Oracle Directory Server를 정책 저장소로 구성
Oracle Directory Server(이전의 Sun Java System Directory Server)는 정책 저장소로 작동할 수 있습니다. 정책 서버 구성 마법사는 자동으로 이 디렉터리를 정책 저장소로 설정할 수 있습니다. 하지만 이 마법사를 사용하여 설정하지 않은 경우에는 다음 지침을 따라 정책 저장소를 수동으로 설정하십시오.
casso127kkr
Oracle Directory Server(이전의 Sun Java System Directory Server)는 정책 저장소로 작동할 수 있습니다. 정책 서버 구성 마법사는 자동으로 이 디렉터리를 정책 저장소로 설정할 수 있습니다. 하지만 이 마법사를 사용하여 설정하지 않은 경우에는 다음 지침을 따라 정책 저장소를 수동으로 설정하십시오.
이 단일 디렉터리 인스턴스를 정책 저장소와 키 저장소로 사용할 수 있습니다. 단일 디렉터리 서버를 사용하면 관리 태스크를 간소화할 수 있습니다. 이 항목에는 정책 저장소를 키 저장소로 사용하기 위한 절차가 포함되어 있습니다. 구현에 필요할 경우 별도의 키 저장소를 구성할 수 있습니다.
2
해당하는 경우 공급업체별 소프트웨어를 사용하여 다음 권한이 있는 관리 사용자를 생성합니다.
- create
- 읽기
- 수정
- 삭제
LDAP 트리에서 정책 저장소 루트 개체 아래에 이 사용자를 생성합니다.
디렉터리 서버 정보 수집
casso127kkr
LDAP 디렉터리 서버를 정책 저장소로 구성하거나 기존 정책 저장소를 업그레이드하려면 특정 디렉터리 서버 정보가 필요합니다. 시작하기 전에 다음 정보를 수집하십시오.
- 호스트 정보디렉터리 서버의 정규화된 호스트 이름 또는 IP 주소를 지정합니다.
- 포트 정보(선택 사항) 비표준 포트를 지정합니다.기본값:636(SSL) 및 389(비 SSL)
- 관리 DNLDAP 트리에서 정책 저장소 루트 개체 아래의 개체에 대한 생성, 읽기, 수정 및 삭제 권한이 있는 사용자의 LDAP 사용자 이름을 지정합니다.
- 관리 암호관리 DN의 암호를 지정합니다.
- 정책 저장소 루트 DNLDAP 트리에서 정책 저장소 개체가 정의될 노드의 고유 이름을 지정합니다.
- SSL 클라이언트 인증서SSL 클라이언트 인증서 데이터베이스 파일이 있는 디렉터리의 경로 이름을 지정합니다.제한:SSL에만 해당
Oracle Directory Server Enterprise Edition 고려 사항
Oracle Directory Server Enterprise Edition을 정책 저장소로 사용하는 경우 다음 사항을 고려하십시오.
smldapsetup 및 Oracle Directory Enterprise Edition
smldapsetup 유틸리티는 ou=Netegrity,
root
하위 접미사 및 PolicySvr4 데이터베이스를 생성합니다.- root정책 서버 관리 콘솔의 "데이터" 탭에서 "루트 DN" 필드에 지정한 디렉터리 루트입니다. 이 변수는 기존의 루트 접미사 또는 하위 접미사여야 합니다.
예:
루트 접미사가 dc=netegrity,dc=com일 경우 smldapsetup을 실행하면 디렉터리 서버에 다음 항목이 생성됩니다.- 루트 접미사, dc=netegrity,dc=com과 해당 userRoot 데이터베이스
- 하위 접미사, ou=Netegrity,dc=netegrity,dc=com과 해당 PolicySvr4 데이터베이스
예:
정책 저장소를 ou=apps,dc=netegrity,dc=com 아래에 배치하려는 경우 ou=apps,dc=netegrity,dc=com은 루트 접미사이거나 루트 접미사 c=netegrity,dc=com의 하위 접미사여야 합니다.하위 접미사일 경우 smldapsetup을 실행하면 다음 항목이 생성됩니다.
- 루트 접미사, dc=netegrity,dc=com과 해당 userRoot 데이터베이스
- 하위 접미사, ou=apps,dc=netegrity,dc=com과 해당 Apps 데이터베이스
- 하위 접미사, ou=Netegrity,ou=apps,dc=netegrity,dc=com과 해당 PolicySvr4 데이터베이스
참고:
루트 및 하위 접미사에 대한 자세한 내용은 Oracle 설명서를 참조하십시오.Oracle Directory Server Enterprise Edition 정책 저장소 복제
UserRoot 및 PolicySvr4 데이터베이스가 생성됩니다. PolicySvr4 데이터베이스에는 데이터베이스를 가리키는 접미사 매핑이 있습니다. 이 정책 저장소를 복제하려면 PolicySvr4 데이터베이스 디렉터리에 대해 복제 계약을 설정하십시오.
참고
: 복제 계약에 대한 자세한 내용은 Oracle 설명서를 참조하십시오.복제 계약을 생성했으면
Single Sign-On
인덱스를 복제하십시오.다음 단계를 수행하십시오.
- Single Sign-On인덱스를 생성합니다.smldapsetup ldgen -x -findexes.ldifcasso127kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
- 복제본 서버에서 인덱스를 설정합니다.smldapsetup ldmod -x -findexes.ldif -hhost -preplicaport-dAdminDN-wAdminPW
- host복제본 호스트를 지정합니다.
- replicaport복제본 포트 번호를 지정합니다.
- AdminDN복제본 관리자 DN을 지정합니다.예:cn=directory manager
- AdminPW복제본 관리자 암호를 지정합니다.
Single Sign-On인덱스가 복제되었습니다.
정책 서버를 정책 저장소에 연결
casso127kkr
정책 서버가 정책 저장소에 액세스할 수 있도록 정책 서버를 정책 저장소에 연결하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.casso127kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
- 데이터 탭을 클릭합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Policy Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- "LDAP 정책 저장소" 그룹 상자에서 다음 설정을 구성합니다.
- LDAP IP 주소
- 관리자 사용자 이름
- 암호
- 암호 확인
- 루트 DN
참고"도움말"을 클릭하면 필드, 컨트롤 및 해당되는 요구 사항에 대한 설명을 볼 수 있습니다. - "적용"을 클릭합니다.
- LDAP 연결 테스트를 클릭하여 정책 서버에서 정책 저장소에 액세스할 수 있는지 여부를 확인합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Key Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- 다음 옵션을 선택합니다.Use Policy Store database
- "확인"을 클릭합니다.
정책 저장소 스키마 만들기
디렉터리 서버가 정책 저장소로 작동하고
Single Sign-On
개체를 저장할 수 있도록 정책 저장소 스키마를 생성하십시오. 다음 디렉터리 서버 제품에 대해 이 절차를 사용하십시오.- Oracle 10g, 11g(32비트)
- Sun Java System 6.1, 7.0
다음 사전 요구 사항을 수행하십시오.
- LDAP 인스턴스를 생성합니다.
- 정책 서버 관리 콘솔을 열고 "데이터" 탭을 클릭한 다음 LDAP 인스턴스의 정책 저장소 및 키 저장소 정보를 입력합니다.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에서 다음 명령을 실행합니다.smldapsetup ldgen -ffile_name
- file_name생성하려는 LDIF 파일의 이름을 지정합니다.
Single Sign-On스키마를 사용하여 LDIF 파일이 생성됩니다. - 다음 명령을 실행합니다.smldapsetup ldmod -ffile_name
- file_name생성한 LDIF의 이름을 지정합니다.
- 다음 명령을 실행합니다.smldapsetup ldmod -fpolicy_server_home\xps\db\OracleDirectoryServer.ldif
- policy_server_home정책 서버 설치 경로를 지정합니다.
- 디렉터리 서버의 관리자가 다음 명령을 실행합니다.dsconf reindex -h localhost -p port_number -e "ou=Netegrity,root_dn"
- 다음 ldif 파일을 편집합니다.policy_server_home/xps/db/OracleDirectoryServerBrowse.ldif
- 계속하기 전에 LDAP 디렉터리가 다음 경로를 포함하는지 확인하십시오(아래 루트 DN을 고유한 루트 DN으로 교체).ou=xps,ou=PolicySvr4,ou=siteminder,ou=netegrity<Root_DN>다음 LDIF 파일을 편집하여 앞 단계의 <root dn> 값을 파일에서 <root dn> 값이 있는 두 위치에 배치하십시오.v policy_server_home/xps/db/OracleDirectoryServerBrowser.ldif
- 다음 명령을 실행합니다.smldapsetup ldmod -fOracleDirectoryServerBrowse.ldif -v
- 데이터베이스를 중지하고 다음 명령을 사용하여 vlv 인덱스를 다시 인덱싱합니다.dsadm stop Instance_Pathdsadm reindex -bl -t "Sort xpsSortKey" Instance_Path policysvr4dsadm reindex -bl -t "Sort modifyTimestamp" Instance_Path policysvr4dsadm reindex -b -t xpsNumber -t xpsValue -t xpsSortKey -t xpsCategory –t xpsParameter -t xpsIndexedObject -t xpsTombstone instance_path policysvr4
- 다음 명령을 사용하여 데이터베이스를 시작합니다.dsadm start Instance_Path정책 저장소 스키마가 확장됩니다. 정책 저장소 스키마를 생성했습니다.
Single Sign-On
슈퍼 사용자 암호 설정casso127kkr
기본 관리자 계정의 이름은
siteminder
로 지정됩니다. 이 계정에는 최대 권한이 있습니다.일상적인 작업에는 기본 슈퍼 사용자를 사용하지 마십시오. 다음과 같은 경우에 기본 슈퍼 사용자를 사용하십시오.
- 관리 UI에 처음 액세스할 경우
- Single Sign-On유틸리티를 처음 관리할 경우
- 슈퍼 사용자 권한이 있는 다른 관리자를 생성할 경우
다음 단계를 수행하십시오.
- smreg 유틸리티를siteminder_home\bin에 복사합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
참고이 유틸리티는 정책 서버 설치 키트의 최상위 수준에 있습니다. - 다음 명령을 실행합니다.smreg -supassword
- password기본 관리자의 암호를 지정합니다.
- 암호는 적어도 6자보다 길어야 하며 24자를 넘을 수 없습니다.
- 암호에 앰퍼샌드(&)나 별표(*)를 사용할 수 없습니다.
- 암호에 공백이 있는 경우 암호를 따옴표로 묶으십시오.
참고:Oracle 정책 저장소를 구성하는 경우 암호의 대/소문자가 구분됩니다. 다른 모든 정책 저장소에서는 암호의 대/소문자를 구분하지 않습니다. - siteminder_home\bin에서 smreg를 삭제합니다. smreg를 삭제하면 이전 암호를 모르는 다른 사람은 암호를 변경할 수 없게 됩니다.
기본 관리자 계정의 암호가 설정되었습니다.
정책 저장소 데이터 정의 가져오기
casso127kkr
정책 저장소 데이터 정의 가져오기를 사용하여 정책 저장소에서 생성하고 저장할 수 있는 개체의 유형을 정의합니다.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\xps\dd로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 명령을 실행합니다.XPSDDInstall SmMaster.xdd
- XPSDDInstall필수 데이터 정의를 가져옵니다.
기본 정책 저장소 개체 가져오기
casso127kkr
기본 정책 저장소 개체 가져오기를 사용하여 관리 UI 및 정책 서버에서 사용할 정책 저장소를 구성합니다.
다음 사항을 고려하십시오.
- siteminder_home\bin에 대한 쓰기 액세스 권한이 있는지 확인하십시오. 가져오기 유틸리티에서 정책 저장소 개체를 가져오려면 이 권한이 필요합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows UAC(사용자 계정 컨트롤)가 사용되도록 설정된 경우 명령줄 창을 관리자 권한으로 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\db로 이동합니다.
- 다음 파일 중 하나를 가져옵니다.
- smpolicy.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy.xml -npass
- smpolicy-secure.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy-secure.xml -npass
- npass암호를 사용할 필요가 없음을 지정합니다. 기본 정책 저장소 개체에 암호화된 데이터가 포함되지 않습니다.
- 옵션 팩 기능을 가져오려면 다음 명령을 실행합니다.XPSImport ampolicy.xml -npass
- 페더레이션 기능을 가져오려면 다음 명령을 실행합니다.XPSImport fedpolicy-12.5.xml -npass
- OAuth 또는 OpenID Connect를 사용하려면 다음 명령을 실행하여 OpenID Connect에 대한 기본 OAuth 엔터티와 기본 클레임 및 범위 개체를 가져옵니다.XPSImport default-fedobjects-config.xml -npass-npass는 암호가 필요하지 않음을 나타냅니다.
참고:
smpolicy.xml을 가져오면 Single Sign-On
에서 별도로 라이선스가 제공되는 레거시 페더레이션 및 웹 서비스 변수 기능을 사용할 수 있게 됩니다. 웹 서비스 변수 기능을 사용하려면 CA 고객 담당자에게 라이선스 정보에 대해 문의하십시오.정책 서버 다시 시작
casso127kkr
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.
- "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.정책 서버가 중지되고 빨강 표시등이 표시됩니다.
- "시작"을 클릭합니다.정책 서버가 시작되고 녹색 표시등이 표시됩니다.참고: Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.
관리 UI 등록 준비
casso127kkr
관리 UI에 최초로 로그인하려면 기본 슈퍼 사용자 계정을 사용하십시오. 최초 로그인 시에는 관리 UI를 정책 서버에 등록하여 두 구성 요소 간에 트러스트 관계를 생성해야 합니다.
등록을 준비하려면 XPSRegClient 유틸리티를 사용하여 슈퍼 사용자 계정 이름과 암호를 제공합니다. 정책 서버는 이러한 자격 증명을 사용하여 등록 요청이 유효하며 트러스트 관계를 설정할 수 있는지 확인합니다.
다음 사항을 고려하십시오.
- 자격 증명을 제공한 때부터 24시간 이내에 최초 관리 UI 로그인이 이루어져야 합니다. 관리 UI 설치를 하루 안에 수행할 계획이 아니면 관리 UI를 설치하기 전에 다음 단계를 완료하십시오.
- (UNIX) XPSRegClient를 사용하기 전에Single Sign-On환경 변수가 설정되어야 합니다. 환경 변수가 설정되지 않은 경우 수동으로 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphrase기본 슈퍼 사용자 계정의 암호를 지정합니다.참고암호를 지정하지 않으면 XPSRegClient에서 암호를 입력하고 확인하라는 메시지가 표시됩니다.
- -adminui-setup관리 UI가 정책 서버에 최초로 등록되도록 지정합니다.
- -ttimeout(선택 사항) 관리 UI를 설치할 때부터 정책 서버에 로그인하고 정책 서버와의 트러스트 관계를 생성할 때까지 할당된 시간을 지정합니다. 이 시간 만료 값을 초과할 경우 정책 서버에서는 등록 요청을 거부합니다.측정 단위:분기본값: 240(4시간)최소값:15최대값:1440(24시간)
- -rretries(선택 사항) 관리 UI를 등록할 때 허용되는 시도 실패 횟수를 지정합니다. 관리 UI에 최초로 로그인할 때 올바르지 않은 관리자 자격 증명을 제출하면 등록 시도가 실패할 수 있습니다.기본값: 1최대값:5
- -ccomment(선택 사항) 정보 제공을 위해 등록 로그 파일에 지정된 설명을 삽입합니다.참고설명을 따옴표로 묶으십시오.
- -cp(선택 사항) 등록 로그 파일에 여러 줄로 된 설명을 포함할 수 있도록 지정합니다. 그러면 유틸리티에서 여러 줄로 된 설명에 대한 메시지가 표시되고 정보 제공을 위해 등록 로그 파일에 지정된 설명이 삽입됩니다.참고설명을 따옴표로 묶으십시오.
- -llog_path(선택 사항) 등록 로그 파일을 내보내야 하는 위치를 지정합니다.기본값:siteminder_home\logsiteminder_home정책 서버 설치 경로를 지정합니다.
- -eerror_path(선택 사항) 예외를 지정된 경로로 보냅니다.기본값:stderr
- -vT(선택 사항) 세부 정보 표시 수준을 "TRACE"(경고)으로 설정합니다.
- -vI(선택 사항) 세부 정보 표시 수준을 "INFO"(경고)으로 설정합니다.
- -vW(선택 사항) 세부 정보 표시 수준을 "WARNING"(경고)으로 설정합니다.
- -vE(선택 사항) 세부 정보 표시 수준을 "ERROR"(경고)으로 설정합니다.
- -vF(선택 사항) 세부 정보 표시 수준을 "FATAL"(경고)으로 설정합니다.
- Enter 키를 누릅니다.XPSRegClient가 정책 서버에 관리자 자격 증명을 제공합니다. 정책 서버에서는 관리 UI에 최초로 로그인할 때 이러한 자격 증명을 사용하여 등록 요청을 확인합니다.