CA Directory 정책 저장소 구성
이 콘텐츠에서는 정책 데이터 및 암호화 키를 저장하도록 단일 CA Directory Server 인스턴스를 구성하는 방법을 설명합니다. 구현에 필요할 경우 별도의 키 저장소를 구성할 수 있습니다. 단일 디렉터리 서버를 사용하면 관리 태스크를 간소화할 수 있습니다.
casso127kkr
이 콘텐츠에서는 정책 데이터 및 암호화 키를 저장하도록 단일 CA Directory Server 인스턴스를 구성하는 방법을 설명합니다. 구현에 필요할 경우 별도의 키 저장소를 구성할 수 있습니다. 단일 디렉터리 서버를 사용하면 관리 태스크를 간소화할 수 있습니다.
디렉터리 서버 정보 수집
CA Directory를 정책 저장소로 구성하려면 특정 디렉터리 서버 정보가 필요합니다. 정책 저장소를 구성하기 전에 다음 정보를 수집하십시오. 정책 저장소 워크시트를 사용하여 값을 기록할 수 있습니다.
- 호스트 정보 -CA Directory가 실행되는 시스템의 정규화된 호스트 이름 또는 IP 주소를 확인합니다.
- DSA 포트 번호 -DSA가 수신 대기하는 포트를 확인합니다.
- 기본 DN- LDAP 트리에서 정책 저장소 개체가 정의되는 노드의 고유 이름을 확인합니다.
- 관리 DN-Single Sign-On이 DSA에서 개체를 관리하는 데 사용하는 계정의 LDAP 사용자 이름을 확인합니다.
- 관리 암호- 관리 사용자의 암호를 확인합니다.
정책 저장소의 DSA 만들기
다음 명령을 실행하여 DSA를 생성합니다.
dxnewdsa DSA_Name port "o=DSA_Name,c=country_code"
- DSA_NameDSA의 이름을 지정합니다.
- portDSA가 수신 대기하는 포트를 지정합니다.
- o=DSA_Name,c=country_codeDSA 접두사를 지정합니다.예:"o=psdsa,c=US"
dxnewdsa 유틸리티가 새 DSA를 시작합니다.
참고:
DSA가 자동으로 시작되지 않으면 다음을 실행하십시오.dxserver start DSA_Name
정책 저장소 스키마 만들기
디렉터리 서버가 정책 저장소로 작동할 수 있도록 정책 저장소 스키마를 생성하십시오.
중요!
기본적으로 CA Directory 구성 파일은 읽기 전용입니다. 지침에 따라 수정해야 할 CA Directory 파일이 있는 경우 쓰기가 가능하도록 권한을 업데이트해야 합니다. 파일을 업데이트한 후 다시 읽기 전용으로 권한을 되돌릴 수 있습니다. 또한 CA Directory에서 제공하는 모든 default.xxx 파일은 CA Directory 업그레이드 중 덮어쓰여집니다. 읽기 전용 파일을 수정할 때는 주의하십시오.다음 단계를 수행하십시오.
- 다음 파일을 CA DirectoryDXHOME\config\schema 디렉터리에 복사합니다.
- netegrity.dxc
- etrust.dxc
- DXHOMEDirectory Server 설치 경로를 지정합니다.
참고:netegrity.dxc 파일은 정책 서버와 함께siteminder_home\eTrust에 설치됩니다. etrust.dxc 파일은 정책 서버와 함께siteminder_home\xps\db에 설치됩니다.- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows %DXHOME%
- Unix/Linux: $DXHOME
- default.dxg 스키마 파일을 복사한 후 이름을 바꿔Single Sign-On스키마 파일을 생성합니다.참고:default.dxg 스키마 파일은DXHOME\config\schema\default.dxg에 있습니다.예:default.dxg 스키마 파일을 복사하고 복사본의 이름을 smdsa.dxg로 바꿉니다.
- 새Single Sign-On스키마 파일의 맨 아래에 다음 행을 추가합니다.#CA Schemasource "netegrity.dxc";source "etrust.dxc";
- DSA의 DXI 파일(DSA_Name.dxi)을 편집하여 스키마를 default.dxg에서 새Single Sign-On스키마 파일로 변경합니다.
- DSA_Name정책 저장소에 대해 생성한 DSA의 이름을 나타냅니다.
참고:DXI 파일은DXHOME\config\servers에 있습니다. - DSA의 DXI 파일 끝에 다음 행을 추가합니다.# cache configurationset ignore-name-bindings = true;
- DSA의 기본 제한 DXC 파일(default.dxc)을 복사하여Single Sign-OnDXC 파일을 생성합니다.예:기본 DXC 파일을 복사한 후 복사본 smdsa.dxc의 이름을 바꿉니다.참고:기본 DXC 파일은DXHOME\dxserver\config\limits에 있습니다.
- 새 DXC 파일의 설정을 다음과 일치하도록 편집합니다.# size limitsset max-users = 1000;set credits = 5;set max-local-ops = 1000;set max-op-size = 4000;set multi-write-queue = 20000;참고: CA Directory r12 SP7 이상을 사용하는 경우에는 'max-local-ops' 설정을 지정할 필요가 없습니다.중요!multi-write-queue 설정은 텍스트 기반 구성에서만 사용됩니다. DXmanager를 사용하여 DSA를 설치한 경우에는 이 설정을 생략하십시오.참고:크기 제한 설정을 편집하면 캐시 크기 오류가 CA Directory 로그 파일에 표시되지 않습니다.
- DXC 파일을 저장합니다.
- DSA의 DXI 파일(DSA_Name.dxi)을 편집하여 제한 구성을 default.dxg에서 새Single Sign-On제한 파일로 변경합니다.예:제한 구성을 default.dxc에서 smdsa.dxc로 변경합니다.
- DSA_Name정책 저장소에 대해 생성한 DSA의 이름을 나타냅니다.참고:DSA의 DXI 파일은 DXHOME\config\servers에 있습니다. DXmanager를 사용하여 DSA를 생성한 경우 기존 제한 파일의 이름은 dxmanager.dxc로 지정됩니다.
- DSA 사용자 권한으로 다음 명령을 사용하여 DSA를 중지했다가 다시 시작합니다.dxserver stop DSA_Namedxserver start DSA_Name
- DSA_NameDSA의 이름을 지정합니다.
DSA 열기
디렉터리 서버를 보여 주는 뷰를 생성하여 개체를 관리할 수 있습니다.
다음 단계를 수행하십시오.
- 데이터베이스가 익명 로그인을 허용하도록 구성되어 있는지 확인합니다.
- JXplorer GUI를 시작합니다.
- 연결 아이콘을 선택합니다.연결 설정이 표시됩니다.
- "Host Name"(호스트 이름) 필드에host_name_or_IP_address를 입력합니다.
- host_name_or_IP_addressCA Directory가 실행되는 시스템의 호스트 이름 또는 IP 주소를 지정합니다.
- "Port number"(포트 번호) 필드에port_number를 입력합니다.
- port_numberDSA가 수신 대기하는 포트를 지정합니다.
- "Base DN"(기본 DN) 필드에 o=DSA_Name,c=country_code를 입력합니다.예:o=psdsa,c=US
- "Level"(수준) 목록에서 "Anonymous"(익명)를 선택하고 "Connect"(연결)를 클릭합니다.DSA 뷰가 표시됩니다.
정책 저장소 데이터의 기본 트리 구조 만들기
정책 저장소 데이터를 보관할 기본 트리 구조를 생성할 수 있습니다. 조직 단위를 만드는 데는 JXplorer GUI를 사용합니다.
다음 단계를 수행하십시오.
- DSA의 루트 요소를 선택합니다.
- 루트 요소 아래에 다음 이름의 조직 단위를 생성합니다.Netegrity
- Netegrity 아래에 다음 이름의 조직 단위(루트 요소)를 생성합니다.SiteMinder
- SiteMinder 아래에 다음 이름의 조직 단위(루트 요소)를 생성합니다.PolicySvr4
- PolicySvr4 아래에 다음 이름의 조직 단위(루트 요소)를 생성합니다.XPS기본 트리 구조가 생성되었습니다.
DSA에 대한 슈퍼 사용자 관리자 만들기
Single Sign-On
이 DSA에 액세스하는 데 사용할 수 있는 관리자 계정이 없을 경우에만 슈퍼 사용자 관리자를 생성해야 합니다. 정책 서버에서 정책 저장소를 연결하는 데 이 정보가 필요합니다.다음 단계를 수행하십시오.
- JXplorer GUI를 사용하여 DSA에 액세스합니다.
- Single Sign-On이 정책 저장소에 액세스하는 데 사용할 수 있는 관리자를 생성합니다.참고:다음 개체 유형을 사용하여 사용자를 생성하십시오.inetOrgPerson
- 관리자 DN과 암호를 기록합니다. 정책 서버를 정책 저장소에 연결할 때 이 자격 증명을 사용합니다.
예:
dn:cn=admin,o=yourcompany,c=in
정책 서버를 정책 저장소에 연결
casso127kkr
정책 서버가 정책 저장소에 액세스할 수 있도록 정책 서버를 정책 저장소에 연결하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.casso127kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
- 데이터 탭을 클릭합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Policy Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- "LDAP 정책 저장소" 그룹 상자에서 다음 설정을 구성합니다.
- LDAP IP 주소
- 관리자 사용자 이름
- 암호
- 암호 확인
- 루트 DN
참고"도움말"을 클릭하면 필드, 컨트롤 및 해당되는 요구 사항에 대한 설명을 볼 수 있습니다. - "적용"을 클릭합니다.
- LDAP 연결 테스트를 클릭하여 정책 서버에서 정책 저장소에 액세스할 수 있는지 여부를 확인합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Key Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- 다음 옵션을 선택합니다.Use Policy Store database
- "확인"을 클릭합니다.
Single Sign-On
슈퍼 사용자 암호 설정casso127kkr
기본 관리자 계정의 이름은
siteminder
로 지정됩니다. 이 계정에는 최대 권한이 있습니다.일상적인 작업에는 기본 슈퍼 사용자를 사용하지 마십시오. 다음과 같은 경우에 기본 슈퍼 사용자를 사용하십시오.
- 관리 UI에 처음 액세스할 경우
- Single Sign-On유틸리티를 처음 관리할 경우
- 슈퍼 사용자 권한이 있는 다른 관리자를 생성할 경우
다음 단계를 수행하십시오.
- smreg 유틸리티를siteminder_home\bin에 복사합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
참고이 유틸리티는 정책 서버 설치 키트의 최상위 수준에 있습니다. - 다음 명령을 실행합니다.smreg -supassword
- password기본 관리자의 암호를 지정합니다.
- 암호는 적어도 6자보다 길어야 하며 24자를 넘을 수 없습니다.
- 암호에 앰퍼샌드(&)나 별표(*)를 사용할 수 없습니다.
- 암호에 공백이 있는 경우 암호를 따옴표로 묶으십시오.
참고:Oracle 정책 저장소를 구성하는 경우 암호의 대/소문자가 구분됩니다. 다른 모든 정책 저장소에서는 암호의 대/소문자를 구분하지 않습니다. - siteminder_home\bin에서 smreg를 삭제합니다. smreg를 삭제하면 이전 암호를 모르는 다른 사람은 암호를 변경할 수 없게 됩니다.
기본 관리자 계정의 암호가 설정되었습니다.
CA Directory 캐시 구성 확인
DXconsole을 사용하여 DXcache 설정이 활성화되었는지 확인할 수 있습니다.
참고:
기본적으로 DxConsole은 localhost에서만 액세스할 수 있습니다. set dsa 명령을 사용하여 DxConsole에서 원격 시스템의 연결을 수락하도록 구성하는 방법에 대한 자세한 내용은 Directory Configuration Guide
(디렉터리 구성 안내서)를 참조하십시오.다음 단계를 수행하십시오.
- 명령 프롬프트에서 다음 명령을 입력하여 텔넷을 통해 DSA DXConsole 포트에 연결합니다.telnet DSA_HostDXconsole_Port
- DSA_HostDSA를 호스트하는 시스템의 호스트 이름 또는 IP 주소를 지정합니다.참고:localhost에 있을 경우localhost를 입력합니다. 호스트 이름 또는 IP 주소를 입력하면 연결이 실패합니다.
- DXConsole_PortDXconsole가 수신 대기하는 포트를 지정합니다. 이 값은 다음 파일에서 console-port 매개 변수에 표시됩니다.DXHOME\config\knowledge\DSA_Name.dxc기본값DXconsole 포트는 DSA 포트+1의 값으로 설정됩니다.예DSA가 포트 19389에서 실행되면 DXconsole 포트는 19390입니다.
- 다음 명령을 입력하십시오.get cache;DSA 관리 콘솔은 현재 DSA DXcache 설정을 보여 주고 디렉터리 캐시 상태를 지정합니다.
- 다음 명령을 입력하십시오.logout;DXconsole을 닫고 시스템 프롬프트로 돌아갑니다.
정책 저장소 데이터 정의 가져오기
casso127kkr
정책 저장소 데이터 정의 가져오기를 사용하여 정책 저장소에서 생성하고 저장할 수 있는 개체의 유형을 정의합니다.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\xps\dd로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 명령을 실행합니다.XPSDDInstall SmMaster.xdd
- XPSDDInstall필수 데이터 정의를 가져옵니다.
기본 정책 저장소 개체 가져오기
casso127kkr
기본 정책 저장소 개체 가져오기를 사용하여 관리 UI 및 정책 서버에서 사용할 정책 저장소를 구성합니다.
다음 사항을 고려하십시오.
- siteminder_home\bin에 대한 쓰기 액세스 권한이 있는지 확인하십시오. 가져오기 유틸리티에서 정책 저장소 개체를 가져오려면 이 권한이 필요합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows UAC(사용자 계정 컨트롤)가 사용되도록 설정된 경우 명령줄 창을 관리자 권한으로 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\db로 이동합니다.
- 다음 파일 중 하나를 가져옵니다.
- smpolicy.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy.xml -npass
- smpolicy-secure.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy-secure.xml -npass
- npass암호를 사용할 필요가 없음을 지정합니다. 기본 정책 저장소 개체에 암호화된 데이터가 포함되지 않습니다.
- 옵션 팩 기능을 가져오려면 다음 명령을 실행합니다.XPSImport ampolicy.xml -npass
- 페더레이션 기능을 가져오려면 다음 명령을 실행합니다.XPSImport fedpolicy-12.5.xml -npass
- OAuth 또는 OpenID Connect를 사용하려면 다음 명령을 실행하여 OpenID Connect에 대한 기본 OAuth 엔터티와 기본 클레임 및 범위 개체를 가져옵니다.XPSImport default-fedobjects-config.xml -npass-npass는 암호가 필요하지 않음을 나타냅니다.
참고:
smpolicy.xml을 가져오면 Single Sign-On
에서 별도로 라이선스가 제공되는 레거시 페더레이션 및 웹 서비스 변수 기능을 사용할 수 있게 됩니다. 웹 서비스 변수 기능을 사용하려면 CA 고객 담당자에게 라이선스 정보에 대해 문의하십시오.관리 UI 등록 준비
casso127kkr
관리 UI에 최초로 로그인하려면 기본 슈퍼 사용자 계정을 사용하십시오. 최초 로그인 시에는 관리 UI를 정책 서버에 등록하여 두 구성 요소 간에 트러스트 관계를 생성해야 합니다.
등록을 준비하려면 XPSRegClient 유틸리티를 사용하여 슈퍼 사용자 계정 이름과 암호를 제공합니다. 정책 서버는 이러한 자격 증명을 사용하여 등록 요청이 유효하며 트러스트 관계를 설정할 수 있는지 확인합니다.
다음 사항을 고려하십시오.
- 자격 증명을 제공한 때부터 24시간 이내에 최초 관리 UI 로그인이 이루어져야 합니다. 관리 UI 설치를 하루 안에 수행할 계획이 아니면 관리 UI를 설치하기 전에 다음 단계를 완료하십시오.
- (UNIX) XPSRegClient를 사용하기 전에Single Sign-On환경 변수가 설정되어야 합니다. 환경 변수가 설정되지 않은 경우 수동으로 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphrase기본 슈퍼 사용자 계정의 암호를 지정합니다.참고암호를 지정하지 않으면 XPSRegClient에서 암호를 입력하고 확인하라는 메시지가 표시됩니다.
- -adminui-setup관리 UI가 정책 서버에 최초로 등록되도록 지정합니다.
- -ttimeout(선택 사항) 관리 UI를 설치할 때부터 정책 서버에 로그인하고 정책 서버와의 트러스트 관계를 생성할 때까지 할당된 시간을 지정합니다. 이 시간 만료 값을 초과할 경우 정책 서버에서는 등록 요청을 거부합니다.측정 단위:분기본값: 240(4시간)최소값:15최대값:1440(24시간)
- -rretries(선택 사항) 관리 UI를 등록할 때 허용되는 시도 실패 횟수를 지정합니다. 관리 UI에 최초로 로그인할 때 올바르지 않은 관리자 자격 증명을 제출하면 등록 시도가 실패할 수 있습니다.기본값: 1최대값:5
- -ccomment(선택 사항) 정보 제공을 위해 등록 로그 파일에 지정된 설명을 삽입합니다.참고설명을 따옴표로 묶으십시오.
- -cp(선택 사항) 등록 로그 파일에 여러 줄로 된 설명을 포함할 수 있도록 지정합니다. 그러면 유틸리티에서 여러 줄로 된 설명에 대한 메시지가 표시되고 정보 제공을 위해 등록 로그 파일에 지정된 설명이 삽입됩니다.참고설명을 따옴표로 묶으십시오.
- -llog_path(선택 사항) 등록 로그 파일을 내보내야 하는 위치를 지정합니다.기본값:siteminder_home\logsiteminder_home정책 서버 설치 경로를 지정합니다.
- -eerror_path(선택 사항) 예외를 지정된 경로로 보냅니다.기본값:stderr
- -vT(선택 사항) 세부 정보 표시 수준을 "TRACE"(경고)으로 설정합니다.
- -vI(선택 사항) 세부 정보 표시 수준을 "INFO"(경고)으로 설정합니다.
- -vW(선택 사항) 세부 정보 표시 수준을 "WARNING"(경고)으로 설정합니다.
- -vE(선택 사항) 세부 정보 표시 수준을 "ERROR"(경고)으로 설정합니다.
- -vF(선택 사항) 세부 정보 표시 수준을 "FATAL"(경고)으로 설정합니다.
- Enter 키를 누릅니다.XPSRegClient가 정책 서버에 관리자 자격 증명을 제공합니다. 정책 서버에서는 관리 UI에 최초로 로그인할 때 이러한 자격 증명을 사용하여 등록 요청을 확인합니다.