암호 정책을 구성하는 방법
사용자가 보호되는 리소스에 액세스하려고 하면 CA Single Sign-On이 암호 정책을 호출하고 사용자의 자격 증명을 평가합니다. 이 섹션에서는 암호 정책을 구성하는 방법을 설명합니다.
casso127kkr
사용자가 보호되는 리소스에 액세스하려고 하면 CA Single Sign-On이 암호 정책을 호출하고 사용자의 자격 증명을 평가합니다. 이 섹션에서는 암호 정책을 구성하는 방법을 설명합니다.
참고:
이 비디오에서는 제품 이름이 CA Single Sign-On(CA SSO)의 이전 이름인 CA SiteMinder로 나옵니다.목차
2
암호 정책 고려 사항
기업에서 암호 정책을 구현하려는 경우에는 다음 사항을 고려하십시오.
- Single Sign-On에 사용자 디렉터리에 대한 읽기/쓰기 액세스 권한이 있어야 합니다. 이러한 권한에는 해당 디렉터리 내의 일부 특성을 단독으로 사용하여 암호 및 암호 관련 정보를 저장할 수 있는 권한이 포함됩니다.
- 암호의 유효성을 검사하려면 추가 사용자 디렉터리 검색이 필요하므로 암호 정책은Single Sign-On성능에 영향을 줄 수 있습니다. 사용자 디렉터리 전체가 아니라 일부만 검색하도록 구성된 암호 정책도 성능에 영향을 줄 수 있습니다.
- 사용자 디렉터리에 네이티브 암호 정책이 있는 경우 이 정책은 암호 정책보다 덜 제한적이거나 비활성화되어야 합니다.그렇지 않으면 네이티브 암호 정책이Single Sign-On에 알리지 않고 암호를 수락하거나 거부합니다. 따라서Single Sign-On이 해당 암호를 관리할 수 없습니다.
- 기본적으로 사용자가 암호를 변경할 때 잘못된 정보를 입력하면Single Sign-On은 일반적인 오류 메시지를 반환합니다. 이 메시지에 오류 원인은 포함되지 않습니다. 이 기본 동작을 변경하여 변경에 실패한 이유를 사용자에게 알려 주려면 DisallowForceLogin 레지스트리 키를 생성하여 사용하십시오.
- 여러 정책 서버에서 암호 정책을 사용하는 경우에는 모든 서버의 시스템 시간을 동기화하십시오. 시간을 동기화하면 계정이 비활성화되거나 강제 암호 변경이 중간에 종료되지 않도록 할 수 있습니다.
암호 정책 만들기
암호 정책을 생성하여 보호되는 리소스에 추가적인 보안 계층을 제공할 수 있습니다.
다음 단계를 수행하십시오.
- "정책", "암호"를 차례로 클릭합니다.
- "암호 정책"을 클릭합니다.
- "암호 정책 만들기"를 클릭합니다.
- 정책 이름을 입력합니다.
- 정책을 적용할 사용자 디렉터리를 "디렉터리" 목록에서 선택합니다.
- 정책을 전체 디렉터리에 적용할지 아니면 디렉터리 일부에 적용할지를 지정합니다.
- (선택 사항) 정책이 디렉터리의 일부에만 적용되는 경우 "조회"를 클릭하여 해당 부분을 지정합니다.
- (선택 사항) 사용자가 암호 정책에서 잘못된 것으로 간주되는 암호를 "리디렉션 URL" 필드에 입력할 경우 사용자를 리디렉션할 FCC의 위치를 지정합니다.
- 리디렉션 FCC를 에이전트와 동일한 서버에서 호스트하려면 다음 기본값을 그대로 사용합니다./siteminderagent/forms/smpwservices.fcc
- 특정 서버의 모든 호스트에 대해 리디렉션 FCC를 호스트하려면 다음과 같이 지정합니다.texthttp://server_name:port/siteminderagent/forms/smpwservices.fcc
- SSL을 통해 특정 서버의 모든 호스트에 대해 리디렉션 FCC를 호스트하려면 다음과 같이 지정합니다.texthttps://server_name:port/siteminderagent/forms/smpwservices.fcc
- 암호 만료(암호가 유효한지 여부), 조합, 식, 제한 또는 고급 설정과 같은 옵션을 정의하여 암호 로직이 반영되도록 정책을 구성합니다.
(선택 사항) 암호 만료 구성
필요할 경우 암호 만료 설정을 구성하여, 암호가 만료되면 트리거되어 정책 서버가 사용자 계정을 비활성화하거나 강제로 암호를 변경하도록 하는 이벤트를 정의하십시오. 이러한 이벤트의 예로는 여러 번의 로그인 시도 실패와 계정 비활성화가 포함됩니다.
암호가 만료된 사용자가 보호된 리소스에 액세스하려고 하면 다음 작업 중 하나가 수행됩니다.
- "사용자 비활성화" 옵션이 설정된 경우 "현재 사용자의 계정에 액세스할 수 없습니다. 보안 관리자 또는 헬프 데스크에 문의하십시오."라는 메시지가 표시되는 페이지로 사용자가 리디렉션됩니다.
- "암호 변경 강제" 옵션이 설정된 경우 암호 변경 페이지로 사용자가 리디렉션됩니다.참고: 암호가 만료된 사용자가암호 기반인증을 사용하여 인증되는 경우에만 암호 변경 강제 옵션이 적용됩니다. 사용자가 인증서 또는 어설션 등의 다른 인증 방법을 사용하여 인증되는 경우에는 요청된 리소스로 직접 이동됩니다.
다음 단계를 수행하십시오.
- "만료" 탭을 클릭합니다.
- "만료" 섹션의 "성공한 로그인 추적", "실패한 로그인 추적" 및 "로그인 추적 실패에 대한 인증" 옵션을 선택하여 사용자 로그인 추적 설정을 지정합니다.참고:오랜 시간 사용되지 않은 계정을 비활성화하려면 "성공한 로그인 추적" 확인란을 선택하십시오. 실패한 로그인 시도 횟수가 일정 횟수 이상인 계정을 비활성화하려면 "실패한 로그인 추적" 확인란을 선택하십시오.
- "변경하지 않으면 암호 만료" 섹션에서 암호를 변경해야 하는 빈도를 결정하는 설정을 지정합니다.
- "잘못된 암호" 섹션에서 잘못된 암호를 시도할 수 있는 횟수를 결정하는 설정을 지정합니다.
- "비활성 상태에서 암호 만료" 섹션에서 암호가 비활성 상태로 유지될 수 있는 기간을 결정하는 설정을 지정합니다.참고:성능을 위해서는 오랜 시간 사용되지 않은 경우 암호가 만료되도록 구성해야 하는 경우에만 이 옵션을 설정하는 것이 좋습니다.
- "제출"을 클릭하여 암호 정책을 저장하거나, 다른 탭을 클릭하여 암호 정책 관련 작업을 계속 수행합니다.
(선택 사항) 암호 조합 구성
필요할 경우, 새로 생성되는 암호의 문자 조합을 제어하려면 암호 조합 규칙을 구성하십시오.
다음 단계를 수행하십시오.
- "조합" 탭을 클릭합니다.
- "최소 길이" 및 "최대 길이" 필드에 암호의 최소 및 최대 문자 길이를 입력합니다.
- "최대값" 필드에 암호에 연속으로 나타날 수 있는 최대 문자 수를 입력합니다.
- 각 "콘텐츠 최소값" 섹션에서 허용 가능한 문자 유형 및 최소 요구 사항을 지정합니다.
- 제출을 클릭합니다.
(선택 사항) 암호 정규식
암호에 정규식 일치를 사용하면 각 암호와 일치하거나 일치하지 않아야 유효한 것으로 간주되는 문자열 일치에 사용되는 텍스트 패턴을 지정할 수 있습니다.
예를 들어 암호의 첫 자는 숫자이지만 마지막 자는 숫자가 아니어야 하는 경우 이 요구 사항을 적용하여 모든 암호를 확인하는 정규식을 구성할 수 있습니다.
정규식 구문
다음 표에서는 암호 일치를 위한 정규식을 구성하는 데 사용할 수 있는 문자를 설명합니다. 이 구문은 영역을 지정할 때 리소스 일치에 대해 지원되는 정규식 구문과 일치합니다.
모든 종료 연산자(+, *, ?)는 기본적으로 확장이므로 전체 일치가 실패하지 않고 가능한 한 많은 문자열 요소와 일치합니다. 종료를 축소(확장 아님)로 설정하려는 경우에는 뒤에 '?'를 추가하십시오. 축소 종료는 일치 항목을 찾을 때 가능한 한 적은 문자열 요소와 일치합니다.
정규식 구문은 다음과 같습니다.
문자
| 결과
|
\ | 메타 문자(예: '*')를 나타내는 데 사용됨 |
\\ | 단일 '\' 문자와 일치 |
(A) | 하위 식 그룹화(패턴 평가 순서에 영향을 줌) |
[abc] | 단순한 문자 클래스(대괄호 내의 모든 문자가 대상 문자와 일치함) |
[a-zA-Z] | 범위가 있는 문자 클래스(대괄호 내의 모든 문자 범위가 대상 문자와 일치함) |
[^abc] | 부정 문자 클래스 |
. | 새 줄이 아닌 모든 문자와 일치 |
^ | 줄의 시작 부분에서만 일치 |
$ | 줄의 끝 부분에서만 일치 |
A* | A와 0번 이상 일치(확장) |
A+ | A와 1번 이상 일치(확장) |
A? | A와 1번 또는 0번 일치(확장) |
A*? | A와 0번 이상 일치(축소) |
A+? | A와 1번 이상 일치(축소) |
A?? | A와 0번 또는 1번 일치(축소) |
AB | 순서대로 A 및 B와 일치 |
A|B | A 또는 B와 일치 |
\1 | 첫 번째 괄호 안의 하위 식에 대한 후참조 |
\ n
| n 번째 괄호 안의 하위 식에 대한 후참조 |
제한:
각 정규식에는 해당 식 자체를 포함하여 하위 식을 10개까지만 포함할 수 있습니다. 하위 식의 개수는 정규식의 왼쪽 괄호(여는 괄호) 수와 식 자체의 왼쪽 괄호 한 개를 더한 수와 같습니다.PCRE 형식의 정규식 지원
기본적으로 정책 서버는 암호 서비스에서 PCRE 기반의 정규식을 지원하지 않습니다. PCRE 형식의 정규식에 대한 지원을 활성화하려면 다음을 수행하십시오.
Windows에서 암호 서비스에 대한 PCRE 지원을 활성화하려면
- 다음 레지스트리 키를 추가합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\PolicyServer\UsePCREPasswordChecks
- DWORD 값을 다음 값 중 하나로 설정합니다.0 - 키가 비활성화됨1 - 키가 활성화됨
UNIX에서 암호 서비스에 대한 PCRE 지원을 활성화하려면
- 다음 위치로 이동합니다.policy-server-install-dir/registry/
- 텍스트 편집기에서 다음 파일을 엽니다.sm.registry
- 다음 레지스트리 키를 추가합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\PolicyServer=(#number)\UsePCREPasswordChecks
- DWORD 값을 다음 값 중 하나로 설정합니다. 0 - 요청 URL에 UID를 추가하는 기본 동작을 적용합니다.0 - 키가 비활성화됨1 - 키가 활성화됨
정규식 일치 구성
정규식을 구성하여 문자열 일치에 사용되는 텍스트 패턴을 지정하십시오. 암호와 일치하거나 일치하지 않아야 식이 유효한 것으로 간주됩니다. 각 정규식 항목은 설명 태그와 식 정의로 구성되는 이름/값 쌍입니다.
암호에 대한 정규식 일치는 선택 사항입니다. 정규식을 사용하려면 암호와 일치하거나 일치하지 않아야 하는 식에 대한 항목을 지정하기만 하면 됩니다. 식 일치가 필요하지 않으면 정규식 항목을 생성하지 마십시오.
다음 단계를 수행하십시오.
- "암호 정책" 대화 상자에서 "정규식" 탭을 선택합니다.
- "추가"를 클릭하여 식을 추가합니다."암호 정규식" 대화 상자가 열립니다.
- 다음 라디오 단추 중 하나를 선택합니다.
- 일치해야 함이 옵션을 선택할 경우 암호와 일치해야 하는 정규식을 정의하십시오.
- 불일치해야 함이 옵션을 선택할 경우 암호와 일치하지 않아야 하는 각 정규식에 대한 항목을 추가하십시오.
- 필드에 값을 입력합니다.
- "확인"을 클릭합니다.정규식이 표에 추가됩니다. "불일치 해야 함"을 선택한 경우 "불일치" 열에 확인란이 나타납니다.
(선택 사항) 암호 제한 구성
필요할 경우, 암호 사용에 제한을 두려면 암호 제한을 구성하십시오. 제한 사항에는 다음이 포함됩니다.
- 사용자가 암호를 다시 사용할 수 있을 때까지 기다려야 하는 시간
- 이전에 사용한 암호와 새 암호의 차이
사용자가 보안 위험 요소이거나 개인 정보를 포함한다고 판단되는 단어를 지정하지 못하게 할 수도 있습니다.
다음 단계를 수행하십시오.
- "제한" 탭을 클릭합니다.
- "재사용" 섹션에서 이전 암호를 다시 사용하려면 시간이 얼마나 경과해야 하는지, 새 암호를 얼마나 생성해야 하는지, 또는 둘 모두를 지정합니다.참고:두 조건을 모두 지정할 경우 각 조건이 충족되어야 사용자가 암호를 다시 사용할 수 있습니다.예:암호 정책에 따라 사용자가 특정 암호를 다시 사용하려면 365일이 경과하고 그 사이 12개의 암호를 지정해야 하는 경우 1년이 지날 때까지 사용자가 암호를 여섯 개만 제공했다면 이후 암호를 여섯 개 더 제공해야 첫 번째 암호를 다시 사용할 수 있습니다.
- "변경 필요" 섹션에서 새 암호가 이전 암호와 얼마나 달라야 하는지를 지정합니다.
- "프로필 특성" 섹션에서 암호 정책이 사용자 프로필에 저장된 개인 정보와 비교할 연속 문자 수를 지정합니다.
- "사전" 섹션에서 금지된 암호가 포함된 사용자 정의 사전의 경로와 사전에 있는 값과 비교할 문자열의 길이를 지정합니다.
- "적용"을 클릭하여 변경 내용을 저장하거나, "확인"을 클릭하여 변경 내용을 저장하고 관리 UI로 돌아갑니다.
(선택 사항) 고급 암호 옵션 구성
필요할 경우, 제출된 암호를 유효성 검사 및 저장 전에 전처리하도록 지정하려면 고급 암호 정책 옵션을 구성하십시오. 고급 암호 정책을 사용하면 정책에 우선 순위를 할당할 수 있으므로 동일한 사용자 디렉터리 또는 네임스페이스에 적용되는 여러 암호 정책의 예측 가능한 평가가 가능해집니다.
참고:
전처리 옵션은 선택 사항입니다. 사용자 디렉터리 또는 네임스페이스에 할당될 수 있는 각 암호 정책에 대해 고유한 암호 정책 평가 우선 순위를 지정하십시오.다음 단계를 수행하십시오.
- "고급" 탭을 클릭합니다.
- "암호 전처리" 섹션에서 제출된 암호를 평가 및 저장 전에 처리하기 위한 옵션을 지정합니다.참고:동일한 사용자 디렉터리 또는 네임스페이스에 적용되는 각 암호 정책에 대해 동일한 전처리 옵션을 지정해야 합니다.
- (선택 사항) 암호 정책이 동일한 사용자 디렉터리 또는 네임스페이스에 적용되는 여러 정책 중 하나인 경우 "암호 정책 우선 순위" 섹션에서 암호 정책 우선 순위를 지정합니다.참고:평가 우선 순위의 범위는 0~999입니다(999가 가장 높음).
암호 서비스를 위해 리디렉션 시 로그인 ID 제거
암호 서비스 처리 중에는 사용자 요청이 여러 번 리디렉션됩니다. 요청이 리디렉션될 때는 사용자가 입력한 로그인 ID(일반적으로 사용자 이름)가 기본적으로 요청 URL에 추가됩니다. 기본 브라우저 동작을 수정하여 로그인 ID(사용자 이름)가 리디렉션에 추가되지 않도록 하려면 다음 절차 중 하나를 수행하십시오.
Windows에서 암호 서비스를 위해 리디렉션 시 로그인 ID를 제거하려면
- 다음 레지스트리 키를 추가합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\PolicyServer\DisallowUsernameInURL
- DWORD 값을 다음 값 중 하나로 설정합니다.
- 0 - 요청 URL에 UID를 추가하는 기본 동작을 적용합니다.
- 1 - 요청 URL에 UID가 추가되지 않도록 기본 동작을 변경합니다.
UNIX에서 암호 서비스를 위해 리디렉션 시 로그인 ID를 제거하려면
- 다음 위치로 이동합니다.policy-server-install-dir/registry/
- 텍스트 편집기에서 다음 파일을 엽니다.sm.registry
- 다음 레지스트리 키를 추가합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\PolicyServer=(#number)\DisallowUsernameInURL
- DWORD 값을 다음 값 중 하나로 설정합니다.
- 0 - 요청 URL에 UID를 추가하는 기본 동작을 적용합니다.
- 1 - 요청 URL에 UID가 추가되지 않도록 기본 동작을 변경합니다.
CA Directory 암호 정책 제어
CA Directory 암호 정책을 따르도록 정책 서버를 구성할 수 있습니다. 적절하게 구성된 웹 에이전트와 함께 웹 에이전트 정책 서버는 디렉터리 암호 정책에 기반한 최종 사용자가 구성한 경고 및 알림을 보낼 수 있습니다.
다음과 같은 CA Directory 암호 정책이 지원됩니다.
- 네이티브 암호 만료
- 이 기능을 사용하려면 다음 옵션 중하나를 수행하십시오.
- 암호 만료에 대한 정책 서버 암호 정책을 설정하지 마십시오.
- CA directory 암호 정책의 설정보다 덜 제한되도록 만료 및 경고에 대한 정책 설정을 구성하십시오.
- 사용자 계정 잠금 설정CA Directory 설정을 사용하는 경우 정책 서버 계정 잠금 기능을 비활성화하십시오.
- 암호 만료 경고
- 남은 유예 로그인의 알림. 클라이언트가 유예 로그인 메시지에 대한 암호 메시지 코드를 인식할 수 있는 경우정책 서버에는 남은 유예 로그인의 개념이 없습니다.
다음 단계를 수행하십시오.
- 사용자가 있는 CA Directory를 참조하는 암호 정책을 정의합니다.
- XPSConfig 도구를 사용하여 구성 매개 변수CA.SM::$LdapEnablePwdCtrlSupport를 true로 설정합니다.이 도구의 사용 방법은 XPSConfig 지침을 참조하십시오.