X.509 클라이언트 인증서 또는 HTML 양식 인증 체계

X.509 클라이언트 인증서 또는 HTML 양식 인증 체계에서는 HTML 양식 인증이나 X.509 클라이언트 인증서 인증을 통해 사용자 아이덴티티를 설정할 수 있습니다. 사용자가 성공적으로 인증하려면 다음 두 이벤트 중 하나가 발생해야 합니다.
casso126kkr
X.509 클라이언트 인증서 또는 HTML 양식 인증 체계에서는 HTML 양식 인증이나 X.509 클라이언트 인증서 인증을 통해 사용자 아이덴티티를 설정할 수 있습니다. 사용자가 성공적으로 인증하려면 다음 두 이벤트 중 하나가 발생해야 합니다.
  • X.509 클라이언트 인증서가 확인되어야 합니다.
  • 사용자가 HTML 양식에서 요청된 자격 증명을 제공해야 합니다.
사용자가 보호된 리소스를 요청하면 웹 에이전트는 브라우저에 인증서를 제공하도록 요청합니다. 이 체계는 다음과 같은 영향을 줍니다.
조건
결과
인증서가 제공됨
인증서가 처리됨
인증서가 수락되지 않음
브라우저가 오류 500 표시
인증서가 제공되지 않음
브라우저가 양식 제공
양식이 거부됨
브라우저가 양식을 다시 요청
이 체계는 X.509 인증서를 단계적으로 배포해야 하는 경우에 유용합니다. 예를 들어 사용자가 50,000명인 회사의 경우 인증서 50,000개를 동시에 발급하고 배포하는 작업이 번거로울 수 있습니다. 이 체계를 사용하면 인증서를 한 번에 500개 또는 5,000개씩 적절히 나누어 발급할 수 있습니다. 이 전환 기간 동안 이미 인증서가 있는 사용자에 대해서는 인증서를 통해 리소스를 보호할 수 있으며, 동시에 권한 있는 다른 사용자는 HTML 양식 자격 증명을 기반으로 리소스에 액세스할 수 있습니다.
참고:
X509 인증서 또는 양식 체계가 혼합된 인증서 기반 인증 체계를 여러 개 구현할 경우 브라우저 캐싱 제한으로 인해 예기치 못한 동작이 발생할 수 있습니다. 사용자가 인증서 또는 양식 인증 체계로 보호되는 영역의 리소스에 액세스하기 위해 인증서 기반 인증을 사용하지 않을 경우 브라우저는 이 결정을 자동으로 캐시합니다. 이후에 동일한 사용자가 같은 브라우저 세션에서 필수 인증서 부분(예: X509 인증서, X509 인증서 및 기본, X509 인증서 및 양식)을 포함하는 인증 체계로 보호되는 리소스에 액세스하려고 하면 "사용 권한 없음" 오류 메시지가 표시됩니다.
사용자가 첫 번째 리소스에 액세스할 때 인증서 기반 인증에 필요한 인증서를 보내지 않았고 브라우저는 해당 결정을 캐시했기 때문에 사용자가 인증서가 필요한 영역에 액세스하려고 하면 자동으로 거부됩니다.
X509 인증서 또는 양식 체계를 포함하는 인증서 기반 인증 체계로 보호되는 영역과 사용자가 인증을 위해 인증서를 보낼지 여부를 결정할 수 없는 기타 인증서 기반 체계로 보호되는 영역이 혼합된 배포 환경에서 유효한 인증서가 있는 사용자가 리소스에 액세스할 때는 인증서를 사용하도록 권장하십시오.
X.509 클라이언트 인증서 또는 HTML 양식 체계 사전 요구 사항
X.509 클라이언트 인증서 또는 HTML 양식 인증 체계를 구성하기 전에 다음 사전 요구 사항을 확인하십시오.
  • SSL 웹 서버에 X.509 서버 인증서가 설치되어 있어야 합니다.
    casso126kkr
    참고:
    정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
  • 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원해야 합니다.
  • 클라이언트 브라우저에 X.509 클라이언트 인증서가 설치되어 있어야 합니다.
  • 클라이언트 인증서와 서버 인증서 간에 트러스트가 설정되어 있어야 합니다.
  • 트러스트된 유효한 CA(인증 기관)에서 인증서를 발급해야 합니다.
  • 인증서 발급 CA 공개 키를 통해 사용자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • 클라이언트 인증서와 서버 인증서가 만료되지 않아야 합니다.
  • 공개 키를 통해 사용자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
  • HTML 양식에서 요청된 사용자 특성이 사용자 디렉터리에 있어야 합니다.
  • 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
  • (Sun Java Systems) Sun Java Systems 웹 서버를 사용하는 경우 magnus.conf 파일의 StackSize 매개 변수 값을 131072보다 큰 값으로 늘려야 합니다. 값을 변경하지 못하면 정책 서버가 양식을 사용하여 인증을 요청할 때마다 웹 서버가 코어를 덤프하고 재시작됩니다.
에이전트 API 지원
에이전트 API에서는 Sm_AuthApi_Cred_CertOrForm 값이 열거 형식 Sm_Api_Credentials_t에 추가되어 있습니다. Sm_Api_Credentials_t는 사용자가 Sm_AgentApi_Realm_t 구조체에서 참조하는 영역에 액세스하는 데 필요한 자격 증명을 지정합니다. 이 열거 형식은 이 구조체의 nRealmCredentials 필드에 적용됩니다.
새 값은 사용자 인증에 반드시 X.509 인증서 또는 양식 기반 인증 체계를 사용하도록 지정합니다.
X.509 인증서 또는 HTML 양식 인증 체계 구성
X.509 인증서 또는 HTML 양식 인증 체계를 사용하여 인증서 인증이나 HTML 양식 기반 인증 또는 둘 모두를 구현할 수 있습니다.
casso126kkr
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
casso126kkr
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
    "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  4. "확인"을 클릭합니다.
  1. 이름 및 보호 수준을 입력합니다.
  2. "인증 체계 유형" 목록에서 "X509 클라이언트 인증서 또는 양식 템플릿"을 선택합니다.
  3. 서버 및 대상 정보를 입력합니다.
  4. (선택 사항) "체계 설정"에서 "Persist Authentication Scheme Data"(인증 체계 데이터 유지)를 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 세션 저장소에 저장되도록 지정합니다.
  5. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.
참고:
인증서가 필수이거나 선택 사항인 Apache 웹 서버의 경우에는 httpd.conf 파일에서 SSL Verify Depth 10 행의 주석 처리를 제거합니다.