Sun OpenSSO Enterprise 80 - Oracle · 2011-02-02 · SunOpenSSOEnterprise8.0 릴리스노트...

Sun OpenSSO Enterprise 8.0릴리스노트

Sun Microsystems, Inc.4150 Network CircleSanta Clara, CA 95054U.S.A.

부품번호: 820–70892008년 11월 14일

Copyright 2008 Sun Microsystems, Inc. 4150 Network Circle, Santa Clara, CA 95054 U.S.A. 모든권리는저작권자의소유입니다.

Sun Microsystems, Inc.는본설명서에서사용하는기술과관련한지적재산권을보유합니다.특히이지적재산권에는하나이상의미국특허및추가특허또는미국및기타국가에서특허출원중인응용프로그램이포함될수있습니다.

U.S.정부권한 –상용소프트웨어.정부사용자는 Sun Microsystems, Inc.표준사용권계약과 FAR의해당규정및추가사항의적용을받습니다.

본배포판에는타사에서개발한자료가포함되어있을수있습니다.

본제품의일부는 Berkeley BSD시스템일수있으며University of California로부터라이센스를취득했습니다. UNIX는X/Open Company, Ltd.를통해독점라이센스를취득한미국및기타국가의등록상표입니다.

Sun, Sun Microsystems, Sun로고, Solaris로고, Java Coffee Cup로고, docs.sun.com, Java및 Solaris는미국및다른국가에서 Sun Microsystems, Inc.의상표또는등록상표입니다.모든 SPARC상표는라이센스하에사용되며미국및다른국가에서 SPARC International, Inc.의상표또는등록상표입니다. SPARC상표가부착된제품은 Sun Microsystems, Inc.가개발한아키텍처를기반으로합니다.

OPEN LOOK및 Sun Graphical User Interface는 Sun Microsystems, Inc.가해당사용자및라이센스소유자를위해개발했습니다. Sun은컴퓨터업계에서시각적또는그래픽사용자인터페이스개념을연구하고개발하는데있어Xerox의선구자적업적을인정합니다. Sun은Xerox Graphical User Interface에대한Xerox의비독점라이센스를보유하고있으며이라이센스는OPEN LOOK GUI를구현하거나그외의경우 Sun의서면라이센스계약을준수하는Sun의라이센스소유자에게도적용됩니다.

이출판물에서다루는제품과수록된정보는미국수출관리법에의해규제되며다른국가의수출또는수입관리법의적용을받을수도있습니다.이제품과정보를직간접적으로핵무기,미사일또는생화학무기에사용하거나핵과관련하여해상에서사용하는것은엄격하게금지됩니다.미국수출금지국가또는금지된개인과특별히지정된국민목록을포함하여미국수출금지목록에지정된대상으로의수출이나재수출은엄격하게금지됩니다.

본설명서는 “있는그대로”제공되며상업성,특정목적에대한적합성또는비침해에대한모든묵시적인보증을포함하여모든명시적또는묵시적조건,표현및보증에대해어떠한책임도지지않습니다.이러한보증부인은법적으로허용된범위내에서만적용됩니다.

081201@21288

목차

Sun OpenSSO Enterprise 8.0릴리스노트 ........................................................................................ 5OpenSSO Enterprise 8.0시작하기 ......................................................................................................6

OpenSSO Enterprise 8.0설명서 ...................................................................................................6OpenSSO Enterprise 8.0의새로운기능 ............................................................................................7Sun Inventory에서서비스태그사용 ................................................................................................9OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항 ............................................... 10

OpenSSO Enterprise 8.0에서지원되는플랫폼 ..................................................................... 10OpenSSO Enterprise 8.0에서지원되는웹컨테이너 ........................................................... 11OpenSSO Enterprise 8.0의 JDK요구사항 .............................................................................. 13OpenSSO Enterprise 8.0의데이터저장소요구사항 .......................................................... 13OpenSSO Enterprise 8.0의세션페일오버요구사항 .......................................................... 14OpenSSO Enterprise 8.0에서지원되는정책에이전트 ....................................................... 14OpenSSO Enterprise 8.0의하드웨어요구사항 .................................................................... 15OpenSSO Enterprise 8.0에서지원되는웹브라우저 ........................................................... 16

OpenSSO Enterprise 8.0의문제점 ................................................................................................... 16웹컨테이너및서버문제 ......................................................................................................... 17데이터저장소문제 ................................................................................................................... 20인증문제 ...................................................................................................................................... 21정책문제 ...................................................................................................................................... 22세션문제 ...................................................................................................................................... 23명령줄유틸리티문제 ............................................................................................................... 24클라이언트 SDK문제 ............................................................................................................... 25연합및 SAML문제 .................................................................................................................... 26웹서비스보안(WSS)문제 ....................................................................................................... 28업그레이드,호환성및공존문제 ........................................................................................... 28국제화문제 ................................................................................................................................. 30현지화문제 ................................................................................................................................. 31

OpenSSO Enterprise 8.0으로업그레이드 ...................................................................................... 32

3

사용중단알림및공지 ..................................................................................................................... 33문제보고및의견보내는방법 ....................................................................................................... 33

Sun은여러분의의견을환영합니다. ..................................................................................... 34추가 Sun자료 ...................................................................................................................................... 34내게필요한옵션기능 .............................................................................................................. 34타사웹사이트 ............................................................................................................................ 34

개정내역 ............................................................................................................................................. 35

목차

Sun OpenSSO Enterprise 8.0릴리스노트 • 2008년 11월 14일4

Sun OpenSSO Enterprise 8.0릴리스노트

최종개정일: 2008년 11월 14일

SunTM OpenSSO Enterprise 8.0은OpenSSO프로젝트(http://opensso.org/)에속하며OpenSSO서버의 Sun상용버전입니다.

이릴리스노트의내용은 Sun OpenSSO Express에도적용됩니다. OpenSSO Enterprise및OpenSSO Express는근본적으로동일한제품이지만다음과같은차이점이있습니다.

■ OpenSSO Enterprise는약 1년마다릴리스되고 Sun QA Engineering에서광범위한자동및수동테스트를거치며정기적으로패치와핫픽스가제공됩니다.

■ OpenSSO Express는약 3개월마다릴리스되며 Sun QA Engineering에서광범위한자동및수동테스트를거치지만패치와핫픽스는제공되지않습니다.자세한내용은OpenSSO ExpressFAQ(https://opensso.dev.java.net/public/about/faqcenter/SupportFAQ.html)를참조하십시오.

주 – WebLogic Server를웹컨테이너로사용하여OpenSSO Enterprise서버를배포하는경우 17페이지 “4077: WebLogic Server에서OpenSSO Enterprise를구성하려면새ldapjdk.jar이있어야함”을참조하십시오.

목차

■ 6페이지 “OpenSSO Enterprise 8.0시작하기”■ 7페이지 “OpenSSO Enterprise 8.0의새로운기능”■ 9페이지 “Sun Inventory에서서비스태그사용”■ 10페이지 “OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항”■ 16페이지 “OpenSSO Enterprise 8.0의문제점”■ 32페이지 “OpenSSO Enterprise 8.0으로업그레이드”■ 33페이지 “사용중단알림및공지”■ 33페이지 “문제보고및의견보내는방법”■ 34페이지 “추가 Sun자료”

5

http://opensso.org/

https://opensso.dev.java.net/public/about/faqcenter/SupportFAQ.html

■ 35페이지 “개정내역”

OpenSSO Enterprise 8.0시작하기이전에OpenSSO Enterprise를설치한적이없는경우다음과같은기본단계에따라설치할수있습니다.

1. 필요에따라 11페이지 “OpenSSO Enterprise 8.0에서지원되는웹컨테이너”중하나를설치,구성및시작합니다.

2. 다음사이트중하나에서 opensso_enterprise_80.zip파일을다운로드하여설치합니다.■ OpenSSO프로젝트: https://opensso.dev.java.net/public/use/index.html■ Sun: http://www.sun.com/software/products/opensso_enterprise

3. 웹컨테이너관리콘솔또는배포명령을사용하여 opensso.war파일을웹컨테이너에배포합니다.또는웹컨테이너에서지원하는경우WAR파일을컨테이너의자동배포디렉토리에복사합니다.

4. GUI구성자또는명령줄구성자를사용하여OpenSSO Enterprise를구성합니다.GUI구성자를시작하려면브라우저에URL을 protocol:// host.domain:port/deploy_uri형식으로입력합니다.예를들어 http://openssohost.example.com:8080/opensso와같이입력합니다.OpenSSO Enterprise가공존모드에서Access Manager 7.1스키마(DIT)에액세스하는경우 29페이지 “3961:공존모드에서 amadmin이OpenSSO콘솔에로그인할수없음”을참조하십시오.

5. 관리콘솔또는새로운 ssoadm명령줄유틸리티를사용하여추가구성을수행합니다.6. 버전 3.0정책에이전트를다운로드하려면

https://opensso.dev.java.net/public/use/index.html을참조하십시오.

OpenSSO Enterprise 8.0설명서OpenSSO Enterprise 8.0설명서는다음사이트에서찾을수있습니다.

http://docs.sun.com/coll/1767.1

최신설명서가있는지이사이트를주기적으로확인하십시오.

OpenSSO Enterprise 8.0시작하기


https://opensso.dev.java.net/public/use/index.html

http://www.sun.com/software/products/opensso_enterprise

https://opensso.dev.java.net/public/use/index.html


OpenSSO Enterprise 8.0의새로운기능OpenSSO Enterprise 8.0에는 Sun Java System Access Manager및 Sun Java System FederationManager의이전릴리스에있는액세스관리,연합관리및웹서비스보안등과같은기능이포함되어있습니다.또한OpenSSO Enterprise에는이절에서설명하는새로운기능도포함되어있습니다.

버전 3.0정책에이전트의새로운기능에대해서는다음설명서중하나를참조하십시오.■ Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents또는

■ Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents■ 간단한설치및구성

■ OpenSSO Enterprise를설치하려면해당웹컨테이너관리콘솔또는명령줄유틸리티를사용하여 opensso.war파일을배포하십시오.배포URI(/opensso)를사용하여서버에처음액세스하는경우에는관리자비밀번호와구성및사용자데이터저장소를지정하는등의초기구성작업을수행할수있는구성자로전환됩니다.

■ opensso.war파일을사용하여분산인증UI서버용,콘솔전용,서버전용및Identity공급자(IDP)검색서비스배포용으로사용할WAR파일을만들어배포할수도있습니다.

■ 중앙집중화된서버및에이전트구성데이터

■ OpenSSO Enterprise및버전 3.0정책에이전트구성데이터는중앙집중화된구성데이터저장소에저장됩니다. OpenSSO Enterprise관리콘솔또는새 ssoadm

명령줄유틸리티를사용하여구성값을지정할수없으며,더이상AMConfig.properties또는 AMAgent.properties의등록정보를설정할필요도없습니다.

■ 또한많은구성등록정보가 "핫스왑가능"하므로등록정보를수정한후웹컨테이너를다시시작하지않아도됩니다.

■ Embedded데이터저장소옵션을사용하면 Sun Java System Directory Server를설치하지않고도OpenSSO Enterprise및버전 3.0정책에이전트구성데이터를저장할수있습니다.

■ GUI구성자와더불어명령줄구성자가OpenSSO Enterprise서버의초기구성을수행합니다.

■ OpenSSO Enterprise관리콘솔의일반작업■ SAMLv2공급자만들기. SAMLv2호스트나원격 Identity공급자(IDP)또는서비스공급자(SP)를간편하게만들수있습니다.

■ Fedlet만들기. Fedlet은 SAMLv2 SSO프로토콜의경량형서비스공급자(SP)구현입니다. Fedlet을사용하면 Identity공급자(IDP)가연합이구현되지않은 SP를사용할수있습니다. SP는단순히 Fedlet을 Java웹응용프로그램에추가한다음해당응용프로그램을배포합니다.

OpenSSO Enterprise 8.0의새로운기능

Sun OpenSSO Enterprise 8.0릴리스노트 7

http://docs.sun.com/doc/820-4803


■ 연합연결성테스트.새로운연합배포또는기존연합배포를테스트하거나문제해결을수행하여성공적으로연결되었는지확인하고문제의원인을파악할수있습니다.

■ 11페이지 “OpenSSO Enterprise 8.0에서지원되는웹컨테이너”에나와있는대로새로운웹컨테이너가추가되었습니다.

■ JSR 196 SPI기반공급자를사용하는 Sun Java System Application Server 9.1및Glassfish에단순웹서비스보안(WSS)에이전트를배포할수있습니다.

■ WS-Federation은 Identity Federation사양을지원하며, OpenSSO Enterprise는특히WS-Federation Passive Requestor Profile을지원합니다.

■ XACML버전 2.0에대한지원,특히XACML v2.0의 SAML 2.0프로필에지정된대로XACMLAuthzDecisionQuery및 XACMLAuthzDecisionStatement가추가되었습니다.

■ 보안인증과속성교환을사용하면응용프로그램이보안전송을통해 IDP와 SP응용프로그램간에사용자인증및속성정보를제공할수있습니다.

■ 여러연합프로토콜허브를사용하면OpenSSO Enterprise IDP가서로다른연합프로토콜(예: SAMLv2, ID-FF및WS-Federation)간에단일로그아웃을수행하는연합허브역할을할수있습니다.

■ SAMLv2프로필지원에는 IDP프록시,제휴, NameID매핑, ECP,인증쿼리및속성쿼리가포함됩니다.

■ 보안토큰서비스(STS)는 11페이지 “OpenSSO Enterprise 8.0에서지원되는웹컨테이너”에서사용가능합니다.

■ SAMLv2명제페일오버가지원됩니다.■ 새명령줄유틸리티(ssoadm)를사용하면OpenSSO Enterprise서버와버전 3.0정책에이전트를둘다구성할수있습니다.

■ Sun Identity Manager, SiteMinder및Oracle Access Manager와의통합기능이추가되었습니다.

■ 서비스태그가지원됩니다. 9페이지 “Sun Inventory에서서비스태그사용”을참조하십시오.

■ 분산인증UI서버에는OpenSSO Enterprise서버를지정하고분산인증UI서버사용자및비밀번호를제공하는등의초기구성작업을수행할수있게해주는구성자가포함되어있습니다.또한분산인증UI서버는도메인간단일사인온(SSO)에대한지원도제공합니다.

■ 국제화및현지화변경사항은다음과같습니다.■ OpenSSO Enterprise에는영어,한국어,프랑스어,스페인어,독일어,일본어,중국어간체및중국어번체에대한지원이포함되어있습니다.

■ 현지화된파일은별도의현지화된패키지에들어있는Access Manager 7 2005Q4및Access Manager 7.1과달리기본적으로 opensso.war파일에번들로포함되어있습니다.

■ Unix, SecurID및 SafeWord인증모듈을OpenSSO Enterprise및 Express릴리스에서사용할수있습니다. SecurID는이제 Java기반인증모듈입니다.

OpenSSO Enterprise 8.0의새로운기능


■ 업그레이드는다음과같이지원됩니다.■ Access Manager 6.3, 7.0또는 7.1및 Federation Manager 7.0에서OpenSSO Enterprise

8.0으로업그레이드■ 정책에이전트버전 2.2에서버전 3.0으로업그레이드

Sun Inventory에서서비스태그사용OpenSSO 8.0에서는서비스태그를사용할수있으며,서비스태그는 Sun Inventory를사용하여OpenSSO제품(기타하드웨어및소프트웨어제품포함)을추적하고체계적으로관리할수있게해줍니다.서비스태그를사용하려면먼저제품을등록해야합니다. OpenSSO Enterprise, OpenSSO Express또는테스트빌드도등록할수있습니다.

등록하려면 Sun온라인계정(SOA)또는 Sun개발자네트워크(SDN)계정이있어야합니다.계정이없으면제품등록프로세스를진행하는동안얻을수있습니다.

OpenSSO제품을등록하고서비스태그를사용하려면다음단계를따르십시오.

1. OpenSSO관리콘솔에 amadmin으로로그인합니다.2. 콘솔의일반작업에서이제품등록을누릅니다.3. SOA또는 SDN계정이없는경우에는새계정에필요한정보를입력합니다.4. 등록을누릅니다.

서비스태그등록파일이 config-directory/deployuri/lib/registration디렉토리에저장됩니다.예를들어 opensso-config/opensso/lib/registration과같습니다.

자세한내용은다음을참조하십시오.

■ Sun Inventory: https://inventory.sun.com/inventory/■ 서비스태그 FAQ: http://servicetags.central/faq.html

사용자플랫폼에서서비스태그가지원되는지또는특정OpenSSO서버가이미등록되어있는지확인하려면이사이트를참조하십시오.

Sun Inventory에서서비스태그사용


https://inventory.sun.com/inventory/

http://servicetags.central/faq.html

OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항

주 –이절에서설명하는OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항은Sun Microsystems의완벽한지원을통해배포할수있는환경을제시한것입니다.이러한요구사항에부합하지않는환경에서는지원이제공되지않습니다.

Sun Microsystems는문서화된OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항을준수하지않은환경에대해서는어떠한책임도지지않습니다.설치및배포프로세스를시작하기전에 Sun Professional Services에문의하는것이좋습니다.문의시에는사용자가추가비용을부담해야할수있습니다.

■ 10페이지 “OpenSSO Enterprise 8.0에서지원되는플랫폼”■ 11페이지 “OpenSSO Enterprise 8.0에서지원되는웹컨테이너”■ 13페이지 “OpenSSO Enterprise 8.0의 JDK요구사항”■ 13페이지 “OpenSSO Enterprise 8.0의데이터저장소요구사항”■ 14페이지 “OpenSSO Enterprise 8.0의세션페일오버요구사항”■ 14페이지 “OpenSSO Enterprise 8.0에서지원되는정책에이전트”■ 15페이지 “OpenSSO Enterprise 8.0의하드웨어요구사항”■ 16페이지 “OpenSSO Enterprise 8.0에서지원되는웹브라우저”

OpenSSO Enterprise 8.0에서지원되는플랫폼

표 1 OpenSSO Enterprise 8.0에서지원되는플랫폼

플랫폼 지원되는웹컨테이너

Solaris 10 OS(SPARC, x86및 x64기반시스템)

Solaris 9 OS(SPARC및 x86시스템)

Tomcat만사용하는Geronimo Application Server2.1.1을제외한 11페이지 “OpenSSO Enterprise8.0에서지원되는웹컨테이너”의모든컨테이너

OpenSolaris Glassfish Application Server V2 UR1및UR2

Apache Tomcat 6.0.18

Red Hat Enterprise Linux 5(Base및AdvancedPlatform, AMD서버의경우 64비트)

Red Hat Enterprise Linux 4서버(Base및AdvancedPlatform, AMD서버의경우 64비트)

Geronimo를제외한 11페이지 “OpenSSOEnterprise 8.0에서지원되는웹컨테이너”의모든컨테이너

Ubuntu 8.0.4 Glassfish Application Server V2 UR1및UR2




표 1 OpenSSO Enterprise 8.0에서지원되는플랫폼 (계속)플랫폼 지원되는웹컨테이너

Windows Server 2003 Standard Edition

Windows Server 2003 Enterprise Edition

Windows Server 2003 Datacenter Edition

Geronimo를제외한 11페이지 “OpenSSOEnterprise 8.0에서지원되는웹컨테이너”의모든컨테이너

Windows Server 2003 R2(64비트서버) 11페이지 “OpenSSO Enterprise 8.0에서지원되는웹컨테이너”의모든컨테이너

Windows XP

Windows Vista

Oracle Server, JBoss Application Server및Geronimo를제외한 11페이지 “OpenSSOEnterprise 8.0에서지원되는웹컨테이너”의모든컨테이너

Windows 2008 Server Glassfish Application Server V2 UR1및UR2


IBM AIX 5.3 IBM WebSphere Application Server 6.1

참고:■ OpenSSO Enterprise는이러한기본릴리스에대한패치와업데이트를지원합니다.예를들어Red

Hat Linux 4.7또는Red Hat Linux 5.2에대한후속패치와업데이트가지원됩니다.

■ 지원되는OpenSSO Enterprise웹컨테이너를동일한시스템의 32비트및 64비트모드에서도지원하는경우OpenSSO Enterprise는해당운영체제의 32비트및 64비트버전을지원합니다.

OpenSSO Enterprise 8.0에서지원되는웹컨테이너

표 2 OpenSSO Enterprise 8.0에서지원되는웹컨테이너

웹컨테이너 고려사항

Sun Java System Application Server 9.1업데이트 1및업데이트 2

다운로드:http://www.sun.com/download/index.jsp

Glassfish Application Server V2 UR1및UR2 Glassfish사이트:https://glassfish.dev.java.net/

Glassfish다운로드위치:

Glassfish V2 UR1:https://glassfish.dev.java.net/

downloads/v2ur1-b09d.html

Glassfish V2 UR2:https://glassfish.dev.java.net/

downloads/v2ur2-b04.html



http://www.sun.com/download/index.jsp

https://glassfish.dev.java.net/

https://glassfish.dev.java.net/downloads/v2ur1-b09d.html

https://glassfish.dev.java.net/downloads/v2ur1-b09d.html

https://glassfish.dev.java.net/downloads/v2ur2-b04.html

https://glassfish.dev.java.net/downloads/v2ur2-b04.html

표 2 OpenSSO Enterprise 8.0에서지원되는웹컨테이너 (계속)웹컨테이너 고려사항

Sun Java System Web Server 7.0업데이트 3(32비트및 64비트)

다운로드:http://www.sun.com/download/index.jsp

업데이트 3만해당.업데이트 1과 2는지원되지않습니다.

Apache Tomcat 5.5.27및 6.0.18이상 http://tomcat.apache.org/참조

BEA WebLogic Server 9.2 MP2 http://www.oracle.com/appserver/index.html

참조

BEA WebLogic Server 10 http://www.oracle.com/appserver/index.html

참조

다음사이트에나와있는운영체제에서지원됨:

http://e-docs.bea.com/

platform/suppconfigs/configs100/100_over/overview.html#1122259

Oracle Application Server 10g http://www.oracle.com/

technology/products/database/oracle10g참조

버전 10.1.3.1지원됨

IBM WebSphere Application Server 6.1 http://www-01.ibm.com/

software/webservers/appserv/was/지원

Apache Geronimo Application Server 2.1.1 http://geronimo.apache.org/참조

Solaris시스템의Tomcat에서만지원됨

JBoss Application Server 4.x http://www.jboss.com/참조

각웹컨테이너에대해고려할사항과배포전작업에대한자세한내용은 Sun OpenSSOEnterprise 8.0 Installation and Configuration Guide의 2장, “Deploying the OpenSSOEnterprise Web Container”를참조하십시오.



http://www.sun.com/download/index.jsp

http://tomcat.apache.org/

http://www.oracle.com/appserver/index.html

http://www.oracle.com/appserver/index.html

http://e-docs.bea.com/platform/suppconfigs/configs100/100_over/overview.html#1122259

http://e-docs.bea.com/platform/suppconfigs/configs100/100_over/overview.html#1122259

http://www.oracle.com/technology/products/database/oracle10g

http://www.oracle.com/technology/products/database/oracle10g

http://www-01.ibm.com/software/webservers/appserv/was/

http://www-01.ibm.com/software/webservers/appserv/was/

http://geronimo.apache.org/

http://www.jboss.com/

http://docs.sun.com/doc/820-3320/ghnnu?a=view



OpenSSO Enterprise 8.0의 JDK요구사항

표 3 OpenSSO Enterprise 8.0의 JDK요구사항

OpenSSO Enterprise 8.0 지원되는 JDK버전

서버 JDK 1.5.x또는 1.6.x

지원되는웹컨테이너의 64비트 JVM

Solaris가상메모리요구사항. Solaris시스템의경우 JVM힙크기보다두배이상큰가상메모리를구성하십시오(특히JVM이 64비트모드에서 4GB가넘는힙크기로구성된경우).이때문에운영체제스왑공간을증가시켜야할수도있습니다.

클라이언트(OpenSSO SDK) JDK 1.4.x, 1.5.x.또는 JDK 1.6.x

OpenSSO Enterprise 8.0의데이터저장소요구사항

표 4 OpenSSO Enterprise 8.0의데이터저장소요구사항

데이터저장소유형 지원되는데이터저장소

구성데이터저장소

(서비스관리데이터저장소라고도함)

■ Sun Java System Directory Server 5.2, 6.0, 6.2및6.3

■ OpenSSO구성데이터저장소

사용자데이터저장소 ■ Sun Java System Directory Server 6.3

■ Windows Server 2003 R2의Microsoft ActiveDirectory 2003

■ IBM Tivoli Directory Server 6.1

■ OpenSSO사용자데이터저장소참고:작업환경배포인경우에는OpenSSO사용자데이터저장소가지원되지않습니다.이데이터저장소는사용자수가적은프로토타입,개념증명(POC)또는개발자배포에서만권장됩니다.

데이터저장소에대한자세한내용은 Sun OpenSSO Enterprise 8.0 Deployment PlanningGuide의 2장, “Building the Deployment Architecture”를참조하십시오.



http://docs.sun.com/doc/820-3746/adqcz?a=view

http://docs.sun.com/doc/820-3746/adqcz?a=view

OpenSSO Enterprise 8.0의세션페일오버요구사항

표 5 OpenSSO Enterprise 8.0의세션페일오버요구사항

구성요소 요구사항

OpenSSO Enterprise 8.0 둘이상의OpenSSO Enterprise인스턴스는서로다른호스트서버에서실행되고로드밸런서뒤의사이트로구성되어야합니다.

로드밸런서에는특정요구사항이없지만일반적으로쿠키기반고정구성을지원하는로드밸런서의성능이더낫습니다.

Sun Java System Message Queue 4.1 Message Queue브로커는서로다른서버에서클러스터모드로실행되어야합니다.

Oracle Berkeley DB 4.6.18 Berkeley DB클라이언트와데이터베이스는같은서버에Message Queue브로커로배포되어야합니다.

OpenSSO Enterprise인스턴스가실행되는서버와같은서버에Message Queue브로커와 Berkeley DB를배포할수있습니다.그러나성능향상을위해서는다른서버에브로커를설치하는것이좋습니다.

자세한내용은 Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide의 7장,“Implementing OpenSSO Enterprise Session Failover”를참조하십시오.

OpenSSO Enterprise 8.0에서지원되는정책에이전트

표 6 OpenSSO Enterprise 8.0에서지원되는정책에이전트

정책에이전트버전 OpenSSO Enterprise지원

버전 3.0정책에이전트 OpenSSO Enterprise는새로운버전 3.0 J2EE및웹정책에이전트를지원하며,여기에는새로운버전 3.0기능이포함됩니다.

사용가능한버전 3.0에이전트를포함한자세한내용은http://docs.sun.com/coll/1322.1을참조하십시오.



http://docs.sun.com/doc/820-3320/gcdup?a=view

http://docs.sun.com/doc/820-3320/gcdup?a=view


표 6 OpenSSO Enterprise 8.0에서지원되는정책에이전트 (계속)정책에이전트버전 OpenSSO Enterprise지원

버전 2.2정책에이전트 OpenSSO Enterprise는버전 2.2 J2EE와웹정책에이전트를지원합니다.

그러나OpenSSO Enterprise와함께배포하는경우에도버전 2.2정책에이전트는버전 2.2기능을계속사용해야합니다.예를들어해당에이전트는구성데이터를 AMAgent.properties파일에로컬로저장해야하며OpenSSO Enterprise의중앙집중화된에이전트구성은지원되지않습니다.

사용가능한버전 2.2에이전트를포함한자세한내용은http://docs.sun.com/coll/1809.1을참조하십시오.

버전 2.1정책에이전트 OpenSSO Enterprise는버전 2.1정책에이전트를지원하지않습니다.

OpenSSO Enterprise 8.0의하드웨어요구사항

표 7 OpenSSO Enterprise 8.0의하드웨어요구사항

구성요소 요구사항

RAM 프로토타입또는개발자배포: 1GB

작업환경배포: 4GB권장

디스크공간 콘솔이있는OpenSSO Enterprise서버,서버전용또는콘솔전용배포■ 서버: 512MB(OpenSSO Enterprise이진파일및구성데이터)■ 로그파일: 7GB(컨테이너로그파일포함)

클라이언트 SDK배포■ 클라이언트 SDK: 100MB이상

■ 로그파일:디버그수준(com.iplanet.services.debug.level)이 message로설정된경우디버그로그용으로 5GB권장

로그파일고려사항:로그파일요구사항은실제작업로드에따라달라지므로적절히조정할수있습니다.디스크공간요구사항은기본적으로 100MB의로그파일크기를기준으로하며,여기에는로그파일유형별로하나의내역파일이포함됩니다.또한다음과같은사항을고려해야합니다.■ 디버그로그파일을주기적으로삭제합니다(특히디버그수준이 message로설정된경우).

■ logs디렉토리에있는 .access및 .error로그의크기와내용을주기적으로확인합니다.

■ 오래된로그파일을삭제하는로그회전구성을생각해보십시오.




OpenSSO Enterprise 8.0에서지원되는웹브라우저표 8 OpenSSO Enterprise 8.0에서지원되는웹브라우저

브라우저 플랫폼

Firefox 2.0.0.x및 3.0.x Windows Vista, Windows XP및Windows Server2003

Solaris OS버전 9및 10

Red Hat Linux 4및 5

Firefox 1.0.7및 1.5 Windows XP

Windows 2000

Solaris OS버전 9및 10


Microsoft Internet Explorer 7 Windows Vista, Windows XP및Windows Server2003

Microsoft Internet Explorer 6.0 SP1 Windows XP

Microsoft Internet Explorer 6.0 SP1 Windows 2000

Mozilla 1.7.12 Solaris OS버전 9및 10

Windows XP

Windows 2000


OpenSSO Enterprise 8.0의문제점■ 17페이지 “웹컨테이너및서버문제”■ 20페이지 “데이터저장소문제”■ 21페이지 “인증문제”■ 22페이지 “정책문제”■ 23페이지 “세션문제”■ 24페이지 “명령줄유틸리티문제”■ 25페이지 “클라이언트 SDK문제”■ 26페이지 “연합및 SAML문제”■ 28페이지 “웹서비스보안(WSS)문제”■ 28페이지 “업그레이드,호환성및공존문제”■ 30페이지 “국제화문제”■ 31페이지 “현지화문제 ”

OpenSSO Enterprise의문제점에대한자세한내용은다음을참조하십시오.

OpenSSO Enterprise 8.0의문제점


https://opensso.dev.java.net/servlets/ProjectIssues

웹컨테이너및서버문제■ 17페이지 “4077: WebLogic Server에서OpenSSO Enterprise를구성하려면새

ldapjdk.jar이있어야함”■ 18페이지 “구성하는동안WebLogic Server StuckThreadMaxTime값이초과됨”■ 19페이지 “4099: JDK 1.4 WAR이있는 ID-WSF샘플에서예외반환”■ 19페이지 “4094:구성데이터저장소의디렉토리관리자비밀번호와 amadmin

비밀번호가서로다른경우여러서버의설정에실패함”■ 19페이지 “4055:콘솔에서고급등록정보를추가한후오류발생”■ 20페이지 “3837: Oracle Application Server 10g에서구성실패”■ 20페이지 “2222:비밀번호재설정및계정잠금서비스에서알림오류를보고함”

4077: WebLogic Server에서OpenSSO Enterprise를구성하려면새ldapjdk.jar이있어야함weblogic.jar에이전 ldapjdk.jar파일이번들로포함되어있기때문에WebLogicServer에서OpenSSO Enterprise구성이실패합니다.

Sun은보안및성능관련수정본이포함된새로운 ldapjdk.jar파일을제공합니다.WebLogic Server 9.2및WebLogic Server 10에대해다음해결방법을제공해야합니다.

해결방법:다음과같이 CLASSPATH에서 Sun ldapjdk.jar을 weblogic.jar앞에배치합니다.

1. 다음명령을사용하여 opensso.war에서 ldapjdk.jar을임시디렉토리에추출합니다.jar xvf opensso.war WEB-INF/lib/ldapjdk.jar

2. 위에서추출한 ldapjdk.jar을WebLogic lib디렉토리에복사합니다.예를들어 Solaris또는 Linux시스템에서WebLogic Server 10을사용하는경우:BEA_HOME/weblogic_10.0/server/lib또는Windows에서WebLogic Server 9.2를사용하는경우:BEA_HOME\weblogic92\server\lib

3. WebLogic Server를시작하는데사용한시작스크립트를편집하여이 ldapjdk.jar의경로를기존 classpath앞에추가합니다.다음예에서 BEA_HOME이WebLogicServer가설치되어있는위치입니다.Windows에서WebLogic 9.2를사용하는경우다음을편집합니다.BEA_HOME\weblogic92\samples\domains\wl_server\bin\startWebLogic.cmdset CLASSPATH=%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%를다음으로변경합니다.

set CLASSPATH=BEA_HOME\weblogic92\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%

Windows에서WebLogic 10을사용하는경우다음을편집합니다.



https://opensso.dev.java.net/servlets/ProjectIssues

BEA_HOME \wlserver_10.0\samples\domains\wl_server\bin\startWebLogic.cmd

set CLASSPATH=%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%를다음으로변경합니다.

set CLASSPATH=

BEA_HOME\wlserver_10.0\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%

Solaris또는 Linux에서WebLogic 9.2 MP2를사용하는경우다음을편집합니다.

/bea/weblogic92/samples/domains/wl_server/bin/ startWebLogic.sh

또는

/usr/local/bea/user_projects/domains/base_domain/bin/startWebLogic.sh

CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"를다음으로변경합니다.

CLASSPATH=

"BEA_HOME/weblogic92/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"

Solaris또는 Linux에서WebLogic 10을사용하는경우다음을편집합니다.

/bea/wlserver_10.0/samples/domains/wl_server/bin/startWebLogic.sh

또는

/bea/user_projects/domains/wl10_domain/bin/startWebLogic.sh

CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"를다음으로변경합니다.

CLASSPATH=

"BEA_HOME/wlserver_10.0/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"

4. 서버를다시시작합니다.5. OpenSSO Enterprise를구성합니다.

구성하는동안WebLogic Server StuckThreadMaxTime값이초과됨구성자를사용하여WebLogic Server 9.2 MP2또는 10을구성하는경우해당구성을완료하는데 600초이상걸리면다음오류가터미널과WebLogic Server도메인및서버로그에반환됩니다.

<Error> <WebLogicServer> <BEA-000337> <[STUCK] Exe

cuteThread: ’5’ for queue: ’weblogic.kernel.Default (self-tuning)’ has been busy

for "681" seconds working on the request "Http Request: /opensso/setup/setSetup

Progress", which is more than the configured time (StuckThreadMaxTime) of "600"seconds. Stack trace: ...



이오류는WebLogic Server가 "Stuck Thread Max Time"의기본값인 600초를초과했기때문에발생합니다.

해결방법:구성자가응답하지않는경우해당구성자를다시시작합니다.또한WebLogicServer “Stuck Thread Max Time”값을기본값인 600초에서더큰값(예: 1200초)으로설정하는것이좋습니다. WebLogic콘솔을사용하여이값을변경합니다( base_domain >

Environment > Servers > Admin Server > Configuration/Tuning).

4099: JDK 1.4 WAR이있는 ID-WSF샘플에서예외반환WebLogic Server 8.1에서서비스를검색하는경우 ID-WSF에대해구성된opensso-client-jdk14.war이오류를반환합니다.

해결방법: weblogic-home/jdk142_08/jre/lib/아래에 jax-qname.jar, namespace.jar,relaxngDatatype.jar, xalan.jar및 xsdlib.jar등의 jar파일을추가합니다.

xalan.jar파일은 opensso.war의 WEB-INF/lib디렉토리에있습니다.나머지파일은opensso-client-jdk14.war의 WEB-INF/lib디렉토리에있습니다.

4094:구성데이터저장소의디렉토리관리자비밀번호와 amadmin

비밀번호가서로다른경우여러서버의설정에실패함이문제는다음과같은조건에맞는상황에만발생합니다.

■ 구성데이터저장소가 Sun Java System Directory Server인경우■ 여러서버를설치하는경우■ amadmin비밀번호가Directory Server바인드 dn비밀번호와다른경우

해결방법:이해결방법은다음과같이두부분으로구성됩니다.

1. 구성Directory Server바인드 dn비밀번호를 amadmin비밀번호와같게설정합니다.2. 두번째및추가OpenSSO Enterprise서버를구성합니다.두번째서버를설치한후첫번째OpenSSO Enterprise서버의구성디렉토리로지정하려면두번째OpenSSOEnterprise서버의구성자페이지에액세스하여 amadmin비밀번호,쿠키도메인및1단계와 2단계에대한기타세부정보를입력합니다.3단계에서 "기존배포에추가"를선택하지마십시오.대신첫번째인스턴스옵션을선택하고첫번째서버와동일한Directory Server이름,포트, DN,비밀번호및암호화키를입력합니다.그런다음일반적인구성을진행합니다.

4055:콘솔에서고급등록정보를추가한후오류발생콘솔에서고급등록정보를추가하면OpenSSO Enterprise서버에서오류를반환합니다.이문제는고급구성등록정보를추가한후발생할수있습니다.

해결방법:콘솔에서기본서버구성을변경하는경우OpenSSO Enterprise서버웹컨테이너를다시시작해야합니다.



3837: Oracle Application Server 10g에서구성실패Oracle Application Server 10g버전 10.1.3.1을웹컨테이너로사용하면OpenSSO Express구성이실패하고예외오류가발생합니다.

해결방법: OpenSSO를구성하기전에다음 JVM옵션을대상Oracle Application Server 10g서버인스턴스의 "서버등록정보"에추가합니다.

-Doc4j.jmx.security.proxy.off=true

2222:비밀번호재설정및계정잠금서비스에서알림오류를보고함OpenSSO Enterprise가자격없는보낸사람이름(Identity-Server)을사용하여전자메일알림을제출하면로그에오류항목이반환됩니다.

해결방법:다음파일에서보낸사람이름을 Identity-Server에서[email protected]으로변경합니다.■ amPasswordResetModuleMsgs.properties에서 fromAddress.label을변경합니다.■ amAuth.properties에서 lockOutEmailFrom을변경합니다.

데이터저장소문제■ 20페이지 “4102:서비스관리구성의TTL이작동하지않음”■ 20페이지 “4085: OpenSSO Enterprise에서CRL을 LDAP디렉토리에저장할수없음”■ 20페이지 “3827:두번째Glassfish인스턴스에서복제구성이중단됨”■ 21페이지 “3350, 2867: "LDAP에서참조를따름"이 Active Directory데이터저장소에대해비활성화되어야함”

■ 21페이지 “Access Manager SDK(AMSDK)플러그인에대해페일오버가발생하지않음”

4102:서비스관리구성의TTL이작동하지않음TTL등록정보가초기화되지않았기때문에서비스관리구성의수명(TTL)이작동하지않습니다.

4085: OpenSSO Enterprise에서CRL을 LDAP디렉토리에저장할수없음CRL배포지점확장에서인증서해지목록(CRL)을가져온후에는OpenSSO Enterprise가LDAP디렉토리에CRL을저장하지않습니다.

3827:두번째Glassfish인스턴스에서복제구성이중단됨이시나리오에서OpenSSO Enterprise는Windows Vista서버의두Glassfish(또는Application Server 9.1)인스턴스에배포되어있습니다.두번째OpenSSO Enterprise인스턴스를구성하는동안 "기존배포에추가"옵션을사용하면구성복제가중단됩니다.



해결방법: Windows Vista시스템에서는이문제가계속발생합니다. Vista가아닌다른Windows시스템인경우다음Glassfish(또는Application Server 9.1) JVM옵션을추가하십시오.

-Dcom.sun.enterprise.server.ss.ASQuickStartup=false

3350, 2867: "LDAP에서참조를따름"이 Active Directory데이터저장소에대해비활성화되어야함Active Directory데이터저장소로인해시스템이정지하는경우가있습니다.또한ActiveDirectory데이터저장소를새로만들때도이문제가발생할수있습니다.

해결방법: OpenSSO Enterprise관리콘솔에서Active Directory데이터저장소에대해LDAP에서 참조를 따름을 비활성화합니다.

1. 액세스제어, top-level-realm ,데이터저장소, ActiveDirectory-data-store-name을누릅니다.

2. LDAP에서참조를따름의사용가능을선택취소합니다.3. 변경사항을저장합니다.

Access Manager SDK(AMSDK)플러그인에대해페일오버가발생하지않음OpenSSO Enterprise를AMSDK플러그인과함께구성하고MMR에대해디렉토리서버를구성한경우디렉토리서버인스턴스가다운되면페일오버가발생하지않습니다.

인증문제■ 21페이지 “4103: Windows Desktop SSO인증모듈이 “구성을찾지못했습니다.”오류를반환함”

■ 21페이지 “4100: CRL확인을통한인증서인증에실패함”■ 22페이지 “4054: URL org매개변수를사용한 amadmin인증이실패함”■ 22페이지 “1781:데이터저장소인증이아닌경우 amadmin이로그인에실패함”

4103: Windows Desktop SSO인증모듈이“구성을찾지못했습니다.”오류를반환함Windows Server 2003의 Internet Explorer 6.0에서커버로스인증을수행하도록Windows데스크탑 SSO인증모듈을구성한경우 "구성을찾지못했습니다."오류가반환됩니다.

4100: CRL확인을통한인증서인증에실패함인증서인증을구성하고 "인증서를CRL과일치시킵니다."를사용하는경우인증에실패합니다. 20페이지 “4085: OpenSSO Enterprise에서CRL을 LDAP디렉토리에저장할수없음”도참조하십시오.



4054: URL org매개변수를사용한 amadmin인증이실패함OpenSSO Enterprise관리자(amadmin)가새영역(예: myorg)을만들고나중에다음과같이새영역에로그인하려고하는경우

http://host:port/opensso/UI/Login?org=myorg

OpenSSO Enteprise가인증실패오류를반환합니다.

해결방법: amadmin으로는루트영역및데이터저장소또는응용프로그램모듈에만로그인할수있습니다.

1781:데이터저장소인증이아닌경우 amadmin이로그인에실패함루트영역의인증모듈을 DataStore가아닌항목으로변경하는경우 amadmin이콘솔에로그인할수없습니다.

해결방법: http://host.domain/deployurl/UI/Login?module=DataStore를사용하여로그인합니다.

정책문제■ 22페이지 “3952:서버샘플에정책샘플링크가없음”■ 22페이지 “3949: OCSP검사시 server.policy파일에권한을추가해야함”■ 23페이지 “3796:콘솔전용배포시콘솔에서 Fedlet작성실패”■ 23페이지 “2381: Access Manager저장소데이터저장소를통해서만Access Manager역할정책주제가지원됨”

3952:서버샘플에정책샘플링크가없음host: port/uri/samples의 index.html이다음과같이표시됩니다.

1. Authentication Samples

2. ID-FF Sample

3. SAMLv2 Sample

4. Multi-Federation Protocols Sample

그러나 index.html에정책샘플에대한 host:port/uri/samples/policy/policy-plugins.html링크가없습니다.

해결방법:브라우저에서 host:port/uri/samples/policy/policy-plugins.html파일을엽니다.

3949: OCSP검사시 server.policy파일에권한을추가해야함OpenSSO웹컨테이너에서 Java Security Manager를사용하는경우OCSP검사를활성화하려면 server.policy또는그에상응하는파일에다음권한을추가해야합니다.

permission java.security.SecurityPermission "getProperty.ocsp.*";



3796:콘솔전용배포시콘솔에서 Fedlet작성실패콘솔전용배포를생성하는경우콘솔일반작업을사용하여 Fedlet을만들면sp-extended.xml에대해파일또는디렉토리가없다는오류메시지가표시되면서작업이실패합니다.따라서콘솔전용구성자가 com.iplanet.services.configpath등록정보를설정하지않았습니다.

해결방법: AMConfig.properties파일을편집하여 com.iplanet.services.configpath

등록정보를구성디렉토리로설정합니다.예를들면다음과같습니다.

com.iplanet.services.configpath=/consoleonly

2381: Access Manager저장소데이터저장소를통해서만AccessManager역할정책주제가지원됨Access Manager저장소(AMSDK)데이터저장소를통해서만Access Manager역할정책주제가지원됩니다.기본적으로이주제는정책구성에서비활성화되어있습니다.따라서데이터저장소유형이AMSDK플러그인을사용하도록구성된경우에만AccessManager역할정책주제를사용하십시오.

자세한내용은 Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide의 14장,“Enabling the Access Manager SDK (AMSDK) Identity Repository Plug-in”을참조하십시오.

세션문제■ 23페이지 “3910: ssoSessionTools.zip의 setup.bat가도구를설치하지못함”■ 23페이지 “2827:사이트구성시두번째서버를사이트에추가하지않음”

3910: ssoSessionTools.zip의 setup.bat가도구를설치하지못함ssoSessionTools.zip파일의압축을푼후 setup.bat스크립트를실행하면세션스크립트가설치되지않고다음오류가반환됩니다.

Unable to locate JRE meeting specification "1.4+"

해결방법: setup.bat스크립트의 java.exe명령에서 -version:"1.4+"를제거하고스크립트를다시실행합니다.

2827:사이트구성시두번째서버를사이트에추가하지않음세션페일오버구성시두번째OpenSSO Enterprise인스턴스를지정된서버목록에추가하지않습니다.

해결방법: OpenSSO Enterprise콘솔또는 ssoadm유틸리티를사용하여두번째서버인스턴스를서버목록에수동으로추가합니다.



http://docs.sun.com/doc/820-3320/ghexv?a=view

http://docs.sun.com/doc/820-3320/ghexv?a=view

명령줄유틸리티문제■ 24페이지 “4079: Directory Server를구성데이터저장소로사용하는경우 ssoadm

import-svc-cfg명령실패”■ 24페이지 “3955: ssoadm명령을실행할수없음”■ 25페이지 “2905: ssoadm클래스경로에 jss4.jar항목이없음”

4079: Directory Server를구성데이터저장소로사용하는경우 ssoadm

import-svc-cfg명령실패OpenSSO Enterprise가서비스관리자데이터저장소의노드를삭제할수없기때문에import-svc-cfg하위명령이실패하는경우가있습니다.다음과같은시나리오에서이문제가발생할수있습니다.

1. 원격 Sun Java System Directory Server를구성데이터저장소로사용하여OpenSSOEnterprise를구성합니다.

2. ssoadm export-svc-cfg명령을사용하여서비스 XML파일을내보냅니다.3. ssoadm import-svc-cfg명령을사용하여 2단계에서가져온서비스 XML데이터를다시가져옵니다.

4. 기존데이터를삭제할것인지물어보는메시지가나타나면 "예"를선택합니다.예상치않은 LDAP예외가발생했습니다.라는오류메시지가반환됩니다.

해결방법:성공적으로수행될때까지 ssoadm import-svc-cfg명령을다시실행합니다.

3955: ssoadm명령을실행할수없음이예외로인해 ssoadm명령을 get-realm과함께실행할수없습니다.

Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed

com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction:

FATAL ERROR: Cannot obtain Application SSO token.

Check AMConfig.properties for the following properties

com.sun.identity.agents.app.username

com.iplanet.am.service.password

Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed

com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction:

FATAL ERROR: Cannot obtain Application SSO token.




AdminTokenAction: FATAL ERROR: Cannot obtain Application SSO token.






amadmin비밀번호가서비스관리데이터저장소의디렉토리관리자비밀번호와다른지확인합니다.비밀번호가서로다른경우다음해결방법을적용하십시오.

해결방법:다음과같이서비스구성XML을수정하십시오.

1. OpenSSO콘솔에 amadmin으로로그인합니다.2. ssoadm.jsp get-svrcfg-xml을사용하여서버구성XML을가져옵니다.3. encode.jsp를사용하여 amadmin비밀번호를인코딩합니다.4. XML에 amadmin-password로나와있는두곳에인코딩된비밀번호를설정합니다.예를들면다음과같습니다.

<User name="User1" type="proxy"><DirDN>

cn=puser,ou=DSAME Users,dc=opensso,dc=java,dc=net

</DirDN>

<DirPassword>

amadmin-password</DirPassword>

</User>

<User name="User2" type="admin"><DirDN>

cn=dsameuser,ou=DSAME Users,dc=opensso,dc=java,dc=net

</DirDN>

<DirPassword>

amadmin-password</DirPassword>

</User>

<BaseDN>

dc=opensso,dc=java,dc=net

</BaseDN>

</ServerGroup>

5. ssoadm.jsp set-svrcfg-xml을사용하여변경된서버구성XML을설정합니다.

2905: ssoadm클래스경로에 jss4.jar항목이없음ssoadm유틸리티의 setup스크립트를실행한후 ssoadm이 NoClassDefFoundError오류를반환합니다.이문제는업그레이드된OpenSSO Enterprise인스턴스에서발생합니다.

해결방법: JSS를사용하려면 jss4.jar을 classpath에추가하고 LD_LIBRARY_PATH환경변수를설정합니다.기본 JCE를사용하는경우에는 jss4.jar이 classpath에필요하지않습니다.

클라이언트 SDK문제■ 26페이지 “4081:클라이언트 SDK에서 SMS캐시가기본적으로비활성화되어있음”



■ 26페이지 “4080:클라이언트 SDK구성자가잘못된공유비밀을AMConfig.properties에삽입함”

4081:클라이언트 SDK에서 SMS캐시가기본적으로비활성화되어있음클라이언트 SDK설치의경우서비스관리서비스(SMS)가기본적으로비활성화되어있습니다.

해결방법:웹서비스보안(WSS)응용프로그램의경우 AMConfig.properties파일에서com.sun.identity.sm.cache.enabled=false를설정합니다.그렇지않으면문제 3171의수정본이제대로작동하지않습니다.

다른클라이언트 SDK응용프로그램의경우에는 AMConfig.properties파일에서com.sun.identity.sm.cache.enabled=true를설정합니다.그러면 SMS캐시를활성화하여성능문제를방지할수있습니다.

4080:클라이언트 SDK구성자가잘못된공유비밀을AMConfig.properties에삽입함클라이언트 SDK WAR파일구성자가잘못된공유비밀을 AMConfig.properties에삽입합니다.

해결방법: OpenSSO Enterprise서버의공유비밀값과비밀번호암호화키를$HOME/OpenSSOCLient디렉토리의클라이언트 SDKAMConfig.properties파일에복사합니다.

연합및 SAML문제■ 26페이지 “3923:콘솔일반작업페이지에서엔티티(IDP또는 SP)를만들면Oracle

Application Server에서오류발생”■ 27페이지 “3065: ID-FF로그레코드의모든사용자에대해같은컨텍스트아이디가사용됨”

■ 27페이지 “2661: WebSphere Application Server 6.1에서 logout.jsp가컴파일되지않음”

■ 27페이지 “1977: WebSphere Application Server 6.1에서 SAMLv2샘플 configure.jsp

파일실패”

3923:콘솔일반작업페이지에서엔티티(IDP또는 SP)를만들면Oracle Application Server에서오류발생OpenSSO Enterprise가Oracle Application Server에배포된경우콘솔일반작업페이지에서엔티티(IDP또는 SP)를만들면예외가발생합니다.



해결방법: opensso.war을Oracle Application Server에배포할때배포계획보기에서oracle.xml파일에대한가져오기옵션을비활성화합니다(Deploy: DeploymentSettings > Configure Class Loading > oracle.xml).

3065: ID-FF로그레코드의모든사용자에대해같은컨텍스트아이디가사용됨모든 ID-FF로그레코드는서로다른사용자에대해서도동일한컨텍스트또는로그인아이디를사용합니다.

2661: WebSphere Application Server 6.1에서 logout.jsp가컴파일되지않음logout.jsp파일을사용하려면 JDK 1.5가있어야하지만 IBM WebSphere ApplicationServer 6.1에서 JSP파일의 JDK소스수준이 JDK 1.3으로설정되어있습니다.

해결방법: 27페이지 “1977: WebSphere Application Server 6.1에서 SAMLv2샘플configure.jsp파일실패”의해결방법을참조하십시오.

1977: WebSphere Application Server 6.1에서 SAMLv2샘플configure.jsp파일실패WebSphere Application Server 6.1인스턴스에서 /sample/saml2/sp/configure.jsp

및/sample/saml2/idp/configure.jsp파일이컴파일되지않습니다. configure.jsp파일을사용하려면 JDK 1.5가있어야하지만WebSphere Application Server 6.1에서 JSP파일의 JDK소스수준이 JDK 1.3으로설정되어있습니다.

해결방법: JSP엔진구성매개변수를편집하여 JDK소스수준을 1.5로설정하십시오.

1. WEB-INF/ibm-web-ext.xmi파일을엽니다.JSP엔진구성매개변수는웹모듈의구성디렉토리또는이진디렉토리에있는WEB-INF/ibm-web-ext.xmi파일에저장되어있습니다.구성디렉토리의예를들면다음과같습니다.

{WAS_ROOT}/profiles/profilename/config/cells/cellname/applications/enterpriseappname/deployments/deployedname/webmodulename/

"이진구성사용”플래그를 true로설정하여응용프로그램을WebSphere ApplicationServer에배포한경우,이진디렉토리의예를들면다음과같습니다.

{WAS_ROOT}/profiles/profilename/installedApps/nodename/enterpriseappname/webmodulename/

2. compileWithAssert매개변수를삭제합니다.즉,파일에서해당구문을삭제하거나주석태그(<!—및 –>)안에해당구문을넣습니다.

3. jdkSourceLevel매개변수값으로 15를추가합니다.예를들면다음과같습니다.



<jspAttributes xmi:id="JSPAttribute_1" name="jdkSourceLevel" value="15"/>

참고: JSPAttribute_1의정수(_1)는파일내에서고유해야합니다.4. ibm-web-ext.xmi파일을저장합니다.5. 응용프로그램을다시시작합니다.

jdkSourceLevel매개변수및기타 JSP엔진구성매개변수에대한자세한내용은다음을참조하십시오.

http://publib.boulder.ibm.com/

infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ae/ae/rweb_jspengine.html

웹서비스보안(WSS)문제■ 28페이지 “4057:종단점에서동적웹서비스공급자구성이유효하지않음”

4057:종단점에서동적웹서비스공급자구성이유효하지않음웹서비스보안(WSS)에대해샘플을바탕으로프록시사용을설정한경우프로필이름이wsp가아닌두개의웹서비스공급자(WSP)를만들면오류가발생합니다.

해결방법: JAX-WS/웹응용프로그램기반웹서비스의경우고정종단점을WSP이름으로사용하여여러웹서비스를지원합니다. EJB기반웹서비스의경우기본WSP구성을사용합니다.

업그레이드,호환성및공존문제■ 28페이지 “4108:기존스키마(DIT)에대해OpenSSO Enterprise를구성한후잘못된암호화키가사용됨”

■ 29페이지 “3962:관리자가아닌사용자에대한인증후잘못된콘솔URL이반환됨”■ 29페이지 “3961:공존모드에서 amadmin이OpenSSO콘솔에로그인할수없음”■ 29페이지 “2348:분산인증UI서버지원에대한사항”■ 30페이지 “830: ID-FF스키마메타데이터가이전버전과호환되지않음”

4108:기존스키마(DIT)에대해OpenSSO Enterprise를구성한후잘못된암호화키가사용됨구성하는동안입력한암호화키(이전Access Manager또는 Federation Manager인스턴스의암호화키)를사용하지않기때문에기존스키마(DIT)에대해OpenSSOEnterprise를구성한후콘솔에로그인할수없습니다.대신잘못된암호화키가새로생성되어잘못된 serverconfig.xml이생성됩니다.

해결방법:



http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ae/ae/rweb_jspengine.html

http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ae/ae/rweb_jspengine.html

1. OpenSSO Enterprise구성디렉토리로변경합니다.2. AMConfig.properties파일의암호화키를정확한값으로변경합니다.3. 이전Access Manager또는 Federation Manager인스턴스의 serverconfig.xml백업사본을복사해둡니다.

4. OpenSSO Enterprise서버를다시시작합니다.

3962:관리자가아닌사용자에대한인증후잘못된콘솔URL이반환됨OpenSSO가공존모드에서Access Manager 7.1 Directory Server스키마(DIT)로구성되어있는경우관리자가아닌다른사용자가OpenSSO콘솔에로그인하면해당사용자에게잘못된URL이지정됩니다.예를들면다음과같습니다.

http://ssohost.example.com:8080/amserver/..amserver/base/AMAdminFrame

해결방법: URL을다음과같이편집합니다.

protocol://host. domain:port/deploy_uri/idm/EndUser

예를들면다음과같습니다.

http://ssohost.example.com:8080/amserver/idm/EndUser

3961:공존모드에서 amadmin이OpenSSO콘솔에로그인할수없음OpenSSO가공존모드에서Access Manager 7.1 Directory Server스키마(DIT)로구성된경우 LDAP인증을사용하여 amadmin으로콘솔에로그인하려고하면실패합니다.

해결방법:공존모드에서OpenSSO콘솔에 amadmin으로로그인하려면 module=DataStore

쿼리매개변수를추가합니다.예를들면다음과같습니다.

protocol://host. domain:port/deploy_uri/UI/Login/?module=DataStore

예를들면다음과같습니다.

http://ssohost.example.com:8080/amserver/UI/Login/?module=DataStore

2348:분산인증UI서버지원에대한사항OpenSSO Enterprise분산인증UI서버구성요소는OpenSSO Enterprise에서만작동하며,다음과같은시나리오는지원되지않습니다.

■ OpenSSO Enterprise서버를사용하는분산인증UI서버 7.0또는 7.1■ Access Manager 7.0또는 7.1서버를사용하는OpenSSO Enterprise분산인증UI서버



830: ID-FF스키마메타데이터가이전버전과호환되지않음Access Manager또는 Federation Manager의이전릴리스에서OpenSSO Enterprise 8.0으로업그레이드하는경우Access Manager또는 Federation Manager스키마도업그레이드하지않으면 ID-FF프로필이작동하지않습니다.

해결방법: ID-FF프로필을사용하기전에Access Manager또는 Federation Manager스키마를업그레이드합니다.스키마업그레이드에대한자세한내용은 Sun OpenSSOEnterprise 8.0 Upgrade Guide를참조하십시오.

국제화문제■ 30페이지 “4090:영어이외의자격부여문서가잘못표시됨”■ 30페이지 “4051:콘솔에서다중바이트로된신뢰할수있는파트너이름이잘못표시됨”

■ 31페이지 “3993: CCK및 JA로켈의경우최종사용자페이지에물음표가표시됨”■ 31페이지 “3976:영어가아닌로켈에서온라인도움말의 “검색팁”에 404오류가표시됨”

■ 31페이지 “3763:웹컨테이너가C로켈인경우일부비ASCII문자가잘못표시됨”■ 31페이지 “3713: CCJK로켈의경우비밀번호재설정페이지가현지화되어있지않음”

■ 31페이지 “3590: dounix_msgs.po파일의위치변경”■ 31페이지 “1793:쿼리매개변수에서 org또는module에다중바이트문자를사용하는경우인증에실패함”

4090:영어이외의자격부여문서가잘못표시됨해결방법: .txt형식으로제공되는현지화된자격부여문서를보려면다음과같이브라우저에서각로켈에지정한인코딩으로브라우저를사용하십시오.

■ 프랑스어(fr): ISO–8859-1■ 스페인어(es): ISO–8859-1■ 독일어(de): ISO–8859-1■ 중국어간체(zh_CN): UTF-8■ 중국어번체(zh_TW): UTF-8■ 한국어(ko): UTF-8■ 일본어(ja): EUC-JP

4051:콘솔에서다중바이트로된신뢰할수있는파트너이름이잘못표시됨OpenSSO콘솔에서 "연합" > "SAML1.x구성"으로이동한다음 "일반설정"부분에서이름이다중바이트로된신뢰할수있는파트너를새로만들면이파트너이름이잘못표시됩니다.





3993: CCK및 JA로켈의경우최종사용자페이지에물음표가표시됨CCK및 JA로켈의Geronimo웹컨테이너에서 amadmin이아닌다른사용자로로그인하는경우액세스제어,영역,일반,최종사용자페이지(http://host:port/deployuri/idm/EndUser)에물음표가표시됩니다.

3976:영어가아닌로켈에서온라인도움말의“검색팁”에404오류가표시됨프랑스어와같이영어가아닌로켈에서OpenSSO콘솔에로그인하는경우 "도움말"을누른다음 "검색팁"을선택하면오른쪽도움말패널에 404오류가표시됩니다.

해결방법: "검색팁"을영어로보려면브라우저의언어를영어로설정한다음온라인도움말창을새로고치십시오.

3763:웹컨테이너가C로켈인경우일부비ASCII문자가잘못표시됨C로켈에서웹컨테이너를시작하고브라우저를프랑스어와같은언어로설정하면관리자콘솔에로그인한후일부문자가잘못표시됩니다.

3713: CCJK로켈의경우비밀번호재설정페이지가현지화되어있지않음CCJK로켈의경우비밀번호재설정페이지(http://host:port/deployuri/password)가현지화되지않았습니다.

3590: dounix_msgs.po파일의위치변경향후OpenSSO Enterprise릴리스에는Unix인증모듈이포함되지않을예정이므로Unix인증모듈의 dounix_msgs.po파일은번역되지않았습니다.자세한내용은 33페이지“사용중단알림및공지”를참조하십시오.

1793:쿼리매개변수에서org또는module에다중바이트문자를사용하는경우인증에실패함UTF-8이아닌다른문자가있는 org또는 module매개변수를사용하여OpenSSO콘솔에로그인하는경우로그인이실패합니다.예: http://host:port/ deployuri/UI/Login?module=Japanese-string&gx_charset=UTF-8

해결방법:원시문자대신 %E3%81%A6과같은UTF-8 URL인코딩문자를사용합니다.

현지화문제■ 32페이지 “4017:스페인어로켈의경우콘솔에서 “2.2 Agents"(2.2에이전트)가

Agentes로만번역됨”



■ 32페이지 “3994:스페인어로켈에서Certificate for Configuration > Authentication에액세스할수없음”

■ 32페이지 “3971:중국어(zh_CN)로켈에서온라인도움말이영어임”■ 32페이지 “3802:프랑스어저작권고지사항중일부에문제가있음”

4017:스페인어로켈의경우콘솔에서“2.2 Agents"(2.2에이전트)가Agentes로만번역됨스페인어로켈의OpenSSO콘솔에서 “2.2 Agents"(2.2에이전트)번역시 "2.2"가누락되었습니다.

3994:스페인어로켈에서Certificate for Configuration >Authentication에액세스할수없음스페인어로켈의OpenSSO에서Configuration(구성), Authentication(인증),Certificate(인증서)를차례로누르면오류가발생합니다.

3971:중국어(zh_CN)로켈에서온라인도움말이영어임중국어 (zh_CN)로켈에서콘솔온라인도움말텍스트가중국어가아닌영어로표시됩니다.브라우저의기본언어가 zh_CN으로설정된경우에는왼쪽트리의온라인도움말텍스트만영어로표시됩니다.기본언어를 zh로설정하면모든온라인도움말텍스트가영어로표시됩니다.

해결방법: zh_CN온라인도움말내용을웹컨테이너의 webapps디렉토리의새로운 zh

디렉토리에복사하고웹컨테이너를다시시작하십시오.

Apache Tomcat의경우를예로들면 /Tomcat6.0.18/webapps/opensso/html/zh_CN/*을/Tomcat6.0.18/webapps/opensso/html/zh/라는새디렉토리에복사합니다.그런다음Tomcat컨테이너를다시시작합니다.

3802:프랑스어저작권고지사항중일부에문제가있음영어저작권고지사항의프랑스어부분에서 “Etats-unis”의액센트표시, “armesnucléaires,des missiles”에서쉼표다음의공백이누락되었으며 “Etats - Unis”에는공백이없어야합니다.

OpenSSO Enterprise 8.0으로업그레이드다음릴리스부터OpenSSO Enterprise 8.0으로업그레이드할수있습니다.

OpenSSO Enterprise 8.0으로업그레이드


Sun Java System Directory Server의구성데이터를포함한이전릴리스 업그레이드가지원되는플랫폼

Sun Java System Access Manager 7.1서버

Java Enterprise System설치프로그램및WAR파일배포

Solaris SPARC, Solaris x86, Linux및Windows시스템

Sun Java System Access Manager 7 2005Q4서버 Solaris SPARC, Solaris x86및 Linux시스템

Sun Java System Access Manager 6 2005Q1 (6.3)서버 Solaris SPARC, Solaris x86및 Linux시스템

Sun Java System Federation Manager 7.0서버 Solaris SPARC, Solaris x86, Linux및Windows시스템

업그레이드프로세스에는기존Access Manager또는 Federation Manager서버인스턴스및 Sun Java System Directory Server에저장된구성데이터에대한업그레이드가포함됩니다.

자세한업그레이드단계는 Sun OpenSSO Enterprise 8.0 Upgrade Guide를참조하십시오.

사용중단알림및공지■ 서비스관리서비스(SMS) API(com.sun.identity.sm패키지)및 SMS모델은향후

OpenSSO Enterprise릴리스에포함되지않을예정입니다.■ Unix인증모듈과Unix인증도우미(amunixd)는향후OpenSSO Enterprise릴리스에포함되지않을예정입니다.

■ Sun Java System Access Manager 7.1릴리스노트에서Access Managercom.iplanet.am.sdk패키지(일반적으로Access Manager SDK(AMSDK)라고함)및모든관련API와XML템플리트가향후OpenSSO Enterprise릴리스에포함되지않을예정임을공지했습니다.따라서더이상마이그레이션옵션을사용할수없습니다.Sun Identity Manager는AMSDK대신사용할수있는사용자프로비저닝솔루션을제공합니다. Identity Manager에대한자세한내용은http://www.sun.com/software/products/identity_mgr/index.jsp를참조하십시오.

문제보고및의견보내는방법OpenSSO Enterprise에대한질문사항또는문제가있는경우 Sun지원자료사이트(SunSolve, http://sunsolve.sun.com/)에문의하십시오.

이사이트에는기술자료,온라인지원센터및제품추적과유지보수프로그램,지원연락처에대한링크가있습니다.

문제에대한도움을요청할경우에는다음정보를포함하십시오.

문제보고및의견보내는방법



http://www.sun.com/software/products/identity_mgr/index.jsp

http://sunsolve.sun.com/

■ 문제가발생한상황및문제가작업에주는영향을포함한문제에대한설명

■ 문제에영향을줄수있는시스템유형,운영체제버전,웹컨테이너및버전, JDK버전,OpenSSO Enterprise버전,그리고모든패치를포함한기타소프트웨어

■ 문제를재현하는데사용한방법에대한구체적인단계

■ 모든오류로그또는코드덤프

Sun은여러분의의견을환영합니다.Sun은설명서의내용개선에노력을기울이고있으며여러분의의견과제안을환영합니다. http://docs.sun.com/으로이동하여 Feedback을누르십시오.

해당필드에전체문서제목과부품번호를기입하십시오.부품번호는 7자리또는 9자리숫자로,설명서제목페이지또는문서맨위에있습니다.예를들어본설명서의제목은Sun OpenSSO Enterprise릴리스노트이고부품번호는 820-7089입니다.사용자의견을제출할때해당양식에영문설명서제목과부품번호를입력해야할수도있습니다.본설명서의영문부품번호와제목은 820-3745-11, Sun OpenSSO Enterprise 8.0 ReleaseNotes입니다.

추가 Sun자료다음위치에서유용한정보및자원을추가로찾을수있습니다.

■ Sun서비스: http://www.sun.com/service/consulting/■ Sun소프트웨어제품: http://wwws.sun.com/software/■ Sun지원자료: http://sunsolve.sun.com/■ Sun개발자네트워크(SDN): http://developers.sun.com/■ Sun개발자서비스: http://www.sun.com/developers/support/

내게필요한옵션기능이매체를발행한이후릴리스된내게필요한옵션기능을사용하려면 Sun에요청하여구할수있는섹션 508제품평가를참조하여관련솔루션을배포하는데가장적합한버전을확인하십시오.

내게필요한옵션기능구현을위한 Sun의방침에대해자세히알아보려면http://sun.com/access를방문하십시오.

타사웹사이트본설명서는타사URL을참조하여추가적인관련정보를제공합니다.

추가 Sun자료


http://docs.sun.com/

http://www.sun.com/service/consulting/

http://wwws.sun.com/software/

http://sunsolve.sun.com/

http://developers.sun.com/

http://www.sun.com/developers/support/

http://sun.com/access

주 – Sun은본설명서에서언급된타사웹사이트의가용성여부에대해책임을지지않습니다.또한해당사이트나자원을통해제공되는내용,광고,제품및기타자료에대해어떠한보증도하지않으며그에대한책임도지지않습니다.따라서타사웹사이트의내용,제품또는자원의사용으로인해발생한실제또는주장된손상이나피해에대해서도책임을지지않습니다.

개정내역

표 9 개정내역

날짜(개정번호) 변경사항설명

2008년 11월 14일(11) 새로운문제및 10페이지 “OpenSSO Enterprise 8.0의하드웨어및소프트웨어요구사항”에대한변경사항을포함한최신변경내용추가

2008년 11월 11일(10) 초기릴리스

2008년 8월 26일(05) EA릴리스초안

개정내역


Sun OpenSSO Enterprise 80 - Oracle · 2011-02-02 · SunOpenSSOEnterprise8.0 릴리스노트...

Documents

Transcript of Sun OpenSSO Enterprise 80 - Oracle · 2011-02-02 · SunOpenSSOEnterprise8.0 릴리스노트...