SeouliteLab
LTPA(Lightweight Third Party Authentication) 본문
LTPA(Lightweight Third Party Authentication)
LTPA(Lightweight Third Party Authentication)는 분산 다중 Application Server 및 시스템 환경을 위한 것입니다. 이것은 전달 가능한 신임 및 SSO(single signon)를 지원합니다. LTPA는 암호화를 통해 분산 환경에서 보안을 지원할 수 있습니다. 이것으로 LTPA는 인증 관련 데이터를 암호화하고 디지털 서명하여 안전하게 전송한 후 암호를 해독하여 서명을 검증할 수 있습니다.
LTDA(Lightweight Third Party Authentication) 프로토콜을 사용하여 WebSphere Application Server는 암호화를 사용하는 분산 환경에 보안을 제공합니다. 다중 노드와 셀로 분배된 Application Server는 이 프로토콜을 사용하여 보안 통신을 수행합니다. 또한 이 서버는 SSO(Single SignOn) 기능을 제공하여 사용자가 DNS(Domain Name System) 도메인에서 한 번만 인증하게 하며 프롬프트하지 않고 기타 WebSphere Application Server 셀의 자원에 액세스할 수 있도록 합니다. SSO 도메인에 있는 각 시스템의 범주 이름은 대소문자를 구분하므로 완전히 일치해야 합니다.
Windows 플랫폼의 로컬 OS의 경우 범주 이름은 도메인 이름이고, 도메인이 사용 중이면 시스템 이름입니다.
UNIX 플랫폼에서 범주 이름은 호스트 이름과 동일합니다.
LDAP(Lightweight Directory Access Protocol)의 경우 범주 이름은 LDAP 서버의 host:port입니다.
LTPA 프로토콜은 암호화 키(LTPA 키)를 사용하여 서버 사이에 전달되는 사용자 데이터를 암호화하고 암호 해독합니다. 이러한 키는 한 셀에 있는 자원이 다른 셀에 있는 자원에 액세스할 수 있도록 다른 셀 사이에서 공유되어야 합니다(모든 관련 셀이 동일한 LDAP 또는 사용자 정의 레지스트리를 사용한다고 가정할 경우).
LTPA를 사용할 경우, 토큰은 사용자 정보 및 만기 시간으로 작성되며 키에 의해 서명됩니다. LTPA 토큰은 시간에 민감합니다. 보호 도메인에 참여하는 모든 제품 서버는 시간, 날짜 및 시간대를 동기화해야 합니다. 그렇게 하지 않으면, LTPA 토큰이 보다 일찍 만기된 것으로 표시되어 인증 또는 유효성 검증 장애를 일으킵니다.
이 토큰은 동일한 셀 또는 다른 셀에 있는 다른 서버에 쿠키(SSO가 사용 가능할 경우의 웹 자원용) 또는 인증 레이어(Enterprise Beans용 SAS(Security Authentication Service) 또는 CSIv2(Common Secure Interoperability Version 2)를 통해 전달됩니다.
이 토큰은 동일한 셀 또는 다른 셀에 있는 다른 서버에 쿠키(SSO가 사용 가능할 경우의 웹 자원용)를 통해 전달됩니다.
수신 서버가 발신 서버와 동일한 키를 공유할 경우, 토큰은 유효성 검증할 사용자 정보를 얻기 위해 암호 해독되어 토큰이 만기되지 않고 토큰의 사용자 정보가 레지스트리에서 올바른지 확인할 수 있습니다. 유효성 검증이 성공적으로 끝나면 수신 서버의 자원은 권한 확인 후에 액세스될 수 있습니다.
셀의 모든 WebSphere Application Server 프로세스(셀, 노드, Application Server)는 동일한 키 세트를 공유합니다. 다른 셀 간에 키 공유가 필요할 경우, 하나의 셀에서 내보내기를 하여 다른 셀로 가져오기를 하십시오. 보안 목적으로 내보내진 키는 사용자 정의된 암호로 암호화됩니다. 키를 다른 셀로 가져올 경우에는 동일한 암호가 필요합니다.
WebSphere Application Server, Network Deployment는 LTPA 및 ICSF(Integrated Cryptographic Services Facility) 프로토콜을 모두 지원합니다.
WebSphere Application Server의 기본 버전에서는 LTPA, ICSF 및 SWAM(Simple WebSphere Authentication Mechanism) 프로토콜이 지원됩니다.
LTPA를 사용하여 처음으로 보안을 사용할 경우, LTPA 구성은 일반적으로 처음 수행해야 할 단계입니다.
LTPA에서는 시스템에 상관없이 사용자와 그룹이 동일하려면 구성된 사용자 레지스트리가 중앙 공유 저장소(예: LDAP 또는 Windows 도메인 유형 레지스트리)여야 합니다.
다음 표에서는 인증 메커니즘 성능 및 LTPA가 작동할 수 있는 사용자 레지스트리를 요약합니다.
| 전달 가능한 신임 | SSO | LocalOS 사용자 레지스트리 | LDAP 사용자 레지스트리 | 사용자 정의 사용자 레지스트리 | |
|---|---|---|---|---|---|
| SWAM | 아니오 | 아니오 | 예 | 예 | 예 |
| LTPA | 예 | 예 | 예 | 예 | 예 |
| ICSF | 예 | 예 | 예 | 예 | 예 |
'프로그래밍' 카테고리의 다른 글
| 스프링 컨테이너와 IOC 개념 (0) | 2016.01.20 |
|---|---|
| AOP(Aspect Oriented Programming) 와 OOP(Object Oriented Programming) 뜻 (0) | 2016.01.20 |
| 스프링 프레임워크(Spring Framework)와 Ajax 에 대한 사이트 (0) | 2016.01.20 |
| VPN(Virtual private network) 이란? (0) | 2016.01.07 |
| MySql schema(스키마)와 database(데이터베이스)의 차이점 (0) | 2015.12.30 |