리소스의 보호 방식

고급 인증을 수행하려면 구현에서 SiteMinder 정책 서버를 사용해야 합니다. CA IdentityMinder 서버를 호스트하는 응용 프로그램 서버는 웹 서버와 다른 운영 환경에 있습니다. 전달 서비스를 제공하려면 웹 서버에 다음 사항이 필요합니다.

응용 프로그램 서버 공급업체에서 제공한 플러그 인
사용자 콘솔, 자체 등록 및 잊어버린 암호 기능 같은 CA IdentityMinder 리소스를 보호하기 위한 SiteMinder 에이전트

웹 에이전트는 CA IdentityMinder 리소스를 요청하는 사용자의 액세스를 제어합니다. 사용자가 인증되고 권한이 부여된 후 웹 에이전트는 웹 서버가 요청을 처리할 수 있도록 허용합니다.

웹 서버가 요청을 받으면 응용 프로그램 서버 플러그 인이 CA IdentityMinder 서버를 호스트하는 응용 프로그램 서버에 해당 요청을 전달합니다.

웹 에이전트는 사용자와 관리자에게 노출되는 CA IdentityMinder 리소스를 보호합니다.

SiteMinder 및 CA IdentityMinder 통합 개요

정책 관리자와 ID 관리자가 SiteMinder를 기존 CA IdentityMinder 설치에 통합하기 위해 함께 작업하는 경우 CA IdentityMinder 아키텍처는 다음 구성 요소를 포함하도록 확장됩니다.

SiteMinder 웹 에이전트: CA IdentityMinder 서버를 보호합니다. 웹 에이전트는 CA IdentityMinder 서버가 있는 시스템에 설치됩니다.
SiteMinder 정책 서버: CA IdentityMinder에 대한 고급 인증과 권한 부여를 제공합니다.

다음 그림은 SiteMinder 정책 서버와 웹 에이전트가 있는 CA IdentityMinder 설치의 예입니다.

basic_with_sm2

참고: 구성 요소는 예에서 볼 수 있듯이 서로 다른 플랫폼에 설치됩니다. 하지만 다른 플랫폼을 선택할 수도 있습니다. CA IdentityMinder 데이터베이스는 Microsoft SQL Server에 있고 사용자 저장소는 IBM Directory Server에 있습니다. SiteMinder 정책 저장소는 Windows의 AD LDS에 있습니다.

이 프로세스를 완료하려면 CA IdentityMinder ID 관리자와 SiteMinder 정책 관리자의 두 가지 역할이 필요합니다. 일부 조직에서는 한 사람이 두 역할을 모두 수행합니다. 두 사람이 관련된 경우 이 시나리오에 있는 절차를 완료하려면 긴밀한 공동 작업이 필요합니다. 정책 관리자는 이 프로세스를 시작 및 종료하고 ID 관리자는 중간의 모든 단계를 수행합니다.

중요! 릴리스 12.5 SP7로 시작하는 CA IdentityMinder 설치의 경우 Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files(JCE 라이브러리)가 필요합니다. Oracle 웹 사이트에서 이러한 라이브러리를 다운로드하고 <Java_path>\<jdk_version>\jre\lib\security\ 폴더로 로드하십시오.

다음 다이어그램에서는 SiteMinder를 CA IdentityMinder에 통합하는 전체 프로세스를 보여 줍니다.

InterScratch

다음 단계를 수행하십시오.

CA IdentityMinder에 대해 SiteMinder 정책 저장소 구성

정책 관리자는 CA IdentityMinder 관리 도구를 통해 SQL 스크립트나 LDAP 스키마 텍스트에 액세스하여 IMS 스키마를 정책 저장소에 추가합니다. ID 관리자는 Admin Tools 폴더에 이러한 도구를 설치합니다. 정책 저장소를 구성하려면 다음 절차 중 하나를 따르십시오.

관계형 데이터베이스 구성

Sun Java Systems Directory Server 또는 IBM Directory Server 구성

Microsoft Active Directory 구성

Microsoft ADAM 구성

CA Directory Server 구성

Novell eDirectory Server 구성

OID(Oracle Internet Directory) 구성

관계형 데이터베이스 구성

구성 후 관계형 데이터베이스를 SiteMinder 정책 저장소로 사용할 수 있습니다.

다음 단계를 수행하십시오.

데이터베이스를 지원되는 SiteMinder 정책 저장소로 구성합니다.
참고: 구성 지침은 SiteMinder Policy Server Installation Guide(SiteMinder 정책 서버 설치 안내서)를 참조하십시오.
사용 중인 데이터베이스에 적절한 다음 스크립트를 실행합니다.
- SQL: C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
- Oracle: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql
앞의 경로는 기본 설치 위치입니다. 사용 중인 설치 위치가 다를 수 있습니다.

Sun Java Systems Directory Server 또는 IBM Directory Server 구성

Java 또는 IBM Directory Server를 구성하려면 적절한 스키마 파일을 적용합니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.
디렉터리에 적절한 LDIF 스키마 파일을 추가합니다. Windows에서 LDIF 파일의 기본 위치는 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas입니다.
사용 중인 디렉터리에 적절한 다음 스키마 파일을 추가합니다.
- IBM Directory Server:
  IBMDirectoryServer\V3.identityminder8
- Sun Java Systems Directory Server(iPlanet):
  SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Microsoft Active Directory 구성

Microsoft Active Directory 정책 저장소를 구성하려면 activedirectory_ims8.ldif 스크립트를 적용합니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.
다음과 같이 activedirectory_ims8.ldif 스키마 파일을 수정합니다.
1. 텍스트 편집기에서 activedirectory_ims8.ldif 파일을 엽니다. Windows에서 기본 위치는 다음과 같습니다.
  C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory
2. 모든 {root} 인스턴스를 디렉터리에 대한 루트 조직으로 바꿉니다.
  루트 조직은 정책 서버 관리 콘솔에서 정책 저장소를 구성할 때 지정한 루트 조직과 일치해야 합니다.
  
  예를 들어 루트가 dc=myorg,dc=com인 경우
  dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root}를 dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com으로 바꿉니다.
3. 파일을 저장합니다.
사용 중인 디렉터리에 대한 설명서에 설명된 대로 스키마 파일을 추가합니다.

Microsoft ADAM 구성

Microsoft ADAM 정책 저장소를 구성하려면 adam_ims8.ldif 스크립트를 적용합니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.

CN 값(guid)을 기록해 둡니다.
다음과 같이 adam_ims8.ldif 스키마 파일을 수정합니다.
1. 텍스트 편집기에서 adam_ims8.ldif\.ldif 파일을 엽니다. Windows에서 기본 위치는 다음과 같습니다.
  C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory
2. 모든 cn={guid} 참조를 이 절차의 1 단계에서 SiteMinder 정책 저장소를 구성할 때 찾은 문자열로 바꿉니다.
  예를 들어 guid 문자열이 CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}인 경우 모든 cn={guid} 참조를 CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}로 바꿉니다.
3. 파일을 저장합니다.
사용 중인 디렉터리에 대한 설명서에 설명된 대로 스키마 파일을 추가합니다.

CA Directory Server 구성

CA Directory Server를 구성하려면 사용자 지정 스키마 파일을 만듭니다. 다음 단계에서 dxserver_home은 CA Directory가 설치된 디렉터리입니다. Windows에서 이 파일의 기본 원본 위치는 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory입니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.
etrust_ims8.dxc를 dxserver_home\config\schema에 복사합니다.
다음과 같이 사용자 지정 스키마 구성 파일을 만듭니다.
1. dxserver_home\config\schema\default.dxg를 dxserver_home\config\schema\company_name-schema.dxg에 복사합니다.
2. 다음 줄을 파일의 맨 아래에 추가하여 dxserver_home\config\schema\company_name-schema.dxg 파일을 편집합니다.
```
# Identity Manager Schema
source "etrust_ims8.dxc";
```
etrust_ims_schema.txt의 내용을 파일의 끝에 추가하여 dxserver_home\bin\schema.txt 파일을 편집합니다. Windows에서 이 파일의 기본 원본 위치는 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory입니다.
다음과 같이 사용자 지정 제한 구성 파일을 만듭니다.
1. dxserver_home\config\limits\default.dxc를 dxserver_home\config\limits\company_name-limits.dxc에 복사합니다.
2. 다음과 같이 dxserver_home\config\limits\company_name-limits.dxc 파일에서 기본 크기 제한을 5000으로 늘립니다.
```
set max-op-size=5000
```
  참고: CA Directory를 업그레이드하면 limits.dxc 파일을 덮어씁니다. 따라서 업그레이드가 완료된 후 max-op-size를 5000으로 다시 설정해야 합니다.
다음과 같이 dxserver_home\config\servers\dsa_name.dxi를 편집합니다.
```
# schema
source "company_name-schema.dxg";

#service limits
source "company_name-limits.dxc";
```
여기서 dsa_name은 사용자 지정된 구성 파일을 사용하는 DSA의 이름입니다.
dxsyntax 유틸리티를 실행합니다.
다음과 같이 DSA를 중지했다가 dsa 사용자로 다시 시작하여 스키마 변경 내용을 적용합니다.
```
dxserver stop dsa_name
dxserver start dsa_name
```

Novell eDirectory Server 구성

Novell eDirectory Server 정책 저장소를 구성하려면 novell_ims8.ldif 스크립트를 적용합니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.

정책 서버가 설치된 시스템의 명령 창에 다음 정보를 입력하여 Novell eDirectory Server에 대한 NCPServer의 DN(고유 이름)을 찾습니다.

ldapsearch -h hostname -p port -b container -s sub 
-D admin_login -w password objectClass=ncpServer dn

예:

ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn

novell_ims8.ldif 파일을 엽니다.
모든 NCPServer 변수를 2 단계에서 찾은 값으로 바꿉니다.
Windows에서 novell_ims8.ldif의 기본 위치는 다음과 같습니다.

C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

예를 들어 DN 값이 cn=servername,o=servercontainer인 경우 모든 NCPServer 인스턴스를 cn=servername,o=servercontainer로 바꿉니다.
novell_ims8.ldif 파일로 eDirectory Server를 업데이트합니다.
지침은 Novell eDirectory 설명서를 참조하십시오.

OID(Oracle Internet Directory) 구성

Oracle Internet Directory를 구성하려면 oracleoid ldif 파일을 업데이트합니다.

다음 단계를 수행하십시오.

지원되는 SiteMinder 정책 저장소로 디렉터리를 구성합니다.
참고: 구성 지침은 CA SiteMinder 정책 서버 설치 안내서를 참조하십시오.
oracleoid_ims8.ldif 파일로 Oracle Internet Directory Server를 업데이트합니다. Window에서 이 파일의 기본 설치 위치는 다음과 같습니다.
install_path\policystore-schemas\OracleOID\

지침은 Oracle Internet Directory 설명서를 참조하십시오.

정책 저장소 확인

정책 저장소를 확인하려면 다음 사항을 확인하십시오.

정책 서버 로그가 다음 코드로 시작하는 경고 섹션을 포함하지 않습니다.
```
*** IMS NO SCHEMA BEGIN
```
이 경고는 SiteMinder 정책 서버에 대한 확장을 설치했지만 정책 저장소 스키마를 확장하지 않은 경우에만 나타납니다.
CA IdentityMinder 개체는 정책 저장소 데이터베이스나 디렉터리에 있습니다. CA IdentityMinder 개체는 ims 접두어로 시작합니다.