Domino 웹 서버 설정

목차
sm1252sp1kkr
목차
Domino 서버에 특별한 에이전트 매개 변수가 필요한 경우가 있습니다. 별도의 설명이 없으면 이러한 매개 변수는 Domino 서버에만 사용됩니다. 다음 범주의 항목을 사용하여 Domino 리소스를 보호할 수 있습니다.
Domino 에이전트 개요
Domino 응용 프로그램 서버는 Lotus Notes 클라이언트에 보안 액세스를 제공하는 메시징 및 웹 응용 프로그램 플랫폼입니다. Domino 웹 에이전트는 Domino 응용 프로그램 서버의 HTTP 인터페이스만 보호하며 HTML, JAVA, CGI 및 기타 웹 리소스(예: 웹을 통해 제공되는 Notes)에 대한 액세스를 제어합니다. Notes 서버는 보호되지 않습니다.
Domino는 데이터를 Notes 데이터베이스 그룹에 저장합니다. Notes 데이터베이스의 리소스는 문서, 뷰, 폼, 탐색기 등과 같은 다양한 개체가 될 수 있습니다. 이러한 개체에는 텍스트, 비디오, 그래픽 및 오디오 콘텐츠가 포함될 수 있습니다.
Notes 개체는 URL을 사용하여 열 수 있습니다. Domino는 Notes 개체를 웹에서 사용할 수 있도록 하기 위해 Notes 데이터베이스의 개체에서 동적으로 웹 페이지를 생성합니다. 또한 데이터베이스 뷰의 경우 뷰의 문서에 대한 URL 링크도 생성합니다. Notes 데이터베이스에서 동적으로 페이지가 생성되므로 사용자는 최신 정보를 볼 수 있습니다.
Domino URL 구문
Domino 서버의 리소스에 대한 액세스는 URL을 기반으로 합니다. Domino 서버는 특정한 URL 구문을 사용합니다.
Domino 서버는 다음과 같은 표준 URL을 해석할 수 있습니다.
http://www.example.com/index.html
Domino URL 명령은 다음과 같은 구문을 사용할 수 있습니다.
http://host/database.nsf/Domino_object?Action_Argument
  • 호스트
    서버의 DNS 항목 또는 IP 주소를 나타냅니다.
  • 데이터베이스
    notes \data 디렉터리에 대한 상대 경로가 포함된 데이터베이스 파일 이름 또는 데이터베이스 복제본 ID를 지정합니다.
  • Domino_object
    데이터베이스의 개체, 즉 뷰, 문서, 양식 또는 탐색기 등을 지정합니다.
  • 작업
    Notes 개체에 대해 수행한 작업을 식별합니다. 예를 들면 ?OpenDatabase, ?OpenView, ?OpenDocument, ?OpenForm, ?ReadForm, ?EditDocument 등을 지정할 수 있습니다. URL에 작업을 지정하지 않으면 기본값이 사용됩니다.
    기본값:
    ?Open
  • Argument
    Domino 서버에서 개체를 제공하는 방식을 정의합니다. 예를 들어 ?OpenView&Expand=5라는 작업 및 인수가 제공된 경우 이 인수는 확장 형식으로 표시되는 행의 수를 지정합니다.
    다음 예제에서는 financials.nsf라는 Notes 데이터베이스의 뷰에 액세스하기 위한 URL을 보여 줍니다.
    http://www.example.com/financials.nsf/reports?OpenView
Domino 별칭
Notes 데이터베이스 규칙 중 하나는 개체의 별칭을 생성하는 것입니다. 예를 들어 별칭은 개체 이름 대신 Notes ID 또는 복제본 ID로 리소스를 식별할 수 있습니다. 별칭을 사용하면 코드를 바꾸지 않고도 Notes 리소스의 이름을 변경할 수 있으므로 개발자가 프로그래밍을 더 쉽게 할 수 있습니다.
다음 Domino URL은 별칭으로 식별되는 동일한 리소스에 액세스합니다.
  • http://www.domino.com/85255e01001356a8852554c20756?OpenView
  • http://www.domino.com/85267E00075A80C/people?OpenView
  • http://www.domino.com/__852567E00075A80C.nsf/people?OpenView
리소스가 식별되는 방식에 관계없이 Domino 웹 에이전트는 모든 Domino 명명 규칙을 데이터베이스 리소스 이름을 사용하는 표준 URL로 변환합니다. 이렇게 하면
Single Sign-On
정책 저장소에 데이터 입력이 간소화됩니다.
예를 들어 다음 Domino URL은 names.nsf 데이터베이스의 people 뷰를 가리킵니다. 해당 데이터베이스와 뷰는 복제본 ID 및 Notes ID로 참조됩니다.
  • http://www.domino.com/85255e01001356a8852554c20756?OpenView
  • http://www.domino.com/85267E00075A80C/people?OpenView
Domino 웹 에이전트는 이러한 URL을 다음과 같이 표준 URL로 변환합니다.
  • http://www.domino.com/names.nsf/people?OpenView
다음 그림에서는 별칭을 명명된 개체로 변환하는 과정을 보여 줍니다.
Domino Web Agent URL Conversion Example 12.52 SP1
Domino 웹 에이전트 구성
Domino 웹 에이전트는 웹 에이전트의 모든 표준 설정을 사용하여 다음을 수행합니다.
  • 웹 에이전트가 정책 서버와 통신하도록 구성
  • 가상 서버에 대한 에이전트 아이덴티티 추가/제거
  • 웹 에이전트 설정 수정
  • Single Sign-On 구성
  • 오류 메시지 로깅 구성
정책 서버를 사용하여 중앙에서 또는 에이전트 구성 파일을 사용하여 로컬로 이러한 설정을 구성할 수 있습니다.
표준 기능뿐만 아니라 Domino 전용 매개 변수도 설정할 수 있습니다.
Domino 전용 에이전트 기능 구성
웹 에이전트 표준 설정 외에 Domino 웹 에이전트에만 설정할 수 있는 Domino 전용 구성 매개 변수도 있습니다. 이러한 설정은 Domino가
Single Sign-On
을 통해 사용자를 인증하고 권한을 부여하는 방식을 결정합니다. 이러한 설정은 정책 서버의 에이전트 구성 개체를 사용하여 중앙에서 구성하거나 웹 서버의 에이전트 구성 파일을 사용하여 로컬로 구성할 수 있습니다.
Domino 웹 에이전트는 사용자 활동을 추적하는 데 사용되는 감사 기능을 지원하지 않습니다.
Domino의 사용자 디렉터리 지정
Domino Directory는 모든 Domino 서버와 통합됩니다. Domino 서버의 LDAP 서비스를 활성화하면 정책 서버에서 Domino Directory를 사용하여 사용자를 인증하고 권한을 부여할 수 있습니다. Domino의 LDAP 서비스를 활성화하면 인증을 위해 사용자 디렉터리를 별도로 구성할 필요가 없습니다.
LDAP 서비스를 활성화하려면 Domino 서버 설명서를 참조하십시오.
Domino 서버에서 정책을 생성하기 위한 지침
Domino 서버에 대한 정책을 생성하는 경우 다음 지침을 고려하십시오.
  • 사용자는 부모 문서와 함께 양식을 열어 해당 양식의 기본값을 볼 수 있습니다. 부모 문서는 문서를 생성하는 데 사용되는 원본 양식입니다. 권한이 없는 사용자가 액세스 권한이 없는 양식의 기본값을 볼 수 없게 하려면 SkipDominoAuth 매개 변수를 no로 설정하십시오.
  • 같은 컴퓨터의 데이터베이스를 복제하는 경우 중복된 규칙 집합을 생성하여 각 데이터베이스를 보호해야 합니다.
  • Domino 에이전트에서 Notes 문서의 별칭을 양식과 연결할 수 없는 경우 각 문서에 고유한 보호 규칙이 필요합니다.
  • Domino 서버는 특정 데이터베이스 문서에 대한 URL 명령에 $DefaultView, $DefaultForm, $DefaultNav, $SearchForm 등의 특수한 식별자를 사용합니다. Domino 에이전트는 이러한 식별자를 표준 URL로 변환하여 문서에 액세스합니다.
    $defaultNav의 경우 Domino 에이전트는 ?OpenDatabase 작업을 수행합니다. 이러한 식별자 유형에 대한 추가 규칙을 생성할 필요는 없습니다.
  • Notes 데이터베이스의 별칭은 연결된 리소스를 보호합니다. 별칭이 없으면 리소스 이름 또는 설명을 지정하여 연결된 리소스를 보호합니다.
  • Lotus Notes 소프트웨어에서는 유형이 다른 여러 개체에 같은 이름 및 별칭을 지정할 수 있습니다. ?Open*와 같이 ?Open 작업에 와일드카드를 사용하는 규칙을 생성하면 별칭 또는 이름을 공유하는 서로 다른 유형의 리소스를 보호할 수 있습니다.
  • 양식은 해당 양식으로 생성하는 문서를 보호합니다. 양식과 함께 사용되는 작업은 ?ReadForm입니다.
  • Domino 에이전트는 확장명이 .nsf인 파일을 보호합니다. 이 확장명을 IgnoreExt 매개 변수에 추가하지 마십시오.
Domino의 정책 구성
Domino 서버는 같은 Notes 개체를 다양한 방법으로 나타낼 수 있습니다. 이름, ReplicaID, UniversalID 및 별칭을 사용하여 개체를 식별할 수 있습니다.
Domino 웹 에이전트가 Domino 서버와 효과적으로 통신할 수 있도록 하기 위해 Domino 에이전트는 Notes 리소스에 대한 액세스 요청을 처리할 때 개체 이름만 사용합니다. 이렇게 하면 정책 저장소가 항목을 이해할 수 있습니다.
특정 리소스에 대한 액세스 방법을 URL로 나타내면 다음과 같습니다.
http://host/database.nsf/resource_name?Open
Domino 서버 리소스에 대한 규칙 생성
규칙을 생성할 때 Notes 데이터베이스 리소스에 대한 작업을 고려해야 합니다. 작업이 지정되지 않은 리소스에는 ?Open 작업이 기본으로 지정됩니다. 정책에 포함된 규칙은 기본 작업인 ?Open 및 ?Open과 동등한 ?OpenDatabase, ?OpenView, ?OpenDocument, ?OpenFrameset 등의 작업을 설명해야 합니다.
Domino 웹 에이전트를 사용하면 정책 관리자는 같은 리소스를 가리키는 다양한 별칭에 대해 하나의 규칙을 생성할 수 있습니다. Domino 에이전트는 Domino에서 같은 리소스를 나타내는 여러 표현을 하나의 URL로 변환하므로 규칙이 하나만 필요합니다. 정책에 대한 규칙을 생성할 때 Domino 에이전트의 이 기능을 고려해야 합니다.
관리 UI를 사용하여 영역과 규칙을 생성합니다.
참고:
자세한 내용은 정책 서버 설명서를 참조하십시오.
db1.nsf 라는 Notes 데이터베이스가 있는 Domino 서버로 연결되는 샘플 URL을 고려하십시오. 해당 데이터베이스에는 다음 두 파일이 있습니다.
  • page1(별칭: p1 및 85255e01)
  • page2(별칭: p2 및 76444d03)
예 1: 한 문서와 해당 문서의 모든 별칭 보호
page1 및 page1의 모든 별칭에 액세스하기 위해 db1.nsf 영역에 대한 규칙을 하나만 생성합니다. Domino 에이전트는 다양한 명명 규칙을 모두 해석하고 하나의 표준 URL 형식으로 변환할 수 있습니다.
영역 및 규칙에 대해 다음을 수행하십시오.
  • 영역을 만들 때 page1이 포함된 데이터베이스에 대해 리소스 필터를 지정합니다. 예를 들어 데이터베이스의 모든 파일을 보호하려면 다음과 같이 구성합니다.
    리소스 필터: /db1.nsf/
    page1뿐만 아니라 page1의 모든 별칭을 보호하려면 다음과 같이 구성합니다.
    리소스 필터: /db1.nsf/page1
  • page1에 대한 작업을 보호하는 규칙을 생성하려면 "규칙 속성" 대화 상자의 "리소스" 필드에 별표(*)를 입력합니다. 예:
    리소스: *
    이 와일드카드(*)는 정책에 바인딩된 사용자가 page1에 대해 ?Open, ?EditDocument 등 모든 작업을 수행할 수 있음을 나타냅니다.
예 2: 같은 데이터베이스의 다른 문서 보호
db1.nsf 데이터베이스에서 page1뿐만 아니라 page2를 보호하려면 두 번째 규칙을 생성해야 합니다.
리소스 필터: /db1.nsf/page2
리소스: *
예 3: 같은 리소스에 대한 다른 작업 보호
일부 사용자만 ?EditDocument 작업을 수행할 수 있고 모든 사용자는 ?ReadForm 작업을 수행할 수 있는 경우와 같이 한 리소스에 대한 개별 작업을 보호하려면 다음과 같이 각 작업에 각 리소스에 대한 규칙이 필요합니다.
  • 규칙 1
    리소스 필터: /db1.nsf/page1
    리소스: OpenView
  • 규칙 2
    리소스 필터: /db1.nsf/page1
    리소스: EditDocument
다음과 같이 하나의 규칙을 사용할 수도 있습니다.
리소스 필터: /db1.nsf/page
리소스: ?Open*
참고:
"리소스" 필드의 ?Open 앞에 슬래시(/)가 없습니다.
이 리소스에 대한 별칭이 여러 개 있더라도 하나의 규칙으로 원래 페이지와 모든 별칭을 보호할 수 있습니다.
서로 다른 작업에 대한 규칙을 여러 개 생성하는 대신 단일 규칙을 지정하고 다음과 같이 와일드카드를 사용하여 모든 작업을 포함할 수 있습니다.
리소스 필터: /db1.nsf/page
리소스: ?Open*
이 규칙을 사용하여 다음과 같이 리소스를 보호합니다.
http://www.acme.com/db1.nsf/page*?Open*
리터럴 규칙을 지정하려면 정규식을 작성하십시오.
HTTP HOST 요청을 사용하여 사용자를 올바른 포트로 리디렉션
일부 응용 프로그램은 실제 HTTP 헤더를 수정하지
않고
특정 웹 서버로 트래픽을 리디렉션하여 부하 분산을 수행합니다. 부하 분산 장치에서 사용되는 포트가 아니라 적절한 외부 포트로 사용자를 다시 리디렉션하려면
GetPortFromHeaders
매개 변수를 활성화하십시오. 이 매개 변수는 Domino 웹 서버에 대한 비 프레임워크 에이전트에 필요합니다.
GetPortFromHeaders
를 지정하면 웹 에이전트는 포트 번호를 웹 서버 서비스가 아니라 HTTP HOST 요청 헤더에서 가져옵니다.
기본값
: No
Domino 서버를 사용하여 사용자 인증
Single Sign-On
이 이미 이 프로세스를 통과한 경우에도 Domino 서버에서 사용자를 인증하고 권한을 부여해야 합니다.
Single Sign-On
은 사용자 및 사용자 권한 목록을 나타내는 Domino Directory에 구성된 사용자 아이덴티티를 Domino 서버에 제공하여 Domino 인증 프로세스와 함께 작동합니다. Domino 서버는 이 아이덴티티를 사용하여 데이터베이스 리소스 액세스를 위해 사용자를 인증하고 권한을 부여합니다.
사용자 이름은 명확하게 확인되어야 합니다. 그렇지 않으면 Domino 에이전트에서 인증 요청을 거부합니다. 이로 인해 사용자 디렉터리에서 몇 가지 조정이 필요할 수 있습니다.
Domino 웹 에이전트는 Domino 서버 사용자를 다음 중 하나로 식별합니다.
  • 슈퍼 사용자
  • 실제 사용자
  • 기본 사용자
Domino 서버와 통신할 때 Domino 웹 에이전트에서 사용하는 아이덴티티를 결정하려면 다음 매개 변수를 구성합니다.
SkipDominoAuth
서버 인증을 위해 Domino 서버에 전달할 이름을 결정합니다.
  • DominoSuperUser
    Domino 서버의 모든 리소스에 액세스할 수 있는 사용자를 식별합니다.
  • DominoDefaultUser
    Notes 데이터베이스에 대한 기본 액세스가 지정된 사용자, 즉 일반적인 액세스 권한을 가진 사용자를 식별합니다.
참고:
DominoSuperUser 및 DominoDefaultUser를 에이전트 구성 파일에 로컬로 구성하거나 에이전트 구성 개체를 사용하여 중앙에서 구성할 수 있습니다. 에이전트 구성 파일에서 이 설정의 값은 암호화되어 있습니다. 에이전트 구성 개체에서는 선택에 따라 이러한 값을 암호화하거나 일반 텍스트로 지정할 수 있습니다.
Domino 슈퍼 사용자로 인증
Domino 슈퍼 사용자는 Domino 서버의 모든 리소스에 액세스할 수 있는 사용자입니다.
Single Sign-On
을 염두에 두고 웹 사이트 또는 포털을 디자인하는 경우에는
Single Sign-On
정책을 구현하여 리소스와 응용 프로그램의 보안을 유지합니다. 따라서 Domino 서버는 Domino 자체의 보안 규칙으로 사용자 액세스를 제한할 필요가 없습니다. 이 경우 사용자는 Domino 인증을 위해 슈퍼 사용자로 식별될 수 있습니다.
사용자를 슈퍼 사용자로 식별하려면 SkipDominoAuth 매개 변수가 사용되도록 설정하고 DominoSuperUser 매개 변수의 값을 지정합니다. 이렇게 하면
Single Sign-On
은 사용자를 인증하고 Domino는 사용자를 인증하지 않습니다. 또한 지정된 사용자는 Domino Directory에 있어야 합니다.
실제 사용자 또는 기본 사용자로 인증
Domino Directory에 정의된 사용자는 Domino에서 해당 사용자의 이름으로 인증됩니다. 그러나 Domino Directory에 없고
Single Sign-On
이 다른 사용자 디렉터리에 대해 인증한 사용자는 Domino 웹 에이전트가 Domino 서버의 DominoDefaultUser로 식별합니다.
Notes 데이터베이스에 대한 기본 액세스가 지정된 기본 사용자는 Domino의 Depositor, Reader 또는 Author 액세스 수준과 같이 ACL에 구성된 일반적인 액세스 권한을 갖습니다.
Domino 에이전트에서 이 값을 사용하려면 SkipDominoAuth 매개 변수를 no로 설정합니다.
일부 Notes 데이터베이스의 경우
Single Sign-On
의 보호가 필요하지 않을 수 있습니다.
Single Sign-On
에 의해 보호되지 않는 리소스는 기본 Domino 사용자로 인증되지 않습니다. 대신 Domino 서버에서 사용자에게 자격 증명을 요청합니다(익명 액세스를 사용할 수 없는 경우).
Domino 기본 사용자 및 Domino 슈퍼 사용자 수정
DominoDefaultUser 및 DominoSuperUser 매개 변수를 수정하려면 다음 작업 중 하나를 수행하십시오.
  • 중앙에서 구성하는 경우 에이전트 구성 개체의 매개 변수를 변경합니다.
    에이전트 구성 개체에서 DominoDefaultUser 및 DominoSuperUser 설정을 수정할 수 있습니다. 이때 값을 암호화할지 아니면 일반 텍스트로 나타낼지 선택할 수 있습니다.
    참고:
    자세한 내용은 정책 서버 설명서를 참조하십시오.
  • encryptkey 도구를 사용하여 에이전트 구성 파일의 매개 변수를 수정합니다.
    에이전트 구성 파일에서는 DominoDefaultUser 및 DominoSuperUser 값을 암호화해야 합니다. 따라서 encryptkey 도구를 사용하여 값을 수정해야 합니다.
    중요!
    에이전트 구성 파일에서 이러한 설정을 직접 편집하지 마십시오.
Encryptkey를 사용하여 Domino 기본 사용자 또는 슈퍼 사용자 설정
에이전트 구성 파일에서 DominoSuperUser 또는 DominoDefaultUser 값을 설정하거나 변경하려면
  1. 다음 작업 중 하나를 수행하십시오.
    • UNIX: Domino 에이전트의 bin 디렉터리를 탐색합니다. 예:
      /$HOME/ca/SiteMinder/Web Agent/bin
    • Windows: 명령 프롬프트 창을 열고 Domino 에이전트의 Bin 디렉터리를 탐색합니다. 예:
      C:\Program Files\ca\SiteMInder Web Agent\Bin
  2. 다음 인수를 사용하여 encryptkey 도구를 실행합니다.
    • DominoSuperUser의 경우
      encryptkey -path
      path_to_Agent_config_file
      -dominoSuperUser
      new_value
    • DominoDefaultUser의 경우
      encryptkey -path
      path_to_Agent_config_file
      -dominoDefaultUser
      new_value
    예:
    encryptkey -path "c:\program files\ca\SiteMinder\Web Agent\Bin\Lotus Domino5\webagent.conf"
    -dominoSuperUser admin
    에이전트 구성 파일 경로에는 webagent.conf와 같은 파일 이름이 포함되어야 합니다. 또한 경로 값에 공백이 포함된 경우에는 전체 경로를 따옴표로 묶어야 합니다.
    encryptkey 도구는 웹 에이전트 키트에 포함되어 있지 않습니다. 그러나 이 도구는 로컬 구성을 위해 암호화된 DominoSuperUser 설정을 생성하는 Domino 사용자에게 유용합니다. 이 도구를 다운로드하려면 고객 지원부에 문의하십시오.
Single Sign-On
이 사용자를 인증하도록 지정
Domino가 아니라
Single Sign-On
이 사용자를 인증하도록 지정하려면 SkipDominoAuth 매개 변수를 yes로 설정하십시오.
SkipDominoAuth를 yes로 설정하고 슈퍼 사용자가 정의되면 먼저
Single Sign-On
이 사용자를 식별하고 권한을 부여합니다. 그런 다음 Domino 웹 에이전트에서 해당 사용자를 Domino 서버의 슈퍼 사용자로 식별합니다. 슈퍼 사용자는 해당하는 ACL이 있다는 가정 하에 Domino 서버의 모든 리소스에 액세스할 수 있습니다.
또한 사용자가 Domino Directory에 저장되어 있지 않으면 권한 부여에 사용할 아이덴티티가 Domino에 없으므로 SkipDominoAuth 매개 변수를 yes로 설정해야 합니다.
SkipDominoAuth를 no로 설정하면 Domino에서 실제 사용자 이름 또는 기본 사용자 이름을 사용하여 단독으로 사용자를 인증합니다.
다음 표에서는 SkipDominoAuth 매개 변수의 설정에 따라 사용자가 어떻게 식별되는지를 보여 줍니다.
SkipDominoAuth 값
Domino 서버에 대해 식별되는 사용자
참고
슈퍼 사용자
슈퍼 사용자가 Domino Directory에 정의되어야 합니다.
없음
실제 사용자
사용자가 Domino Directory에 있어야 합니다.
없음
기본 사용자
사용자가 Domino Directory에 있어야 합니다.
없음
슈퍼 사용자
요청된 리소스에 자동으로 권한이 부여됩니다. 즉, 사용자에게 인증 요청이 제공되지 않습니다.
 
인증에
Single Sign-On
헤더 사용
DominoUseHeaderForLogin 및 DominoLookUpHeaderForLogin 매개 변수는 인증을 위해 Domino 사용자를 식별하는 데 사용될 수 있습니다.
  • DominoUseHeaderForLogin
    Single Sign-On
    헤더 값을 Domino 웹 서버에 전달하도록 Domino 웹 에이전트에 지시합니다. Domino 서버는 헤더 데이터를 사용하여 사용자 디렉터리에서 사용자를 식별합니다.
    이 매개 변수를 헤더 이름으로 설정해야 합니다. 예를 들어 DominoUseHeaderForLogin="HTTP_SM_USER"를 지정하면 웹 에이전트에서 사용자의 로그인 이름을 Domino 서버에 전달합니다.
  • DominoLookUpHeaderForLogin
    리소스에 대한 액세스를 요청하는 사용자가 Domino 사용자 디렉터리 내에서 고유한지 여부를 Domino 웹 서버에 확인하도록 Domino 웹 에이전트에 지시합니다. Jones라는 사용자가 리소스에 액세스하려는 경우 사용자 디렉터리에 이름이 같은 사용자가 여러 명 있으면 이러한 확인 작업이 유용합니다. 이 매개 변수가 no로 설정되면 Domino 웹 에이전트는 Domino 웹 서버를 통해 확인을 수행하지 않습니다.
    기본값:
    Yes
Domino 세션 인증 사용 안 함
Single Sign-On
이 인증 및 권한 부여 기능을 제공하므로 Domino 세션 인증 기능은 필요하지 않습니다. 웹 에이전트가 설치된 경우에는 Domino 세션 인증이 사용되지 않도록 설정해야 합니다.
경우에 따라 Domino 세션 인증이 사용되도록 설정하면 사용자 세션의 동작이 달라질 수 있습니다. 이러한 변경은
Single Sign-On
을 사용하는 사이트의 보안에는 영향을 주지 않습니다. 이는
Single Sign-On
과 Domino 세션 관리 규칙이 교차하는 부분을 반영합니다.
Domino에서 익명 인증 체계 사용
Domino 에이전트에서 익명 인증 체계를 사용하려면 다음 매개 변수를 설정합니다.
DominoUserForAnonAuth
익명 사용자에 대한 값을 지정합니다. 이 값은 사용자가 익명
Single Sign-On
인증 체계로 보호되는 Domino 리소스에 액세스할 때 Domino 서버로 전송됩니다.
기본값
: No(익명 인증 체계 사용
안 함
)
: Anonymous(익명 인증 체계에 사용)
이전 매개 변수는 Domino에서 익명 인증 체계를 사용하는 경우에만 적용됩니다. 다른 인증 체계 또는 서버 유형에 대해서는 값을 변경하지
마십시오
.
Domino 에이전트를 사용하여 인증에 필요한 자격 증명을 수집할 수 있도록 설정
자격 증명 수집기는 양식, SSL 및 Windows 인증 체계에 필요한 사용자 자격 증명 또는 다중 쿠키 도메인에서 Single Sign-On을 구현하는 데 필요한 사용자 자격 증명을 수집하는 응용 프로그램으로, 웹 에이전트에 포함되어 있습니다. 자격 증명 수집기에서 수집하는 자격 증명은 보호된 리소스의 특정 그룹에 대해 구성된 인증 체계 유형을 기반으로 합니다.
Domino 웹 에이전트를 자격 증명 수집기로 사용하려면 에이전트 구성 파일에 파일 확장명으로 표시되는 다양한 MIME 유형을 구성해야 합니다.
일반적으로 자격 증명 수집기는 자동으로 권한을 받습니다. 즉, 이러한 매개 변수에 파일 확장명을 추가하면 기본적으로 IgnoreExt 매개 변수에 확장명이 포함됩니다. Domino 서버는 이러한 확장명을 사용하는 파일이 포함된 URL을 올바로 처리할 수 없으므로 Domino 에이전트에서 해당 파일을 무시해야 합니다.
참고:
자세한 내용은 정책 서버 설명서를 참조하십시오.
URL 정규화 사용 안 함
URL 정규화는 Domino 형식으로 표현된 URL을 표준 웹 브라우저에 사용되는 URL 형식으로 수정하는 과정입니다. Domino 웹 에이전트는 Domino 웹 서버 API를 사용하여 Domino URL을 정규화합니다.
정규화를 수행하는 동안 Domino 서버 API는 정규화된 URL에 캐리지 리턴(16진수 0x0D) 또는 줄 바꿈(16진수 0x0A) 문자가 추가된 URL을 주기적으로 반환합니다. 이러한 문자가 추가되는 것은 특정 Notes 데이터베이스 파일(.nsf) 및 해당 파일 내의 액세스 패턴과 관련이 있는 것 같습니다.
다음 예제에서는 캐리지 리턴이 추가되는 정규화된 URL을 보여 줍니다.
  • URL: http://server.ca.com:80/agentrunner.nsf/be68f4545348400461332?OpenView
  • 매핑 대상 URL: http://server.ca.com:80/agentrunner.nsf/AgentContext?OpenView
  • 정규화된 URL: http://xxxxx.ca.com:port/agentrunner.nsf/0x0d/AgentContext?OpenView
필요한 경우 다음 매개 변수를 사용하여 Domino 리소스 ID가 포함된 URL은 정규화되지 않도록 설정할 수 있습니다.
DominoNormalizeUrls
Single Sign-On
웹 에이전트가 Domino URL을 양식 자격 증명 수집기로 리디렉션하기 전에 친숙한 URL 이름으로 변환할지 여부를 지정합니다.
Domino URL을 변환하려면 MapUrlsForRedirect 매개 변수도 yes로 설정해야 합니다.
DominoNormalizeUrls 매개 변수를 no로 설정하면 MapUrlsForRedirect 매개 변수를 yes로 설정해도 URL이 정규화되지
않습니다
.
중요!
DominoNormalizeUrls 매개 변수를 no로 설정하면 Notes 데이터베이스 내의 개별 문서를 보호할 수 없으며 Domino 웹 서버의 하위 디렉터리 또는 전체 데이터베이스만 보호할 수 있습니다.
기본값:
Yes
정규화를 해제하고 URL이 변경되지 않게 하려면 DominoNormalizeUrls 매개 변수를 no로 설정하십시오.
Lotus Notes 문서에 대한 액세스 제어
웹 에이전트는 Domino의 Lotus Notes 문서를 보호하기 위해 좀 더 세분화된 수준을 제공합니다. 다음 매개 변수는 이러한 보호를 제어합니다.
DominoLegacyDocumentSupport
웹 에이전트가 Domino 환경에서 보호되는 Lotus Notes 문서에 대한 사용자 요청을 처리하는 방식을 지정합니다. 이 매개 변수를 yes로 설정하면 사용자에게 요청된 문서에 대해서만 ReadForm 권한이 부여됩니다.
기본값:
No
DominoLegacyDocumentSupport 매개 변수를 사용하면 Notes 문서에 액세스할 때 사용자가 요청한 작업을 처리하도록 웹 에이전트를 구성할 수 있습니다. 이 기능을 통해 Domino에 대한 보호 수준을 좀 더 세분화할 수 있습니다.
Notes 문서에는 이름이 없습니다. Notes 문서는 해당 문서를 생성할 때 사용된 폼에 대한 참조와 함께 데이터베이스에 저장됩니다. 사용자가 Notes 문서를 요청할 경우 Domino 웹 에이전트는 요청을 URL로 변환하여 해당 문서에 대한 폼을 찾습니다. 이 URL은 원래 Domino 작업을 포함합니다. 폼이 없을 경우에는 아무 것도 사용되지 않습니다.
예:
"http://server.domain.com/db.nsf?OpenDocument"
URL에 지정된 문서에 대해 ?OpenDocument 또는 ?EditDocument와 같이 사용자가 요청한 Domino 작업을 수행하도록 웹 에이전트를 구성하려면 DominoLegacyDocumentSupport 매개 변수를 no로 설정하십시오.
예를 들어 URL 요청이 다음과 같으면
http://www.dominoserver.com/names.nsf/934873094893898778578439588098203985798349?EditDocument
Domino 에이전트에서 이 URL을 다음과 같이 변환합니다.
http://www.dominoserver.com/names.nsf/Person?EditDocument
여기서 Person은 원래 URL에서 NotesID로 식별된 문서를 생성할 때 사용한 폼의 이름입니다.
Notes 문서 액세스에 대해 4.6 이전 동작으로 Domino 웹 에이전트를 되돌려 ?ReadForm 작업만 허용되게 하려면 이 매개 변수를 yes로 설정하십시오. 레거시 문서 지원이 설정된 경우에는 Domino 에이전트에서 이전 예제의 URL을 다음과 같이 변환합니다.
http://www.dominoserver.com/names.nsf/Person?ReadForm
Notes 문서 이름 변환
뷰나 폼과 달리 Notes 문서는 이름이 없으며 문서를 생성할 때 사용된 폼에 대한 참조와 함께 데이터베이스에 저장됩니다. 사용자가 문서에 액세스하려는 경우 Domino 웹 에이전트에서 해당 문서를 읽을 수 있는 이름으로 변환할 수 없으면 문서를 생성한 폼의 이름을 사용하여 URL을 생성합니다. 이 내용은 문서에만 적용됩니다. 원본 폼이 없으면 포함된 폼이 사용되고, 포함된 폼도 없으면 Domino 식별자 $defaultForm을 사용하여 문서가 보호됩니다.
예를 들어 받는 URL이 다음과 같으면
http://www.domino.com/names.nsf/8567489d60034we50938450098?OpenDocument
에이전트에서 다음 URL을 사용합니다.
http://www.domino.com/names.nsf/Person?ReadForm
이 예제에서 Person은 문서 이름입니다.
Domino 에이전트에 대해 전체 로그오프 지원 구성
전체 로그오프 기능은 다음 매개 변수로 생성하는 사용자 지정 로그아웃 페이지를 사용합니다.
  • LogOffUri
    사용자 지정 웹 페이지의 URI를 지정하여 전체 로그아웃 기능이 사용되도록 설정합니다. 이 사용자 지정 웹 페이지는 사용자가 성공적으로 로그오프된 후에 나타납니다. 이 페이지가 브라우저 캐시에 저장되지 않도록 구성하십시오. 그러지 않으면 브라우저에서는 사용자를 로그오프하지 않은 채 캐시의 로그아웃 페이지를 표시할 수 있습니다. 이러한 경우 권한 없는 사용자가 세션에 대한 제어권을 갖게 될 수 있습니다.
    CookiePath 매개 변수가 설정된 경우 LogOffUri 매개 변수의 값은 동일한 쿠키 경로를 가리켜야 합니다. 예를 들어 CookiePath 매개 변수의 값이 example.com으로 설정되어 있으면 LogOffUri가 example.com/logoff.html을 가리켜야 합니다. 
    기본값:
    (SharePoint r12.0.3.0용 CA 에이전트를
    제외
    CA Single Sign-on
    한 모든 에이전트) 기본값 없음
    제한:
    여러 개의 URI 값이 허용됩니다. 정규화된 URL을 사용하지
    마십시오
    .
    상대적
    URI를 사용하십시오.
    예:
    (SharePoint r12.0.3.0용 CA 에이전트를
    제외
    CA Single Sign-on
    한 모든 에이전트) /Web pages/logoff.html
다음 단계를 수행하십시오.
  1. 사용자를 로그오프하는 사용자 지정 HTTP 응용 프로그램을 생성합니다. 예를 들어 사용자를 지정된 URL로 리디렉션하는 "Exit"(종료) 또는 "Sign Off"(로그오프) 단추를 추가합니다.
  2. 웹 브라우저에서 캐시되지 않도록 로그아웃 페이지를 설정합니다. 이렇게 설정하면 페이지가 항상 브라우저의 캐시가 아니라 웹 서버에서 제공되므로 보안이 향상됩니다. 예를 들어 다음과 같은 메타 태그를 HTML 페이지에 추가할 수 있습니다.
    < META HTTP-EQUIV="Pragma" CONTENT="no-cache">
    < META HTTP-EQUIV="Expires" CONTENT="-1">
    중요! 일부 웹 브라우저에서는 메타 태그를 지원하지 않습니다. cache-control HTTP 헤더를 대신 사용하십시오.
  3. 다음 단계를 수행하여 LogOffUri 매개 변수를 구성합니다.
    1. 필요한 경우 파운드 기호(#)를 삭제합니다.
    2. 사용자를 로그오프할 사용자 지정 HTTP 파일의 URI를 입력합니다. 정규화된 URL을 사용하지
      마십시오.
      전체 로그아웃 기능이 구성되었습니다.
Domino 에이전트를 WebSphere 응용 프로그램 서버와 함께 사용
Domino 웹 서버는 요청을 WebSphere 서버에 전달하기 전에 가로채는 필터 플러그 인을 제공하여 WebSphere 응용 프로그램 서버에 대한 프런트엔드 서버로 사용됩니다.
보호되지 않은 리소스를 Domino 서버가 인증하도록 지정
Domino 서버의 리소스를
Single Sign-On
에서 보호하지 않으려는 경우를 가정해 봅니다. 대신 Domino 서버를 사용하여 해당 리소스를 보호할 수 있습니다. 이러한 리소스를 보호하려면 다음 매개 변수를 설정하십시오.
UseDominoUserForUnprotected
이 아니라 Domino 서버
에서만
Single Sign-On
보호하는 리소스에 대한 요청을 Domino 서버에서 Domino 사용자로 인증할지 여부를 지정합니다.
이 매개 변수의 값이 yes인 경우 에이전트는 Domino 사용자를 Domino 서버에 전달합니다. 그러면 Domino 서버에서 사용자를 인증합니다. 이 매개 변수의 값이 no이거나 매개 변수를 사용할 수 없는 경우에는 에이전트가 Domino 사용자를 Domino 서버에 전달하지
않습니다
. 그러면 Domino 서버에서 사용자를 인증하지 않습니다.
기본값
: 사용 안 함
다음 단계를 수행하십시오.
  1. 위의 매개 변수를 찾습니다.
  2. 매개 변수 앞에 있는 #(주석) 문자를 제거합니다.
  3. 매개 변수의 값을 yes로 변경합니다.