MySQL 정책 저장소 구성 방법
목차
casso128kkr
목차
2
MySQL 정책 저장소는 다음 기능도 수행할 수 있습니다.
- 키 저장소
- 감사 로깅 데이터베이스참고:세션 정보는 별도의 데이터베이스에 저장됩니다. 정책 저장소를 사용하여 세션 정보를 저장하지 마십시오.단일 데이터베이스를 사용하면 관리 태스크를 간소화할 수 있습니다. 다음 단원에서는 단일 데이터베이스 서버를 구성하는 방법에 대한 지침을 제공합니다.
시작하기 전에
- MySQL이 Latin1 또는 UTF8 문자 집합을 사용하는지 확인합니다. 유니코드 문자를 지원하려면 UTF8 문자 집합을 사용하십시오.
- 정책 서버 호스트 시스템에서 정책 저장소 역할을 하는 MySQL 데이터베이스에 액세스할 수 있는지 확인합니다.
- 공급업체별 사용자 인터페이스를 사용하여 데이터 저장소에 대한 데이터베이스 인스턴스를 생성합니다.
- 유니코드 문자에 대한 데이터베이스 인스턴스를 생성하려면 UTF8 문자 집합 및 데이터 정렬을 사용합니다.
- 유니코드를 지원하지 않는 문자에 대한 데이터베이스 인스턴스를 생성하려면 Latin1 문자 집합 및 데이터 정렬을 사용합니다.
- 데이터베이스 인스턴스는 대/소문자를 구분해야 합니다.
데이터베이스 정보 수집
정책 저장소나 다른 유형의
Single Sign-On
데이터 저장소를 구성하기 전에 다음 정보를 수집하십시오.- 데이터베이스 호스트- 데이터베이스 호스트 시스템의 이름을 식별합니다.
- 데이터베이스 이름- 정책 저장소 또는 데이터 저장소로 사용할 데이터베이스 인스턴스의 이름을 식별합니다.
- 데이터베이스 포트- 데이터베이스가 수신 대기하는 포트를 식별합니다.
- 관리자 계정- 데이터베이스의 개체에 대한 관리 권한이 있는 관리자 계정의 로그인 ID를 식별합니다.
- 관리자 암호- 관리자 계정의 암호를 식별합니다.
Single Sign-On
스키마 만들기MySQL 데이터베이스에 정책, 키 및 감사 로깅 정보를 저장할 수 있도록
Single Sign-On
스키마를 생성하십시오.다음 단계를 수행하십시오.
- 쿼리 브라우저를 시작하고 정책 서버 데이터베이스를 관리하는 사용자로 로그인합니다.
- 데이터베이스 목록에서 데이터베이스 인스턴스를 선택합니다.
- 다음 위치로 이동합니다.siteminder_home\db\tier2\MySQL
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 텍스트 편집기에서 다음 파일 중하나를 엽니다.
- 정책 저장소에 유니코드 문자를 저장하려면 sm_mysql_ps.sql.unicode를 엽니다.
- 정책 저장소에 유니코드를 지원하지 않는 문자를 저장하려면 sm_mysql_ps.sql을 엽니다.
- sm_mysql_ps 파일에서 다음 줄을 찾습니다.DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
- 'databaseName'의 각 인스턴스를 정책 저장소로 작동하는 데이터베이스의 이름으로 바꿉니다.
- databaseName 인스턴스를 바꾼 후 전체 파일의 내용을 복사합니다.
- 파일 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.정책 및 키 저장소 스키마가 데이터베이스에 추가됩니다.
- 다음 위치로 이동합니다.siteminder_home\xps\db\Tier2DirSupport\MySQL
- 텍스트 편집기에서 다음 파일 중하나를 열고 전체 파일의 내용을 복사합니다.
- 정책 저장소에 유니코드 문자를 저장하려면 MySQL.sql.unicode를 엽니다.
- 정책 저장소에 유니코드를 지원하지 않는 문자를 저장하려면 MySQL.sql을 엽니다.
- 해당 MySQL 파일의 스키마를 쿼리에 붙여 넣고 쿼리를 실행합니다.정책 저장소 스키마가 확장됩니다.
- 정책 저장소를 감사 로깅 데이터베이스로 사용하려면 다음 로깅 스키마 파일을 사용하여 3 단계와 4 단계를 반복합니다.sm_mysql_logs.sql데이터베이스에서Single Sign-On데이터를 저장할 수 있습니다.참고:추가Single Sign-On데이터를 저장하기 위해 정책 저장소를 구성할 필요는 없습니다. 각각의 데이터베이스를 별도의 감사 로그 데이터베이스, 키 저장소 및 세션 저장소로 작동하도록 구성할 수 있습니다.
Single Sign-On
에 대한 MySQL 데이터 원본 구성정책 서버가
Single Sign-On
데이터 저장소와 통신할 수 있도록 하려면 데이터 원본을 구성해야 합니다.참고
MySQL 5.1.x를 사용하는 경우 DSN을 생성하는 데 사용된 사용자 이름에 TRIGGER 권한을 할당하십시오.Windows에서 MySQL 데이터 원본 만들기
MySQL 유선 프로토콜 드라이버에 대한 MySQL 데이터 원본을 생성합니다.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- "시작"을 클릭하고 "프로그램", "관리 도구"로 이동합니다.
- "ODBC 데이터 원본(64비트)"을 선택합니다."ODBC 데이터 원본 관리자" 대화 상자가 열립니다.
- "시스템 DSN" 탭을 클릭하고 "추가"를 클릭합니다.
- 아래로 스크롤하여 "SiteMinder MySQL Wire Protocol"을 선택하고 "마침"을 클릭합니다.
- "일반" 탭에서 다음 단계를 완료합니다.
- "데이터 원본 이름" 필드에 데이터 원본 이름을 입력합니다.예:SiteMinder MySQL Wire Data Source
- "호스트 이름" 필드에 MySQL 데이터베이스 호스트 시스템의 이름을 입력합니다.
- "포트 번호" 필드에 MySQL 데이터베이스가 수신 대기하는 포트를 입력합니다.
- "데이터베이스 이름" 필드에 MySQL 데이터베이스의 이름을 입력합니다.
- "연결 테스트"를 클릭합니다.
- "확인"을 클릭합니다.데이터 원본이 생성되고 "시스템 데이터 원본" 목록에 표시됩니다.
참고:
이제 정책 서버를 Single Sign-On
데이터 저장소에 연결할 수 있습니다.UNIX 시스템에서 MySQL 데이터 원본 만들기
Single Sign-On
ODBC 데이터 원본은 system_odbc.ini 파일을 사용하여 구성합니다. 이 파일은 mysqlwire.ini를 system_odbc.ini로 이름을 바꿔 생성할 수 있습니다. mysqlwire.ini 파일은 siteminder_home
/db에 있습니다.- siteminder_home정책 서버 설치 경로를 지정합니다.
이 system_odbc.ini 파일에는 사용할 수 있는 ODBC 데이터 원본의 이름과 이러한 데이터 원본에 연결된 특성이 모두 들어 있습니다. 각 사이트에 맞게 이 파일을 사용자 지정해야 합니다.
Single Sign-On
에 대한 다른 ODBC 사용자 디렉터리를 정의하는 등 이 파일에 데이터 원본을 더 추가할 수도 있습니다.system_odbc.ini 파일의 첫 번째 섹션인 [ODBC Data Sources]에는 현재 사용할 수 있는 모든 데이터 원본의 목록이 들어 있습니다. "=" 앞의 이름은 해당 파일에서 각 개별 데이터 원본을 설명하는 이후 섹션을 나타냅니다. "=" 뒷부분은 주석 필드입니다.
참고:
데이터 원본 항목의 첫 번째 줄의 값은 정책 저장소로 데이터베이스를 구성할 때 필요합니다.system_odbc.ini 파일에는 각 데이터 원본의 특성을 설명하는 섹션이 있습니다. 첫 번째 특성은
Single Sign-On
이 해당 데이터 원본을 사용할 때 로드되는 ODBC 드라이버입니다. 나머지 특성은 드라이버마다 다릅니다.MySQL Server 데이터 원본의 추가는 다음을 포함합니다.
- 파일의 [ODBC Data Sources] 섹션에 새 데이터 원본 이름
- 데이터 원본과 동일한 이름을 사용하여 데이터 원본을 설명하는 섹션
새 서비스 이름을 만들 때 system_odbc.ini 파일을 업데이트하십시오. [
Single Sign-On
Data Source] 아래에 MySQL 드라이버에 대한 항목이 있어야 합니다.또한 MySQL Server 데이터 원본을 구성하려면 mysqlwire.ini를 system_odbc.ini로 이름을 바꿔 system_odbc.ini 파일을 생성하십시오.
MySQL 유선 프로토콜 드라이버 만들기
유선 프로토콜 드라이버를 구성하여 정책 서버가 데이터베이스에 연결하는 데 사용할 설정을 지정할 수 있습니다.
이 절차는 정책 서버가 UNIX 시스템에 설치된 경우에만 적용됩니다. 아직 수행하지 않은 경우 아래의 파일 중 하나를 복사하고 이름을
system_odbc.ini
로 바꾸십시오.- sqlserverwire.ini
- oraclewire.ini
- mysqlwire.ini
- postgresqlwire.ini
- db2wire.ini
이러한 파일은
siteminder_home
/db에 있습니다.system_odbc.ini 파일은 다음 섹션으로 구성되어 있습니다. 구성하는 데이터 원본에 따라 편집할 섹션이 결정됩니다.
- [SiteMinder Data Source]Single Sign-On이 정책 저장소로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [SiteMinder Logs Data Source]Single Sign-On이 감사 로그 데이터베이스로 작동하는 데이터베이스에 연결하는 데 사용할 설정을 지정합니다.
- [SiteMinder Keys Data Source]Single Sign-On이 키 저장소로 작동하는 데이터베이스에 연결할 설정을 지정합니다.
- [SiteMinder Session Data Source]Single Sign-On이 세션 저장소로 작동하는 데이터베이스에 연결할 설정을 지정합니다.
- [SmSampleUsers Data Source]Single Sign-On이 샘플 사용자 데이터 저장소로 작동하는 데이터베이스에 연결할 설정을 지정합니다.
다음 단계를 수행하십시오.
- system_odbc.ini 파일을 엽니다.
- [ODBC Data Sources] 아래에 다음 행을 입력합니다.SiteMinder Data Source=DataDirect 8.0 MySQL Wire Protocol
- 구성하려는 데이터 원본에 따라 다음 정보를 사용하여 하나 이상의 데이터 원본 섹션을 편집합니다. 데이터 원본 정보를 편집할 때 파운드 기호(#)는 사용하지 마십시오. 파운드 기호를 입력하면 정보가 주석으로 처리되어 값이 잘립니다. 값이 잘리면 ODBC 연결이 실패할 수 있습니다.Driver=nete_ps_root/odbc/lib/NSmysql28.soDescription=DataDirect 8.0 MySQL Wire ProtocolAlternateServers=ApplicationUsingThreads=1ConnectionReset=0ConnectionRetryCount=0ConnectionRetryDelay=3Database=database_nameDefaultLongDataBuffLen=1024EnableDescribeParam=0EncryptionMethod=0FailoverGranularity=0FailoverMode=0FailoverPreconnect=0HostName=host_nameHostNameInCertificate=InteractiveClient=0KeyPassword=KeyStore=KeyStorePassword=LicenseNotice=You must purchase commercially licensed MySQL database software or a MySQL Enterprise subscription in order touse the DataDirect Connect for ODBC for MySQL Enterprise driver with MySQL software.LoadBalanceTimeout=0LoadBalancing=0LoginTimeout=15LogonID=root_userPassword=root_user_passwordMaxPoolSize=100MinPoolSize=0Pooling=0PortNumber=mysql_portQueryTimeout=0ReportCodepageConversionErrors=0TreatBinaryAsChar=0TrustStore=TrustStorePassword=ValidateServerCertificate=1
- nete_ps_root정책 서버 설치 경로를 지정합니다. 이 값은 환경 변수를 포함하지 않는 명시적 경로로 입력합니다.예:/export/smuser/siteminder
- database_name데이터 저장소로 사용할 MySQL 데이터베이스의 이름을 지정합니다.
- host_nameMySQL 데이터베이스 호스트 시스템의 이름을 지정합니다.
- root_userMySQL 루트 사용자의 로그인 ID를 지정합니다.
- root_user_passwordMySQL 루트 사용자의 암호를 지정합니다.
- mysql_portMySQL 데이터베이스가 수신 대기하는 포트를 지정합니다.
- 파일을 저장합니다.유선 프로토콜 드라이버가 구성되었습니다.
정책 서버를 데이터베이스에 연결
정책 서버가 정책 저장소의
Single Sign-On
데이터에 액세스할 수 있도록 정책 서버를 데이터베이스에 연결하십시오.다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 열고 데이터 탭을 클릭합니다.
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- "데이터베이스" 목록에서 다음 값을 선택합니다.Policy Store
- 데이터 원본 정보 필드에 데이터 원본 이름을 입력합니다.
- (Windows) 입력하는 이름은 데이터 원본을 생성할 때 "데이터 원본 이름" 필드에 입력한 이름과 일치해야 합니다.
- (UNIX) 입력하는 이름은 system_odbc.ini 파일의 데이터 원본 항목 첫 줄과 일치해야 합니다. 기본적으로 이 파일의 첫 행은 [Single Sign-OnData Sources]입니다. 첫 번째 항목을 수정한 경우 올바른 값을 입력해야 합니다.
- 데이터베이스 인스턴스에 대한 모든 권한이 있는 데이터베이스 계정의 사용자 이름 및 암호를 해당 필드에 입력하고 확인합니다.
- Single Sign-On에 할당되는 최대 데이터베이스 연결 수를 지정합니다.참고최상의 성능을 위해서는 기본 연결 수인 25를 유지하는 것이 좋습니다.
- "적용"을 클릭하여 설정을 저장합니다.
- "데이터베이스" 목록에서 다음 값을 선택합니다.Key Store
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- 다음 옵션을 선택합니다.Use the Policy Store database
- "데이터베이스" 목록에서 다음 값을 선택합니다.Audit Logs
- "저장소" 목록에서 다음 값을 선택합니다.ODBC
- 다음 옵션을 선택합니다.Use the Policy Store database
- "적용"을 클릭하여 설정을 저장합니다.
- "연결 테스트"를 클릭하여 정책 서버가 정책 저장소에 액세스할 수 있는지 확인합니다.
- "확인"을 클릭합니다.데이터베이스를 정책 저장소, 키 저장소 및 로깅 데이터베이스로 사용하도록 정책 서버가 구성되었습니다.
Single Sign-On
슈퍼 사용자 암호 설정기본 관리자 계정의 이름은
siteminder
로 지정됩니다. 이 계정에는 최대 권한이 있습니다.일상적인 작업에는 기본 슈퍼 사용자를 사용하지 마십시오. 다음과 같은 경우에 기본 슈퍼 사용자를 사용하십시오.
- 관리 UI에 처음 액세스할 경우
- Single Sign-On유틸리티를 처음 관리할 경우
- 슈퍼 사용자 권한이 있는 다른 관리자를 생성할 경우
다음 단계를 수행하십시오.
- smreg 유틸리티를siteminder_home\bin에 복사합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
참고이 유틸리티는 정책 서버 설치 키트의 최상위 수준에 있습니다. - 다음 명령을 실행합니다.smreg -supassword
- password기본 관리자의 암호를 지정합니다.
- 암호는 적어도 6자보다 길어야 하며 24자를 넘을 수 없습니다.
- 암호에 앰퍼샌드(&)나 별표(*)를 사용할 수 없습니다.
- 암호에 공백이 있는 경우 암호를 따옴표로 묶으십시오.
참고:Oracle 정책 저장소를 구성하는 경우 암호의 대/소문자가 구분됩니다. 다른 모든 정책 저장소에서는 암호의 대/소문자를 구분하지 않습니다. - siteminder_home\bin에서 smreg를 삭제합니다. smreg를 삭제하면 이전 암호를 모르는 다른 사람은 암호를 변경할 수 없게 됩니다.
기본 관리자 계정의 암호가 설정되었습니다.
정책 저장소 데이터 정의 가져오기
정책 저장소 데이터 정의 가져오기를 사용하여 정책 저장소에서 생성하고 저장할 수 있는 개체의 유형을 정의합니다.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\xps\dd로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 명령을 실행합니다.XPSDDInstall SmMaster.xdd
- XPSDDInstall필수 데이터 정의를 가져옵니다.
기본 정책 저장소 개체 가져오기
기본 정책 저장소 개체 가져오기를 사용하여 관리 UI 및 정책 서버에서 사용할 정책 저장소를 구성합니다.
다음 사항을 고려하십시오.
- siteminder_home\bin에 대한 쓰기 액세스 권한이 있는지 확인하십시오. 가져오기 유틸리티에서 정책 저장소 개체를 가져오려면 이 권한이 필요합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- Windows UAC(사용자 계정 컨트롤)가 사용되도록 설정된 경우 명령줄 창을 관리자 권한으로 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
다음 단계를 수행하십시오.
- 명령 창을 열고siteminder_home\db로 이동합니다.
- 다음 파일 중 하나를 가져옵니다.
- smpolicy.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy.xml -npass
- smpolicy-secure.xml을 가져오려면 다음 명령을 실행합니다.XPSImport smpolicy-secure.xml -npass
- npass암호를 사용할 필요가 없음을 지정합니다. 기본 정책 저장소 개체에 암호화된 데이터가 포함되지 않습니다.
- 옵션 팩 기능을 가져오려면 다음 명령을 실행합니다.XPSImport ampolicy.xml -npass
- 페더레이션 기능을 가져오려면 다음 명령을 실행합니다.XPSImport fedpolicy-12.5.xml -npass
- OAuth 또는 OpenID Connect를 사용하려면 다음 명령을 실행하여 OpenID Connect에 대한 기본 OAuth 엔터티와 기본 클레임 및 범위 개체를 가져옵니다.XPSImport default-fedobjects-config.xml -npass-npass는 암호가 필요하지 않음을 나타냅니다.
참고:
smpolicy.xml을 가져오면 Single Sign-On
에서 별도로 라이선스가 제공되는 레거시 페더레이션 및 웹 서비스 변수 기능을 사용할 수 있게 됩니다. 웹 서비스 변수 기능을 사용하려면 CA 고객 담당자에게 라이선스 정보에 대해 문의하십시오.정책 서버 다시 시작
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.
- "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.정책 서버가 중지되고 빨강 표시등이 표시됩니다.
- "시작"을 클릭합니다.정책 서버가 시작되고 녹색 표시등이 표시됩니다.참고: Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.
관리 UI 등록 준비
관리 UI에 최초로 로그인하려면 기본 슈퍼 사용자 계정을 사용하십시오. 최초 로그인 시에는 관리 UI를 정책 서버에 등록하여 두 구성 요소 간에 트러스트 관계를 생성해야 합니다.
등록을 준비하려면 XPSRegClient 유틸리티를 사용하여 슈퍼 사용자 계정 이름과 암호를 제공합니다. 정책 서버는 이러한 자격 증명을 사용하여 등록 요청이 유효하며 트러스트 관계를 설정할 수 있는지 확인합니다.
다음 사항을 고려하십시오.
- 자격 증명을 제공한 때부터 24시간 이내에 최초 관리 UI 로그인이 이루어져야 합니다. 관리 UI 설치를 하루 안에 수행할 계획이 아니면 관리 UI를 설치하기 전에 다음 단계를 완료하십시오.
- (UNIX) XPSRegClient를 사용하기 전에Single Sign-On환경 변수가 설정되어야 합니다. 환경 변수가 설정되지 않은 경우 수동으로 설정하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행합니다.XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphrase기본 슈퍼 사용자 계정의 암호를 지정합니다.참고암호를 지정하지 않으면 XPSRegClient에서 암호를 입력하고 확인하라는 메시지가 표시됩니다.
- -adminui-setup관리 UI가 정책 서버에 최초로 등록되도록 지정합니다.
- -ttimeout(선택 사항) 관리 UI를 설치할 때부터 정책 서버에 로그인하고 정책 서버와의 트러스트 관계를 생성할 때까지 할당된 시간을 지정합니다. 이 시간 만료 값을 초과할 경우 정책 서버에서는 등록 요청을 거부합니다.측정 단위:분기본값:240(4시간)최소값:15최대값:1440(24시간)
- -rretries(선택 사항) 관리 UI를 등록할 때 허용되는 시도 실패 횟수를 지정합니다. 관리 UI에 최초로 로그인할 때 올바르지 않은 관리자 자격 증명을 제출하면 등록 시도가 실패할 수 있습니다.기본값:1최대:5
- -ccomment(선택 사항) 정보 제공을 위해 등록 로그 파일에 지정된 설명을 삽입합니다.참고설명을 따옴표로 묶으십시오.
- -cp(선택 사항) 등록 로그 파일에 여러 줄로 된 설명을 포함할 수 있도록 지정합니다. 그러면 유틸리티에서 여러 줄로 된 설명에 대한 메시지가 표시되고 정보 제공을 위해 등록 로그 파일에 지정된 설명이 삽입됩니다.참고설명을 따옴표로 묶으십시오.
- -llog_path(선택 사항) 등록 로그 파일을 내보내야 하는 위치를 지정합니다.기본값:siteminder_home\logsiteminder_home정책 서버 설치 경로를 지정합니다.
- -eerror_path(선택 사항) 예외를 지정된 경로로 보냅니다.기본값:stderr
- -vT(선택 사항) 세부 정보 표시 수준을 "TRACE"(경고)으로 설정합니다.
- -vI(선택 사항) 세부 정보 표시 수준을 "INFO"(경고)으로 설정합니다.
- -vW(선택 사항) 세부 정보 표시 수준을 "WARNING"(경고)으로 설정합니다.
- -vE(선택 사항) 세부 정보 표시 수준을 "ERROR"(경고)으로 설정합니다.
- -vF(선택 사항) 세부 정보 표시 수준을 "FATAL"(경고)으로 설정합니다.
- Enter 키를 누릅니다.XPSRegClient가 정책 서버에 관리자 자격 증명을 제공합니다. 정책 서버에서는 관리 UI에 최초로 로그인할 때 이러한 자격 증명을 사용하여 등록 요청을 확인합니다.