업그레이드 중 DeviceDNA™를 사용한 고급 세션 보증 구성 방법

목차
casso12kr
목차
2
casso12kr
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. DeviceDNA™가 없는 사용자는 보호된 리소스에 대한 액세스가 거부됩니다.
다음 그림은 업그레이드 중 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.
How to configure session assurance during an upgrade
DeviceDNA™를 사용한 고급 세션 보증 제한 사항
Windows 정책 서버 중지
계속하기 전에 정책 서버를 중지하십시오. 정책 서버를 중지하면 다음과 같은 결과가 발생합니다.
  • 정책 서버가 사용 환경에서 일시적으로 제거됩니다.
  • 권한 부여 또는 인증 결정이 필요한 에이전트가 중지된 정책 서버에 연결할 수 없게 됩니다. 이러한 에이전트는 사용 가능한 다른 정책 서버에 여전히 연결할 수 있습니다.
  • 모든 로깅 활동이 중지됩니다.
  • 다음 단계를 수행하십시오.
  • 정책 서버 호스트 시스템에 로그인합니다.
    참고
    관리자 권한이 있는 계정을 사용하십시오.
  • 정책 서버 관리 콘솔을 시작합니다.
  • "중지" 단추를 클릭합니다.
  • "확인"을 클릭합니다.
    정책 서버가 중지되고 콘솔이 닫힙니다.
UNIX 정책 서버 중지
casso12kr
정책 서버를 중지하면 다음과 같은 결과가 발생합니다.
  • 정책 서버가 사용 환경에서 일시적으로 제거됩니다.
  • 권한 부여 또는 인증 결정이 필요한 에이전트가 중지된 정책 서버에 연결할 수 없게 됩니다. 이러한 에이전트는 사용 가능한 다른 정책 서버에 여전히 연결할 수 있습니다.
  • 모든 로깅 작업이 중지됩니다.
다음 단계를 수행하십시오.
  1. 정책 서버를 원래 설치한 사용자 계정으로 정책 서버를 호스트하는 시스템에 로그인합니다.
  2. 다음 작업 중
    하나
    를 수행하여 모든 정책 서버 프로세스를 중지합니다.
    • 관리 콘솔을 열고 "상태" 탭을 클릭한 다음 "중지" 단추를 클릭합니다.
    • 다음 스크립트를 사용합니다. 이 스크립트는 UNIX 감독 기능도 중지하므로 프로세스가 자동으로 다시 시작되지 않습니다.
      installation_path
      /siteminder/stop-all
      정책 서버는 모든 UNIX 감독 기능 작업을 installation_directory/log/smexec.log 파일에 로깅합니다. 로그 항목은 항상 기존 로그 파일에 추가됩니다.
감사 저장소 업그레이드 스크립트
정책 서버를 중지한 후 데이터베이스 공급업체에 적절한 감사 저장소 업그레이드 스크립트를 실행하십시오. 다음 목록에서 스크립트를 선택하십시오.
Oracle 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
정책 서버를 중지한 후에 감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
  1. sqlplus나 다른 Oracle 유틸리티를 사용하여 정책 서버 데이터베이스 정보를 관리하는 사용자로 Oracle 데이터베이스에 로그인합니다.
    참고
    SYS 또는 SYSTEM 사용자로 CA 스키마를 업그레이드하지
    않는
    CA Single Sign-on
    것이 좋습니다. 필요한 경우 SMOWNER와 같은 Oracle 데이터베이스 사용자를 생성하고 해당 사용자로 스키마를 업그레이드하십시오.
  2. 12.5에서 업그레이드하는 경우 다음 스크립트를 가져오십시오.
    $NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.5_to_12.51.sql
  3. 다음 스크립트를 가져옵니다.
    $NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.51_to_12.52.sql
    참고
    일부 환경 변수는 Oracle이 제공하는 SQL 유틸리티에서 작동하지 않을 수 있습니다. 이 유틸리티를 사용하여 스크립트를 가져오는 동안 문제가 발생하면 명시적 경로를 지정하십시오.
    감사 저장소 스키마가 업그레이드됩니다.
  4. 다음 절차 중
    하나
    를 사용하여 정책 서버를 시작합니다.
Microsoft SQL Server 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
정책 서버를 중지한 후에 감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
  1. 다음 태스크 중
    하나
    를 수행합니다.
    • 12.5 버전에서 업그레이드하는 경우 2 단계로 가십시오.
    • 12.51 버전에서 업그레이드하는 경우 10 단계로 가십시오.
  2. 텍스트 편집기에서 다음 파일을 엽니다.
    installation_directory\db\SQL\sm_mssql_logs_upgrade_12.5_to_12.51.sql
  3. installation_directory
  4. 정책 서버가 설치된 파일 시스템의 위치를 지정합니다.
  5. 전체 파일의 내용을 복사합니다.
  6. 쿼리 분석기를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
  7. 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
  8. sm_mssql_logs_upgrade_12.5_to_12.51.sql 파일의 스키마를 쿼리에 붙여 넣습니다.
  9. 쿼리를 실행합니다.
  10. 텍스트 편집기에서 다음 파일을 엽니다.
    installation_directory\db\SQL\sm_mssql_logs_upgrade_12.51_to_12.52.sql
  11. casso12kr
    installation_directory
    정책 서버가 설치된 파일 시스템의 위치를 지정합니다.
    전체 파일의 내용을 복사합니다.
  12. 쿼리 분석기를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
  13. 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
  14. sm_mssql_logs_upgrade_12.51_to_12.52.sql 파일의 스키마를 쿼리에 붙여 넣습니다.
  15. 쿼리를 실행합니다.
    감사 저장소 스키마가 업그레이드됩니다.
  16. 다음 절차 중
    하나
    를 사용하여 정책 서버를 시작합니다.
 
 
IBM DB2 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
Single Sign-On
감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
  1. 정책 서버를 호스트하는 시스템에 로그인합니다.
  2. 다음 디렉터리로 이동합니다.
    installation_directory\db\tier2\DB2\
  3. casso12kr
    installation_directory
    정책 서버가 설치된 파일 시스템의 위치를 지정합니다.
    다음 태스크 중
    하나
    를 수행합니다.
    • 12.5 버전에서 업그레이드하는 경우 4 단계로 가십시오.
    • 12.51 버전에서 업그레이드하는 경우 6 단계로 가십시오.
  4. 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.
    sm_db2_log_upgrade_12.5_to_12.51.sql
  5. 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
    참고
    쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.
    감사 저장소 스키마가 업그레이드됩니다.
  6. 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.
    sm_db2_log_upgrade_12.51_to_12.52.sql
  7. 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
    참고
    쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.
    감사 저장소 스키마가 업그레이드됩니다.
  8. 다음 절차 중
    하나
    를 사용하여 정책 서버를 시작합니다.
MySQL 데이터베이스용 감사 저장소 업그레이드 스크립트 실행
Single Sign-On
감사 로그 스키마를 업그레이드하십시오. 이 업그레이드는 스크립트를 사용하여 수행됩니다.
다음 단계를 수행하십시오.
  1. 정책 서버 호스트 시스템에 로그인합니다.
  2. 다음 위치로 이동합니다.
    installation_directory\db\tier2\MySQL.
  3. casso12kr
    installation_directory
    정책 서버가 설치된 파일 시스템의 위치를 지정합니다.
    다음 태스크 중
    하나
    를 수행합니다.
    • 12.5 버전에서 업그레이드하는 경우 4 단계로 가십시오.
    • 12.51 버전에서 업그레이드하는 경우 9 단계로 가십시오.
  4. 텍스트 편집기에서 다음 파일을 엽니다.
    sm_mysql_logs_upgrade_12.5_to_12.51.sql
  5. 다음 행을 찾습니다.
    DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
  6. 'databaseName'의 각 인스턴스를 감사 저장소로 작동하는 데이터베이스의 이름으로 바꿉니다.
  7. 전체 파일의 내용을 복사합니다.
  8. 파일 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
  9. 텍스트 편집기에서 다음 파일을 엽니다.
    sm_mysql_logs_upgrade_12.51_to_12.52.sql
  10. 다음 행을 찾습니다.
    DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
  11. 'databaseName'의 각 인스턴스를 감사 저장소로 작동하는 데이터베이스의 이름으로 바꿉니다.
  12. 전체 파일의 내용을 복사합니다.
  13. 파일 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
    감사 저장소 스키마가 업그레이드됩니다.
  14. 다음 절차 중
    하나
    를 사용하여 정책 서버를 시작합니다.
Windows 정책 서버를 시작합니다.
casso12kr
정책 서버를 시작합니다. 정책 서버를 시작하면 다음과 같은 결과가 발생합니다.
  • 에이전트는 권한 부여 또는 인증 결정을 위해 정책 서버에 연결합니다.
  • 로깅이 시작됩니다.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 시작합니다.
    "상태" 탭이 선택된 상태로 콘솔이 열립니다.
  2. "시작" 단추를 클릭합니다.
  3. "확인"을 클릭합니다.
    정책 서버가 시작됩니다.
 
UNIX 정책 서버 시작
정책 서버를 시작하면 다음과 같은 결과가 발생합니다.
  • 에이전트는 권한 부여 또는 인증 결정을 위해 정책 서버에 연결합니다.
  • 로깅이 시작됩니다.
다음 작업 중 하나를 수행하여 모든 정책 서버 프로세스를 시작합니다.
관리 콘솔을 열고 "상태" 탭을 클릭한 다음 "시작" 단추를 클릭합니다. 
  • 다음 스크립트를 사용합니다. 이 스크립트는 UNIX 감독 기능도 시작합니다.
    installation_path/siteminder/start-all
    정책 서버는 모든 UNIX 감독 기능 활동을 installation_directory/log/smexec.log 파일에 로깅합니다. 로그 항목은 항상 기존 로그 파일에 추가됩니다.
DeviceDNA™를 사용한 고급 세션 보증을 위한
CA Access Gateway
환경 구성
DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면
CA Access Gateway
가 작동해야 합니다.
CA Access Gateway
에서 다음 단계를 수행하십시오.
  1. CA Access Gateway
    및 정책 서버를 별도 컴퓨터에 설치했는지 확인합니다.
  2. CA Access Gateway
     릴리스 12.52 이상을 설치하거나 업그레이드합니다.
    참고:
    CA Access Gateway
    설치, 업그레이드 및 구성에 대한 자세한 내용은 CA Access Gateway 설치, 업그레이드 및 구성을 참조하십시오.
  3. SSL 연결을 사용하도록
    CA Access Gateway
    를 구성합니다.
  4. CA Access Gateway
    와 정책 서버 사이에서 포트 번호 7680을 엽니다.
  5. CA Access Gateway
    설치 또는 업그레이드에서 고급 인증 서버 암호화 키를 기록합니다. 현재 환경의 정책 서버에서 나중에 이 키가 필요합니다.
  6. 다중 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)이 필요합니다. 구성 마법사를 실행할 때 이 FQDN을 ServerName 설정에 사용합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우 구성 마법사에서 ServerName의 값을 sso.example.com
    CA Access Gateway
    으로 설정합니다.
  7. 에 대한
    IgnoreExt
    CA Access Gateway
    구성 매개 변수에 다음 값을 추가합니다.
    .sac
DeviceDNA™를 사용한 고급 세션 보증을 위한 환경 구성
DeviceDNA™를 사용한 고급 세션 보증을 사용하려면 CA Single Sign-On 환경에서 일부 구성 요소 및 설정이 필요합니다.
다음 단계를 수행하십시오.
  1. 정책 서버를 버전 r12.52 이상으로 설치하거나 업그레이드합니다. 별도의 컴퓨터에 정책 서버 및 CA Access Gateway를 설치하십시오.
  2. 정책 저장소 구성 시 구성 마법사를 사용하지 않으려고 수동으로 구성하거나, 구성 마법사에서 기본적으로 구성 가능한 옵션으로서 정책 저장소를 제공하지 않는 경우, 사용자 환경의 각 정책 서버에서 구성 마법사를 다시 실행하십시오. 다시 실행할 때에는 필수 값만 입력하고 다른 값은 비워 두십시오. 이 단계를 수행하면 정책 서버가 이 기능을 지원하도록 구성됩니다.
  3. n번째 정책 서버에 대해 구성 마법사를 실행합니다. 정책 저장소 옵션을 선택하고 구성된 정책 저장소의 정보를 입력합니다. 이 단계를 수행하면 정책 서버가 정책 저장소에 연결됩니다.
  4. 세션 저장소가
    없으면
    세션 저장소를 하나 구성합니다.
  5. 정책 서버와 CA Access Gateway 사이에서 포트 번호 7680을 엽니다.
DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
영역에 끝점 추가
casso12kr
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 세션 저장소는 구성되어 있어야 합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
  2. 원하는 영역의 편집 아이콘을 클릭합니다.
  3. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
  4. "끝점 조회"를 클릭합니다.
  5. 원하는 끝점을 선택합니다.
  6. "확인"을 클릭합니다.
  7. 제출을 클릭합니다.
  8. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
응용 프로그램 구성 요소에 끝점 추가
casso12kr
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.
    응용 프로그램 목록이 나타납니다.
  2. 원하는 응용 프로그램의 편집 아이콘을 클릭합니다.
    "응용 프로그램 수정:" 대화 상자가 표시됩니다.
  3. 다음 단계 중
    하나
    를 수행합니다.
    • 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
    • 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
  4. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
  5. "끝점 조회"를 클릭합니다.
    끝점의 목록이 표시됩니다.
  6. 원하는 끝점을 선택합니다.
  7. "확인"을 클릭합니다.
  8. 제출을 클릭합니다.
    "응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
  9. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증 활성화
관련 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
정책 서버
  • xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
  • smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 활동
고급 인증 서버에 대한 시작 로그:
  • caauthminderstartup
  • cariskminderstartup
  • cariskmindercasemgmtserverstartup
고급 인증 서버에 대한 런타임 로그:
  • caauthminder
  • cariskminder
  • cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
(고급 인증 흐름 응용 프로그램):
  • arcotuds.log - UDS 서비스에 대한 로그 파일
  • CAWebFlowLog.txt - 인증 흐름 응용 프로그램에 대한 로그 파일
  • UIApplog.txt - UIApp(인증 흐름 응용 프로그램 실행 프로세스의 일부)에 대한 로그