CA Directory 키 저장소 구성 방법

목차:
casso128kkr
목차:
CA Directory를 키 저장소로 작동하도록 구성할 수 있습니다.
디렉터리 서버 정보 수집
키 저장소를 구성하기 전에 다음 정보를 수집하십시오.
  • 호스트 정보 -
    CA Directory가 실행되는 시스템의 정규화된 호스트 이름 또는 IP 주소를 확인합니다.
  • DSA 포트 번호 -
    DSA가 수신 대기하는 포트를 확인합니다.
  • 기본 DN
    - LDAP 트리에서 키 저장소 개체가 정의되는 노드의 고유 이름을 확인합니다.
  • 관리 DN
    -
    Single Sign-On
    이 DSA에서 개체를 관리하는 데 사용하는 계정의 LDAP 사용자 이름을 확인합니다.
  • 관리 암호
    - 관리 사용자의 암호를 확인합니다.
키 저장소의 DSA 만들기
다음 단계를 수행하십시오.
  1. 다음 명령을 실행하여 DSA를 생성합니다.
dxnewdsa 
DSA_Name
port
 "o=
DSA_Name
,c=
country_code
"
  • DSA_Name
    DSA의 이름을 지정합니다.
  • port
    DSA가 수신 대기하는 포트를 지정합니다.
  • o=
    DSA_Name,c=country_code
    DSA 접두사를 지정합니다.
    예:
     "o=psdsa,c=US"
dxnewdsa 유틸리티가 새 DSA를 시작합니다.
참고:
DSA가 자동으로 시작되지 않으면 다음 명령을 실행하십시오.
dxserver start DSA_Name
키 저장소 스키마 만들기
디렉터리 서버가 키 저장소로 작동할 수 있도록 키 저장소 스키마를 생성하십시오.
중요!
기본적으로 CA Directory 구성 파일은 읽기 전용입니다. 지침에 따라 수정해야 할 CA Directory 파일이 있는 경우 쓰기가 가능하도록 권한을 업데이트해야 합니다. 파일을 업데이트한 후 다시 읽기 전용으로 권한을 되돌릴 수 있습니다. 또한 CA Directory에서 제공하는 모든 default.xxx 파일은 CA Directory 업그레이드 중 덮어쓰여집니다. 읽기 전용 파일을 수정할 때는 주의하십시오.
다음 단계를 수행하십시오.
  1. 다음 파일을 CA Directory
    DXHOME
    \config\schema 디렉터리에 복사합니다.
    • netegrity.dxc
    • etrust.dxc
      DXHOME
      Directory Server 설치 경로를 지정합니다.
    참고:
    netegrity.dxc 파일은 정책 서버와 함께
    siteminder_home
    \eTrust에 설치됩니다. etrust.dxc 파일은 정책 서버와 함께
    siteminder_home
    \xps\db에 설치됩니다.
    • siteminder_home
      정책 서버 설치 경로를 지정합니다.
      • Windows %
        DXHOME
        %
      • Unix/Linux: $
        DXHOME
  2. default.dxg 스키마 파일을 복사한 후 이름을 바꿔
    Single Sign-On
    스키마 파일을 생성합니다.
    참고:
    default.dxg 스키마 파일은
    DXHOME
    \config\schema\default.dxg에 있습니다.
    예:
    default.dxg 스키마 파일을 복사하고 복사본의 이름을 smdsa.dxg로 바꿉니다.
  3. Single Sign-On
    스키마 파일의 맨 아래에 다음 행을 추가합니다.
    #CA Schema
    source "netegrity.dxc";
    source "etrust.dxc";
  4. DSA의 DXI 파일(
    DSA_Name
    .dxi)을 편집하여 스키마를 default.dxg에서 새
    Single Sign-On
    스키마 파일로 변경합니다.
    • DSA_Name
      키 저장소에 대해 생성한 DSA의 이름을 나타냅니다.
    참고:
    DXI 파일은
    DXHOME
    \config\servers에 있습니다.
  5. DSA의 DXI 파일 끝에 다음 행을 추가합니다.
    • 릴리스 12
      # cache configuration
      set max-cache-size = 100;
      set cache-attrs = all-attributes;
      set cache-load-all = true;
      set ignore-name-bindings = true;
      참고:
      max-cache-size 항목은 총 캐시 크기(MB)입니다. CA Directory Server의 사용 가능한 총 메모리와 키 저장소의 전체 크기에 따라 이 값을 조정하십시오.
    • 릴리스 12 SP 1 이상
      # cache configuration
      set ignore-name-bindings = true;
  6. DSA의 기본 제한 DXC 파일(default.dxc)을 복사하여
    Single Sign-On
    DXC 파일을 생성합니다.
    예:
    기본 DXC 파일을 복사한 후 복사본 이름을 smdsa.dxc로 바꿉니다.
    참고:
    기본 DXC 파일은
    DXHOME
    \dxserver\config\limits에 있습니다.
  7. 새 DXC 파일의 설정을 다음 값과 일치하도록 편집합니다.
    경고
    : multi-write-queue 설정은 텍스트 기반 구성 전용입니다. DXmanager를 사용하여 DSA를 설치한 경우에는 이 설정을 생략하십시오.
    # size limits
    set max-users = 1000;
    set credits = 5;
    set max-local-ops = 1000;
    set max-op-size = 4000;
    set multi-write-queue = 20000;
    참고:
    크기 제한 설정을 편집하면 캐시 크기 오류가 CA Directory 로그 파일에 표시되지 않습니다.
  8. DXC 파일을 저장합니다.
  9. DSA의 DXI 파일(
    DSA_Name
    .dxi)을 편집하여 제한 구성을 default.dxg에서 새
    Single Sign-On
    제한 파일로 변경합니다.
    예:
    제한 구성을 default.dxc에서 smdsa.dxc로 변경합니다.
    • DSA_Name
      키 저장소에 대해 생성한 DSA의 이름을 나타냅니다.
      참고:
      DSA의 DXI 파일은
      DXHOME
      \config\servers에 있습니다. DXmanager를 사용하여 DSA를 생성한 경우 기존 제한 파일의 이름은 dxmanager.dxc로 지정됩니다.
  10. DSA 사용자 권한으로 다음 명령을 사용하여 DSA를 중지했다가 다시 시작합니다.
    dxserver stop 
    DSA_Name
    dxserver start 
    DSA_Name
    • DSA_Name
      DSA의 이름을 지정합니다.
    키 저장소 스키마가 생성되었습니다.
DSA 열기
디렉터리 서버를 보여 주는 뷰를 생성하여 개체를 관리할 수 있습니다.
다음 단계를 수행하십시오.
  1. 데이터베이스가 익명 로그인을 허용하도록 구성되어 있는지 확인합니다.
  2. JXplorer GUI를 시작합니다.
  3. 연결 아이콘을 선택합니다.
  4. "Host Name"(호스트 이름) 필드에
    host_name_or_IP_address
    를 입력합니다.
    • host_name_or_IP_address
      CA Directory가 실행되는 시스템의 호스트 이름 또는 IP 주소를 지정합니다.
  5. "Port number"(포트 번호) 필드에
    port_number
    를 입력합니다.
    • port_number
      DSA가 수신 대기하는 포트를 지정합니다.
  6. "Base DN"(기본 DN) 필드에 o=
    DSA_Name
    ,c=
    country_code
    를 입력합니다.
    예:
     o=psdsa,c=US
  7. "Level"(수준) 목록에서 "Anonymous"(익명)를 선택하고 "Connect"(연결)를 클릭합니다.
키 저장소 데이터의 기본 트리 구조 만들기
키 저장소 데이터를 보관할 기본 트리 구조를 만드십시오. 조직 단위를 만드는 데는 JXplorer GUI를 사용하십시오.
다음 단계를 수행하십시오.
  1. DSA의 루트 요소를 선택합니다.
  2. 루트 요소 아래에
    Netegrity
    이름의 조직 단위를 생성합니다.
  3. Netegrity 아래에
    SiteMinder
    이름의 조직 단위를 생성합니다. 
  4. SiteMinder 아래에서
    PolicySvr4
    이름의 조직 단위를 생성합니다.
  5. PolicySvr4 아래에
    XPS
    이름의 조직 단위를 생성합니다.
DSA에 대한 슈퍼 사용자 관리자 만들기
Single Sign-On
이 DSA에 액세스하는 데 사용할 수 있는 관리자 계정이 없을 경우에만 슈퍼 사용자 관리자를 생성해야 합니다. 정책 서버에서 키 저장소에 연결하는 데 이 정보가 필요합니다.
다음 단계를 수행하십시오.
  1. JXplorer GUI를 사용하여 DSA에 액세스합니다.
  2. Single Sign-On
    이 키 저장소에 연결하는 데 사용할 수 있는 다음과 같은 개체 유형의 관리자를 생성합니다.
     
    inetOrgPerson
  3. 관리자 DN과 암호를 기록합니다. 정책 서버를 키 저장소에 연결할 때 이 자격 증명을 사용합니다.
예:
dn:cn=admin,o=yourcompany,c=in
정책 서버를 키 저장소에 연결합니다.
정책 서버가 키 저장소에 액세스할 수 있도록 정책 서버를 키 저장소에 연결하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
    중요!
    Windows Server에서 이 그래픽 사용자 인터페이스에 액세스하려면 관리자 권한으로 바로 가기를 열어야 합니다. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은
    Single Sign-On
    구성 요소의 릴리스 정보를 참조하십시오.
  2. 데이터 탭을 클릭합니다.
  3. "데이터베이스" 목록에서 다음 값을 선택합니다.
    키 저장소
  4. "저장소" 목록에서 다음 값을 선택합니다.
    LDAP
  5. "LDAP 키 저장소" 그룹 상자에서 다음 설정을 구성합니다.
    • LDAP IP 주소
    • 관리자 사용자 이름
    • 암호
    • 암호 확인
    • 루트 DN
  6. "적용"을 클릭합니다.
  7. "LDAP 연결 테스트"를 클릭하여 정책 서버에서 키 저장소에 액세스할 수 있는지 여부를 확인합니다.
  8. "확인"을 클릭합니다.
  9. 정책 서버를 다시 시작합니다.