CA Single Sign-On으로 관리 UI 보호
으로 관리 UI를 보호하려면 관리 인증을 구성하십시오. 관리 인증 기능은 외부 관리자 저장소를 사용하여 관리자의 아이덴티티를 확인합니다. 으로 UI를 보호하려면 다음 태스크를 완료하십시오.
sm1252sp1kkr
Single Sign-On
으로 관리 UI를 보호하려면 관리 인증을 구성하십시오. 관리 인증 기능은 외부 관리자 저장소를 사용하여 관리자의 아이덴티티를 확인합니다. Single Sign-On
으로 UI를 보호하려면 다음 태스크를 완료하십시오.2
요청을 UI에 전달할 프록시 서버 설정
다음 프록시 서버 중 하나가 관리 UI에 액세스하도록 구성하십시오.
- CA Access Gateway
- Apache 웹 에이전트에 의해 보호되는 Apache 리버스 프록시 서버
다음 그림에서는 관리 UI를 사용하여 요청을 서버에 전달하는 프록시 서버를 보여 줍니다. 필수는 아니지만 프록시 서버와 동일한 시스템에 관리 UI를 배치할 수 있습니다.

CA Access Gateway
가 요청을 UI로 프록시하도록 구성CA Access Gateway
가 요청을 관리 UI에 전달하도록 구성하려면 다음 절차를 완료하십시오.참고:
CA Access Gateway
를 사용할 경우 웹 에이전트가 기본적으로 제공되므로 웹 에이전트는 필요하지 않습니다.다음 태스크가 완료되었는지 확인하십시오.
- 정책 서버, 정책 저장소 및 관리 UI가 설치되어 작동 중입니다.
- 관리 UI와CA Access Gateway의 소프트웨어 버전은 동일해야 합니다.
- CA Access Gateway가 설치되었고 정책 서버에 연결되었습니다.
- (선택 사항) SSL에 대해 구성된 관리 UI를 보호하려면CA Access Gateway가 설치된 호스트에서 SSL을 구성하십시오.
다음 단계를 수행하십시오.
- 요청이 UI에 전달되도록Proxy Rules.xml파일을 다음 프록시 규칙으로 업데이트합니다. 이 파일은access_gateway_install_location\proxy engine\conf 디렉터리에 있습니다.<!-- Proxy Rules--><nete:proxyrules xmlns:nete="http://<Administrative UI hostname:port>/"> <nete:cond criteria="beginswith" type="uri"><nete:case value="/iam/siteminder/"><nete:forward>http(s)://<Administrative UIhostname:port>$0</nete:forward></nete:case><nete:case value="/castylesr5.1.1/"><nete:forward>http(s):// <Administrative UIhostname:port>$0</nete:forward></nete:case><nete:default><nete:forward>http://www.example.com$0</nete:forward></nete:default></nete:cond></nete:proxyrules>
- server.conf파일의 "Default Virtual Host" 섹션을 다음 매개 변수로 업데이트합니다. 이 파일은access_gateway_install_location\proxy engine\conf 디렉터리에 있습니다.enableredirectrewrite=yesredirectrewritablehostnames=adminui_serveradminui_server는 관리 UI가 실행 중인 시스템의 호스트 이름입니다.
- ACO(에이전트 구성 개체)에서LogOffUri매개 변수의 값을 다음 예와 같이 SiteMinderLogout.jsp로 설정합니다.text/iam/siteminder/SiteMinderLogout.jsp
- (선택 사항) 관리 UI가 SSL 포트에서 실행 중인 경우 관리 UI를 호스트하는 서버의 자체 서명된 인증서를 다운로드합니다. 자체 서명된 인증서를CA Access Gateway인증 기관 파일에 배치합니다. 이 파일은access_gateway_install_location/SSL/certs 디렉터리에 있습니다.
- CA Access Gateway를 다시 시작합니다.
- 관리 인증 활성화로 이동합니다.
Apache 리버스 프록시 서버가 요청을 UI로 프록시하도록 구성
Apache 리버스 프록시 서버가 요청을 관리 UI에 전달할 수 있도록 하려면 다음 절차를 완료하십시오.
팁
: 보호할 관리 UI가 여러 개인 경우 각 인스턴스를 별도의 리버스 프록시 서버로 보호하십시오.다음 단계를 수행하십시오.
- Apache 웹 서버를 리버스 프록시 서버로 구성합니다. 자세한 내용은 Apache 웹 서버 설명서를 참조하십시오.리버스 프록시 서버 규칙을 구성할 때 UI의 URL이 사용자가 관리 UI를 등록할 때 지정한 것과 동일한지 확인하십시오.예:관리 UI가 다음 URL로 등록된 경우 프록시 서버 규칙에 동일한 URL을 지정하십시오.http://host_name:8080/iam/siteminder/adminui
- 동일한 Apache 웹 서버에 웹 에이전트를 설치하고 구성합니다.
- ACO(에이전트 구성 개체)에서LogOffUri매개 변수의 값을 다음 예와 같이 SiteMinderLogout.jsp로 설정합니다.text/iam/siteminder/SiteMinderLogout.jsp
- 다음 섹션에 설명된 대로 관리 인증을 사용하도록 설정합니다.
관리 인증 활성화
Single Sign-On
으로 관리 UI를 보호하려면 관리 UI에서 "관리 인증" 마법사를 실행하여 관리 인증을 사용하도록 설정하십시오. 이 마법사를 사용하여 외부 관리자 저장소를 구성할 수 있습니다. 또한 마법사에서는 관리 UI를 보호할 에이전트로 CA Access Gateway
또는 Apache 웹 에이전트를 지정할 수 있습니다.다음 단계를 수행하십시오.
- 외부 관리자 저장소 구성에 설명된 사전 요구 사항을 완료했는지 확인합니다.
- CA Access Gateway또는 Apache 리버스 프록시를 통해 관리 UI에 액세스합니다.예:http://hostname:port/iam/siteminder/adminuihostname은CA Access Gateway또는 Apache 서버가 설치되어 있는 웹 서버의 이름입니다.port는 서버가 실행되는 포트입니다.
- 기본 UI 자격 증명을 사용하여 관리 UI에 로그인합니다.
- "관리", "관리 UI", "관리 인증 구성"을 선택합니다. 마법사가 시작됩니다.
- CA Access Gateway나 Apache 리버스 프록시 서버를 보호하는 에이전트를 웹 에이전트로 선택합니다.
- 마법사를 완료합니다.마법사가 해당 영역 및 규칙으로SiteMinderDomain이라는 도메인을 생성합니다. 기본적으로 새 도메인은 기본 로그인 페이지 대신 기본 인증 체계를 사용하여 관리 UI를 보호합니다.외부 관리 서버에 UI를 설치한 경우Single Sign-On인증을 적용하기 위해 해당 서버가 자동으로 재시작됩니다. JBOSS 서버가 포함된 독립 실행형 UI를 설치한 경우에는 새로운 슈퍼 사용자 자격 증명을 사용하여 로그인하기 전에 수동으로 서버를 다시 시작하십시오.
이제
Single Sign-On
이 관리 UI를 보호합니다.UI에 액세스하고 새로운 슈퍼 사용자의 사용자 이름 및 암호를 사용하여 로그인하십시오. 이 사용자는 외부 관리자 저장소에 대한 연결을 구성할 때 지정한 사용자입니다. 관리 UI 홈 페이지가 성공적으로 표시됩니다. 주소 표시줄의 URL은 변경되지 않고 프록시 서버의 URL이 표시됩니다.
(선택 사항) UI를 보호하는 데 사용되는 인증 체계 변경
관리 인증을 구성하면 결과로 생성된
SiteMinderDomain
이 기본 인증으로 관리 UI를 보호합니다. 기본 인증 대신 HTML 양식 또는 다른 인증 체계를 선택할 수 있습니다. (선택 사항) UI를 보호하기 위한 HTML 양식 인증 구성
로그인 페이지를 사용하여 사용자 자격 증명을 요구하려면 기본 체계 대신 HTML 양식 인증 체계를 선택하십시오.
다음 단계를 수행하십시오.
- adminui폴더를 복사합니다.출처:Administrative_UI_install_location/siteminder/webagent-resources대상:Access_Gateway_install_location/proxy-engine/examples/siteminderagent
- HTML 양식 인증 체계를 만듭니다.
- "체계 설정" 섹션의 "대상" 필드에서 이전에 복사한 adminui 폴더에 있는 .fcc 파일의 위치를 지정합니다.예:/siteminderagent/adminui/signin.fcc
- 새로 만든 HTML 양식 인증 체계를SiteMinderDomain도메인에 추가합니다.
- 캐시를 새로 고칩니다.
- 다음과 같이 URL을 사용하여 관리 UI에 액세스합니다.http://hostname.example.com:port/iam/siteminder/adminui
- 허가된 사용자의 사용자 이름과 암호를 입력합니다.
관리 UI 홈 페이지가 나타납니다. 주소 표시줄의 URL은 프록시 서버의 URL입니다.
(선택 사항) UI를 보호하기 위한 다른 인증 체계 구성
기본 인증 체계 대신
Single Sign-On
에서 지원되는 모든 인증 체계(SAML 및 WS-Fed 인증 제외)로 체계를 변경할 수 있습니다.다음 단계를 수행하십시오.
- "정책", "도메인"을 차례로 클릭합니다.
- "영역"을 클릭합니다.
- siteminder_ims_realm이라는 영역을 검색하고 해당 이름을 클릭하여 엽니다. 이 영역은SiteMinderDomain도메인과 연결되어 있습니다.
- "수정"을 클릭하여 설정이 사용되도록 설정합니다.
- "인증 체계" 목록에서 원하는 인증 체계를 선택합니다.
- 필요한 경우 추가 설정을 입력합니다.
- 제출을 클릭합니다.
선택한 인증 체계를 사용하여 관리 UI가 보호됩니다.
관리 인증 비활성화
더 이상
Single Sign-On
로 관리 UI를 보호하지 않으려면 관리 인증을 사용하지 않도록 설정하십시오.다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "관리 인증" 마법사를 실행하여 더 이상Single Sign-On인증으로 관리 UI를 보호하지 않도록 지정합니다.참고:외부 관리자 저장소를 계속 사용하려면 기존 디렉터리 서버 또는 데이터베이스 연결 정보를 그대로 두십시오.
- 관리 UI 호스트 시스템에 로그인합니다.
- 관리 UI 데이터 디렉터리를 삭제합니다. 관리 UI를 배포한 응용 프로그램 서버 유형에 따라 데이터 디렉터리의 위치가 결정됩니다.
- 독립 실행형 옵션을 사용하여 관리 UI를 설치한 경우 데이터 디렉터리는 다음 위치에 있습니다.install_dir/adminui/server/default/data
- 관리 UI를 기존 응용 프로그램 서버에 설치한 경우 데이터 디렉터리의 기본 위치는 다음과 같습니다.
- JBossJBOSS_Install/server/default/data
- WebSphereWebSphere\AppServer\profiles\your_profile\data
- WebLogicweblogic_install\user_projects\domains\user_domain\data
- 정책 서버 호스트 시스템에 로그인하고 XPSRegClient 유틸리티를 사용하여 관리 UI 등록 창을 재설정합니다.
- 관리 UI를 정책 서버에 등록합니다.