CA Single Sign-On으로 관리 UI 보호

로 관리 UI를 보호하지 않으려면 관리 인증을 사용하지 않도록 설정하십시오. 관리 인증 기능은 외부 관리자 저장소를 사용하여 관리자의 아이덴티티를 확인합니다. 으로 UI를 보호하려면 다음 태스크를 완료하십시오.
casso127kkr
Single Sign-On
로 관리 UI를 보호하지 않으려면 관리 인증을 사용하지 않도록 설정하십시오. 관리 인증 기능은 외부 관리자 저장소를 사용하여 관리자의 아이덴티티를 확인합니다.
Single Sign-On
으로 UI를 보호하려면 다음 태스크를 완료하십시오.
2
요청을 UI에 전달할 프록시 서버 설정
다음 프록시 서버 중 하나가 관리 UI에 액세스하도록 구성하십시오.
  • CA Access Gateway
  • Apache 웹 에이전트에 의해 보호되는 Apache 리버스 프록시 서버
다음 그림에서는 관리 UI를 사용하여 요청을 서버에 전달하는 프록시 서버를 보여 줍니다. 필수는 아니지만 프록시 서버와 동일한 시스템에 관리 UI를 배치할 수 있습니다.
Admin UI Protected by SSO
CA Access Gateway
가 요청을 UI로 프록시하도록 구성
CA Access Gateway
가 요청을 관리 UI에 전달하도록 구성하려면 다음 절차를 완료하십시오.
참고:
CA Access Gateway
를 사용할 경우 웹 에이전트가 기본적으로 제공되므로 웹 에이전트는 필요하지 않습니다.
다음 태스크가 완료되었는지 확인하십시오.
  • 정책 서버, 정책 저장소 및 관리 UI가 설치되어 작동 중입니다. 
    관리 UI와
    CA Access Gateway
    의 소프트웨어 버전은 동일해야 합니다.
  • CA Access Gateway
    가 설치되었고 정책 서버에 연결되었습니다.
  • (선택 사항) SSL에 대해 구성된 관리 UI를 보호하려면
    CA Access Gateway
    가 설치된 호스트에서 SSL을 구성하십시오.
다음 단계를 수행하십시오.
  1. 요청이 UI에 전달되도록
    Proxy Rules.xml
    파일을 다음 프록시 규칙으로 업데이트합니다. 이 파일은
    access_gateway_install_location
    \proxy engine\conf 디렉터리에 있습니다.
    <!-- Proxy Rules-->
    <nete:proxyrules xmlns:nete="http://<Administrative UI hostname:port>/"> 
    <nete:cond criteria="beginswith" type="uri">
    <nete:case value="/iam/siteminder/">
    <nete:forward>http(s)://<Administrative UI 
    hostname
    :
    port
    >$0</nete:forward>
    </nete:case>
    <nete:case value="/castylesr5.1.1/">
    <nete:forward>http(s):// <Administrative UI 
    hostname
    :
    port
    >$0</nete:forward>
    </nete:case>
    <nete:default>
    <nete:forward>http://www.example.com$0</nete:forward>
    </nete:default>
    </nete:cond>
    </nete:proxyrules>
  2. server.conf
    파일의 "Default Virtual Host" 섹션을 다음 매개 변수로 업데이트합니다. 이 파일은
    access_gateway_install_location
    \proxy engine\conf 디렉터리에 있습니다.
    enableredirectrewrite=yes
    redirectrewritablehostnames=a
    dminui_server
    adminui_server
    는 관리 UI가 실행 중인 시스템의 호스트 이름입니다.
  3. ACO(에이전트 구성 개체)에서
    LogOffUri
    매개 변수의 값을 다음 예와 같이 SiteMinderLogout.jsp로 설정합니다.
    text/iam/siteminder/SiteMinderLogout.jsp
  4. (선택 사항) 관리 UI가 SSL 포트에서 실행 중인 경우 관리 UI를 호스트하는 서버의 자체 서명된 인증서를 다운로드합니다. 자체 서명된 인증서를
    CA Access Gateway
    인증 기관 파일에 배치합니다. 이 파일은
    access_gateway
    _install_location
    /SSL/certs 디렉터리에 있습니다.
  5. CA Access Gateway
    를 다시 시작합니다.
  6. 관리 인증 활성화로 이동합니다.
Apache 리버스 프록시 서버가 요청을 UI로 프록시하도록 구성
Apache 리버스 프록시 서버가 요청을 관리 UI에 전달할 수 있도록 하려면 다음 절차를 완료하십시오. 
: 보호할 관리 UI가 여러 개인 경우 각 인스턴스를 별도의 리버스 프록시 서버로 보호하십시오.
다음 단계를 수행하십시오.
  1. Apache 웹 서버를 리버스 프록시 서버로 구성합니다. 자세한 내용은 Apache 웹 서버 설명서를 참조하십시오. 
    리버스 프록시 서버 규칙을 구성할 때 UI의 URL이 사용자가 관리 UI를 등록할 때 지정한 것과 동일한지 확인하십시오.
    예:
    관리 UI가 다음 URL로 등록된 경우 프록시 서버 규칙에 동일한 URL을 지정하십시오. 
    http://
    host_name
    :8080/iam/siteminder/adminui
  2. 동일한 Apache 웹 서버에 웹 에이전트를 설치하고 구성합니다.
  3. ACO(에이전트 구성 개체)에서
    LogOffUri
    매개 변수의 값을 다음 예와 같이 SiteMinderLogout.jsp로 설정합니다.
    text/iam/siteminder/SiteMinderLogout.jsp
  4. 다음 섹션에 설명된 대로 관리 인증을 사용하도록 설정합니다.
관리 인증 활성화
Single Sign-On
으로 관리 UI를 보호하려면 관리 UI에서 "관리 인증" 마법사를 실행하여 관리 인증을 사용하도록 설정하십시오. 이 마법사를 사용하여 외부 관리자 저장소를 구성할 수 있습니다. 또한 마법사에서는 관리 UI를 보호할 에이전트로
CA Access Gateway
또는 Apache 웹 에이전트를 지정할 수 있습니다.
다음 단계를 수행하십시오.
  1.  외부 관리자 저장소 구성에 설명된 사전 요구 사항을 완료했는지 확인합니다.
  2. CA Access Gateway
    또는 Apache 리버스 프록시를 통해 관리 UI에 액세스합니다.
    예: 
    http://
    hostname
    :
    port
    /iam/siteminder/adminui
    hostname
    CA Access Gateway
    또는 Apache 서버가 설치되어 있는 웹 서버의 이름입니다.
    port
    는 서버가 실행되는 포트입니다.
  3. 기본 UI 자격 증명을 사용하여 관리 UI에 로그인합니다.
  4. "관리", "관리 UI", "관리 인증 구성"을 선택합니다. 마법사가 시작됩니다.
  5. CA Access Gateway
    나 Apache 리버스 프록시 서버를 보호하는 에이전트를 웹 에이전트로 선택합니다.
  6. 마법사를 완료합니다.
    마법사가 해당 영역 및 규칙으로
    SiteMinderDomain
    이라는 도메인을 생성합니다. 기본적으로 새 도메인은 기본 로그인 페이지 대신 기본 인증 체계를 사용하여 관리 UI를 보호합니다.
    외부 관리 서버에 UI를 설치한 경우
    Single Sign-On
    인증을 적용하기 위해 해당 서버가 자동으로 재시작됩니다. JBOSS 서버가 포함된 독립 실행형 UI를 설치한 경우에는 새로운 슈퍼 사용자 자격 증명을 사용하여 로그인하기 전에 수동으로 서버를 다시 시작하십시오.
이제
Single Sign-On
이 관리 UI를 보호합니다.
UI에 액세스하고 새로운 슈퍼 사용자의 사용자 이름 및 암호를 사용하여 로그인하십시오. 이 사용자는 외부 관리자 저장소에 대한 연결을 구성할 때 지정한 사용자입니다. 관리 UI 홈 페이지가 성공적으로 표시됩니다. 주소 표시줄의 URL은 변경되지 않고 프록시 서버의 URL이 표시됩니다.
(선택 사항) UI를 보호하는 데 사용되는 인증 체계 변경
관리 인증을 구성하면 결과로 생성된
SiteMinderDomain
이 기본 인증으로 관리 UI를 보호합니다. 기본 인증 대신 HTML 양식 또는 다른 인증을 선택할 수 있습니다.
(선택 사항) UI를 보호하기 위한 HTML 양식 인증 구성
로그인 페이지를 사용하여 사용자 자격 증명을 요구하려면 기본 체계 대신 HTML 양식 인증 체계를 선택하십시오.
다음 단계를 수행하십시오.
  1. 다음 위치의
    adminui
    폴더를 복사합니다.
    Administrative_UI_install_location
    /siteminder/webagent-resources
    다음 위치에
    붙여 넣습니다.
    Access_Gateway_install_location
    /proxy-engine/examples/siteminderagent
  2. HTML 양식 인증 체계를 만듭니다.
  3. "체계 설정" 섹션의 "대상" 필드에서 이전에 복사한 adminui 폴더에 있는 .fcc 파일의 위치를 지정합니다.
    예:
    /siteminderagent/adminui/signin.fcc
  4. 새로 만든 HTML 양식 인증 체계를
    SiteMinderDomain
    도메인에 추가합니다.
  5. 캐시를 새로 고칩니다.
  6. 다음과 같이 URL을 사용하여 관리 UI에 액세스합니다.
    http://hostname.example.com:port/iam/siteminder/adminui
  7. 허가된 사용자의 사용자 이름과 암호를 입력합니다.
관리 UI 홈 페이지가 나타납니다. 주소 표시줄의 URL은 프록시 서버의 URL입니다.
(선택 사항) UI를 보호하기 위한 다른 인증 체계 구성
기본 인증 체계 대신
Single Sign-On
에서 지원되는 모든 인증 체계(SAML 및 WS-Fed 인증 제외)로 체계를 변경할 수 있습니다.
다음 단계를 수행하십시오.
  1. "정책", "도메인"을 차례로 클릭합니다.
  2. "영역"을 클릭합니다.
  3. siteminder_ims_realm
    이라는 영역을 검색하고 해당 이름을 클릭하여 엽니다. 이 영역은
    SiteMinderDomain
    도메인과 연결되어 있습니다.
  4. "수정"을 클릭하여 설정이 사용되도록 설정합니다.
  5. "인증 체계" 목록에서 원하는 인증 체계를 선택합니다.
  6. 필요한 경우 추가 설정을 입력합니다.
  7. 제출을 클릭합니다.
선택한 인증 체계를 사용하여 관리 UI가 보호됩니다.
관리 인증 비활성화
더 이상
Single Sign-On
로 관리 UI를 보호하지 않으려면 관리 인증을 사용하지 않도록 설정하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "관리 인증" 마법사를 실행하여 더 이상
    Single Sign-On
    인증으로 관리 UI를 보호하지 않도록 지정합니다.
    참고:
    외부 관리자 저장소를 계속 사용하려면 기존 디렉터리 서버 또는 데이터베이스 연결 정보를 그대로 두십시오.
  3. 관리 UI 호스트 시스템에 로그인합니다.
  4. 관리 UI 데이터 디렉터리를 삭제합니다. 독립 실행형 UI 설치의 데이터 디렉터리는 다음과 같습니다.
    install_dir
    /adminui/server/default/data
  5. 정책 서버 호스트 시스템에 로그인하고 XPSRegClient 유틸리티를 사용하여 관리 UI 등록 창을 재설정합니다.
  6. 관리 UI를 정책 서버에 등록합니다.