Red Hat Directory Server를 정책 저장소로 구성하는 방법
목차
casso128kkr
목차
2
Red Hat Directory Server는 정책 저장소로 작동할 수 있습니다. 단일 디렉터리 서버 인스턴스가 다음 기능을 수행할 수 있습니다.
- 정책 저장소
- 키 저장소
단일 디렉터리 서버를 사용하면 관리 태스크를 간소화할 수 있습니다. 다음 섹션에서는 정책 데이터 및 암호화 키를 저장하도록 단일 디렉터리 서버 인스턴스를 구성하는 방법에 대한 지침을 제공합니다. 구현에 필요할 경우 별도의 키 저장소를 구성할 수 있습니다.
디렉터리 서버 정보 수집
casso128kkr
LDAP 디렉터리 서버를 정책 저장소로 구성하거나 기존 정책 저장소를 업그레이드하려면 특정 디렉터리 서버 정보가 필요합니다. 시작하기 전에 다음 정보를 수집하십시오.
- 호스트 정보디렉터리 서버의 정규화된 호스트 이름 또는 IP 주소를 지정합니다.
- 포트 정보(선택 사항) 비표준 포트를 지정합니다.기본값:636(SSL) 및 389(비 SSL)
- 관리 DNLDAP 트리에서 정책 저장소 루트 개체 아래의 개체에 대한 생성, 읽기, 수정 및 삭제 권한이 있는 사용자의 LDAP 사용자 이름을 지정합니다.
- 관리 암호관리 DN의 암호를 지정합니다.
- 정책 저장소 루트 DNLDAP 트리에서 정책 저장소 개체가 정의될 노드의 고유 이름을 지정합니다.
- SSL 클라이언트 인증서SSL 클라이언트 인증서 데이터베이스 파일이 있는 디렉터리의 경로 이름을 지정합니다.제한:SSL에만 해당
정책 서버를 정책 저장소에 연결
casso128kkr
정책 서버가 정책 저장소에 액세스할 수 있도록 정책 서버를 정책 저장소에 연결하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.casso128kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
- 데이터 탭을 클릭합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Policy Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- "LDAP 정책 저장소" 그룹 상자에서 다음 설정을 구성합니다.
- LDAP IP 주소
- 관리자 사용자 이름
- 암호
- 암호 확인
- 루트 DN
참고"도움말"을 클릭하면 필드, 컨트롤 및 해당되는 요구 사항에 대한 설명을 볼 수 있습니다. - "적용"을 클릭합니다.
- LDAP 연결 테스트를 클릭하여 정책 서버에서 정책 저장소에 액세스할 수 있는지 여부를 확인합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Key Store
- "저장소" 목록에서 다음 값을 선택합니다.LDAP
- 다음 옵션을 선택합니다.Use Policy Store database
- "확인"을 클릭합니다.
정책 저장소 스키마 만들기
디렉터리 서버가 정책 저장소로 작동하고
Single Sign-On
개체를 저장할 수 있도록 정책 저장소 스키마를 생성하십시오.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.smldapsetup ldgen -fschema_file
- schema_file생성하려는 LDIF 파일의 이름을 지정합니다.
- 다음 명령을 실행합니다.smldapsetup ldmod -fschema_file
- schema_file생성한 LDIF 파일의 이름을 지정합니다.
- 다음 단계를 완료합니다.
- 디렉터리 서버를 다시 시작합니다. 정책 저장소 스키마를 올바로 저장하기 위해 디렉터리 서버를 다시 시작해야 합니다.
- 3 단계를 반복합니다. 디렉터리 서버를 다시 시작하면 정책 저장소 루트가 제거됩니다. 정책 저장소 루트를 생성하려면 정책 저장소 스키마를 다시 가져와야 합니다.
- 다음 명령을 실행합니다.smldapsetup ldmod-fsiteminder_home/xps/db/RedHat_8.ldif
- -fsiteminder_home정책 서버 설치 경로를 지정합니다.
정책 저장소 스키마가 생성되었습니다.
Single Sign-On
슈퍼 사용자 암호 설정casso128kkr
기본 관리자 계정의 이름은
siteminder
로 지정됩니다. 이 계정에는 최대 권한이 있습니다.일상적인 작업에는 기본 슈퍼 사용자를 사용하지 마십시오. 다음과 같은 경우에 기본 슈퍼 사용자를 사용하십시오.
- 관리 UI에 처음 액세스할 경우
- Single Sign-On유틸리티를 처음 관리할 경우
- 슈퍼 사용자 권한이 있는 다른 관리자를 생성할 경우
다음 단계를 수행하십시오.
- smreg 유틸리티를siteminder_home\bin에 복사합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
참고이 유틸리티는 정책 서버 설치 키트의 최상위 수준에 있습니다. - 다음 명령을 실행합니다.smreg -supassword
- password기본 관리자의 암호를 지정합니다.
- 암호는 적어도 6자보다 길어야 하며 24자를 넘을 수 없습니다.
- 암호에 앰퍼샌드(&)나 별표(*)를 사용할 수 없습니다.
- 암호에 공백이 있는 경우 암호를 따옴표로 묶으십시오.
참고:Oracle 정책 저장소를 구성하는 경우 암호의 대/소문자가 구분됩니다. 다른 모든 정책 저장소에서는 암호의 대/소문자를 구분하지 않습니다. - siteminder_home\bin에서 smreg를 삭제합니다. smreg를 삭제하면 이전 암호를 모르는 다른 사람은 암호를 변경할 수 없게 됩니다.
기본 관리자 계정의 암호가 설정되었습니다.
정책 저장소 데이터 정의 가져오기
casso128kkr
정책 저장소 데이터 정의 가져오기를 사용하여 정책 저장소에서 생성하고 저장할 수 있는 개체의 유형을 정의합니다.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\xps\dd로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 명령을 실행합니다.XPSDDInstall SmMaster.xdd
- XPSDDInstall필수 데이터 정의를 가져옵니다.
기본 정책 저장소 개체 가져오기
casso128kkr
기본 정책 저장소 개체 가져오기를 사용하여 관리 UI 및 정책 서버에서 사용할 정책 저장소를 구성합니다.
다음 사항을 고려하십시오.
- siteminder_home\bin에 대한 쓰기 액세스 권한이 있는지 확인하십시오. 가져오기 유틸리티에서 정책 저장소 개체를 가져오려면 이 권한이 필요합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows UAC(사용자 계정 컨트롤)가 사용되도록 설정된 경우 명령줄 창을 관리자 권한으로 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\db로 이동합니다.
- 다음 파일 중 하나를 가져옵니다.
- smpolicy.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy.xml -npass
- smpolicy-secure.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy-secure.xml -npass
- npass암호를 사용할 필요가 없음을 지정합니다. 기본 정책 저장소 개체에 암호화된 데이터가 포함되지 않습니다.
- 옵션 팩 기능을 가져오려면 다음 명령을 실행합니다.XPSImport ampolicy.xml -npass
- 페더레이션 기능을 가져오려면 다음 명령을 실행합니다.XPSImport fedpolicy-12.5.xml -npass
- OAuth 또는 OpenID Connect를 사용하려면 다음 명령을 실행하여 OpenID Connect에 대한 기본 OAuth 엔터티와 기본 클레임 및 범위 개체를 가져옵니다.XPSImport default-fedobjects-config.xml -npass-npass는 암호가 필요하지 않음을 나타냅니다.
참고:
smpolicy.xml을 가져오면 Single Sign-On
에서 별도로 라이선스가 제공되는 레거시 페더레이션 및 웹 서비스 변수 기능을 사용할 수 있게 됩니다. 웹 서비스 변수 기능을 사용하려면 CA 고객 담당자에게 라이선스 정보에 대해 문의하십시오.정책 서버 다시 시작
casso128kkr
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.
- "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.정책 서버가 중지되고 빨강 표시등이 표시됩니다.
- "시작"을 클릭합니다.정책 서버가 시작되고 녹색 표시등이 표시됩니다.참고: Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.
관리 UI 등록 준비
casso128kkr
관리 UI에 최초로 로그인하려면 기본 슈퍼 사용자 계정을 사용하십시오. 최초 로그인 시에는 관리 UI를 정책 서버에 등록하여 두 구성 요소 간에 트러스트 관계를 생성해야 합니다.
등록을 준비하려면 XPSRegClient 유틸리티를 사용하여 슈퍼 사용자 계정 이름과 암호를 제공합니다. 정책 서버는 이러한 자격 증명을 사용하여 등록 요청이 유효하며 트러스트 관계를 설정할 수 있는지 확인합니다.
다음 사항을 고려하십시오.
- 자격 증명을 제공한 때부터 24시간 이내에 최초 관리 UI 로그인이 이루어져야 합니다. 관리 UI 설치를 하루 안에 수행할 계획이 아니면 관리 UI를 설치하기 전에 다음 단계를 완료하십시오.
- (UNIX) XPSRegClient를 사용하기 전에Single Sign-On환경 변수가 설정되어야 합니다. 환경 변수가 설정되지 않은 경우 수동으로 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphrase기본 슈퍼 사용자 계정의 암호를 지정합니다.참고암호를 지정하지 않으면 XPSRegClient에서 암호를 입력하고 확인하라는 메시지가 표시됩니다.
- -adminui-setup관리 UI가 정책 서버에 최초로 등록되도록 지정합니다.
- -ttimeout(선택 사항) 관리 UI를 설치할 때부터 정책 서버에 로그인하고 정책 서버와의 트러스트 관계를 생성할 때까지 할당된 시간을 지정합니다. 이 시간 만료 값을 초과할 경우 정책 서버에서는 등록 요청을 거부합니다.측정 단위:분기본값: 240(4시간)최소값:15최대값:1440(24시간)
- -rretries(선택 사항) 관리 UI를 등록할 때 허용되는 시도 실패 횟수를 지정합니다. 관리 UI에 최초로 로그인할 때 올바르지 않은 관리자 자격 증명을 제출하면 등록 시도가 실패할 수 있습니다.기본값: 1최대값:5
- -ccomment(선택 사항) 정보 제공을 위해 등록 로그 파일에 지정된 설명을 삽입합니다.참고설명을 따옴표로 묶으십시오.
- -cp(선택 사항) 등록 로그 파일에 여러 줄로 된 설명을 포함할 수 있도록 지정합니다. 그러면 유틸리티에서 여러 줄로 된 설명에 대한 메시지가 표시되고 정보 제공을 위해 등록 로그 파일에 지정된 설명이 삽입됩니다.참고설명을 따옴표로 묶으십시오.
- -llog_path(선택 사항) 등록 로그 파일을 내보내야 하는 위치를 지정합니다.기본값:siteminder_home\logsiteminder_home정책 서버 설치 경로를 지정합니다.
- -eerror_path(선택 사항) 예외를 지정된 경로로 보냅니다.기본값:stderr
- -vT(선택 사항) 세부 정보 표시 수준을 "TRACE"(경고)으로 설정합니다.
- -vI(선택 사항) 세부 정보 표시 수준을 "INFO"(경고)으로 설정합니다.
- -vW(선택 사항) 세부 정보 표시 수준을 "WARNING"(경고)으로 설정합니다.
- -vE(선택 사항) 세부 정보 표시 수준을 "ERROR"(경고)으로 설정합니다.
- -vF(선택 사항) 세부 정보 표시 수준을 "FATAL"(경고)으로 설정합니다.
- Enter 키를 누릅니다.XPSRegClient가 정책 서버에 관리자 자격 증명을 제공합니다. 정책 서버에서는 관리 UI에 최초로 로그인할 때 이러한 자격 증명을 사용하여 등록 요청을 확인합니다.