X.509 클라이언트 인증서 및 HTML 양식 인증 체계
X.509 클라이언트 인증서 및 HTML 양식 인증 체계는 HTML 양식 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
sm1252sp1kkr
X.509 클라이언트 인증서 및 HTML 양식 인증 체계는 HTML 양식 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
사용자가 성공적으로 인증하려면 다음 두 이벤트가 발생해야 합니다.
- 사용자의 X.509 클라이언트 인증서가 확인되어야 합니다.
- 사용자가 HTML 양식에 의해 요청된 자격 증명을 제공해야 합니다.
이 체계의 경우 인증 프로세스는 다음 단계를 따르십시오.
- 정책 서버가 웹 에이전트에 사용자를 SSL 사용 웹 서버의 FCC로 리디렉션하도록 지시합니다.
- 웹 에이전트가 양식을 제공합니다.
- FCC가 인증서와 양식을 다시 정책 서버에 전달합니다.
- 정책 서버가 인증서 매핑에 있는 사용자의 존재 여부를 확인합니다.
- 정책 서버가 사용자의 HTML 양식 자격 증명을 확인하고 인증서 자격 증명과 HTML 양식 자격 증명이 동일한 사용자를 나타내는지 확인합니다.
X.509 클라이언트 인증서 및 HTML 양식 체계 사전 요구 사항
X.509 클라이언트 인증서 및 HTML 양식 인증 체계를 구성하기 전에 다음 사전 요구 사항을 충족하는지 확인하십시오.
- SSL 웹 서버에 X.509 서버 인증서가 설치되어 있어야 합니다.sm1252sp1kkr참고:정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
- 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원해야 합니다.
- 클라이언트 브라우저에 X.509 클라이언트 인증서가 설치되어 있어야 합니다.
- 클라이언트 인증서와 서버 인증서 간에 트러스트가 설정되어 있어야 합니다.
- 인증서가 트러스트된 유효한 CA(인증 기관)에서 발급된 것이어야 합니다.
- 인증서 발급 CA의 공개 키를 통해 발급자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
- 클라이언트 인증서와 서버 인증서가 만료되지 않아야 합니다.
- 사용자의 공개 키를 통해 사용자 디지털 서명에 대한 유효성이 검사되어야 합니다.
- 양식 자격 증명 정보가 사용자 디렉터리에 있어야 합니다.
- 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
- (Sun Java Systems) Sun Java Systems 웹 서버를 사용하는 경우 magnus.conf 파일의 StackSize 매개 변수 값을 131072보다 큰 값으로 늘려야 합니다. 값을 변경하지 못하면 정책 서버가 양식을 사용하여 인증을 요청할 때마다 웹 서버가 코어를 덤프하고 재시작됩니다.
참고:
인증서가 필수이거나 선택 사항인 Apache 웹 서버의 경우에는 httpd.conf 파일에서 SSL Verify Depth 10 줄의 주석 처리를 제거해야 합니다.인증서와 양식 데이터는 함께 수집되어 정책 서버에 전달됩니다.
조건 | 결과 |
인증서가 없는 경우 | 브라우저가 오류 500 표시 |
인증서 및 양식 자격 증명이 수락되지 않은 경우 | 브라우저가 오류 500 표시 |
에이전트 API 지원
X.509 클라이언트 인증서 및 HTML 양식 인증 체계에는 Sm_AuthApi_Cred_SSLRequired 및 Sm_AuthApi_Cred_FormRequired 비트가 사용됩니다.
X.509 인증서 및 HTML 양식 인증 체계 구성
인증서 인증과 HTML 양식 기반 인증을 결합하려면 X.509 인증서 및 HTML 인증 체계를 사용하십시오.
sm1252sp1kkr
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.다음 단계를 수행하십시오.
- "인프라", "인증"을 차례로 클릭합니다.
- "인증 체계"를 클릭합니다.
- "인증 체계 만들기"를 클릭합니다."인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
- "확인"을 클릭합니다.
- 이름 및 보호 수준을 입력합니다.
- "인증 체계 유형" 목록에서 "X509 클라이언트 인증서 및 양식 템플릿"을 선택합니다.
- SSL 자격 증명 수집기에 대한 서버 이름 및 대상 정보를 입력합니다.
- (선택 사항) "체계 설정"에서 "인증 세션 변수 유지"를 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 세션 저장소에 저장되도록 지정합니다.
- 제출을 클릭합니다.인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.