업그레이드 중 DeviceDNA™를 사용한 고급 세션 보증 구성 방법
목차
casso12kr
목차
2
casso12kr
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. DeviceDNA™가 없는 사용자는 보호된 리소스에 대한 액세스가 거부됩니다.
다음 그림은 업그레이드 중 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.

DeviceDNA™를 사용한 고급 세션 보증 제한 사항
Windows 정책 서버 중지
계속하기 전에 정책 서버를 중지하십시오. 정책 서버를 중지하면 다음과 같은 결과가 발생합니다.
- 정책 서버가 사용 환경에서 일시적으로 제거됩니다.
- 권한 부여 또는 인증 결정이 필요한 에이전트가 중지된 정책 서버에 연결할 수 없게 됩니다. 이러한 에이전트는 사용 가능한 다른 정책 서버에 여전히 연결할 수 있습니다.
- 모든 로깅 활동이 중지됩니다.
- 다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.참고관리자 권한이 있는 계정을 사용하십시오.
- 정책 서버 관리 콘솔을 시작합니다.
- "중지" 단추를 클릭합니다.
- "확인"을 클릭합니다.정책 서버가 중지되고 콘솔이 닫힙니다.
UNIX 정책 서버 중지
casso12kr
정책 서버를 중지하면 다음과 같은 결과가 발생합니다.
- 정책 서버가 사용 환경에서 일시적으로 제거됩니다.
- 권한 부여 또는 인증 결정이 필요한 에이전트가 중지된 정책 서버에 연결할 수 없게 됩니다. 이러한 에이전트는 사용 가능한 다른 정책 서버에 여전히 연결할 수 있습니다.
- 모든 로깅 작업이 중지됩니다.
다음 단계를 수행하십시오.
- 정책 서버를 원래 설치한 사용자 계정으로 정책 서버를 호스트하는 시스템에 로그인합니다.
- 다음 작업 중하나를 수행하여 모든 정책 서버 프로세스를 중지합니다.
- 관리 콘솔을 열고 "상태" 탭을 클릭한 다음 "중지" 단추를 클릭합니다.
- 다음 스크립트를 사용합니다. 이 스크립트는 UNIX 감독 기능도 중지하므로 프로세스가 자동으로 다시 시작되지 않습니다.installation_path/siteminder/stop-all정책 서버는 모든 UNIX 감독 기능 작업을 installation_directory/log/smexec.log 파일에 로깅합니다. 로그 항목은 항상 기존 로그 파일에 추가됩니다.
감사 저장소 업그레이드 스크립트
정책 서버를 중지한 후 데이터베이스 공급업체에 적절한 감사 저장소 업그레이드 스크립트를 실행하십시오. 다음 목록에서 스크립트를 선택하십시오.
Oracle 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
정책 서버를 중지한 후에 감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
- sqlplus나 다른 Oracle 유틸리티를 사용하여 정책 서버 데이터베이스 정보를 관리하는 사용자로 Oracle 데이터베이스에 로그인합니다.참고SYS 또는 SYSTEM 사용자로 CA 스키마를 업그레이드하지않는CA Single Sign-on것이 좋습니다. 필요한 경우 SMOWNER와 같은 Oracle 데이터베이스 사용자를 생성하고 해당 사용자로 스키마를 업그레이드하십시오.
- 12.5에서 업그레이드하는 경우 다음 스크립트를 가져오십시오.$NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.5_to_12.51.sql
- 다음 스크립트를 가져옵니다.$NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.51_to_12.52.sql참고일부 환경 변수는 Oracle이 제공하는 SQL 유틸리티에서 작동하지 않을 수 있습니다. 이 유틸리티를 사용하여 스크립트를 가져오는 동안 문제가 발생하면 명시적 경로를 지정하십시오.감사 저장소 스키마가 업그레이드됩니다.
- 다음 절차 중하나를 사용하여 정책 서버를 시작합니다.
Microsoft SQL Server 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
정책 서버를 중지한 후에 감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
- 다음 태스크 중하나를 수행합니다.
- 12.5 버전에서 업그레이드하는 경우 2 단계로 가십시오.
- 12.51 버전에서 업그레이드하는 경우 10 단계로 가십시오.
- 텍스트 편집기에서 다음 파일을 엽니다.installation_directory\db\SQL\sm_mssql_logs_upgrade_12.5_to_12.51.sql
- installation_directory
- 정책 서버가 설치된 파일 시스템의 위치를 지정합니다.
- 전체 파일의 내용을 복사합니다.
- 쿼리 분석기를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
- 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
- sm_mssql_logs_upgrade_12.5_to_12.51.sql 파일의 스키마를 쿼리에 붙여 넣습니다.
- 쿼리를 실행합니다.
- 텍스트 편집기에서 다음 파일을 엽니다.installation_directory\db\SQL\sm_mssql_logs_upgrade_12.51_to_12.52.sql
- casso12krinstallation_directory정책 서버가 설치된 파일 시스템의 위치를 지정합니다.전체 파일의 내용을 복사합니다.
- 쿼리 분석기를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
- 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
- sm_mssql_logs_upgrade_12.51_to_12.52.sql 파일의 스키마를 쿼리에 붙여 넣습니다.
- 쿼리를 실행합니다.감사 저장소 스키마가 업그레이드됩니다.
- 다음 절차 중하나를 사용하여 정책 서버를 시작합니다.
IBM DB2 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
Single Sign-On
감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.다음 단계를 수행하십시오.
- 정책 서버를 호스트하는 시스템에 로그인합니다.
- 다음 디렉터리로 이동합니다.installation_directory\db\tier2\DB2\
- casso12krinstallation_directory정책 서버가 설치된 파일 시스템의 위치를 지정합니다.다음 태스크 중하나를 수행합니다.
- 12.5 버전에서 업그레이드하는 경우 4 단계로 가십시오.
- 12.51 버전에서 업그레이드하는 경우 6 단계로 가십시오.
- 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.sm_db2_log_upgrade_12.5_to_12.51.sql
- 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.참고쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.감사 저장소 스키마가 업그레이드됩니다.
- 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.sm_db2_log_upgrade_12.51_to_12.52.sql
- 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.참고쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.감사 저장소 스키마가 업그레이드됩니다.
- 다음 절차 중하나를 사용하여 정책 서버를 시작합니다.
MySQL 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
Single Sign-On
감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 위치로 이동합니다.installation_directory\db\tier2\MySQL.
- casso12krinstallation_directory정책 서버가 설치된 파일 시스템의 위치를 지정합니다.다음 태스크 중하나를 수행합니다.
- 12.5 버전에서 업그레이드하는 경우 4 단계로 가십시오.
- 12.51 버전에서 업그레이드하는 경우 9 단계로 가십시오.
- 텍스트 편집기에서 다음 파일을 엽니다.sm_mysql_logs_upgrade_12.5_to_12.51.sql
- 다음 행을 찾습니다.DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
- 'databaseName'의 각 인스턴스를 감사 저장소로 작동하는 데이터베이스의 이름으로 바꿉니다.
- 전체 파일의 내용을 복사합니다.
- 파일 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
- 텍스트 편집기에서 다음 파일을 엽니다.sm_mysql_logs_upgrade_12.51_to_12.52.sql
- 다음 행을 찾습니다.DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
- 'databaseName'의 각 인스턴스를 감사 저장소로 작동하는 데이터베이스의 이름으로 바꿉니다.
- 전체 파일의 내용을 복사합니다.
- 파일 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.감사 저장소 스키마가 업그레이드됩니다.
- 다음 절차 중하나를 사용하여 정책 서버를 시작합니다.
Windows 정책 서버를 시작합니다.
casso12kr
정책 서버를 시작합니다. 정책 서버를 시작하면 다음과 같은 결과가 발생합니다.
- 에이전트는 권한 부여 또는 인증 결정을 위해 정책 서버에 연결합니다.
- 로깅이 시작됩니다.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 시작합니다."상태" 탭이 선택된 상태로 콘솔이 열립니다.
- "시작" 단추를 클릭합니다.
- "확인"을 클릭합니다.정책 서버가 시작됩니다.
UNIX 정책 서버 시작
정책 서버를 시작하면 다음과 같은 결과가 발생합니다.
- 에이전트는 권한 부여 또는 인증 결정을 위해 정책 서버에 연결합니다.
- 로깅이 시작됩니다.
다음 작업 중 하나를 수행하여 모든 정책 서버 프로세스를 시작합니다.
관리 콘솔을 열고 "상태" 탭을 클릭한 다음 "시작" 단추를 클릭합니다.
- 다음 스크립트를 사용합니다. 이 스크립트는 UNIX 감독 기능도 시작합니다.installation_path/siteminder/start-all정책 서버는 모든 UNIX 감독 기능 활동을 installation_directory/log/smexec.log 파일에 로깅합니다. 로그 항목은 항상 기존 로그 파일에 추가됩니다.
DeviceDNA™를 사용한 고급 세션 보증을 위한
CA Access Gateway
환경 구성DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면
CA Access Gateway
가 작동해야 합니다. CA Access Gateway
에서 다음 단계를 수행하십시오.- CA Access Gateway및 정책 서버를 별도 컴퓨터에 설치했는지 확인합니다.
- CA Access Gateway릴리스 12.52 이상을 설치하거나 업그레이드합니다.참고:CA Access Gateway설치, 업그레이드 및 구성에 대한 자세한 내용은 CA Access Gateway 설치, 업그레이드 및 구성을 참조하십시오.
- SSL 연결을 사용하도록CA Access Gateway를 구성합니다.
- CA Access Gateway와 정책 서버 사이에서 포트 번호 7680을 엽니다.
- CA Access Gateway설치 또는 업그레이드에서 고급 인증 서버 암호화 키를 기록합니다. 현재 환경의 정책 서버에서 나중에 이 키가 필요합니다.
- 다중 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)이 필요합니다. 구성 마법사를 실행할 때 이 FQDN을 ServerName 설정에 사용합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우 구성 마법사에서 ServerName의 값을 sso.example.comCA Access Gateway으로 설정합니다.
- 에 대한IgnoreExtCA Access Gateway구성 매개 변수에 다음 값을 추가합니다..sac
DeviceDNA™를 사용한 고급 세션 보증을 위한 환경 구성
DeviceDNA™를 사용한 고급 세션 보증을 사용하려면 CA Single Sign-On 환경에서 일부 구성 요소 및 설정이 필요합니다.
다음 단계를 수행하십시오.
- 정책 서버를 버전 r12.52 이상으로 설치하거나 업그레이드합니다. 별도의 컴퓨터에 정책 서버 및 CA Access Gateway를 설치하십시오.
- 정책 저장소 구성 시 구성 마법사를 사용하지 않으려고 수동으로 구성하거나, 구성 마법사에서 기본적으로 구성 가능한 옵션으로서 정책 저장소를 제공하지 않는 경우, 사용자 환경의 각 정책 서버에서 구성 마법사를 다시 실행하십시오. 다시 실행할 때에는 필수 값만 입력하고 다른 값은 비워 두십시오. 이 단계를 수행하면 정책 서버가 이 기능을 지원하도록 구성됩니다.
- n번째 정책 서버에 대해 구성 마법사를 실행합니다. 정책 저장소 옵션을 선택하고 구성된 정책 저장소의 정보를 입력합니다. 이 단계를 수행하면 정책 서버가 정책 저장소에 연결됩니다.
- 세션 저장소가없으면세션 저장소를 하나 구성합니다.
- 정책 서버와 CA Access Gateway 사이에서 포트 번호 7680을 엽니다.
DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
영역에 끝점 추가
casso12kr
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 세션 저장소는 구성되어 있어야 합니다.다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
- 원하는 영역의 편집 아이콘을 클릭합니다.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
- "끝점 조회"를 클릭합니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
응용 프로그램 구성 요소에 끝점 추가
casso12kr
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.응용 프로그램 목록이 나타납니다.
- 원하는 응용 프로그램의 편집 아이콘을 클릭합니다."응용 프로그램 수정:" 대화 상자가 표시됩니다.
- 다음 단계 중하나를 수행합니다.
- 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
- 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
- "끝점 조회"를 클릭합니다.끝점의 목록이 표시됩니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다."응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증 활성화
관련 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
정책 서버
- xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
- smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 활동
고급 인증 서버에 대한 시작 로그:
- caauthminderstartup
- cariskminderstartup
- cariskmindercasemgmtserverstartup
고급 인증 서버에 대한 런타임 로그:
- caauthminder
- cariskminder
- cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
- arcotuds.log - UDS 서비스에 대한 로그 파일
- CAWebFlowLog.txt - 인증 흐름 응용 프로그램에 대한 로그 파일
- UIApplog.txt - UIApp(인증 흐름 응용 프로그램 실행 프로세스의 일부)에 대한 로그