REMOTE_USER 변수
목차
casso12kr
목차
REMOTE_USER 변수는 웹 서버에 의해 인증된 사용자의 이름을 보유합니다. 웹 서버에 에이전트가 설치되면
Single Sign-On
은 웹 서버의 네이티브 인증을 바꿉니다. REMOTE_USER 변수는 비어 있습니다.응용 프로그램에서 REMOTE_USER 변수를 사용하는 경우 REMOTE_USER 변수가 설정됩니다.
웹 서버에서 REMOTE_USER 변수를 사용하지 않는 경우에는 HTTP_SM_USER 헤더를 사용하여 응용 프로그램에 사용자 이름을 전달할 수 있습니다.
REMOTE_USER 변수를 설정하기 위해 웹 에이전트 구성
다음과 같이 웹 에이전트를 구성하여 REMOTE_USER 변수를 설정합니다.
- REMOTE_USER 값을Single Sign-On로그인 사용자 이름으로 설정하려면 웹 에이전트의 SetRemoteUser 매개 변수를 yes로 설정합니다.이 매개 변수의 기본값은 no이며 REMOTE_USER 변수는 비어 있습니다.참고:Single Sign-On웹 에이전트 5.x QMR 2 이전 버전의 경우 SetRemoteUser 매개 변수는 IIS 웹 서버에만 영향을 주었고 Apache 및 Oracle iPlanet 에이전트는 항상 REMOTE_USER를Single Sign-On에 로그인한 사용자 이름으로 설정했습니다. 5.x QMR 2 이전 버전의 에이전트를 설치하거나 업그레이드하면 REMOTE_USER를 더 이상 기본적으로 사용할 수 없음을 유의하십시오.
- 로그인한 사용자의 자격 증명 대신 특정 사용자 계정을 사용하여 REMOTE_USER 변수를 설정하려면 다음을 수행합니다.
- SetRemoteUser 매개 변수를 yes로 설정하여 활성화합니다.
- RemoteUserVar 매개 변수를 설정합니다. 이 매개 변수는 HTTP-WebAgent-Header-Variable 응답 특성의 값을 사용하여 REMOTE_USER 변수를 채우도록 에이전트에 지시합니다. 이를 사용하면 레거시 응용 프로그램과 통합할 수 있습니다.RemoteUserVar 매개 변수를 구성하려면 응답 변수의 이름만 입력합니다. 예를 들어 HTTP-WebAgent-Header-Variable을 "user=ajohnson"과 같이 반환하려면 RemoteUserVar 매개 변수의 값을 user로 설정합니다.
- 헤더 변수를 OnAuthAccept 규칙에 바인딩합니다. 이때 기존 HTTP 헤더 변수 응답을 사용하지 말고 새로 생성해야 합니다.
casso12kr
참고:
자세한 내용은 정책 서버 설명서를 참조하십시오.- 기본값, 즉 REMOTE_USER를 빈 상태로 되돌리려면 SetRemoteUser 매개 변수를 no로 설정합니다.
참고:
SetRemoteUser 또는 RemoteUserVar를 구성하기 전에 보안 문제를 고려하십시오.IIS 웹 서버와 REMOTE_USER 변수
Single Sign-On
에서 REMOTE_USER 변수를 사용하려면 IIS 웹 서버에 기본 인증이 필요합니다.기본 인증이 설정된 경우 사용자가
Single Sign-On
보호 리소스를 요청하면 에이전트는 사용자 이름만 포함하여 IIS 웹 서버의 HTTP_Authorization 헤더를 설정하려고 합니다. 이때 암호는 포함되지 않습니다.HTTP_Authorization 헤더가 사용될 경우 IIS 웹 서버의 기본 인증 메커니즘은 다른 인증 챌린지보다 우선 순위가 높습니다. 따라서 IIS 웹 서버는 사용자가 자신의 챌린지에 응답하고 있다고 인식합니다.
ISAPI 필터(IIS의 클래식 파이프라인 모드 사용)로 작동하는 에이전트는 다음과 같은 태스크를 수행하십시오.
- 요청의 사용자 컨텍스트 설정
- REMOTE_USER 헤더의 값 설정
SetRemoteUser 매개 변수의 값이 yes이고 다음 설정이 사용되면 에이전트에서 REMOTE_USER 헤더를 채웁니다.
- DefaultUsername 및 DefaultPassword - 이러한 두 매개 변수는 에이전트에서 대부분의 활동에 사용하는 권한 있는 프록시 사용자 계정을 제어합니다.
- ForceIISProxyUser - 정상적인 동작을 무시하고 IIS 웹 서버가 프록시 사용자로 실행되도록 에이전트에 지시합니다.
- UseAnonAccess - 에이전트에서 요청에 사용자 컨텍스트를 제공하지 않도록 지시하고 기존 사용자 컨텍스트를 변경되지 않은 상태로 둡니다.
- Run in Authenticated User's Security Context(인증된 사용자의 보안 컨텍스트에서 실행) - 에이전트는 영구 세션에 저장된 자격 증명을 사용하도록 IIS 웹 서버에 지시합니다.
SetRemoteUser 매개 변수와 UseAnonAccess 매개 변수를 함께 사용할 때는 주의해야 합니다.
다음 표에서는 이러한 매개 변수가 함께 사용되는 방식을 보여 줍니다.
매개 변수 설정
| 결과
|
SetRemoteUser=yes UseAnonAccess=yes | 에이전트가 사용자 보안 컨텍스트를 전달하지 않으므로 REMOTE_USER 변수를 설정할 수 없습니다.사용자 보안 컨텍스트가 없으면 IIS 웹 서버는 에이전트에서 수정한 HTTP_Authorization 헤더의 자격 증명을 사용합니다. 그러나 이 헤더는 사용자 이름만 포함하므로 완전하지 않습니다. |
SetRemoteUser=yes UseAnonAccess=no | 에이전트는 DefaultUserName, DefaultPassword 또는 ForceIISProxyUser와 같은 다른 매개 변수의 설정에 따라 몇 가지 유형의 사용자 컨텍스트를 전달할 수 있습니다. 에이전트가 IIS 웹 서버에 보안 컨텍스트를 전달하면 IIS 웹 서버는 해당 에이전트의 자격 증명을 사용합니다. IIS 웹 서버는 불완전한 HTTP_Authorization 헤더를 무시합니다. |