X.509 인증서 또는 기본 인증 체계

X.509 클라이언트 인증서 또는 기본 인증 체계에서는 기본 인증이나 X.509 클라이언트 인증서 인증을 통해 사용자 아이덴티티를 설정할 수 있습니다. 사용자가 성공적으로 인증하려면 다음 두 이벤트 중 하나가 발생해야 합니다.
casso126kkr
X.509 클라이언트 인증서 또는 기본 인증 체계에서는 기본 인증이나 X.509 클라이언트 인증서 인증을 통해 사용자 아이덴티티를 설정할 수 있습니다. 사용자가 성공적으로 인증하려면 다음 두 이벤트 중 하나가 발생해야 합니다.
  • 사용자의 X.509 클라이언트 인증서가 확인되어야 합니다.
  • 사용자가 올바른 사용자 이름 및 암호를 제공해야 합니다.
이 체계를 사용할 경우 사용자가 보호된 리소스를 요청하면 웹 에이전트는 브라우저에 인증서를 제공하도록 요청합니다. 사용자가 인증서를 갖고 있지 않거나 "취소"를 클릭하여 인증서를 제공하지 않을 경우 웹 에이전트는 HTTP 기본 프로토콜을 사용하여 사용자에게 인증을 요청합니다. HTTP 기본 인증에서는 에이전트가 사용자 이름 및 암호를 가져올 수 있습니다.
이 체계는 X.509 인증서를 단계적으로 배포해야 하는 경우에 유용합니다. 예를 들어 사용자가 50,000명인 회사의 경우 인증서 50,000개를 동시에 발급하고 배포하는 작업이 번거로울 수 있습니다. 이 체계를 사용하면 인증서를 한 번에 500개 또는 5,000개씩 적절히 나누어 발급할 수 있습니다. 이 전환 기간 동안 이미 인증서가 있는 사용자에 대해서는 인증서를 통해 리소스를 보호할 수 있으며, 동시에 권한 있는 다른 사용자는 디렉터리 사용자 이름 및 암호를 기반으로 리소스에 액세스할 수 있습니다.
이 체계에서는 SSL 연결을 요구하도록 기본 인증 교환을 구성하는 옵션이 제공됩니다.
참고:
X509 인증서 또는 기본 체계가 혼합된 인증서 기반 인증 체계를 여러 개 구현할 경우 브라우저 캐싱 제한으로 인해 예기치 못한 동작이 발생할 수 있습니다. 사용자가 인증서 또는 기본 인증 체계로 보호되는 영역의 리소스에 액세스하기 위해 인증서 기반 인증을 선택하지 않을 경우 브라우저는 이 결정을 자동으로 캐시합니다. 이후에 동일한 사용자가 같은 브라우저 세션에서 필수 인증서 부분(예: X509 인증서, X509 인증서 및 기본, X509 인증서 및 양식)을 포함하는 인증 체계로 보호되는 리소스에 액세스하려고 하면 "사용 권한 없음" 오류 메시지가 표시됩니다.
사용자가 첫 번째 리소스에 액세스할 때 인증서 기반 인증에 필요한 인증서를 보내지 않았고 브라우저는 해당 결정을 캐시했기 때문에 사용자가 인증서가 필요한 영역에 액세스하려고 하면 자동으로 거부됩니다.
X509 인증서 또는 기본 체계를 포함하는 인증서 기반 인증 체계로 보호되는 영역과 사용자가 인증을 위해 인증서를 보낼지 여부를 결정할 수 없는 기타 인증서 기반 체계로 보호되는 영역이 혼합된 배포 환경에서 유효한 인증서가 있는 사용자가 리소스에 액세스할 때는 인증서를 사용하도록 권장하십시오.
2
X.509 클라이언트 인증서 또는 기본 체계 사전 요구 사항
X.509 클라이언트 인증서 또는 기본 인증 체계를 구성하기 전에 다음 사전 요구 사항을 확인하십시오.
  • SSL 웹 서버에 X.509 서버 인증서가 설치되어 있어야 합니다.
    casso126kkr
    참고:
    정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
  • 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원해야 합니다.
  • 클라이언트 브라우저에 X.509 클라이언트 인증서가 설치되어 있어야 합니다.
  • 클라이언트 인증서와 서버 인증서 간에 트러스트가 설정되어 있어야 합니다.
  • 인증서가 트러스트된 유효한 CA(인증 기관)에서 발급된 것이어야 합니다.
  • 인증서 발급 CA 공개 키를 통해 발급자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • 클라이언트 인증서와 서버 인증서가 만료되지 않아야 합니다.
  • 사용자의 공개 키를 통해 사용자 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • 클라이언트 사용자 이름 및 암호 정보가 사용자 디렉터리에 있어야 합니다.
  • 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
참고:
인증서가 필수이거나 선택 사항인 Apache 웹 서버의 경우에는 httpd.conf 파일에서 SSL Verify Depth 10 줄의 주석 처리를 제거해야 합니다.
X.509 인증서 또는 기본 인증 체계 구성
X.509 인증서 또는 기본 인증 체계를 사용하여 인증서 인증이나 기본 인증 또는 둘 모두를 구현할 수 있습니다.
casso126kkr
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
casso126kkr
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
    "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  4. "확인"을 클릭합니다.
  1. 이름 및 보호 수준을 입력합니다.
  2. "인증 체계 유형" 목록에서 "X509 클라이언트 인증서 또는 기본 템플릿"을 선택합니다.
  3. SSL 자격 증명 수집기에 대한 서버 및 대상 정보를 입력합니다.
  4. (선택 사항) "체계 설정"에서 "인증 세션 변수 유지"를 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 세션 저장소에 저장되도록 지정합니다.
  5. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.