PostgreSQL 서버 정책 저장소 구성
목차
sm1252sp1kkr
목차
사전 요구 사항
- 데이터를 포함하는 PostgreSQL 데이터베이스 인스턴스를 정책 서버 시스템에서 액세스할 수 있는지 확인하십시오.
- 데이터 저장소에 대한 데이터베이스 인스턴스를 만드십시오.예:smdatastore
다음 단계를 수행하십시오.
- PostgreSQL 데이터베이스 정보를 수집합니다.
- 스키마를 만듭니다.
- 다음과 같이 운영 플랫폼에 대한 PostgreSQL 데이터 원본을 구성합니다.Windows:PostgreSQL 데이터 원본을 생성합니다.UNIX:- UNIX 시스템에서 PostgreSQL 데이터 원본을 생성합니다. - PostgreSQL 유선 프로토콜 드라이버를 구성합니다.
- 정책 서버를 데이터베이스에 연결합니다.
- 슈퍼 사용자 암호 설정
- 정책 저장소 데이터 정의를 가져옵니다.
- 기본 정책 개체를 가져옵니다.
- 정책 서버를 다시 시작합니다.
- 관리 UI 등록을 준비합니다.
PostgreSQL 데이터베이스 정보 수집
단일 PostgreSQL 서버 데이터베이스를 정책 저장소나 다른 유형의 데이터 저장소로 구성하려면 특정 데이터베이스 정보가 필요합니다.
정책 또는 데이터 저장소를 구성하기 전에 다음 정보를 수집하십시오.
- 데이터베이스 인스턴스 이름정책 저장소 또는 데이터 저장소로 기능하는 데이터베이스 인스턴스의 이름을 결정합니다.
- 관리 계정 이름 및 암호데이터베이스의 개체에 대한 생성, 읽기, 수정 및 삭제 권한이 있는 계정의 사용자 이름 및 암호를 결정합니다.
- 데이터 원본 이름데이터 원본을 식별하는 데 사용할 이름을 결정합니다.예:SM PostgreSQL Server Wire DS.
- PostgreSQL 서버 이름정책 저장소로 기능하는 인스턴스가 포함된 PostgreSQL 서버 데이터베이스의 이름을 결정합니다.
- 정책 서버 루트정책 서버가 설치된 명시적 경로를 결정합니다.
- IP 주소PostgreSQL 서버 데이터베이스의 IP 주소를 결정합니다.
PostgreSQL용
Single Sign-On
스키마 만들기SQL Server 데이터베이스에서 정책, 키, 세션, 감사 로깅 정보를 저장할 수 있도록 스키마를 생성하십시오.
다음 단계를 수행하십시오.
- PostgreSQL 클라이언트를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
- 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
- 텍스트 편집기에서policy_server_home/db/SQL/sm_postgresql_ps.sql을 열고 전체 파일의 내용을 복사합니다.
- sm_postgresql_ps.sql의 스키마를 쿼리에 붙여 넣고 쿼리를 실행합니다.정책 및 키 저장소 스키마가 데이터베이스에 추가됩니다.
- 텍스트 편집기에서policy_server_home/xps/db/PostgreSQL.sql을 열고 전체 파일의 내용을 복사합니다.
- PostgreSQL.sql의 스키마를 쿼리에 붙여 넣고 쿼리를 실행합니다.정책 저장소 스키마가 확장됩니다.
- 정책 저장소를 감사 로깅 데이터베이스로 사용하기 위해 3~4 단계를 반복합니다. 다음 스키마 파일을 사용합니다.sm_postgresql_logs.sql참고:추가Single Sign-On데이터를 저장하기 위해 정책 저장소를 구성할 필요는 없습니다. 각각의 데이터베이스를 별도의 감사 로그 데이터베이스, 키 저장소 및 세션 저장소로 작동하도록 구성할 수 있습니다.데이터베이스에서 데이터를 저장할 수 있습니다.
Windows에서 PostgreSQL 데이터 원본 만들기
ODBC를 사용하려면 SQL Server 유선 프로토콜에 대해 데이터 원본을 구성해야 합니다.
다음 단계를 수행하십시오.
- 다음 단계 중 하나를 완료하십시오.
- 지원되는 32비트 Windows 운영 체제를 사용 중인 경우 "시작"을 클릭하고 "프로그램", "관리 도구", "ODBC 데이터 원본"을 차례로 선택합니다.
- 지원되는 64비트 Windows 운영 체제를 사용 중인 경우 다음을 수행합니다.
- C:\Windows\SysWOW64로 이동합니다.
- odbcad32.exe를 두 번 클릭합니다.
- "시스템 DSN" 탭을 클릭합니다.
- "추가"를 클릭합니다.
- "Single Sign-OnPostgreSQL Server Wire Protocol"을 선택하고 "마침"을 클릭합니다.
- "데이터 원본 이름" 필드에 데이터 원본 이름을 입력합니다.예:Single Sign-On데이터 원본참고:데이터 원본 이름을 적어 두십시오. 이 정보는 데이터베이스를 정책 저장소로 구성할 때 필요합니다.
- "서버" 필드에 PostgreSQL 호스트 시스템의 이름을 입력합니다.
- "데이터베이스 이름" 필드에 데이터베이스 이름을 입력합니다.
- "테스트"를 클릭합니다.연결 설정이 테스트되고 연결에 성공했음을 나타내는 메시지가 표시됩니다.
- "확인"을 클릭합니다.PostgreSQL 데이터 원본이 구성되어 "시스템 데이터 원본" 목록에 표시됩니다.
UNIX에서 PostgreSQL 데이터 원본 만들기
Single Sign-On
ODBC 데이터 원본은 system_odbc.ini 파일을 사용하여 구성합니다. 이 파일은 policy_server_installatio
n/db에 있는 postgresqlwire.ini를 system_odbc.ini로 이름을 바꿔 생성할 수 있습니다. 이 system_odbc.ini 파일에는 사용할 수 있는 ODBC 데이터 원본의 이름뿐 아니라 이러한 데이터 원본과 연관된 특성도 모두 들어 있습니다. 각 사이트에 맞게 이 파일을 사용자 지정해야 합니다. 추가 ODBC 사용자 디렉터리를 정의하는 등 이 파일에 데이터 원본을 더 추가할 수도 있습니다.system_odbc.ini 파일의 첫 번째 섹션인 [ODBC Data Sources]에는 현재 사용할 수 있는 모든 데이터 원본의 목록이 들어 있습니다. "=" 앞의 이름은 해당 파일에서 각 개별 데이터 원본을 설명하는 이후 섹션을 나타냅니다. "=" 뒷부분은 주석 필드입니다.
참고:
데이터 원본 항목의 첫 행인 [Single Sign-On
Data Source]를 수정할 경우 변경한 값을 적어 두십시오. 이 값은 ODBC 데이터베이스를 정책 저장소로 구성할 때 필요합니다.system_odbc.ini 파일에는 각 데이터 원본의 특성을 설명하는 섹션이 있습니다. 첫 번째 특성은 해당 데이터 원본이 정책 서버에서 사용될 때 로드되는 ODBC 드라이버입니다. 나머지 특성은 드라이버마다 다릅니다.
PostgreSQL 서버 데이터 원본을 추가하려면 파일의 [ODBC Data Sources] 섹션에 새 데이터 원본 이름을 추가한 후 데이터 원본과 동일한 이름을 사용하여 데이터 원본을 설명하는 섹션을 추가해야 합니다. 새 서비스 이름을 생성하거나 다른 드라이버를 사용하려는 경우에는 system_odbc.ini 파일을 변경해야 합니다. Oracle 또는 SQL 드라이버에 대한 항목은 [
Single Sign-On
Data Source] 아래에 있습니다.PostgresSQL Server 유선 프로토콜 드라이버 구성
유선 프로토콜 드라이버를 구성하여
Single Sign-On
이 데이터베이스에 연결하는 데 사용할 설정을 지정할 수 있습니다.참고: 이 절차는 정책 서버가 UNIX 시스템에 설치된 경우에만 적용됩니다. 아직 수행하지 않은 경우 아래의 파일 중 하나를 복사하고 이름을 system_odbc.ini로 바꾸십시오. 이름을 바꾸는 파일은 데이터 저장소로 구성하는 데이터베이스 공급업체에 따라 다릅니다.
- sqlserverwire.ini
- oraclewire.ini
- mysqlwire.ini
- postgresqlwire.ini
이러한 파일은 siteminder_home/db에 있습니다.
system_odbc.ini 파일은 다음 섹션으로 구성되어 있습니다. 구성하는 데이터 원본에 따라 편집할 섹션이 결정됩니다.
- [CA Single Sign-onData Source]정책 저장소로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [CA Single Sign-onLogs Data Source]감사 로그 데이터베이스로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [CA Single Sign-onKeys Data Source]키 저장소로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [CA Single Sign-onSession Data Source]세션 저장소로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [SmSampleUsers Data Source]샘플 사용자 데이터 저장소로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
다음 단계를 수행하십시오.
- system_odbc.ini 파일을 엽니다.
- [ODBC Data Sources] 아래에 다음을 입력합니다.SiteMinder Data Source=DataDirect 7.1 PostgreSQL Server Wire Protocol
- 구성하려는 데이터 원본에 따라 다음 정보를 사용하여 하나 이상의 데이터 원본 섹션을 편집합니다.Driver=nete_ps_root/odbc/lib/NSpsql27.soDescription=DataDirect 7.1 PostgreSQL Server Wire ProtocolDatabase=SiteMinder DataAddress=myhost, 1433QuotedId=NoAnsiNPW=No참고데이터 원본 정보를 편집할 때 파운드 기호(#)는 사용하지 마십시오. 파운드 기호를 입력하면 정보가 주석으로 처리되어 값이 잘립니다. 값이 잘리면 ODBC 연결이 실패할 수 있습니다.
- nete_ps_root환경 변수를 사용한 경로가 아닌 정책 서버 설치의 명시적 경로를 지정합니다.예:export/smuser/siteminder
- Single Sign-OnDataPostgreSQL Server 데이터베이스 인스턴스 이름을 지정합니다.
- myhostPostgreSQL Server 데이터베이스의 IP 주소를 지정합니다.
- 1433PostgreSQL Server의 기본 수신 대기 포트를 나타냅니다.
- 다음과 같이 [ODBC] 섹션을 편집합니다.TraceFile=nete_ps_root/db/odbctrace.outTraceDll=nete_ps_root/odbc/lib/NStrc27.soInstallDir=nete_ps_root/odbc
- nete_ps_root정책 서버 설치 디렉터리의 명시적 경로를 지정합니다. 이 경로에는 환경 변수를 포함할 수 없습니다.
- 파일을 저장합니다.
유선 프로토콜 드라이버가 구성되었습니다.
정책 서버를 데이터베이스에 연결
정책 서버가 정책 저장소의 데이터에 액세스할 수 있도록 정책 서버를 데이터베이스에 연결하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 열고 "데이터" 탭을 클릭합니다.
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- "데이터베이스" 목록에서 다음 값을 선택합니다.Policy Store
- "데이터 원본 정보" 필드에 데이터 원본 이름을 입력합니다.
- (Windows) 입력하는 이름은 데이터 원본을 생성할 때 "데이터 원본 이름" 필드에 입력한 이름과 일치해야 합니다.
- (UNIX) 입력하는 이름은 system_odbc.ini 파일의 데이터 원본 항목 첫 줄과 일치해야 합니다. 기본적으로 이 파일의 첫 행은 [Single Sign-OnData Sources]입니다. 첫 번째 항목을 수정한 경우 올바른 값을 입력해야 합니다.
- 데이터베이스 인스턴스에 대한 모든 권한이 있는 데이터베이스 계정의 사용자 이름 및 암호를 해당 필드에 입력하고 확인합니다.
- Single Sign-On에 할당되는 최대 데이터베이스 연결 수를 지정합니다.참고최상의 성능을 위해서는 기본 연결 수인 25를 유지하는 것이 좋습니다.
- "적용"을 클릭하여 설정을 저장합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Key Store
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- 다음 옵션을 선택합니다.Use the Policy Store database
- "데이터베이스" 목록에서 다음 값을 선택합니다.Audit Logs
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- 다음 옵션을 선택합니다.Use the Policy Store database
- "적용"을 클릭하여 설정을 저장합니다.
- (선택 사항) "연결 테스트"를 클릭하여 정책 서버가 정책 저장소에 액세스할 수 있는지 확인합니다.
- "확인"을 클릭합니다.데이터베이스를 정책 저장소, 키 저장소 및 로깅 데이터베이스로 사용하도록 정책 서버가 구성되었습니다.
Single Sign-On
슈퍼 사용자 암호 설정기본 관리자 계정의 이름은
siteminder
로 지정됩니다. 이 계정에는 최대 권한이 있습니다.일상적인 작업에는 기본 슈퍼 사용자를 사용하지 마십시오. 다음과 같은 경우에 기본 슈퍼 사용자를 사용하십시오.
- 관리 UI에 처음 액세스할 경우
- Single Sign-On유틸리티를 처음 관리할 경우
- 슈퍼 사용자 권한이 있는 다른 관리자를 생성할 경우
다음 단계를 수행하십시오.
- smreg 유틸리티를siteminder_home\bin에 복사합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
참고이 유틸리티는 정책 서버 설치 키트의 최상위 수준에 있습니다. - 다음 명령을 실행합니다.smreg -supassword
- password기본 관리자의 암호를 지정합니다.
- 암호는 적어도 6자보다 길어야 하며 24자를 넘을 수 없습니다.
- 암호에 앰퍼샌드(&)나 별표(*)를 사용할 수 없습니다.
- 암호에 공백이 있는 경우 암호를 따옴표로 묶으십시오.
참고:Oracle 정책 저장소를 구성하는 경우 암호의 대/소문자를 구분합니다. 다른 모든 정책 저장소에서는 암호의 대/소문자를 구분하지 않습니다. - siteminder_home\bin에서 smreg를 삭제합니다. smreg를 삭제하면 이전 암호를 모르는 다른 사람은 암호를 변경할 수 없게 됩니다.
기본 관리자 계정의 암호가 설정되었습니다.
정책 저장소 데이터 정의 가져오기
정책 저장소 데이터 정의 가져오기를 사용하여 정책 저장소에서 생성하고 저장할 수 있는 개체의 유형을 정의합니다.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\xps\dd로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 명령을 실행합니다.XPSDDInstall SmMaster.xdd
- XPSDDInstall필수 데이터 정의를 가져옵니다.
기본 정책 저장소 개체 가져오기
기본 정책 저장소 개체 가져오기를 사용하여 관리 UI 및 정책 서버에서 사용할 정책 저장소를 구성합니다.
다음 사항을 고려하십시오.
- siteminder_home\bin에 대한 쓰기 액세스 권한이 있는지 확인하십시오. 가져오기 유틸리티에서 정책 저장소 개체를 가져오려면 이 권한이 필요합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows Server 2008에서Single Sign-On유틸리티 또는 실행 파일을 실행하기 전에 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\db로 이동합니다.
- 다음 파일 중 하나를 가져옵니다.
- smpolicy.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy.xml -npass
- smpolicy - secure.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy - secure.xml -npass
- npass암호를 사용할 필요가 없음을 지정합니다. 기본 정책 저장소 개체에 암호화된 데이터가 포함되지 않습니다.
- 옵션 팩 기능을 가져오려면 다음 명령을 실행합니다.XPSImport ampolicy.xml -npass
- 페더레이션 기능을 가져오려면 다음 명령을 실행합니다.XPSImport fedpolicy-12.5.xml -npass
참고:
smpolicy.xml을 가져오면 페더레이션 및 웹 서비스 변수 기능을 사용할 수 있게 됩니다.고급 인증 서버를 사용하도록 설정
정책 서버를 구성하는 과정에서 고급 인증 서버를 사용하도록 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 구성 마법사를 시작합니다.
- 마법사의 첫 번째 화면에서 모든 확인란을선택 취소한 상태로 둡니다.
- "다음"을 클릭합니다.
- 고급 인증 서버에 대한 마스터 암호화 키를 생성합니다.sm1252sp1kkr참고:다른(n번째) 정책 서버를 설치하는 경우 고급 인증 서버에 대해 이전에 사용한 것과 동일한 암호화 키를 사용하십시오.
- 정책 서버 구성 마법사의 나머지 과정을 완료합니다.고급 인증 서버가 사용되도록 설정되었습니다.
정책 서버 다시 시작
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.
- "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.정책 서버가 중지되고 빨강 표시등이 표시됩니다.
- "시작"을 클릭합니다.정책 서버가 시작되고 녹색 표시등이 표시됩니다.참고: Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 각각 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.
관리 UI 등록 준비
관리 UI에 최초로 로그인하려면 기본
Single Sign-On
슈퍼 사용자 계정(siteminder)을 사용하십시오. 최초 로그인 시에는 관리 UI를 정책 서버에 등록하여 두 구성 요소 간에 트러스트 관계를 생성해야 합니다.등록을 준비하려면 XPSRegClient 유틸리티를 사용하여 슈퍼 사용자 계정 이름과 암호를 제공합니다. 정책 서버는 이러한 자격 증명을 사용하여 등록 요청이 유효하며 트러스트 관계를 설정할 수 있는지 확인합니다.
다음 사항을 고려하십시오.
- 자격 증명을 제공한 때부터 24시간 이내에 최초 관리 UI 로그인이 이루어져야 합니다. 관리 UI 설치를 하루 안에 수행할 계획이 아니면 관리 UI를 설치하기 전에 다음 단계를 완료하십시오.
- (UNIX) XPSRegClient를 사용하기 전에Single Sign-On환경 변수가 설정되어야 합니다. 환경 변수가 설정되지 않은 경우 수동으로 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
- passphrase기본 슈퍼 사용자 계정(siteminder)의 암호를 지정합니다.참고암호를 지정하지 않으면 XPSRegClient에서 암호를 입력하고 확인하라는 메시지가 표시됩니다.
- -adminui - setup관리 UI가 정책 서버에 최초로 등록되도록 지정합니다.
- -ttimeout(선택 사항) 관리 UI를 설치할 때부터 정책 서버에 로그인하고 정책 서버와의 트러스트 관계를 생성할 때까지 할당된 시간을 지정합니다. 이 시간 만료 값을 초과할 경우 정책 서버에서는 등록 요청을 거부합니다.측정 단위: 분기본값: 240(4시간)최소값:15최대값:1440(24시간)
- -rretries(선택 사항) 관리 UI를 등록할 때 허용되는 시도 실패 횟수를 지정합니다. 관리 UI에 최초로 로그인할 때 올바르지 않은 관리자 자격 증명을 제출하면 등록 시도가 실패할 수 있습니다.기본값: 1최대값:5
- -ccomment(선택 사항) 정보 제공을 위해 등록 로그 파일에 지정된 설명을 삽입합니다.참고설명을 따옴표로 묶으십시오.
- -cp(선택 사항) 등록 로그 파일에 여러 줄로 된 설명을 포함할 수 있도록 지정합니다. 그러면 유틸리티에서 여러 줄로 된 설명에 대한 메시지가 표시되고 정보 제공을 위해 등록 로그 파일에 지정된 설명이 삽입됩니다.참고설명을 따옴표로 묶으십시오.
- -llog path(선택 사항) 등록 로그 파일을 내보내야 하는 위치를 지정합니다.기본값:siteminder_home\logsiteminder_home정책 서버 설치 경로를 지정합니다.
- -eerror_path(선택 사항) 예외를 지정된 경로로 보냅니다.기본값: stderr
- -vT(선택 사항) 세부 정보 표시 수준을 "TRACE"(경고)으로 설정합니다.
- -vI(선택 사항) 세부 정보 표시 수준을 "INFO"(경고)으로 설정합니다.
- -vW(선택 사항) 세부 정보 표시 수준을 "WARNING"(경고)으로 설정합니다.
- -vE(선택 사항) 세부 정보 표시 수준을 "ERROR"(경고)으로 설정합니다.
- -vF(선택 사항) 세부 정보 표시 수준을 "FATAL"(경고)으로 설정합니다.
- Enter 키를 누릅니다.XPSRegClient가 정책 서버에 관리자 자격 증명을 제공합니다. 정책 서버에서는 관리 UI에 최초로 로그인할 때 이러한 자격 증명을 사용하여 등록 요청을 확인합니다.