X.509 클라이언트 인증서 및 HTML 양식 인증 체계

X.509 클라이언트 인증서 및 HTML 양식 인증 체계는 HTML 양식 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
casso126kkr
X.509 클라이언트 인증서 및 HTML 양식 인증 체계는 HTML 양식 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
사용자가 성공적으로 인증하려면 다음 두 이벤트가 발생해야 합니다.
  • 사용자의 X.509 클라이언트 인증서가 확인되어야 합니다.
  • 사용자가 HTML 양식에 의해 요청된 자격 증명을 제공해야 합니다.
이 체계의 경우 인증 프로세스는 다음 단계를 따르십시오.
  1. 정책 서버가 웹 에이전트에 사용자를 SSL 사용 웹 서버의 FCC로 리디렉션하도록 지시합니다.
  2. 웹 에이전트가 양식을 제공합니다.
  3. FCC가 인증서와 양식을 다시 정책 서버에 전달합니다.
  4. 정책 서버가 인증서 매핑에 있는 사용자의 존재 여부를 확인합니다.
  5. 정책 서버가 사용자의 HTML 양식 자격 증명을 확인하고 인증서 자격 증명과 HTML 양식 자격 증명이 동일한 사용자를 나타내는지 확인합니다.
X.509 클라이언트 인증서 및 HTML 양식 체계 사전 요구 사항
X.509 클라이언트 인증서 및 HTML 양식 인증 체계를 구성하기 전에 다음 사전 요구 사항을 충족하는지 확인하십시오.
  • SSL 웹 서버에 X.509 서버 인증서가 설치되어 있어야 합니다.
    casso126kkr
    참고:
    정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
  • 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원해야 합니다.
  • 클라이언트 브라우저에 X.509 클라이언트 인증서가 설치되어 있어야 합니다.
  • 클라이언트 인증서와 서버 인증서 간에 트러스트가 설정되어 있어야 합니다.
  • 인증서가 트러스트된 유효한 CA(인증 기관)에서 발급된 것이어야 합니다.
  • 인증서 발급 CA의 공개 키를 통해 발급자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • 클라이언트 인증서와 서버 인증서가 만료되지 않아야 합니다.
  • 사용자의 공개 키를 통해 사용자 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • 양식 자격 증명 정보가 사용자 디렉터리에 있어야 합니다.
  • 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
  • (Sun Java Systems) Sun Java Systems 웹 서버를 사용하는 경우 magnus.conf 파일의 StackSize 매개 변수 값을 131072보다 큰 값으로 늘려야 합니다. 값을 변경하지 못하면 정책 서버가 양식을 사용하여 인증을 요청할 때마다 웹 서버가 코어를 덤프하고 재시작됩니다.
참고:
인증서가 필수이거나 선택 사항인 Apache 웹 서버의 경우에는 httpd.conf 파일에서 SSL Verify Depth 10 줄의 주석 처리를 제거해야 합니다.
인증서와 양식 데이터는 함께 수집되어 정책 서버에 전달됩니다.
조건
결과
인증서가 없는 경우
브라우저가 오류 500 표시
인증서 및 양식 자격 증명이 수락되지 않은 경우
브라우저가 오류 500 표시
에이전트 API 지원
X.509 클라이언트 인증서 및 HTML 양식 인증 체계에는 Sm_AuthApi_Cred_SSLRequired 및 Sm_AuthApi_Cred_FormRequired 비트가 사용됩니다.
X.509 인증서 및 HTML 양식 인증 체계 구성
인증서 인증과 HTML 양식 기반 인증을 결합하려면 X.509 인증서 및 HTML 인증 체계를 사용하십시오.
casso126kkr
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
    "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  4. "확인"을 클릭합니다.
  5. 이름 및 보호 수준을 입력합니다.
  6. "인증 체계 유형" 목록에서 "X509 클라이언트 인증서 및 양식 템플릿"을 선택합니다.
  7. SSL 자격 증명 수집기에 대한 서버 이름 및 대상 정보를 입력합니다.
  8. (선택 사항) "체계 설정"에서 "인증 세션 변수 유지"를 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 세션 저장소에 저장되도록 지정합니다.
  9. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.