Introscope 보안 › CA EEM을 사용한 Introscope 보안 › CA EEM 권한 부여 구성

CA EEM 권한 부여 구성

권한 부여 영역으로 CA EEM을 사용하는 경우 APM 응용 프로그램과 APM 사용자, 그룹 및 권한을 포함하여 CA EEM 서버를 구성해야 합니다. 이 작업은 다음 둘 중 하나를 사용하여 수행할 수 있습니다.

• CA EEM Safex 유틸리티

  Safex는 CA EEM에 제공되는 CLI(명령줄 인터페이스)입니다. Safex는 XML 스크립트를 실행하여 응용 프로그램을 CA EEM에 등록하고 사용자와 그룹을 만듭니다.

  CA APM에는 기본 APM 글로벌 사용자, 리소스 및 권한을 포함하여 APM 응용 프로그램을 만드는 샘플 Safex 스크립트가 제공됩니다.
  또한 Safex 스크립트를 사용하여 CA EEM 데이터를 XML 파일로 내보낼 수 있습니다. 자세한 내용은 CA Embedded Entitlements Manager Programming Guide(CA Embedded Entitlements Manager 프로그래밍 안내서)를 참조하십시오.

• CA EEM 인터페이스

  CA EEM 인터페이스를 사용하는 방법에 대한 자세한 내용은 CA Embedded Entitlements Manager Getting Started Guide(CA Embedded Entitlements Manager 시작 안내서) 및 CA Embedded Entitlements Manager Online Help(CA Embedded Entitlements Manager 온라인 도움말)를 참조하십시오.

  배포 예제는 기술 자료 문서 TEC534188: CA Wily APM security example: Setting up CA Wily APM users, groups, and resources in CA EEM(TEC534188: CA Wily APM 보안 예제: CA EEM에서 CA Wily APM 사용자, 그룹 및 리소스 설정)을 참조하십시오.

CA EEM 인터페이스에 액세스하려면

액세스 권한이 있으면 CA EEM에 로그인하여 APM 응용 프로그램과 APM 사용자, 그룹 및 권한을 구성할 수 있습니다.

• CA EEM에서 APM 응용 프로그램에 로그인합니다.
  1. CA EEM 로그인 페이지의 "Application:"(응용 프로그램:) 드롭다운 목록에서 등록한 응용 프로그램 이름이나 APM을 클릭합니다.
  2. 로그인 이름과 암호를 입력합니다.

  APM 응용 프로그램의 기본 로그인은 EiamAdmin입니다.

FIPS 이외의 모드에서 APM-CA EEM 통합을 구성하려면

참고: FIPS 이외의 모드에서 EEM 서버를 설정하려면 EEM 설치 위치에 있는 igateway.conf 파일에서 <FIPSMode>OFF</FIPSMode>를 사용하여 FIPS 모드를 OFF로 설정합니다. 이 파일의 기본 설치 위치는 C:\ProgramFiles\CA\SharedComponents\iTechnology입니다.

1. eiam.config 및 eiam.log4j.config 파일을 구성합니다.
   • <EM install>\config 디렉터리의 eiam.config 및 eiam.log4j.config 파일을 엽니다.
   • FIPS 모드가 OFF로 설정되어 있으며 <FIPSMode>OFF</FIPSMode>로 표시되는지 확인합니다. 기본 모드는 OFF입니다.
2. 다이제스트 알고리즘을 다음 알고리즘 중 하나로 설정합니다.
   • MD5(기본값)
   • SHA1
   • SHA256
   • SHA384
   • SHA512

   APM-EEM 통합이 FIPS 이외의 모드에서 구성됩니다.

FIPS 모드에서 APM-CA EEM 통합을 구성하려면

참고: FIPS 모드에서 EEM 서버를 설정하려면 EEM 설치 위치에 있는 igateway.conf 파일에서 <FIPSMode>ON</FIPSMode>을 사용하여 FIPS 모드를 ON으로 설정합니다. 이 파일의 기본 설치 위치는 C:\Program Files\CA\SharedComponents\iTechnology입니다.

1. eiam.config 및 eiam.log4j.config 파일을 구성합니다.
   • <EM install>\config 디렉터리의 eiam.config 및 eiam.log4j.config 파일을 엽니다.
   • <FIPSMode>OFF</FIPSMode>를 <FIPSMode>ON</FIPSMode>으로 변경하여 FIPS 모드를 ON으로 설정합니다.
2. 다이제스트 알고리즘을 다음 알고리즘 중 하나로 설정합니다.
   • SHA1
   • SHA256
   • SHA384
   • SHA512

   APM-EEM 통합이 FIPS 모드에서 구성됩니다.

CA EEM 권한 부여를 구성하려면

중요! 권한 부여에 CA EEM을 사용하는 경우 CA EEM에서 Enterprise Manager가 하나 이상의 응용 프로그램에 연결되어야 합니다. CA EEM은 응용 프로그램을 사용하여 권한을 정의하는 리소스 클래스와 액세스 정책을 저장합니다.

중요! CA EEM 서버가 외부 사용자 디렉터리(예: LDAP 또는 SiteMinder)에 연결된 경우 CA EEM에서 글로벌 사용자를 만들거나 추가할 수 없습니다. 인증을 위해 CA EEM 서버가 LDAP 또는 SiteMinder 서버와 통합된 경우 CA EEM이 아닌 LDAP나 SiteMinder에서 사용자 및 그룹을 설정하거나, LDAP 또는 SiteMinder에서 사용자와 그룹의 CA EEM 액세스 정책을 변경할 수 있습니다.

중요! eem.register.app.xml 스크립트에는 LDAP 또는 SiteMinder와 함께 구성된 CA EEM을 인증에 설정하는 샘플 코드가 포함되어 있지 않습니다.

다음 단계를 따르십시오.

1. CA EEM 권한 부여를 사용하도록 realms.xml 파일을 구성합니다.
   1. <EM_Home>/config 디렉터리에 있는 realms.xml 파일을 엽니다.
   2. appname 속성이 CA EEM에서 Enterprise Manager와 연결된 APM 응용 프로그램 이름으로 설정되어 있는지 확인합니다. 예를 들어 APM이라는 이름일 수 있습니다.

      2a단계에서 CA EEM 서버를 구성할 때 사용하는 것과 동일한 응용 프로그램 이름을 사용합니다.

   3. enableAuthorization 속성이 True로 설정되어 있는지 확인합니다.
   4. realms.xml 파일을 저장합니다.
   5. realms.xml의 변경 사항이 적용되도록 Enterprise Manager를 다시 시작합니다.
2. APM 응용 프로그램, 그룹, 사용자, 리소스 클래스, 도메인 및 서버 리소스를 로드하도록 하나 이상의 Safex 스크립트를 만들고 실행합니다.

   CA Technologies에서는 <EM_Home>/examples/authentication 디렉터리에 다음과 같은 샘플 Safex 스크립트를 제공합니다.

   eem.register.app.xml

   기본 APM 응용 프로그램을 등록합니다.

   eem.unregister.app.xml

   기본 APM 응용 프로그램의 등록을 취소합니다.

   eem.add.global.identities.xml

   기본 APM 글로벌 사용자를 추가합니다.

   eem.remove.global.identities.xml

   기본 APM 사용자를 제거합니다.

   참고: CA Technologies에서는 eem.register.app.xml 및 eem.add.global.identities.xml을 수정하여 이들 파일을 CA EEM 권한 부여 배포를 설정하는 기본 스크립트로 사용하도록 권장합니다. 이들 스크립트를 실행해야 CA EEM 권한 부여를 설정하는 데 필요한 요구 사항을 충족하게 됩니다.

   1. Safex 스크립트에서 다음 CA EEM 보안 요소를 구성합니다.
      • 응용 프로그램. 자세한 내용은 CA EEM에서 APM 응용 프로그램 등록 참조
      • 그룹. 자세한 내용은 CA EEM에서 APM 그룹 만들기 및 삭제 참조
      • 사용자. 자세한 내용은 CA EEM에서 APM 사용자 만들기 및 삭제 참조

        참고: CA EEM에서는 빈 암호를 지원하지 않으므로 CA EEM에서 사용자를 만들 때마다 암호를 제공해야 합니다.

      • 리소스 클래스. 자세한 내용은 CA EEM에서 APM 리소스 클래스 만들기 및 삭제 참조
      • 도메인 리소스 권한. 자세한 내용은 CA EEM에서 APM 리소스 클래스 만들기 및 삭제 참조
      • 서버 리소스 권한. 자세한 내용은 CA EEM APM 서버 리소스 액세스 정책 만들기 및 삭제 참조
   2. 선택 사항: eem.register.app.xml 파일을 기본 CA EEM 구성 스크립트로 사용하지 않는 경우 CA EEM 인터페이스를 사용하여 다음 조건을 충족하도록 CA EEM 서버를 구성해야 합니다.
   • 두 리소스 클래스인 도메인 리소스 클래스 및 서버 리소스 클래스를 만듭니다.

     리소스 클래스에는 Introscope에서 사용할 수 있는 권한과 일치하는 작업 목록이 있어야 합니다. 예를 들어 서버 권한의 경우 Introscope 작업은 shutdown, publish_mib 및 full입니다. 자세한 내용은 CA EEM APM 도메인 리소스 액세스 정책 만들기 및 삭제와 CA EEM APM 서버 리소스 액세스 정책 만들기 및 삭제를 참조하십시오.

   • 정책 집합을 만듭니다. 정책은 리소스 클래스, 하나 이상의 작업, 하나 이상의 ID 및 0개 이상의 리소스를 정의합니다.
     • 리소스는 특정 리소스(예: SuperDomain)의 이름입니다. 지정된 리소스가 없으면 정책이 해당 리소스 클래스의 모든 인스턴스에 적용됩니다. 서버 리소스 클래스의 정책은 단일 항목이므로 리소스를 보유해서는 안 됩니다.
     • ID는 그룹의 이름입니다.
   • 접두어 ug:를 사용하여 응용 프로그램 관련 사용자 그룹을 지정하고, 배포에 따라 글로벌 사용자 그룹을 지정해야 하는 경우에는 접두어 gug:를 사용합니다.
3. <EEM_Server> 디렉터리로 이동합니다. 이는 일반적으로 다음에 위치합니다.

   C:\Program Files\CA\SharedComponents\iTechnology
   

4. 명령 프롬프트에서 다음 명령을 실행하십시오.

   C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f <mySafexScriptname>.xml
   

   예를 들면 다음과 같습니다.

   C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f eem.register.app.xml
   

   스크립트를 실행하여 사용자가 정의한 구성 값을 CA EEM으로 로드합니다.

5. CA EEM에 로그인하고 APM 응용 프로그램, 그룹, 사용자, 리소스 클래스, 도메인 및 서버 리소스뿐 아니라 연결된 권한을 봅니다.
   1. "Configure"(구성) 탭을 클릭하고 APM 응용 프로그램 목록을 확인합니다.
   2. "Manage Identities"(ID 관리) 탭을 클릭하고 APM 그룹과 사용자를 확인합니다.
   3. "Manage Access Policies"(액세스 정책 관리) 탭을 클릭하고 APM 리소스 클래스와 도메인 및 서버 리소스를 확인합니다.