CA Directory 키 저장소 구성 방법
목차:
casso128kkr
목차:
CA Directory를 키 저장소로 작동하도록 구성할 수 있습니다.
디렉터리 서버 정보 수집
키 저장소를 구성하기 전에 다음 정보를 수집하십시오.
- 호스트 정보 -CA Directory가 실행되는 시스템의 정규화된 호스트 이름 또는 IP 주소를 확인합니다.
- DSA 포트 번호 -DSA가 수신 대기하는 포트를 확인합니다.
- 기본 DN- LDAP 트리에서 키 저장소 개체가 정의되는 노드의 고유 이름을 확인합니다.
- 관리 DN-Single Sign-On이 DSA에서 개체를 관리하는 데 사용하는 계정의 LDAP 사용자 이름을 확인합니다.
- 관리 암호- 관리 사용자의 암호를 확인합니다.
키 저장소의 DSA 만들기
다음 단계를 수행하십시오.
- 다음 명령을 실행하여 DSA를 생성합니다.
dxnewdsaDSA_Nameport"o=DSA_Name,c=country_code"
- DSA_NameDSA의 이름을 지정합니다.
- portDSA가 수신 대기하는 포트를 지정합니다.
- o=DSA_Name,c=country_codeDSA 접두사를 지정합니다.예:"o=psdsa,c=US"
dxnewdsa 유틸리티가 새 DSA를 시작합니다.
참고:
DSA가 자동으로 시작되지 않으면 다음 명령을 실행하십시오.dxserver start DSA_Name
키 저장소 스키마 만들기
디렉터리 서버가 키 저장소로 작동할 수 있도록 키 저장소 스키마를 생성하십시오.
중요!
기본적으로 CA Directory 구성 파일은 읽기 전용입니다. 지침에 따라 수정해야 할 CA Directory 파일이 있는 경우 쓰기가 가능하도록 권한을 업데이트해야 합니다. 파일을 업데이트한 후 다시 읽기 전용으로 권한을 되돌릴 수 있습니다. 또한 CA Directory에서 제공하는 모든 default.xxx 파일은 CA Directory 업그레이드 중 덮어쓰여집니다. 읽기 전용 파일을 수정할 때는 주의하십시오.다음 단계를 수행하십시오.
- 다음 파일을 CA DirectoryDXHOME\config\schema 디렉터리에 복사합니다.
- netegrity.dxc
- etrust.dxcDXHOMEDirectory Server 설치 경로를 지정합니다.
참고:netegrity.dxc 파일은 정책 서버와 함께siteminder_home\eTrust에 설치됩니다. etrust.dxc 파일은 정책 서버와 함께siteminder_home\xps\db에 설치됩니다.- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows %DXHOME%
- Unix/Linux: $DXHOME
- default.dxg 스키마 파일을 복사한 후 이름을 바꿔Single Sign-On스키마 파일을 생성합니다.참고:default.dxg 스키마 파일은DXHOME\config\schema\default.dxg에 있습니다.예:default.dxg 스키마 파일을 복사하고 복사본의 이름을 smdsa.dxg로 바꿉니다.
- 새Single Sign-On스키마 파일의 맨 아래에 다음 행을 추가합니다.#CA Schemasource "netegrity.dxc";source "etrust.dxc";
- DSA의 DXI 파일(DSA_Name.dxi)을 편집하여 스키마를 default.dxg에서 새Single Sign-On스키마 파일로 변경합니다.
- DSA_Name키 저장소에 대해 생성한 DSA의 이름을 나타냅니다.
참고:DXI 파일은DXHOME\config\servers에 있습니다. - DSA의 DXI 파일 끝에 다음 행을 추가합니다.
- 릴리스 12# cache configurationset max-cache-size = 100;set cache-attrs = all-attributes;set cache-load-all = true;set ignore-name-bindings = true;참고:max-cache-size 항목은 총 캐시 크기(MB)입니다. CA Directory Server의 사용 가능한 총 메모리와 키 저장소의 전체 크기에 따라 이 값을 조정하십시오.
- 릴리스 12 SP 1 이상# cache configurationset ignore-name-bindings = true;
- DSA의 기본 제한 DXC 파일(default.dxc)을 복사하여Single Sign-OnDXC 파일을 생성합니다.예:기본 DXC 파일을 복사한 후 복사본 이름을 smdsa.dxc로 바꿉니다.참고:기본 DXC 파일은DXHOME\dxserver\config\limits에 있습니다.
- 새 DXC 파일의 설정을 다음 값과 일치하도록 편집합니다.경고: multi-write-queue 설정은 텍스트 기반 구성 전용입니다. DXmanager를 사용하여 DSA를 설치한 경우에는 이 설정을 생략하십시오.# size limitsset max-users = 1000;set credits = 5;set max-local-ops = 1000;set max-op-size = 4000;set multi-write-queue = 20000;참고:크기 제한 설정을 편집하면 캐시 크기 오류가 CA Directory 로그 파일에 표시되지 않습니다.
- DXC 파일을 저장합니다.
- DSA의 DXI 파일(DSA_Name.dxi)을 편집하여 제한 구성을 default.dxg에서 새Single Sign-On제한 파일로 변경합니다.예:제한 구성을 default.dxc에서 smdsa.dxc로 변경합니다.
- DSA_Name키 저장소에 대해 생성한 DSA의 이름을 나타냅니다.참고:DSA의 DXI 파일은DXHOME\config\servers에 있습니다. DXmanager를 사용하여 DSA를 생성한 경우 기존 제한 파일의 이름은 dxmanager.dxc로 지정됩니다.
- DSA 사용자 권한으로 다음 명령을 사용하여 DSA를 중지했다가 다시 시작합니다.dxserver stopDSA_Namedxserver startDSA_Name
- DSA_NameDSA의 이름을 지정합니다.
키 저장소 스키마가 생성되었습니다.
DSA 열기
디렉터리 서버를 보여 주는 뷰를 생성하여 개체를 관리할 수 있습니다.
다음 단계를 수행하십시오.
- 데이터베이스가 익명 로그인을 허용하도록 구성되어 있는지 확인합니다.
- JXplorer GUI를 시작합니다.
- 연결 아이콘을 선택합니다.
- "Host Name"(호스트 이름) 필드에host_name_or_IP_address를 입력합니다.
- host_name_or_IP_addressCA Directory가 실행되는 시스템의 호스트 이름 또는 IP 주소를 지정합니다.
- "Port number"(포트 번호) 필드에port_number를 입력합니다.
- port_numberDSA가 수신 대기하는 포트를 지정합니다.
- "Base DN"(기본 DN) 필드에 o=DSA_Name,c=country_code를 입력합니다.예:o=psdsa,c=US
- "Level"(수준) 목록에서 "Anonymous"(익명)를 선택하고 "Connect"(연결)를 클릭합니다.
키 저장소 데이터의 기본 트리 구조 만들기
키 저장소 데이터를 보관할 기본 트리 구조를 만드십시오. 조직 단위를 만드는 데는 JXplorer GUI를 사용하십시오.
다음 단계를 수행하십시오.
- DSA의 루트 요소를 선택합니다.
- 루트 요소 아래에Netegrity이름의 조직 단위를 생성합니다.
- Netegrity 아래에SiteMinder이름의 조직 단위를 생성합니다.
- SiteMinder 아래에서PolicySvr4이름의 조직 단위를 생성합니다.
- PolicySvr4 아래에XPS이름의 조직 단위를 생성합니다.
DSA에 대한 슈퍼 사용자 관리자 만들기
Single Sign-On
이 DSA에 액세스하는 데 사용할 수 있는 관리자 계정이 없을 경우에만 슈퍼 사용자 관리자를 생성해야 합니다. 정책 서버에서 키 저장소에 연결하는 데 이 정보가 필요합니다.다음 단계를 수행하십시오.
- JXplorer GUI를 사용하여 DSA에 액세스합니다.
- Single Sign-On이 키 저장소에 연결하는 데 사용할 수 있는 다음과 같은 개체 유형의 관리자를 생성합니다.inetOrgPerson
- 관리자 DN과 암호를 기록합니다. 정책 서버를 키 저장소에 연결할 때 이 자격 증명을 사용합니다.
예:
dn:cn=admin,o=yourcompany,c=in
정책 서버를 키 저장소에 연결합니다.
정책 서버가 키 저장소에 액세스할 수 있도록 정책 서버를 키 저장소에 연결하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.중요!Windows Server에서 이 그래픽 사용자 인터페이스에 액세스하려면 관리자 권한으로 바로 가기를 열어야 합니다. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
- 데이터 탭을 클릭합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.키 저장소
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- "LDAP 키 저장소" 그룹 상자에서 다음 설정을 구성합니다.
- LDAP IP 주소
- 관리자 사용자 이름
- 암호
- 암호 확인
- 루트 DN
- "적용"을 클릭합니다.
- "LDAP 연결 테스트"를 클릭하여 정책 서버에서 키 저장소에 액세스할 수 있는지 여부를 확인합니다.
- "확인"을 클릭합니다.
- 정책 서버를 다시 시작합니다.