수정 ( 선택사항 ) 다음단계를수행하십시오. 1. 구성실행파일이있는다음디렉터리로이동합니다. federation_installation_dir/connectors/iwa/install_config_info 2. 명령프롬프트에다음명령을입력합니다. ca-fedmanager-iwa-confg.bin i-silent -f ca-fedmanager-iwa-config.properties -f -i Federation Agent 구성속성파일의이름을지정합니다. 속성파일이실행파일과동일한디렉터리에없는경우속성파일의상대경로를지정합니다. 구성모드를지정합니다. 무인모드의경우값은 silent 입니다. 무인구성이완료되었습니다. Federation Agent 구성파일수정 ( 선택사항 ) 구성마법사를실행한후에는지정한값이 IWAConnectorConfig.conf 파일에기록됩니다. 언제든마법사를다시실행하여거의모든매개변수값을수정할수있습니다. 몇몇매개변수값은구성마법사에서설정되지않습니다. 다음값을업데이트하려면파일을직접수정하십시오. context_cleanup_interval 정리스레드가만료된컨텍스트의삭제를시작하는간격을지정합니다. 이값을줄이면정리간격이짧아지므로메모리가용성이향상됩니다. 기본값 : 30,000 밀리초 제한 : 불완전한요청이많이발생할것으로예상되는경우작은값을사용하는것이좋습니다. 42 Agent for Windows Authentication 안내서
Federation Agent 구성파일수정 ( 선택사항 ) context_expiration_interval 컨텍스트가만료되기까지의시간을지정합니다. NTLM 의경우컨텍스트가최대 1 분동안유효합니다. 기본값 : 60,000 밀리초 제한 : 이매개변수값은 1 분미만으로설정할수없습니다. 값이크면오래된컨텍스트가정리되지않을수있습니다. context_cleanup_thread_priority 컨텍스트정리스레드의우선순위를지정합니다. 기본값 : 5 제한 : 불완전한요청이많이발생할것으로예상되는경우우선순위를높게지정하는것이좋습니다. 제 4 장 : Federation Agent for Windows Authentication 구성 43
제 5 장 : 위임된인증구성 이섹션은다음항목을포함하고있습니다. 위임된인증설정 ( 페이지 45) 위임된인증설정 Federation Agent 는 CA SiteMinder?Federation Standalone 과함께작동하므로사용자는 IWA 컨텍스트에서인증을수행할수있습니다. Federation Agent 는타사인증서비스로작동하므로위임된인증을사용하도록 CA SiteMinder?Federation Standalone 을구성하십시오. 다음단계를수행하십시오. 1. 관리 UI 에로그인합니다. 2. 편집할 SAML 1.1 또는 SAML 2.0 파트너관계를선택합니다. 생산자 -> 소비자파트너관계또는 IdP -> SP 파트너관계를편집해야합니다. 3. 파트너관계마법사에서다음단계중하나로이동합니다. SAML1.1: 싱글사인온 SAML 2.0: SSO 및 SLO 4. " 인증모드 " 를 " 위임됨 " 으로설정합니다. 제 5 장 : 위임된인증구성 45
위임된인증설정 5. " 위임된인증유형 " 을 " 개방형식쿠키 " 로설정합니다. 다음정보에주의하십시오. Federation Agent 에는개방형식쿠키를기반으로하는위임된인증이필요합니다. SiteMinder 커넥터를사용하도록 CA SiteMinder Federation Standalone 을구성한경우에는이옵션을사용할수없습니다. Federation Agent 구성시지정한쿠키설정값은관리 UI 의배포설정값과일치해야합니다. 6. 위임된인증 URL 을입력합니다. 예 : http://hostname:portnum/iwa/iwaredirect 위임된인증이사용되도록설정되었습니다. 참고 : 위임된인증에대한자세한내용은 CA SiteMinder Federation Standalone 안내서를참조하십시오. 46 Agent for Windows Authentication 안내서
제 6 장 : 문제해결 이섹션은다음항목을포함하고있습니다. Windows Agent 추적로그파일검토 ( 페이지 47) Windows Agent 추적로그파일검토 추적로그파일인 IWAConnectorTrace.log 를참조하여 Federation Agent 문제를해결할수있습니다. 추적로그파일을설정하려면 1. %FEDROOT%\connectors\IWA\Config\login.conf 로이동합니다. 2. login.conf 파일을열고다음과같이변경합니다. debug=true 3. 페더레이션서비스를다시시작합니다. 로그파일이 %FEDROOT%\logs\connectors\IWA\IWAConnectorTrace.log 디렉터리에기록됩니다. 로그파일에는다음과같은메시지가포함되어있을수있습니다. 증상 구성파일을찾을수없습니다. 해결방법 IWAConnectorConfig.conf 파일이 federation_install_dir\connectors\iwa\config 폴더에있는지확인하십시오. 증상 잘못된 authtype 을지정했습니다. 해결방법 인증유형이 NTLM 또는 Kerberos 로지정되어있는지확인하십시오. 필요한경우구성마법사를다시실행하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 제 6 장 : 문제해결 47
Windows Agent 추적로그파일검토 증상 Windows 가아닌플랫폼에서는 NTLM 이지원되지않습니다. 해결방법 구성마법사를다시실행하고 Kerberos 를인증유형으로지정하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 증상 IWAEncryptPassword 유틸리티를사용하여암호를암호화해야합니다. 해결방법 구성마법사를다시실행하고암호를입력하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 증상 AuthType 은비워둘수없습니다. 해결방법 구성마법사를다시실행하고인증유형을선택하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 증상 암호화키는비워둘수없습니다. 해결방법 구성마법사를다시실행하고암호화키를선택하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 증상 잘못된암호화변환을지정했습니다. 해결방법 구성마법사를다시실행하고다른암호화변환을지정하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 48 Agent for Windows Authentication 안내서
Windows Agent 추적로그파일검토 증상 잘못된 HMAC 값을지정했습니다. true 또는 false 만지정할수있습니다. 해결방법 구성마법사를다시실행하고 true 또는 false 를선택하여 HMAC 를사용할지여부를지정하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 증상 Kerberos 구성이잘못되었습니다. 해결방법 다음매개변수가올바로지정되어있는지확인하십시오. Kerberos 영역 KDC 주소 Kerberos 구성파일위치 (login.conf 파일 ) 필요한경우구성마법사를다시실행하십시오. 구성파일을수동으로편집하여이러한값을변경하지마십시오. 증상 컨텍스트만료간격은 1 분미만으로설정할수없습니다. 해결방법 구성마법사를다시실행하고컨텍스트만료간격을 1 분이상으로지정하십시오. 구성파일을수동으로편집하여이값을변경하지마십시오. 제 6 장 : 문제해결 49
Windows Agent 추적로그파일검토 증상 구성이잘못되었습니다. 서버가초기화되지않았습니다. 해결방법 다음값이올바로지정되어있는지확인하십시오. 인증유형 암호화키 암호화변환 Kerberos 영역 KDC 주소 Kerberos 구성파일위치 (login.conf 파일 ) 필요한경우구성마법사를다시실행하십시오. 구성파일을수동으로편집하여이러한값을변경하지마십시오. 증상 요청이 IP 주소로시작되었으므로요청을중단합니다. 해결방법 SSO 요청이항상정규화된도메인이름으로시작되는지확인하십시오. 증상 Kerberos 를초기화하지못했습니다. 구성매개변수를확인하십시오. 해결방법 다음값이올바로지정되어있는지확인하십시오. 인증유형 암호화키 암호화변환 Kerberos 영역 KDC 주소 Kerberos 구성파일위치 (login.conf 파일 ) 필요한경우구성마법사를다시실행하십시오. 구성파일을수동으로편집하여이러한값을변경하지마십시오. 50 Agent for Windows Authentication 안내서
Windows Agent 추적로그파일검토 증상 쿠키를찾을수없습니다. 만료되었거나삭제되었습니다. 해결방법 이러한내용의메시지는브라우저가잘못구성된경우에나타납니다. NTLM 에대한브라우저구성이완료되었으며쿠키를사용할수있는지확인하십시오. 증상 NTLM 자격증명쿠키를찾을수없습니다. 해결방법 이러한내용의메시지는브라우저가잘못구성된경우에나타납니다. NTLM 에대한브라우저구성이완료되었으며쿠키를사용할수있는지확인하십시오. 증상 사용자도메인또는워크스테이션정보를찾을수없습니다. 해결방법 이러한내용의메시지는 NTLM 유형 3 메시지에도메인이름또는워크스테이션이름이없는경우에나타납니다. 해당유형의메시지가변경되지않았는지확인하십시오. 증상 사용자가도메인정보를입력하지않았습니다. 해결방법 NTLM 인증에대한브라우저구성이완료되었는지확인하십시오. 프롬프트기반인증을사용하는경우사용자이름과함께도메인이름을제공해야합니다. 제 6 장 : 문제해결 51
Windows Agent 추적로그파일검토 증상 Keytab keytab_path 의키를사용하여 SPN_Name 프린서펄을 KDC KDC_address 에인증하려고할때인증이실패했습니다. 해결방법 다음매개변수가올바른지확인하십시오. 프린서펄이름 KDC 주소 Keytab 경로 증상 사용자이름을찾을수없습니다. 브라우저가페더레이션서버가아닌다른시스템에있는지확인하십시오. 해결방법 SSO 요청이항상어설션당사자의페더레이션서버가아닌다른시스템에서발생하는지확인하십시오. 52 Agent for Windows Authentication 안내서