tivoli secureway policy director webseal °ü¸® ¾È³...
TRANSCRIPT
![Page 1: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/1.jpg)
Tivoli SecureWayPolicy Director WebSEAL�� ���
�� 3.8
![Page 2: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/2.jpg)
![Page 3: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/3.jpg)
Tivoli SecureWayPolicy Director WebSEAL�� ���
�� 3.8
![Page 4: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/4.jpg)
Tivoli SecureWay Policy Director WebSEAL �� ���
��� ��
© Copyright IBM Corporation 2001. All rights reserved. Tivoli Systems ����� ��� ��, IBM����� ��� �� �� IBM �� ���� ��� ��� �� Tivoli ��� ��� ���� ���� ��� � ����. IBM Corporation� �� �� �� �� � ���� �� ��� ��, ��,��, ��, ��, ��� � � �� �� ���� ���� ��, ��, ����� �� ���� ��� ���, ��� ��� �� � ����. IBM Corporation IBM Corporation ��� �� ��� ��� �� ����� �� �� ���� ����� ����� ��� � � �� �� ������ ��� � �� ��� �����. IBM Corporation� �� �� � ��� ���� �� ��� ��� ���� ����. � ��� ��� ���� �� ���� ��� �� �� “�����” �����. �� �� �� ��� �� ��� � ���� ���� ��� � �� �� ��� ��� ���� ����.
��
IBM, IBM ��, Tivoli, Tivoli ��, AIX, Cross-Site, NetView, OS/2, Planet Tivoli, RS/6000, TivoliCertified, Tivoli Enterprise, Tivoli Enterprise Console, Tivoli Ready � TME� ���� �� ���� ���� IBM Corporation �� Tivoli Systems Inc.� � �� ������.
Microsoft, Windows, Windows NT � Windows ��� �� �� �� ���� ���� MicrosoftCorporation� ����.
UNIX� �� �� �� ���� ���� Open Group� ������.
Java � �� Java � �� �� �� �� ���� ���� Sun Microsystems, Inc.
� ����. �� ��, �� � ��� � � ��� � �� ������.
����
� ����� Tivoli Systems �� IBM� ��, ���� �� ���� ����� � Tivoli Systems�� IBM� ���� �� �� ���� �� ��� � ��� �� ����� ����. ��� ��,���� �� ���� ����� � Tivoli Systems �� IBM� ��, ���� �� ����� ��� � ��� ��� ����. Tivoli Systems �� IBM� ��� �� ��� �� �� ���� ��� � �� ��� ����, ��� ��� ��, ���� �� ���� �� ��� � ����.Tivoli Systems �� IBM� ���� ��� ��� ����, �� �� �� �� �� �� ���� �����. Tivoli Systems �� IBM � ��� �� �� �� ������� �� � ���� ��� �� �� � ����. � �� ����� � � � � �� ���� ���� � ����. ���� �� ���� 135-270, � ��� ��� � � 467-12, �����, �� ��.�.� ���� ������, ����: 080-023-8080�� ������.
![Page 5: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/5.jpg)
��
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Policy Director � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
�1� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1WebSEAL� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
�� �� � �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
� policy �� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
WebSEAL ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
EPAC(Extended Privilege Attribute Certificate) . . . . . . . . . . . . . . . . . . 8
WebSEAL Junction� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WebSEAL Junction � � ��� �� . . . . . . . . . . . . . . . . . . . . . . 12
�2� WebSEAL �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
webseald.conf �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
WebSEAL �� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
WebSEAL � �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
WebSEAL �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
iiiTivoli SecureWay Policy Director WebSEAL �� ���
![Page 6: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/6.jpg)
�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
HTTP ��� �� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
HTTPS ��� �� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . 22
�� SSL ������ �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
HTTP � HTTPS ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . 23
HTTP/HTTPS ��� �� ��� ��� . . . . . . . . . . . . . . . . . . . 24
�� WebSEAL � ��� ���. . . . . . . . . . . . . . . . . . . . . . . . 25
� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
� �� ��� �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
���� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Windows: CGI ����� �� �� � �� �� . . . . . . . . . . . . . 29
� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
HTTP � ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
��� �� HTML ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
��� �� ��� ��� � �. . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
��� �� HTML ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
���� � � � ��� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
GSKit ������ �� ��� �� � . . . . . . . . . . . . . . . . . . . 40
WebSEAL� �� ������ ��� �� . . . . . . . . . . . . . . . . 41
iKeyman ��� � ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 43
CRL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
�� QOP(Quality of Protection) � �� . . . . . . . . . . . . . . . . . . . . . . . . 45
�� ��� � ����� �� QOP �� . . . . . . . . . . . . . . . . . . . . . 45
�� ������ �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
�� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
�� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
���� WebSEAL � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
HTTP �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
iv �� 3.8
![Page 7: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/7.jpg)
HTTP �� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . 51
���� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
�� �� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
�� �� ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . 52
request.log� ���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . 52
HTTP �� �� ��(request.log) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
request.log �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
agent.log �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
referer.log � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
�3� WebSEAL �� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57WebSEAL �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
/WebSEAL/<host> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
/WebSEAL/<host>/<file> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
WebSEAL ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
�� /WebSEAL ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3 ����� ��� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
�� �� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
pdadmin ����� � ��� �� �� policy . . . . . . . . . . . . . . 62
� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
��� �� ���� � ��� ��. . . . . . . . . . . . . . . . . . . . . . . 64
�� ��� � �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
�� �� POP policy(step-up) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Step-up ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Step-up �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Step-up ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Step-up �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Step-up �� �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
vTivoli SecureWay Policy Director WebSEAL �� ���
![Page 8: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/8.jpg)
���� � �� POP policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
�� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
IP �� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
IP ��� �� step-up �� �� ���. . . . . . . . . . . . . . . . . . . . . . . 75
���� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
���� � �� �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . 75
QOP(Qualtiy of Protection) POP policy. . . . . . . . . . . . . . . . . . . . . . . . . . . 75
���� � ��� ��(HTTP/HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . 76
�� �������� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 76
��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
���� � HTTPS� ������ . . . . . . . . . . . . . . . . . . . . . . . . . 77
ACL/POP policy� ���� � ��� �� . . . . . . . . . . . . . . . . . . 78
�4� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79�� ����� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
���� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
���� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
��� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
GSKit � WebSEAL �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
WebSEAL �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
GSKit SSL �� ID �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
�� �� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
��� �� ID ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
failover � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
�� �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�� ��� �� CDAS �� ��� . . . . . . . . . . . . . . . . . . . . . . . . 96
WebSEAL ��� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
vi �� 3.8
![Page 9: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/9.jpg)
�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
���� � �� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
HTML � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
����� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
����: ���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . 104
WebSEAL ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
��� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
HTTP � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
HTTP � �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . 109
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
HTTP � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
IP �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
IP �� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
IP �� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
�� �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
viiTivoli SecureWay Policy Director WebSEAL �� ���
![Page 10: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/10.jpg)
�� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
����� ��� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
��� �� ��� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . 114
MPA � �� ����� �� �� ���� � . . . . . . . . . . . . . 115
MPA �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
MPA� �� ��� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
webseal-mpa-servers ��� MPA �� �� . . . . . . . . . . . . . . . . . . . 117
MPA �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
�5� �� ��� �� � ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 119CDSSO �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
��� �� CDMF �� ����� �� . . . . . . . . . . . . . . . . . . . . . 120
CDMF� ��� CDSSO� �� �� ���� � . . . . . . . . . . . . . 120
CDSSO �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
CDSSO �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
�� �� ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
�� ���� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
CDSSO HTML � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
e-Community �� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
e-Community �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
e-Community ���� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
e-Community �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
“Vouch For” �� � �� �� � . . . . . . . . . . . . . . . . . . . . . . . 136
“Vouch For” ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
“Vouch For” �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
e-Community ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
�6� WebSEAL Junction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
viii �� 3.8
![Page 11: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/11.jpg)
Junction ������ �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . 146
���� � �� �� ��: �� . . . . . . . . . . . . . . . . . . . . . . . . 147
�� �� �� ��: �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
WebSEAL Junction ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . 147
WebSEAL Junction�� HTTP 1.0�� ���. . . . . . . . . . . . . . . . 148
WebSEAL Junction� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . 148
“pdadmin � ���”� ��� Junction �� . . . . . . . . . . . . . . . . . . . . . 149
�� WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
TCP �� Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
SSL �� Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
�� �� SSL Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
WebSEAL ��� � ���� ���� . . . . . . . . . . . . . . . . . . . 153
�� �(DN) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
WebSEAL ���� ���� ��� . . . . . . . . . . . . . . . . . . . . . . 154
WebSEAL BA �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Junction� � ���� �� �� �� . . . . . . . . . . . . . . . . . . . . 156
TCP � SSL ��� Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
SSL� �� WebSEAL�� WebSEAL�� Junction . . . . . . . . . . . . . . . . . 158
�� Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
�� Junction �� �(-f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
HTTP �� �� ���� �� ��(-c) . . . . . . . . . . . . . . . . . . . 161
HTTP �� �� ���� IP �� ��(-r) . . . . . . . . . . . . . . . . . 163
�� �� Junction � � � ��(-k) . . . . . . . . . . . . . . . . . . . 164
����� ���� �� URL ��(-i) . . . . . . . . . . . . . . . . . . . . . . . 165
���� � ����� ���������� URL ��(-j) . . . . . . . 165
Junction ��� ���� � �� URL �� . . . . . . . . . . . . . . . . . 170
Stateful Junction ��(-s, -u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Stateful Junction� �� ��� � UUID ��(-u). . . . . . . . . . . . . 173
Windows �� ����� Junction(-w) . . . . . . . . . . . . . . . . . . . . . . . 177
ixTivoli SecureWay Policy Director WebSEAL �� ���
![Page 12: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/12.jpg)
WebSEAL Junction ��� �� � ���� . . . . . . . . . . . . . . . . . . . . . 178
��� Junction�� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 178
Junction � �� �� HTML URL �� . . . . . . . . . . . . . . . . . . 179
Junction�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Junction� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
��� � �� query_contents �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
query_contents �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
�� UNIX � � query_contents �. . . . . . . . . . . . . . . . . . . . . . . 183
��� Win32 � � query_contents �. . . . . . . . . . . . . . . . . . . . . 183
query_contents ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
query_contents � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
�7� � �� � ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189�� �� � ���� �� BA � ��. . . . . . . . . . . . . . . . . . . . . . . . . 189
SSO(Single Sign-On) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
BA ��� ���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 190
���� �� � � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 191
�� ���� BA � �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . 193
���� BA � �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
GSO�� ��� � � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 195
GSO(Global Sign-on) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
GSO �� WebSEAL Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . 198
GSO �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
IBM WebSphere(LTPA)�� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . 200
LTPA Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
LTPA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
LTPA �� ���� �� � ���� . . . . . . . . . . . . . . . . . . . . . . 203
�8� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
x �� 3.8
![Page 13: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/13.jpg)
CGI ����� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Windows: WIN32 �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
��� � � ������ �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
�� ���� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
LDAP ����� ���� �� �� �� . . . . . . . . . . . . . . . . . . . . 209
��� �� ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
��� ���� �� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . 214
��� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
�� URL� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
�� URL ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
�� URL� ACL �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
�� URL� �� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . . . 219
�� � ���� �� URL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
POST ��� ���� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
�� � � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
�� URL ��: Travel Kingdom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
������. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
����� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
��A. webseald.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
��B. WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . 245“pdadmin � ���”� ��� Junction �� . . . . . . . . . . . . . . . . . . . . . 245
Junction �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
�� � � �� �� Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
xiTivoli SecureWay Policy Director WebSEAL �� ���
![Page 14: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/14.jpg)
�� Junction� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
��C. iKeyman�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 253iKeyman ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
�� WebSEAL ������ �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
�� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
�� �� � �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
�� �� CA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
�� CA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
������ �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
��� ��� ��. ��� �� ��. . . . . . . . . . . . . . . . . . . . . . 264
�������� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
������� �� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
�� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
������ �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
xii �� 3.8
![Page 15: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/15.jpg)
��
Tivoli SecureWay Policy Director WebSEAL � ��� �� �
� �����.
Tivoli SecureWay Policy Director WebSEAL � � ��� ��
Policy Director �� � �����. WebSEAL ���� ��
��� � � ��, �� � �� � ��� �� � policy� �
����. WebSEAL �� �� � ���� ���� � policy���� � ������ � ��� ��� � ����.
� � ����� � � ���� ��� ��� �� ��
�� �� ��� ����� . �� � ����� ����
WebSEAL ��� �� ��� ���� � �� ��� �����.
� �� ���� ��� ��� ���� ���� � ����.
¶ � ��
¶ ��� � � �� ��
¶ ���� ��� ��
¶ IT ��
¶ ������ ���
xiiiTivoli SecureWay Policy Director WebSEAL �� ���
![Page 16: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/16.jpg)
� �� ��
¶ �1�: WebSEAL ��
� ��� �� � ��� �� ��, ��, �� � �
WebSEAL junction � ��� WebSEAL �� ��� �
�����.
¶ �2�: WebSEAL �� ��
� ��� � �� �, ��� ���, ��� �, ���
� � ��� �� WebSEAL �� ACL � POP policy �
� ���� � WebSEAL �� ���� �� ��� ���
�� � ���.
¶ �3�: WebSEAL �� policy
� ��� ACL � POP policy, QOP(Qualtiy of Protection),step-up �� policy, ���� � �� policy, 3 ����� �
�� policy � �� �� policy � � WebSEAL�� �
policy� ���� �� ���� �� ��� �� ��� �
���.
¶ �4�: WebSEAL ��
� ��� ��� � ��, ����� ���, SecurID �
� �� � �� HTTP � ��� � � ��� �� �
��� ��� WebSEAL� ��� �� ��� �� ���
� ���.
¶ �5�: �� ��� �� � ���
� ��� WebSEAL ��� ��� �� ��(�, ����
WebSEAL � ��)� �� �� ��� �� � ���� �
���.
¶ �6�: WebSEAL Junctions
� �� WebSEAL junction� ��� ���� �� �� �
�� � ��� �� ����.
¶ �7�: � �� � ���
xiv �� 3.8
![Page 17: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/17.jpg)
� ��� WebSEAL ��� ��� �� ��(�, WebSEAL �
��� junction ������ � ��)� �� �� ��
� ���� � ���.
¶ �8�: ������ ��
� ��� ��� ������ ��� ���� �� ���
WebSEAL� ��� �����.
¶ �� A: webseald.conf ��
¶ �� B: WebSEAL Junction ��
¶ �� C: iKeyman�� ��� ��
��� ��� ���� �� �� ��� �� �� �� ��� �����.�� �� ����.
�� � � � ��, �� � �� ��� ��� �� �
� ��� �� ����.� �� ��� � �, � �� � � � ��� ����.
����� �� ��, ��� � � �� � ��� �
���.������ � ��, ��, �� ��, �� � ���� � � �
�� ���� ������ �� ����.
xvTivoli SecureWay Policy Director WebSEAL �� ���
![Page 18: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/18.jpg)
Policy Director �� ���� � Tivoli SecureWay Policy Director �� ���� ����
Policy Director �� � �����.
Tivoli SecureWay Policy Director �� ��
�� ���
Tivoli SecureWay Policy Director Base � ��
Tivoli SecureWay Policy Director WebSEAL � ��
�� ���
Tivoli SecureWay Policy Director Base � ��
Tivoli SecureWay Policy Director WebSEAL � ��(� ��)
Tivoli SecureWay Policy Director Plug-in for Edge Server � ��
Tivoli SecureWay Policy Director Web Portal Manager � ��
��� ���
Tivoli SecureWay Policy Director Authorization ADK Developer Reference
Tivoli SecureWay Policy Director Authorization API Java Wrappers
Developer Reference
Tivoli SecureWay Policy Director Administration API Developer Reference
Tivoli SecureWay Policy Director WebSEAL Developer Reference
�� ��
Tivoli SecureWay Policy Director ��� ��
Tivoli SecureWay Policy Director Performance Tuning Guide
Tivoli SecureWay Policy Director Capacity Planning Guide
��� �� ���Tivoli �� �� � ���(http://www.tivoli.com/support/)��� ��
� � ��� �����.
¶ ��� ��, � � �� ��, � �� � ��� ���
� ��� � ��
¶ �� ���� ��(FAQ)
xvi �� 3.8
![Page 19: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/19.jpg)
¶ ����� ��� ��
http://www.tivoli.com/support/getting/� Customer Support Handbook� ����.
����� Tivoli �� ��� ����� http://www.tivoli.com/support/documents/� ����. �� ��� � �� ��� ��
���� � � ����.
https://www.tivoli.com/secure/support/Prodman/html/AB.html#Security�� Policy Director � ��� �� ��� � �
����.
�� �� PDF � HTML ���� �� ��� ��� �� ��
���.
���� �� ��� ����� ID ��� �����. �� � �
���� ��� ID� ��� http://www.tivoli.com/support/getting/�� ����.
������ http://www.tivoli.com/support/smb/index.html�� Tivoli� �� � ��� �� ��� ������.
xviii ���� ��� ����� Tivoli � �� �� ��� ����
��.
xviiTivoli SecureWay Policy Director WebSEAL �� ���
![Page 20: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/20.jpg)
�� ��http://www.tivoli.com/support/Prodman/html/pub_order.html��
Tivoli ��� ����� ����� �� � ���� ��� �
����.
¶ �� ��: [email protected]
¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114
��� �� ��� ����� Tivoli �� ��� �� ���� ��� ���� ����,��� ����� �������. �� ��� �� ���� �
��� ��� �� � ���� ������.
¶ �� ��: [email protected]
¶ �� ��� �� �� ��: http://www.tivoli.com/support/survey/
�� �� ������ � Tivoli �� �� �� �� Tivoli ��� � ���
��� �� � ���� ������.
¶ �� ��: [email protected]
¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114
¶ � ���: http://www.support.tivoli.com
¶ Tivoli �� ��� ��� �� �� ���� ���� ���
� ��� ��� ��� �� ����.
xviii �� 3.8
![Page 21: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/21.jpg)
WebSEAL ��
Tivoli SecureWay Policy Director WebSEAL ���� �� ��
� � � ��, �� � �� � ��� �� � policy� ���
��. WebSEAL �� �� � ���� ���� � policy� �
�� � ������ � ��� ��� � ����.
� ��� WebSEAL � � �� ��� � �����.
�� �� �� ����.
¶ �WebSEAL� � �� ���
¶ 5 ���� �WebSEAL ��� �� ��
¶ 7 ���� ��� �� �� ��
¶ 9 ���� �WebSEAL Junction� �� ��
WebSEAL� � �� ��Tivoli SecureWay Policy Director WebSEAL � � ��� ��
Policy Director �� � �����.
WebSEAL ���� �� ��� � � ��, �� � �� � �
�� �� � policy� �����. WebSEAL �� �� � �
��� ���� � policy� ��� � ������ � ��� �
�� � ����.
1
1Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 22: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/22.jpg)
WebSEAL �� ��� �����.
¶ �� �� ��� ��
� � ���� ��� ��� �� ���� ���� � ��
� ���� �����.
¶ HTTP, HTTPS �� �
¶ WebSEAL junction �� �� ��� � �� �� � ��
¶ �� � ��� � � ��� �� �� �� �� �
���� �� URL, URL � � ��, CGI ����,HTML ��, Java servlet � Java �� �� ����.
¶ � � � ��� �� ��
WebSEAL ������� � � � ���� ���� ��
junction ��� � �� � ����� �����.
¶ �� �� � �� ��
�� 1. WebSEAL� � �� ��
2 �� 3.8
![Page 23: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/23.jpg)
�� �� � �� �� ��� ��� � ��� ��� ��� ���� � �� ��� �
�� ��� ���� ��� ���. �� �� �� ���� �
� ���� �� ����� � ���. �� �� � �� ��
� �����. � ������ �� �� �� ���� � �
WebSEAL ��� �����.
�� ���� �����.
¶ � ��� �� �
¶ � ��� ����� ���� ��� ��� �
¶ � ��� ���� � �� ��� WebSEAL �� ���
� � ��� �� �
� �� ��� �� ��� � �� ��� � � ����.
1. �� �� - ���� ��� ������.
¶ ���� � ����� HTTP� �� ��
¶ ��� �� �� ��� ����, ���� � ��
¶ �� WebSEAL �� ����
2. �� �� - ����� ��� �(���)� �����.
¶ HTTPS� �� ���� � ���� ��
¶ ������ � �� ���� ��� ���� ���� �
���� ���(�: �� �� �� �� ��� �� ��)
¶ ��� �� �� ��� ���� ���� � ��
¶ WebSEAL ��� ��� � ��
3. �� �� - ����� ��� �����.
¶ HTTP �� HTTPS� �� �� ���� ��
¶ ��� ���� ��� ��
3Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 24: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/24.jpg)
¶ ��� �� �� ��� ����, �� ��. ����
� ��� ������ �� ��� ��� �
¶ WebSEAL �� ����� �� ��� �� ���� �
policy� ��� ��� �
�� policy �� � ���� � policy� ��� �����.
1. ��� ��� � ��
2. �� �
Policy Director� �� �� � ����� � � ��� ��� �
� �����. �� �� � ���� ����� � ��� ��
� �� �� �����.
��� ��� �� �� ��� � ���� ���� �
policy� ������.
� ����� ��� ����.
¶ ACL(Access Control List) policy
ACL policy� ���� ��� ��� ���� �� ���
� ��� �����.
¶ POP(Protected Object Policiy)
POP� ��� �, ���, �� � �� �� � �� ��
��� ��� ��� �� ��� �����.
¶ � ��
� �� ��� ������(�: �� �� �� ���)� �
��� �� � �� �� �, ACL �� POP� ����
�� ����.
Policy Director� � ����� �� �� ������. �� ��
���� ���� �� � �� �� �� �� ��� ���� �
� �� �(��)��� ��� ���� �����.
4 �� 3.8
![Page 25: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/25.jpg)
� policy� ����� ����� �� �� �� ��(4 ����
�� policy �� � ���� �)� ���� ���� ���
ACL � POP policy� ��� ���. �� �� �� �� �
���� �� ��� � ��� � �����.
WebSEAL ��� �� ���� � ���� ������ ���� �� ���� �� ��
�� ���� ������. � � ����� �� ��� ���
��, � �� �� ����� ���.
WebSEAL � ����� ��� ���� � �����
�� �� ��� � ����. � ���� �� ��� ��
��� WebSEAL� � ���� ��, WebSEAL� �� � ���
� ��� ���� ���� �� ��� � ����.
� ���� �� �� �� �����. �� ��� �� �
��� �� ��� � ��� ��� � �� ��� ���� ��
� �����. �� ��� � ����� ����� ��� ��
��� ��� � �� ��� ��� ���� ����.
�� �� WebSEAL ��� �����.
¶ WebSEAL �� ���� ��� ���
�� 2. �� ��
5Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 26: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/26.jpg)
WebSEAL� ���� �� ���� �� �� ���� ��� �
����.
¶ WebSEAL ����� �� ���� ����
¶ WebSEAL �� ���� ��� ���. � ����
WebSEAL �� ���� ����� ��� ���� ��
�� � ��� � �� �� (�� ���� �) ��� ���
�.
��� �� ��� ��� �� � policy� � ���� ��
�� �� ���� ����� �� ��� ���.
��� ��WebSEAL �� ������ ������ ��� �� ���
� ��� ��� ���. �� ������ �� ��� ����.
1. �� ���� ���� ��� ����.
���� Policy Director ��� ������ �� ��� ��
� �� ���� ���� ��� ��� � ����. ��� �
�� ���� ���� � ��� �����.
2. WebSEAL ��� ���� � ����� �� ��� ��
���.
WebSEAL �� ���� ��� �� Policy Director �
�� ������. �� �� WebSEAL � ����� ��
� ��� �����. �� �� ���� ���.
���� ��� �, ���� � �� ��� �� �� ��
� �����.
�� ���� ��, WebSEAL ���� � ��� ����
�.
� �� WebSEAL �� �� � ���� �� �� ���
��� ���� ���� �� �� ����� ��� � �
���.
6 �� 3.8
![Page 27: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/27.jpg)
�� ����� � ��� ��� �� Policy Director ���
�� ��� � ����. �� Policy Director� �� ��, �� �
�� �� �� ���� ��� ��� � �� ���.
�� �� ��� ��� �� ��� �� 79 ���� �WebSEAL���� ������.
�� ��� �� ���� ����� 1�� � � ��� ���� ���� �
�� �� ��� ��� ����. ��� �� � ���� �
��� �� ��� ���� � �����.
Policy Director� ���� ��� ��� � �����. ����
�� �� �����. ��� ���� ���� ���� ��� �
��� �� ���� ����. ��� �� ��� ��� ��
� � ����. �� ��, �� ��� ���� �� �� ��
�� �� ���.
�� ����� ��� �� ��� �� ��� �����. � ��
� Policy Director ��� �����(����� LDAP)� ���� �
�� �� ��� �� �����. WebSEAL ��� � � �
� ��� EPAC(Extended Privilege Attribute Certificate)�� �� �
��� �� �� � � ��� �����.
�� 3. ���� �� �� ��
7Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 28: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/28.jpg)
��, �� � ��� � ��� �� �� ��� ���� � �
� ��� ����. � ��� � � � ��� ���� � �
����.
� ����� ���� ��� ���� �� �� ������ �
��� � �� � �� ��� �����.
Policy Director ���� ��� �� � ���� � �� ��� �
� ��� �����.
EPAC(Extended Privilege Attribute Certificate)�� ����� �� ��� ��� Policy Director ����� �
����.
�� ��, �� �� ���� ��� ���� ���� � ���
� �� ��� � �� ��� ����� ��� ����� ��
���.
EPAC�� Policy Director� ACL(Access Control List)� � ��
� � ��� UUID(Unique Universal Identifier)� �����.
Policy Director� �� � ���� ���� �����.
¶ �� ���
¶ WebSEAL junction� �� ��
�� EPAC ��� Policy Director� �����.
�� ��
�� ��� ID ����� � � ��� ���
���� UUID ����� UUID
�� UUID ����� �� ��� UUID
8 �� 3.8
![Page 29: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/29.jpg)
WebSEAL Junction� �� ��Policy Director� ����� �� ��, �� �� � � ����
�����. � � ������ �� ���� � ��� ���� �
��� ���� WebSEAL � , ��� � � � ���� ��
������ ��� �� � ����.
WebSEAL � ��� � ������ � �� ��� WebSEALjunction �� junction��� ���. WebSEAL junction ���
� WebSEAL � ��� � �� TCP/IP �����.
��� � � �� WebSEAL � ��� �� ���� ��� �
������ � � � ����. ��� � � �� WebSEAL � ��� �� �� junction(��) ����� WebSEAL �
� “��”���.
junction� � WebSEAL ��� � �� �� ���� ���
� ����. WebSEAL ��� ��� ��� � � ���� ��
�� ��� � �� � �� �� ��� ��� � ����. ��
� � � �� ��� �� �� ��� ���� �� �� ��
� ���� ��� � ��� Policy Director � ���� �
���(181 ���� ���� � �� query_contents ��� ��).
�� 4. junction WebSEAL ��� � � ���
9Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 30: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/30.jpg)
junction �� ���, ���� � �� � ��(�� �����
��� ���)� ��� �� ��� ��� � ��� ����
�. ����� � ��� �� �� �� �� �����.
WebSEAL junction ��� � � � ��� WebSEAL � � �
�� ���� ���� ��� ���. �� � �� junction����� ��� ���, �� �� �� � ��� �����.
����� � ��� ��� ��� ��� �� ����.WebSEAL �� URL ��� ��� � � ���� ��� ��
� ����. ����� � �� �� ���� ��� ���
�� ���� � �� � � � �� �� ���� � ����.
�� � �� ��� ��� � �� ��� �� �����
��. �� � ����� ��, �� ��� � ����� ���
�.
10 �� 3.8
![Page 31: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/31.jpg)
���� ��� � � �� �� � �� � ��� ��� ���
����. �� �� ��� �� �� ���� ��� �����.WebSEAL junction � � �� �� ���� ���� ��
��� �� �� ��� ��� ��� �� � ��� ���
��� � ����.
WebSEAL junction� � �� �� � ���� ��� �� ��
��. �� �� � �� ���� ��� ��� ��� ��� �
� ����� ���� ��� ��� � �� ���. ��� �
� �� ��� ���� ����� ��� �����.
�� 5. WebSEAL junction�� �� � ��
11Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 32: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/32.jpg)
WebSEAL junction � ���� �� ��� ����� �� ��
� �����. Junction �� � � ���� � ����� ���
� ��� �� � �� ���.
WebSEAL Junction � � ��� ���WebSEAL junction �� ��� ��� � ���� ���� � �
����. � ������ ��� ���� �� �� � � � �
� ���� ���� ��� �� � ����.
�� � �� � � ��� � ����.
¶ �� ���� ���� �� ��
¶ �� ���, fail-over �� � ����� � ��� ��� �
��� ��
��� ����� WebSEAL ����� � � �� junction �� ��� ��� ����
WebSEAL � �� �����. �� ���� WebSEAL � �
�� � ��� �� � ���� �� ���� �����. ��
��� ��� IBM Network Dispatcher �� Cisco Local Director � ����� �����.
���� ��� ���� fail-over ��� �����. � � ��
� ��� � �� ��� ��� � � ���� �� ���
��� �����. ���� �� ��� � fail-over �� ���
� ����� ����� �����.
12 �� 3.8
![Page 33: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/33.jpg)
���� WebSEAL � � ���� � � �� � �� � junction������� ��� ��� ����� ���.
��� �� �� ��� ��� ������ ���� �� ���
� � � ������.
��� �� ��� ���� �� WebSEAL � ��, ��� � �� � ��
���� ��� � ����. ��� � � �� WebSEAL junction �� � ��� ��� � � ���� ��� ��� � �� �
��.
� �� ��� � � ��� junction(��) ���� junction�
���. �� ��� �� ��� ����� �� � � � junction� � �����. � ������� ��� ��� � � � �
��� � ����� �� ���� �����.
�� 6. �� ���� WebSEAL �
13Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 34: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/34.jpg)
�� �������� junction� �� �� � �� � ��� �
��� ��� �����. � � �� ����� ��� �� �
�� �� ���� ���.
�� 7. ��� � junction
14 �� 3.8
![Page 35: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/35.jpg)
�� ��� � � �� ��� �� ��� ��� junction �
��� junction���.
��� ��� ���� ��� ��� � ����� ����� ��� � � ��
�� ���. �� ���� � � �� �����, �� ��
� � �� �� �� ���� � ��� ����� ���.
WebSEAL “�� ��” ��� ��� ���� �� � �
� �� ���� �����. � �� �� �� �� ���
� � � � �� ��� �����.
�� WebSEAL � � �� �� ���� �� ���� ��
� � ����� � � � �� ���� �����.
��� ������� � ����� ������ ��� ���� �
��� ��� ��� � � ���� �� ���� � statefuljunction� ��� � ����.
�� 8. �� � ��
15Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
![Page 36: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/36.jpg)
�� 9. �� ��� �
16 �� 3.8
![Page 37: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/37.jpg)
WebSEAL �� ��
� �� ���� ����� �� WebSEAL � � ���� ��
���� � ��� � �� � � ��� �� ���� �
�� ��� �� ����.
�� �� �� ����.
¶ 18 ���� �� � ���
¶ 21 ���� ��� ��� ���
¶ 26 ���� �� �� ��
¶ 33 ���� �HTTP � ��� ���
¶ 37 ���� ���� �� HTML ��� ��
¶ 38 ���� ����� � � � ��� ��
¶ 45 ���� ��� QOP(Quality of Protection) � ���
¶ 47 ���� ��� ������ �� � ���
¶ 48 ���� ����� WebSEAL � ���
¶ 50 ���� � HTTP �� ���
2
17Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 38: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/38.jpg)
�� �� ���� ���� WebSEAL � � � ��� � ���.
¶ �webseald.conf �� �� ���
¶ 20 ���� �WebSEAL �� �� �����
¶ 20 ���� �WebSEAL � �� �����
¶ 21 ���� �WebSEAL �� � ���
webseald.conf �� �� ��webseald.conf �� ��� �� ���� ���� WebSEAL� ��� ���� �� ��� � ����. �� �� ����� ��
��.
UNIX:
/opt/pdweb/etc/
Windows:
C:\Program Files\Tivoli\PDWeb\etc\
�� � �� � ���� ��� ����.
�� ���
WEBSEAL GENERAL [server]
LDAP [ldap]
SSL [ssl]
JUNCTION [junction]
[filter-url]
[filter-schemes]
[script-filtering]
[gso-cache]
[ltpa-cache]
18 �� 3.8
![Page 39: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/39.jpg)
�� ���
AUTHENTICATION [ba]
[forms]
[token]
[certificate]
[http-headers]
[auth-headers]
[ipaddr]
[authentication-levels]
[mpa]
[cdsso]
[cdsso-peers]
[failover]
[e-community-sso]
[inter-domain-keys]
[authentication-mechanisms]
[ssl-qop]
[ssl-qop-mgmt-hosts]
[ssl-qop-mgmt-networks]
[ssl-qop-mgmt-default]
SESSION [session]
CONTENT [content]
[acnt-mgt]
[cgi]
[cgi-types]
[cgi-environment-variable]
[content-index-icons]
[icons]
[content-cache]
[content-mime-types]
[content-encodings]
LOGGING [logging]
AUTHORIZATION API [aznapi-configuration]
[aznapi-entitlement-services]
POLICY DIRECTOR [policy-director]
19Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 40: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/40.jpg)
229 ���� �webseald.conf ���� ������.
�: webseald.conf ��� ��� ���� WebSEAL� ����
� �� ���� ����� � ���. ��� �� 21 �
��� �WebSEAL �� � ���� ������.
WebSEAL ��� �� ����WebSEAL ���� �� �� �� ����� ��� ����.
UNIX:
/opt/pdweb/
Windows:
C:\Program Files\Tivoli\PDWeb\
Windows� Policy Director � �� � ��� ��� � ����.Policy Director� UNIX�� �� �� � ��� ��� � ���
�.
� ����� � �� ����� ��� � <install-path>
�� �����.
UNIX ���� �� � ��� ����� �� �� � �� �
� �� � ��� ��� �� ����.
/var/pdweb/
WebSEAL �� �� ����webseald.conf �� ��� server-root ���� ��� WebSEAL� �� ��� �����.
[server]server-root = /opt/pdweb/www
webseald.conf �� ��� ��� �� �� �� � � ��
���� ����.
20 �� 3.8
![Page 41: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/41.jpg)
�: �� ����� � �� �� ��� ��� ���.
WebSEAL � � ��UNIX� ���� pdweb_start �� ���� Windows� ����
��� ���� ���� WebSEAL � ����� ���� ���
� ����.
UNIX:
pdweb_start {start|stop|restart|status}
�� ��, WebSEAL � � ��� � � ������ ��� �
�����.
# pdweb_start restart
pdweb_start � �� ����� ����.
/opt/pdweb/bin/
Windows:
��� ����� WebSEAL � ����� ���� ��� �� �
�� ������.
�� ���� ���� ���� WebSEAL � � � ��� � ���.
¶ 22 ���� �HTTP ��� �� WebSEAL ���
¶ 22 ���� �HTTPS ��� �� WebSEAL ���
¶ 23 ���� ��� SSL ������ �� ���
¶ 23 ���� �HTTP � HTTPS ��� ��� ���
¶ 24 ���� �HTTP/HTTPS ��� �� ��� ����
¶ 25 ���� ��� WebSEAL � ��� ����
21Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 42: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/42.jpg)
HTTP ��� �� WebSEAL ��WebSEAL ���� ���� � ���� � HTTP ��� �
����. �� ��, �� � ����� �� ��� �� � �
��� � �� ��� ��� �� �����.
TCP� �� HTTP �� ��� �� ����
webseald.conf �� ��� [server] ���� ����.
HTTP ��� ��/�� ���WebSEAL �� � HTTP ��� �� �� �� ����� ��
��.
http = {yes|no}
HTTP ��� �� � ��HTTP ��� �� ��� 80���.
http-port = 80
�� 8080�� ���� �� �� �����.
http-port = 8080
HTTPS ��� �� WebSEAL ��SSL(HTTPS)� �� HTTP �� ��� �� ����
webseald.conf �� ��� [server] ���� ����.
HTTPS ��� ��/�� ���WebSEAL �� � HTTPS ��� �� �� �� ����� ��
��.
https = {yes|no}
HTTPS ��� �� � ��HTTPS ��� �� ��� 443���.
https-port = 443
�� 4343�� ���� �� �� �����.
https-port = 4343
22 �� 3.8
![Page 43: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/43.jpg)
�� SSL ������ �� ��SSL � 2, SSL � 3 � TLS � 1� �� ���� �� ��
�� �� �� ����� � � ����. �� SSL � TLS ��
�� ��� ���� ���� webseald.conf �� ��� [ssl] �
��� ����. �����, �� SSL � TLS �� �����.
[ssl]disable-ssl-v2 = nodisable-ssl-v3 = nodisable-tls-v1 = no
HTTP � HTTPS �� ��� ���� ��� ���� �� � � ���� ��� � �� ��� �
��� �� �� �����. �� ��� ���� �� �� � ��
�� �� �� ��� ���� �� ��� ��� ���.
WebSEAL� ���� ��� ���� ���� � �� ��� ��
�� �� �� � ����. ��� ��� � � ���� ��� �
��� �� ���� ������.
� �� ���� �� �� �� �� ��� ��� ����. ��� ���� ����� ���� �� �� ���� ��� � �
� ��� �� ���� �����.
��� ��� ��� �� ���� � ������ ���� �
��� �� ����.
��� �� ���� ���� ��� ���� � ���� ��
��� �����. ��� ��� �� ���� � ��� ���
��� � � �� �� ��� ��� ���.
WebSEAL �� � ��� ��� ������ TCP, SSL ��
GSSAPI �� � ���� ����� ��� ���� �� ���
��� �� �������. ��� � ��� WebSEAL� �
� � ��� ���� ��� ��� ��� �� �� ��� � �
� ���.
23Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 44: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/44.jpg)
webseald.conf �� ��� [server] ��� ��� worker-threads ���� ��� ��� ��� � ��� ��� � ����.
[server]worker-threads = 50
�: � ���� �� ��� ���� ��� �� ����.
HTTP/HTTPS ��� �� ���� ����WebSEAL SSL� IBM GSkit(Global Security Kit) ��� ���
��. WebSEAL� HTTPS ������� ��� � � GSKitSSL� �� ��� �� ���� �� ��� �������.
WebSEAL HTTP � HTTPS ��� � �� � ��� �
��� �����. �� ���� webseald.conf �� ���
[server] ���� ����.
¶ client-connect-timeout
�� �� ��� �� ���� � ���� �� HTTP ��
HTTPS ��� � WebSEAL� �� � ��� ���� �
����. ��� 120����.
[server]client-connect-timeout = 120
¶ persistent-con-timeout
� ���� HTTP/1.1(HTTP/1.0 ��) ���� ����.��� HTTP/1.1 �� � � � � � � ����
WebSEAL� HTTP/1.1 �� ��� �� ��� �� ��� �
��� �� ��(�)� �����. ��� 5����.
[server]persistent-con-timeout = 5
24 �� 3.8
![Page 45: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/45.jpg)
�� WebSEAL �� ���� ������ � �� ��� ���� webseald.conf �� ����
����.
��� �� ���(�)
[junction] http-timeout TCP junction� � ��� �
� ���� ��� � ��
���� ��� �
120
[junction] https-timeout SSL junction� � ��� �
� ���� ��� � ��
���� ��� �
120
[cgi] cgi-timeout � CGI ����� ����
CGI ���� ���� ��
� �
120
�� 10. HTTP � HTTPS ��� �� ��� ���
25Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 46: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/46.jpg)
��� �� ���(�)
[junction] ping-time WebSEAL � ��� ��
�� � � junction � �
��� ���� Ping� ��
���. WebSEAL 300���
� � �� ���� ����
(�� � �� ���).
300
� �� ���� ���� � ��� ��� � ��� ���� � ���.
¶ �� �� ��� �� �����
¶ 28 ���� ����� �� ���
¶ 29 ���� �Windows: CGI ����� �� �� � �� �
��
¶ 30 ���� �� �� �� ���
� �� ��� �� ����� �� �� ��� WebSEAL�� ���� ��� �� �� ��
��� �� �����. � �� � webseald.conf �� ���
[content] ����� doc-root ���� � ����. WebSEAL� � �� �� �� ��� �� ����.
UNIX:
doc-root = /opt/pdweb/www/docs
Windows:
doc-root = C:\Program Files\Tivoli\PDWeb\www\docs
� � ���� WebSEAL� ��� � � �� �����. �
� �� � junction ������� ����. webseald.conf� �
� � �� � ������ ��� ����.
26 �� 3.8
![Page 47: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/47.jpg)
� �� pdadmin ����� ���� �� �� ���� �� �
� �� ���. �� ��(� � websealA�)��� � �
�� � ���.
1. pdadmin�� �������.
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
2. server task list �� ���� ��� �� junction ����
�����.
pdadmin> server task websealA list/
3. server task show �� ���� junction� ����� ��
���.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /opt/pdweb/www/docs
4. �� junction ���� ��� � � junction� ������. (�
junction� ��� �� junction �� � ��� -f ��� ���
��.)
pdadmin> server task websealA create -t local -f -d /tmp/docs /Created junction at /
5. �� junction ���� ������.
pdadmin> server task websealA list/
6. � junction� ����� �����.
pdadmin> server task websealA show /Junction point: /Type: Local
27Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 48: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/48.jpg)
Junction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /tmp/docs
���� �� ����� URL ��� ���� ��� � � WebSEAL� � �
��� �� ��� �� ��� � ����. � �� ��� ���
WebSEAL ��� ����� �����. ��� ��� WebSEAL� ���� ���� ��� ���� ��� ����� �����.
���� �� �� ��� �� ���� webseald.conf �� ��
� [content] ���� ����.
�� ��� ��� �� ����.
[content]directory-index = index.html
����� ���� ��� �� ���� � �� �� �� � �
���. �� ��, �� ����.
[content]directory-index = homepage.html
��� ����� directory-index ���� ��� �� ��� �
� �� ��� WebSEAL� ���� ���� ��� �����. �
� ���� ����� � ��� �� � �� ���� �� �
�� �� ����. ����� �� ��� ���� �����
� ����� �� ACL�� “list”(l) ��� ��� �� ����
��� �����.
�� ��� �� � �� ��� � WebSEAL�� ���� �
� ��� ���� ��� � ����. webseald.conf �� ���
[content-index-icons] ����� �� MIME �� � ��� �
.gif ��� ��� �� ����.
[content-index-icons]image/*= /icons/image2.gifvideo/* = /icons/movie.gifaudio/* = /icons/sound2.gif
28 �� 3.8
![Page 49: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/49.jpg)
text/html = /icons/generic.giftext/* = /icons/text.gifapplication/x-tar = /icons/tar.gifapplication/* = /icons/binary.gif
� ��� ���� � MIME ��� �� ���� ��� � ���
�. ���� ��� ��� ��� �� ����. �� ��, �� �
���.
application/* = http://www.acme.com/icons/binary.gif
��� �� ��� �� ��� �� ����.
¶ ������� ���� � ���� ���
[icons]diricon = /icons/folder2.gif
¶ �� ����� ���� � ���� ���
[icons]backicon = /icons/back.gif
¶ � �� �� ��� ���� � ���� ���
[icons]unknownicon = /icons/unknown.gif
Windows: CGI ����� �� �� �� �� ��webseald.conf �� ��� [cgi-types] ���� �� ���� �
��� CGI ������ ���� ��� Windows �� �� �
�� ��� � ����.
UNIX � ���� �� � �� ����� ����. ���
Windows � ��� ���� �� �� ��� ��� ���.[cgi-types] ���� ��� �� �� ��� ���� (��� �
�) � ��� ��� CGI ����� �����.
[cgi-types]<extension> = <cgi-program>
�����, ���� ���� �� ��� �� ���� ���
CGI ������ ����. CGI ����� ��� ���� ��
� ��� ��� ��� ���� ��� ����.
29Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 50: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/50.jpg)
��� .exe� �� Windows�� ������ ���� ���
���� ����.
�: ���� � Windows� .exe ��� ���� � � �
�� �� ���� ��� ����� ��(�: .zip)� �
� ���.
� ���� ��� ���� ��� � ��� �� ���
�� ��� ���. �� ��� ���� ����(.sh � .ksh), PERL ����(.pl) � Tcl ����(.tcl) �� ����.
�� ��� � [cgi-types] ��� �����.
[cgi-types]bat = cmdcmd = cmdpl = perlsh = shtcl = tclsh76
�: .bat � .cmd �� ���� �� � ��� ��� ���
�. ��� ��� ��� ������.
� �� �� ����� � �� �� �� ��� ����� ���� �� ���
� �� ��� ��� ���� �� ��� �� ����. ���
�� ��� WebSEAL � � junction ��� � �� ��
�� ����� ��� ���� ��� �����.
� �� �� ��� ���� ����� ���� � �� ���
WebSEAL � � ���� �� � ���� . �����
WebSEAL � �� �� ��� �� ��� ���� �� �
�� �� ���� ���.
�� ��� �� ��� �� � ��� ���� ��� � ���
�. ������ �� � �� ���� �� ��� ��� �
����.
30 �� 3.8
![Page 51: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/51.jpg)
� �� �� junction� �� ��� � � ��� WebSEAL��
� � ��� ���� ���� �����.
�� MIME ��� ��� �� �����. � �� ��� ��
WebSEAL� ��� � �� � �� ���� ������.
¶ �� MIME ��
¶ ��� ��
¶ ��� ��
webseald.conf �� ��� [content-cache] ���� � �� ��
� ������. �� ��� �����.
<mime-type> = <cache-type>:<cache-size>
��� ��
mime-type HTTP “Content-Type:” � ��� �� ���
MIME ��� ����. � � ����( * )� �
�� � ����. */*� � ���� �� ��� �
��� �� �� �� �� ��� �� �� � ���
����.
cache-type ��� ��� ���� ��� �����. � Policy
Director ���� “���” ���� �����.
cache-size “�� �� ��” ��� �� �� �� ���� �
� ��� ��� �� � �� �� ��(����� ��)
� �����.
��:text/html = memory:2000image/* = memory:5000*/* = memory:1000
� �� �� ��� �� ��� ����.
¶ ��� �� ���� ��� ���
¶ ���� ��� ���� ��
31Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 52: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/52.jpg)
¶ �� ��� ���� ���� �� �� ��� ���� �
� ��� ���� ��
¶ �� �� ��� �� �� ���� �� ���
�� �� ��pdadmin ����� ���� �� �� ��� ��� � ����.����� ���� �� ��� ��� �� ����.
pdadmin� ���� �� Policy Director �� sec_master� �
���� ���� ���.
�� � �� ��� ����� �� �� ������.
UNIX:
# pdadmin server task <server-name> cache flush all
Windows:
MSDOS> pdadmin server task <server-name> cache flush all
�� ��pdadmin ����� ���� ��� �� ���� �� �� ���
��� � ����. �� ��� ��� ���� �� ��� ��,� ��� � ���� ��� �� �����.
pdadmin� ���� �� Policy Director �� sec_master� �
���� ���� ���.
��� �� ���� �� ��� ��� �� �� ������.
UNIX:
# pdadmin server task <server-name> cache stat
Windows:
MSDOS> pdadmin server task <server-name> cache stat
32 �� 3.8
![Page 53: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/53.jpg)
HTTP �� ��� ��WebSEAL � � ��� � ���� ����� ����� �
�� ����. ��� � �� �� ��� � ����. �� �
�, �� ����.
¶ ��� ��
¶ �� �� ��� ���
¶ ���� � UNIX �� ���� ��� ��� � CGI ��
��� �� � ��
��� �� ��� ��� �� � � HTML � ���� “403Forbidden” � � ���� ����� �����. � �� �
���� ��� � � ���� ��� HTML ��� ����.
� �� �� ����� ��� ����.
UNIX: <install-path>/www/lib/errors/<locale-dir>
Windows: <install-path>\www\lib\errors/<locale-dir>
errors ������ � ��� ��� �� �� ���� ��
�� �� ��� ������� ����.
�� ��, �� �� ���� �� ���� ��� �� ����.
UNIX: <install-path>/www/lib/errors/en_US
Windows: <install-path>\www\lib\errors/en_US
� ����� ���� HTML ���� �� ���� ����� �
�� �����. �� HTML ���� ���� ��� ���� �
� ��� � ����. ��� � ��� �� ���� ��
� �� 16� ����. � �� �� ��� ���.
33Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 54: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/54.jpg)
�� �� �� �� ���� �� � ���� �� �� �
��� ��� �� ����.
� �� �� �� HTTP �
� ��
132120c8.html ��� � �� ���� ���� ����
� ��� � ����. ��� ��
� �� ����.
¶ ���� ���� � ����
��
¶ ���� ���
¶ ���� ��� �� �����
��� ���
1354a2fa.html �� �� �
����
�� ���� �� �� � ��
��� ��� �����. � ��
�� �����.
1898d259.html ���� �� ��
� ��
�� ��� WebSEAL � � ��
� � � ���� �� ��� ��
�����. ��� WebSEAL� ��
� ����� ���� � ����
������.
1898d25a.html ����� ��
�� � ��� ��
WebSEAL� GSO ������ ��
��� � � ����.
1898d25b.html ���� �� ��
�� � ��� ��
WebSEAL� GSO ���� ��
��� � � ����.
1898d25c.html ���� � ��
�� � ��� ��
�� ��� � �� GSO ���
�������. �� �� ���
��.
1898d25d.html ��� ��� �� ��� junction ��� � �
� � ���� ����
WebSEAL � � � � ����
�� ���� ���. �� � ��
�� � WebSEAL� ���� �
��.
34 �� 3.8
![Page 55: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/55.jpg)
� �� �� �� HTTP �
� ��
1898d25e.html ���� �� ��
� ��
�� ��� WebSEAL� �� �
� � ���� �� ��� �� �
����. ��� ��� ��� ��
�� � ��� �������.
1898d25f.html ��� � ��
��
WebSEAL� junction ��� � �
��� ��� � �� ���
����.
1898d421.html ��� ��� �� �� ����� �����
�. �� �� �� ���� �� �
���� � �����.
302
1898d424.html �� �� WebSEAL� ���� � HTTP �
�� ����.
400
1898d425.html ��� ��� �� ��� WebSEAL� � �
� ��� ��� ��� ����
� � ���� ���.
1898d427.html ��� ���� �� ��� ���� �
�� ��� �� ����.
403
1898d428.html � � �� �� ��� � � ����. 404
1898d432.html ���� ��� �
��
�� ��� � WebSEAL� ���
���� �� ��� � ����.
503
1898d437.html � � ����� WebSEAL � � ��� ��� �
���������. � � ��
� � ���� ����� ���
��� ��� ��� � ����.
1898d439.html �� ��� �� ����/� ��� junction ��
� � � �� ��� ��
stateful �������. WebSEAL
� � � ��� ���� ����
��� ��� �� �����.
1898d442.html ���� ��� �
��
WebSEAL�� ���� ����
SSL �� ��� � junction �
�� � � �����.
35Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 56: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/56.jpg)
� �� �� �� HTTP �
� ��
1898d7aa.html CGI ����� CGI ����� ��� ��� ��
���.
default.html � � WebSEAL ��� � �� �
��� ��� � ����.
500
deletesuccess.html �� ����� DELETE ��� ���
�� �������.
200
putsuccess.html �� ����� PUT ��� �����
�������.
200
relocated.html ����� ��� �� �� ����� �����
�.
302
websealerror.html 400 WebSEAL �
�
WebSEAL � �� ����. 400
��� ���� ��� �� HTML � ���� ���� �� ���� �
�� � ���� ��� � ����. ���� �� ��� ��
� ��� ���� �����.
��� ��
%ERROR_CODE% � �� �� �
%ERROR_TEXT% ��� ������ � � � ���
%METHOD% ����� ��� HTTP ���
%URL% ����� ��� URL
%HOSTNAME% ��� ��� �
%HTTP_BASE% � � �� HTTP URL “http://<host>:<tcpport>/”�
%HTTPS_BASE% � � �� HTTPS URL “https://<host>:<sslport>/”�
%REFERER% ������� �� � � �� “Unknown”(�� ��)
%BACK_URL% ������� �� � � �� “/”(�� ��)
%BACK_NAME% ��� �� �� ��� � “BACK”��� ��� � “HOME”
36 �� 3.8
![Page 57: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/57.jpg)
��� �� HTML ��� ��Policy Director� ��� �� ���� ����� ��� �� ��
� ����� ���� �� ��� � �� � HTML ��� ��
�� ����. ���� ��� HTTP �� HTTPS� �� ��, �
� � BA ��� �����.
�� ��� �� ��� webseald.conf �� ��� [acnt-mgt] �
��� �� mgt-pages-root ���� � �����.
mgt-pages-root = lib/html/<lang-dir>
� ���� ����� �� ��� ��� ���. �� �� �
� ����� �� ����.
lib/html/C
��� ��� �� �� ��� ����.
lib/html/JP
��� �� ��� ���� � ���� ��� HTML ��� ��� � � webseald.conf ��
��� [acnt-mgt] ���� ����. �� ���� ���� �� �
�� �� ��� ���� ��� �����.
��� ��� ���
login = login.html �� ���
logout = logout.html �� ���
account-locked = acct_locked.html �� ���
passwd-expired = passwd_exp.html �� ���
passwd-change = passwd.html �� ���
passwd-change-success = passwd_rep.html �� ���
passwd-change-failure = passwd.html �� ���
help = help.html �� ���
token-login = tokenlogin.html �� ���
next-token = nexttoken.html �� ���
stepup-login = stepuplogin.html step-up ��
37Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 58: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/58.jpg)
��� �� HTML ��� ��
�� ��
login.html ��� � � ��� �� �� ��
logout.html ���� �� ��� ���
acct_locked.html �� ���� � ��� ��� �� �� ��� ���
passwd_exp.html �� ���� � ��� ��� �� �� ��� ���
passwd.html �� � ��. �� � ��� � ��
passwd_rep.html �� � ��� ���� �� ��� ���
help.html ��� � ���� �� �� �� �� ���
tokenlogin.html �� ��� ��
nexttoken.html �� �� ��
stepuplogin.html step-up �� ��� ��
�� ������ � �� ���� ��� � ����. ��� ��
� ���� ���� ��� ��� � ����. ���� ��� �
� ���� �����.
��� ��
%USERNAME% ���� ���� �
%ERROR% Policy Director�� �� �� �� � �
��
����� � ��� ��� ��� ���� SSL� �� ��� ���� ���� � � � ��
���� ����� WebSEAL� ��� � ��� � � �� �
��� � ���.
WebSEAL �� ���� ���� �����.
38 �� 3.8
![Page 59: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/59.jpg)
¶ WebSEAL� � � ���� ���� SSL ����� � �
�� ���� ��
¶ WebSEAL� ����� ���� ���� junction ��� �
(�� ��� � ���)� � ��� ���� ��
¶ WebSEAL� CA(Certificate Authority) �� ���� �����
�� ���� ����� ���� ����� ���� �
� ���� ���.
¶ WebSEAL CA(Certificate Authority) �� ���� �����
�� ���� �� ��� � �� , junction ��� � � �
���� ��
WebSEAL SSL� IBM GSKit(Global Security Kit) ��� ���
� �� ���� ���� ����. GSKit iKeyman ����
� ���� �� ��� WebSEAL � /���� ��� � CA �
� ���� ���� �� ��� ������� ��� ��
��.
WebSEAL �� ���� �� SSL ��� ���� � ��
�� ����� �����.
¶ �� ������(pdsrv.kdb)
¶ �� ������ �� ��(pdsrv.sth) � ��(“pdsrv”)
¶ � �� �� CA �� ���
¶ WebSEAL� SSL ����� � ��� ���� � ��� �
�� �� � ��� ���
� ��� ���� ��� � �� CA(Certificate Authority)��� ���� ���� ���� ���� �� ����.
WebSEAL ��� ��� �� ���� ��� �����.
¶ 41 ���� �WebSEAL� �� ������ ��� ���
¶ 43 ���� �iKeyman ��� � ���� ���
39Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 60: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/60.jpg)
¶ 44 ���� �CRL �� ���
GSKit � ������ �� ��� �� ��IBM Key Management ��(iKeyman)� �� � �� �� �
� �� ��� �����.
CMS ������� ��� .kdb� �� � � ��� �� �
��� �����. .kdb �� � ������� ��� � ��
���. .kdb ��� �� ��� �� ������ ��� �
� ��� ��� ���� � ����.
.rdb � .crl �� � ��� ��� ��� � �����. CA �
�� �� ������ .rdb ��� �����.
� ��
.kdb “ ������” ��. Personal Certificates, Personal Certificates
�� � Singner Certificates� ����. �� ��, ��
WebSEAL ������ �� pdsrv.kdb���.
.sth “��” ��. ������ ��� ��� �� ����. �
��� �� � � .kdb �� �����.
.rdb “��” ������ ��. .kdb ������ ��� ��� �
���� �����. � ��� �� � � .kdb �� �
����. � ���� �� ��� �� � �� CA��� ��
� � ��� ��� �� ����. CA��� ���� ����
.rdb ���� ���� ��� ��� ��� �����(�� �
����). ����� ��� ���� � �� � ��� ��
� .rdb ���� �����. ����� ��� ���� ���
��� �����. ��� ���� �� �, ��, �� � ��
� �� �� ��� �� � �� � �� �� �
� ����.
.crl “��� �� ��” ��. � ���� �� �� ��� � ��
���� ��� �� ����. ��� iKeyman ��� ��
�� ��� ���� ���� � ��� �� ����.
40 �� 3.8
![Page 61: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/61.jpg)
� ��
.arm ASCII �� ���� ��. .arm ���� �� � ����(�
� � ��) ���� Base-64 �� ASCII �� �� ���
�. ��� ���� ��� ���� ASCII �� ����. �
��� .arm ��� ���� �� iKeyman� ASCII �� �
��� ��� .kdb ��� ���� �� �����. ����
�, ���� .kdb ����� ��� ��� iKeyman� �����
� ASCII� ���� ��� �� .arm ��� �����. .arm
��� ASCII ���� ��� �� ���� � CA� ����.
�: �� ��� Base64 �� ��� �� .arm� �� �� ��
� �� ���� ��� � ����.
.der “�� � �” ��. .der ���� �� � ����(��
� ��) ���� ���� �� �� ����. � �� ASCII
� ��� ���� �� �� ���� .arm �� �� ���
��.
.p12 “PKCS 12” ��. ��� PKCS� “Public-Key Cryptography
Standards”� �����. .p12 ���� �� � �� � � �
���� ���� ���� �� �� ����. .p12 ���� �
� ��, ���, ���� ��� CA� ���, CA ���� ��
� � ���� ��� � �� � � ��� ���� �� ��
�� ����. .p12 ���� �� � �� ���� ��� ��
���.
WebSEAL� �� � ������ ���� ��WebSEAL ��� � �:
��, WebSEAL �� ��� ������� �����.webseald.conf �� ��� [ssl] ���� �� webseal-cert-keyfile���� � ��� � ��� �����.
[ssl]webseal-cert-keyfile = /var/pdweb/www/certs/pdsrv.kdb
iKeyman ����� ���� �� ������� ��� � �
���. ��� ��� �� ��� � ��� webseal-cert-
41Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 62: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/62.jpg)
keyfile ���� ���� WebSEAL� � ������� ��
���� �� ��� � ����.
��� � � ��:
��, WebSEAL pdsrv.kdb ��� �� ��� ���� �
� �� ��� �����. webseal-cert-keyfile-stash ����
WebSEAL� �� ��� ��� � ���.
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
� �� ��� �� �� ��� “pdsrv”���. ���
webseal-cert-keyfile-pwd ���� � ���� �� � ���
�. �� ��, �� ����.
webseal-cert-keyfile-pwd = pdsrv
��, WebSEAL �� ��� ���� �� ��� ����.webseal-cert-keyfile-pwd� ��� ����. �� ��� ����
webseald.conf �� ��� �� ��� ���� ��� �� �
� � ����.
�: ����� �� �� ���� �� ��� �����. �� �
�� ��� �� ���� �� �� �����.
WebSEAL ��� ���:
��, WebSEAL �� � �� ��� ���� �����.� � ��� ��� �� ��� ���� SSL ����� �
WebSEAL� ��� � �� ���.
� ��� ���� ���� �� � ���� � � ���� ��
����� ��� ����. ��, webseal-cert-keyfile-label ��
�� ���� �� � � ���� ���� �� �������
� “���”�� �� �� ���� �����.
webseal-cert-keyfile-label = WebSEAL
42 �� 3.8
![Page 63: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/63.jpg)
��� ���� WebSEAL� SSL �� ����� ��� �� �
��� ����� ��� �� ����. (������ ��� �� CA���� ���� �� ����.) �� ���� �� �� � ��
WebSEAL ��� ����� � ���� ��� � ��� ���
�� ����.
iKeyman ����� ���� CA(Certificate Authority)� ����
��� ��� ������. iKeyman� ���� �� � ���
� ��� ��� ����.
�� ����(�: -K junction)��� �� ���� ���� ���
� iKeyman ����� ���� ��� ���� �� � ��� �
��� �� � ����. �� ��� ��� ���� ��
�.
WebSEAL(�����, user ivmgr� ��) � ������ �
�� � � ��� ��� ��� ���.
�� 253 ���� �iKeyman�� �� ��� ������.
�� Policy Director �� SSL ��:
webseald.conf �� ��� [ssl] ����� �� Policy Director �
� �� SSL ��� � WebSEAL� ���� ��� ��
�� � ���� � �� �� ���� �� ����. � ���
� pdconfig �� ����� ��� ��� ���.
[ssl]ssl-keyfile =ssl-keyfile-pwd =ssl-keyfile-stash =ssl-keyfile-label =
iKeyman ��� �� ���� ��iKeyman ����� GSKit �� ���� ���� WebSEAL� �
��� �� ���� ��� � ��� � ����. iKeyman����� ��� ������.
¶ �� ��� ������ ��
43Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 64: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/64.jpg)
¶ ������ �� �
¶ �� WebSEAL ��� ��
¶ �� �� WebSEAL ��� ��
¶ ���� �� �� � �� ��
¶ CA �� ��� �� � �
¶ ������� �� �� � �������� �� ��
¶ ��� �������� �� ������� �� ��
� ��� ��� � iKeyman� ���� �� �� ��� ��
253 ���� �iKeyman�� �� ��� ������.
CRL � ��CRL(Certificate Revocation List) �� �� ��� ��� ���
�� ������. CRL ���� �� ��� ��� �����.WebSEAL� ���� SSL� GSKit �� CRL ��� �����.GSKit WebSEAL� ����� ���� CRL ��� ����
SSL junction���� ��� � ��� ���.
WebSEAL CRL ��� ���� � � ��� ��� �� �
��. ��� ���� � CRL ��� ��� ��� � ��
LDAP � � �� ���� webseald.conf �� ��� [ssl] �
��� ����.
[ssl]#ssl-ldap-server = <server-name>#ssl-ldap-server-port = <port-id>#ssl-ldap-user = <webseal-admin-name>#ssl-ldap-user-password = <admin-password>
�����, CRL �� ��� � ����(���� ��� ��).��� ���� � CRL ��� ����� � ���� ���
��� ��� �� ������.
ssl-ldap-user� �� �� SSL �� ���� �� �����
LDAP � � ������ ��� �� �����.
44 �� 3.8
![Page 65: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/65.jpg)
�� QOP(Quality of Protection) �� ��QOP(Quality Of Protection)� ���� SSL(HTTPS)� �
WebSEAL� ���� � ��� �� ��� �� ��� � �
���. �� QOP �� webseald.conf �� ��� “SSLQUALITY OF PROTECTION MANAGEMENT” ���� ���
� ���� �����.
¶ ssl-qop-mgmt ���� QOP � �� � �� ���
¶ [ssl-qop-mgmt-default] ����� ��� ��� � ��
1. QOP � ��:
[ssl-qop]ssl-qop-mgmt = yes
2. HTTPS ��� �� �� ��� � ��:
[ssl-qop-mgmt-default]# default = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128default = ALL
�� �� ��� ��� �� ����.
[ssl-qop-mgmt-default]default = RC4-128default = RC2-128default = DES-168
�� ��� � ����� �� QOP ��ssl-qop-mgmt = yes ��� �� [ssl-qop-mgmt-hosts] �
[ssl-qop-mgmt-networks] ���� ���� �� �����. ��
���� �� ���/����/����� IP ��� QOP �� �
���.
45Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 66: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/66.jpg)
[ssl-qop-mgmt-default] ���� [ssl-qop-mgmt-hosts] �
[ssl-qop-mgmt-networks] ����� ���� �� �� IP ��� �
��� ��� �����.
���� �� �� �� ��:
[ssl-qop-mgmt-hosts]# <host-ip> = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128xxx.xxx.xxx.xxx = ALLyyy.yyy.yyy.yyy = RC2-128
����/������ �� �� �� ��:
[ssl-qop-mgmt-networks]# <network/netmask> = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128xxx.xxx.xxx.xxx/255.255.255.0 = RC4-128yyy.yyy.yyy.yyy/255.255.0.0 = DES-56
[ssl-qop-mgmt-hosts] � [ssl-qop-mgmt-networks] ���� ���
�� ��� �����. Policy Director 3.8 ����� ���� �
� �� ����.
46 �� 3.8
![Page 67: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/67.jpg)
�� ������ �� � �� ��Management Server� ��� �� policy ������ � ���
� �� �� Policy Director � � �� �� �� ��� ���
�. Policy Director ��� ���� � ���� �� � policy� �� � ����. Management Server� � policy ����
��� ��� ��� �� ������� ��� ��� ����.
Management Server� ��� �� ������ �� �� policy �
��(WebSEAL �)� ���� � ���� �� ��� ���
���� ��� ���� �� ��� �� � ����. �� ��
policy ���� ��� �� ��������� � ������ �
�� ��� ���.
�� �� � policy ����� WebSEAL�� �� ������
�� � ��� ���� � �� ��� ����.
¶ Management Server���� �� �� ��(�� ����, ���
�� ���)
¶ ���� ���� ��� �� ������ ��( )(�� ���
�, ����� �� ����)
¶ �� � � � ��
webseald.conf �� ��� [aznapi-configuration] ����� ��
�� �� � ������ ��� �� ���� �� ����.
WebSEAL� �� ��� �� policy ������� ��� db-file ���� �����.
[aznapi-configuration]db-file = /var/pdweb/db/webseald.db
� �� �� ��listen-flags ���� WebSEAL� �� �� �� ��� �� �
�� ����� ���. ��� ��� ���� ����. ��� �
� ����� ��� “disable”� ������.
47Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 68: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/68.jpg)
[aznapi-configuration]listen-flags = enable
tcp-port ���� ���� �� TCP ��� �����.
[aznapi-configuration]tcp-port = 12056
udp-port ���� ���� �� TCP ��� �����.
[aznapi-configuration]udp-port = 0
�� ������ �� ���� ��� � ����� ��� �� ������� ���
WebSEAL� ��� � ����. cache-refresh-interval ����
“default”, “disable” �� � ��� �� �� ���� �� � �
���. “default” � 600�� ����. �����, � ��
� � ����.
[aznapi-configuration]cache-refresh-interval = disable
����� WebSEAL �� ��
�: �� ��� Policy Director� �� ��� �� �� pdadminserver modify baseurl �� ����.
��� �� ����� ���� WebSEAL � � ���� �
�� ��� � failover ��� ���� �� ����. ����
WebSEAL � � ���� � � �� � ��, junction �����
� � dynurl ������� ��� ��� ����� ���.
� �� Policy Director� �� �� ��� ��� ����
WebSEAL � � ��� �����. pdadmin � �� � �
��� ���� ����.
�� ���� “WS1” �� WebSEAL � � ��� ���,“WS2”� ��� WebSEAL � � ��� ����.
48 �� 3.8
![Page 69: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/69.jpg)
1. WS1 � � WS2 � �� WebSEAL� ��� ������.
2. WS2�� WebSEAL� ������.
3. WS2�� webseald.conf �� ��� server-name ��� �
� “WS2”�� “WS1”� �����.
[server]server-name = WS1
4. WS2�� WebSEAL� �������.
WS2 � � �� �� ��� �� ��� /WebSEAL/WS1 �� �
� �����. WS2 � �� /WebSEAL/WS1 �� ���� ��
�� �� object list � object show �� � �� � ���
�.
pdadmin ����� �� /WebSEAL/WS2 �� �� �� � ��
� ���� �����, ��� ���� ��� � ����.
pdadmin> object delete /WebSEAL/WS2
�� �� ����.
¶ �� �� � �� �: ��� �� �� � �� ��� �
� ����� �� �� WebSEAL � � � �� � ��
��� ���� � �� ��� �� �� � � ���
�� �� � ����.
¶ �� �� ��: WS2 � � WS1 � � ������ ���
� WS2 � � /WebSEAL/WS1� �� ��� �� ��� ��
���.
¶ �� ��: ���� WebSEAL ��� ��� ���� �
�� � ��, junction ������ � dynurl ������ ��
� � � �� ��� ���.
49Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 70: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/70.jpg)
�� HTTP �� ��WebSEAL ���� ��� ��� ���� � �� ��� HTTP�� ��� �������.
¶ request.log
¶ agent.log
¶ referer.log
�����, �� �� �� ������ �������.
UNIX: /var/pdweb/www/log/
Windows: C:\Program Files\Tivoli\PDWeb\www\log\
HTTP �� ��� �� ���� webseald.conf �� ���
[logging] ���� ����.
�� � HTTP �� �� �� �� ��� �� ����.
�� � �� ��� ��/�� ��� ���
(= yes �� no)
request.log requests-file ��
referer.log referers-file ���
agent.log agents-file ����
�� ��, request.log ��� �� ��� �� �� �� ��
�����.
UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Program Files\Tivoli\PDWeb\www\log\request.log
50 �� 3.8
![Page 71: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/71.jpg)
HTTP �� �� �� � �� ��������, �� HTTP �� �� �����.
[logging]requests = yesreferers = yesagents = yes
� ��� �� �� ����� ����� �� ���� � ���
�. �� ���� “no”� ��� ��� �� � ��� �
��� � ����.
���� �� ���� ��� �� ���� �(GMT)� �� ����� � ��
� ����� ��� � ����. �����, �� ���� ��
�� �����.
[logging]gmt-time = no
GMT ����� ����� �� �� �����.
gmt-time = yes
�� �� �� ��� ��max-size ���� � HTTP �� ��� �� ��� ����, �
��(���) �� ����.
[logging]max-size = 2000000
�� ��� �� �(�� ����� ��)� ���� ��� �
� �� � ����� �� � �� ��� �����. �� �� �� ��� �����.
�� ��� �� max-size �� ��� �� ����.
¶ max-size �� 0�� � ��(< 0), �� �� ��� ���
�� ���� ���� ���� ��� ��� ��� ����
��� 24���� � �� �����.
51Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 72: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/72.jpg)
¶ max-size �� 0� ��(= 0), �� � ���� �� �� ��
���� �����. �� ��� �� ��� ���� ��
���� �����.
¶ max-size �� 0�� � ��(> 0), �� ��� �� ����
���� �� � �����. ��� � �� �� ��� ���
���� �� ���� �����.
�� �� � ��� �� � ���� �� ��� ���� �����. ���� �� ��
� ��� � ��, � � �� �� � ��� � ��� ��
���� � � ����.
�����, �� �� 20�� � �� �����.
[logging]flush-time = 20
��� ��� ���� �� ��� �� � �����.
request.log� ���� �� �� ��WebSEAL ��� junction ������ � ��� �� HTMLURL� ���� �����. webseald.conf �� ��� [filter-url]���� ��� � ���� ��� WebSEAL� ���� URL �
�� �����. ��� �� 179 ���� �Junction � �� �
� HTML URL �� �� ������.
��� junction � ��� �� � ��� � URL� ���
� �� ��, WebSEAL �� �� junction ���� ���� URL���� �����. ����� ���� ����� ����� URL� ��� � ����.
���� ����� �� ���� �� �� ��� junction �
�� WebSEAL� �� �� ���� �� � ����.
� �� Policy Director WebSEAL� ���� request.log ��
� � ���� �� ��� ��� � ����(�� ��). ��
52 �� 3.8
![Page 73: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/73.jpg)
��� ��� ���� � ��� ��� ����� webseald.conf�� ��� [logging] ���� �� log-filtered-pages ����
�� � ����.
���� � ��� ��� ����� ���� “yes”(���)�
�����.
[logging]log-filtered-pages = yes
�� ��� ��� ����� ���� “no”� �����.
[logging]log-filtered-pages = no
HTTP �� �� ��(request.log)Policy Director � � �� �� �� �(�� �� )� ��
� HTTP �� �� ��� ���� request.log ��� � �� �
��� �����.
host - authuser [date] request status bytes
���,
host ���� ��� IP ��� �����.
authuser � ��� �� HTTP ��� From: � �� �
���. “unauth”� � ���� � ����� �
����.
date ��� � � ��� �����.
request ������� � ��� ��� �� �����.
status ���� ��� �� �� HTTP �� �� ��
���.
bytes ���� ��� �� �� ��� �� �����.� � ���� � �� ���� �� ����
log-filtered-pages ���� �����.
53Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 74: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/74.jpg)
request.log �� ��request.log� �� URL� �� �� �� � ��� �� �
���� �� ��(�: IP ��) � HTTP ��� ��� �
����.
�� ��� request.log ��� � ����.
130.105.1.90 - - [26/Aug/2001:17:23:33 -0800]"GET /xsmith/private_html/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:23:47 -0800]”GET /icons HTTP/1.0" 302 93
130.105.1.90 - - [26/Aug/2001:17:23:59 -0800]"GET /icons/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:24:04 -0800]"GET /xsmith/private_html/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:24:11 -0800]"GET /xsmith/ HTTP/1.0" 403 77
agent.log �� ��agent.log �� HTTP ��� �� User_Agent: �� ��� �
����. � ��� � ��� � ��� � �� � ���
� ����� �� ��� �����.
�� ��� agent.log ��� � ����.
Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)
referer.log ��referer.log� HTTP ��� Referer: �� �����. � ���
� � ��� �� ��� �� �� �� ��� �����.
� ��� ��� ��� �����.
referer -> object
� ��� � ���� ��� �� �� �� ���� � ����
�. � ��� referer� � ��� ��� object� �� �� �
����� �����. � ��� �� �� ���� ���� �
�� �� �� �� �� ���� � ��� ���.
54 �� 3.8
![Page 75: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/75.jpg)
�� ��� referer.log ��� � ����.
http://manuel/maybam/index.html -> /pics/tivoli_logo.gifhttp://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gifhttp://manuel/maybam/ -> /pddl/index.htmlhttp://manuel/maybam/ -> /pddl/index.htmlhttp://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gifhttp://manuel/maybam/ -> /pddl/index.html
55Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
![Page 76: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/76.jpg)
56 �� 3.8
![Page 77: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/77.jpg)
WebSEAL �� policy
� ��� WebSEAL � policy� ���� ���� �� ��� �
�� ��� � �� ��� ���� ����.
�� �� �� ����.
¶ �WebSEAL �� ACL policy�
¶ 59 ���� �3 ����� ��� policy�
¶ 61 ���� ��� �� policy�
¶ 65 ���� ��� �� POP policy(step-up)�
¶ 72 ���� ����� � �� POP policy�
¶ 75 ���� �QOP(Qualtiy of Protection) POP policy�
¶ 76 ���� ����� � ��� ��(HTTP/HTTPS)�
WebSEAL �� ACL policy��� � ����� �� �� � �� � /WebSEAL ����
� �����.
¶ WebSEAL �� �� �� � ��� WebSEAL region� ��
ACL ��� ��� ���
¶ �� �� ACL� ���� ��� � �� �� �� � ��
� � policy� (��� �) ���
3
57Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 78: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/78.jpg)
¶ � �� � � �� ��� �� �� ����� Traverse(T)��� ���
Policy Director ACL policy� �� ��� �� Tivoli SecureWayPolicy Director Base � ��� ������.
/WebSEAL/<host>� ������ �� WebSEAL � � � ��� �� ����. �
�� � ����� � �� �� �����.
¶ � �� ��� �� �� ����� Traverse(T) ��� ��
�
¶ �� �� ACL� ���� ��� � �� �� � ��� �
� �� �� � ��� � policy� (��� �) ���
/WebSEAL/<host>/<file>�� HTTP ��� � ���� �� �� ����. �� �
� �� ��� �� ����.
WebSEAL ACL ���� � �� � ��� WebSEAL region� ��� � �� ACL��� � ����.
�� ��
r � � �� � ��
x � CGI ���� �
d �� � ���� � �� � ��
m �� HTTP �� � ��(HTTP �� �� WebSEAL �
� � ��� �� - ��)
l �� � ��� �� ���� ��� ���� �
Management Server� ���
� �� �� “index.html” ���� ���� ��
�� ����� ����� ��� � � ��� �
�� ��
58 �� 3.8
![Page 79: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/79.jpg)
�� ��
g �� ����� ���� ����� WebSEAL � �
��� ���� � ��� junction WebSEAL �
� ��
� /WebSEAL ACL policyWebSEAL ACL� default-webseal� � �� �� ����.
Group iv-admin TcmdbsvarxlGroup webseal-servers TgmdbsrxlUser sec_master TcmdbsvarxlAny-other TrxUnauthenticated T
��, ��� �� ACL �� � ��� /WebSEAL ���� �
� �� �����.
webseal-servers ���� � ���� � WebSEAL � � �� �
�� �� ����. �� ��� ���� � � ���� ��� �
� � ����.
Traverse(T) �� Web Portal Manager� � � �� � ��
� �� ����. �� ��� ���� Web Portal Manager� ���� ��� �� � ����.
3 ����� ��� policyLDAP � Policy Director �� �� ��� 3 ����� ���
policy� ���� �� ��� �� ��(n) � �� �� ��
(x)� ���� “n”�� ��� �� �� “x”� � �(��
��� ���� ��) � ����.
3 ����� ��� policy� ��� �� ��� �� � �����.Policy� ��� � ��� ��� �� �� ���� �� �
� � ����� �� ��� �����. �� ��, policy� � �
� �� � 180� �� ��� ��� � ����. � �
59Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 80: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/80.jpg)
�� policy� �� 1� ��� � ��� ��� � � �� �
�� �� ��� ��� ��� �� � ����.
3 ����� ��� policy�� �� � �� pdadmin policy �
�� �����.
¶ � ��� ��� �� ��
policy set max-login-failures
¶ ��� �� � �� �� ��
policy set disable-time-interval
�� � �� �� �� �� �� ��� ��� �� ��
� �� ��� � ����.
�� ��, ��� policy� � �� �� �� �� �� �
��� �� ��� ��� � �� ����� ���� ���
� ��� �� policy� � ����� ��� ��� � ���
�� � ���� �����.
�� �� � ��� �����(�� � �� �� 60�).
disable-time-interval policy� “disable”� ��� ��� ����
�� ���� � ���� �� �� LDAP �� �� “no”�
����. ��� Web Portal Manager� � ��� �� ���
� ����.
�: disable-time-interval� “disable”� ��� �� � � ��
� �����. �� �� ��� WebSEAL � � ��� ��
��� ��� � ����. � �� LDAP ��� �� ���
�. �� �� LDAP �� �� ��� �� ��� �� �
� ��� �� �� ����. ��� ��� ��� ��� �
��� �� ����.
60 �� 3.8
![Page 81: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/81.jpg)
� ���� pdadmin � LDAP ������� ��� �� �����.
�� ��
policy set max-login-failures {<number>|unset} [-user <username>]
policy get max-login-failures [-user <username>]
��� ��� �� � ��� �� �� ���
���� policy� ����. � � policy setdisable-time-interval �� �� ��� �� ���
�.
���� ��� policy� �� ����� �����
LDAP ������ �� �� ����� �����
��� � ����.
�� � 10�� �����.
policy set disable-time-interval {<number>|unset|disable} [-user<username>]
policy get disable-time-interval [-user <username>]
� ��� �� �� ��� ��� ��� ��� �
� ����� � ��� ���� �� policy� �
���.
���� ��� �� policy� �� ����� ��
��� LDAP ������ �� �� ����� �
���� ��� � ����.
�� � 180����.
�� �� policyLDAP � Policy Director �� �� ��� �� �� policy�
�� policy �� �� �� �� ��� �����. Policy Director� �� � �� �� �� policy �� ��� �����.
¶ 5 pdadmin �� policy �
61Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 82: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/82.jpg)
¶ �� policy� ���� �� ��� � �� PAM(PlugableAuthentication Module)
Tivoli SecureWay Policy Director WebSEAL Developer Reference� ������.
pdadmin ����� �� ���� �� �� policypdadmin ����� � �� 5�� �� �� �� �� ��
��.
¶ �� �� ��
¶ �� ��� �
¶ �� � ��� �
¶ �� � �� �
¶ ��� ��
pdadmin �� Web Portal Manager� ���� ��� �� ��
� pdadmin, Web Portal Manager �� pkmspasswd �����
�� �� � policy� �� �����.
� ���� pdadmin � LDAP ������� ���� ���� ��
���. unset �� � policy ��� ��� � �� ���. �,policy� �� ���� ����.
�� ��
policy set min-password-length {<number>|unset} [-user <username>]
policy get min-password-length [-user <username>]
��� �� ��� ���� policy� ����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 8���.
62 �� 3.8
![Page 83: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/83.jpg)
�� ��
policy set min-password-alphas {<number>|unset} [-user <username>]
policy get min-password-alphas [-user <username>]
��� � ���� ���� ���� policy� �
���.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 4���.
policy set min-password-non-alphas {<number>|unset} [-user <username>]
policy get min-password-non-alphas [-user <username>]
��� � � ���(��)� ���� ����
policy� ����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 1���.
policy set max-password-repeated-chars {<number>|unset} [-user<username>]
policy get max-password-repeated-chars [-user <username>]
��� � � ��� ���� ���� policy�
����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 2���.
policy set password-spaces {yes|no|unset} [-user <username>]
policy get password-spaces [-user <username>]
63Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 84: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/84.jpg)
�� ��
��� �� �� �� ��� ���� policy� ��
��.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � � �������.
� policy ���� ��� � policy ��� � ���� ��� ����.
��� ���
min-password-length 8
min-password-alphas 4
min-password-non-alphas 1
max-password-repeated-chars 2
password-spaces ��� ��
Policy Director� �� ����� ���� �� policy� �����
�� �� 5�� �� ���� unset ��� ������.
�� ��� �� � ��� ���� ��� 5�� pdadmin ���� ���� ��� �� �
�� �� �� policy �� �����.
�� �
password ���� ��. ��� ��� ���� �� ��� �
�� �
pass ���� ��. ��� 8�� ��� ��� �
passs1234 ���� ��. � � ��� ��� ��� ���
12345678 ���� ��. ��� � �� ���� ��� �
password3 ��
64 �� 3.8
![Page 85: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/85.jpg)
�� ��� � ��� ��pdadmin policy � �� ���� � ��(- user ���� �
�) � �� ��� �� �� ����(- user ��� ���� �
�). �� �� ��� � policy� �� �� �� �����.���� �� ���� �� ��� ���� policy ���� �
��� ��(unset) �� ����. unset ��� �� �� policy� �
��� �� �� ���� ����.
�� ��, �� ����.
pdadmin> policy set min-password-length 8
pdadmin> policy set min-password-length 4 -user matt
pdadmin> policy get min-password-length
Minimum password length: 8
pdadmin> policy get min-password-length -user matt
Minimum password length: 4
(��� matt� � �� �� �� �� policy� ����. �� ��
���� 8�� �� �� policy� ����.)
pdadmin> policy set min-password-length unset -user matt
(�� ��� matt� 8�� �� �� �� �� policy� ���
�.)
pdadmin> policy set min-password-length unset
(�� ��� matt� ��� �� ���� �� �� �� policy� �
�� ����.)
�� �� POP policy(step-up)�� �� POP policy� ���� �� �� ���� �� ����
��� �� �� �� ��� ��� � ����.
65Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 86: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/86.jpg)
Step-up ������ ��� � ��� ���� �� ��� ���
���� ���� �� ��� �� ���� ���� � � ��
��. �� ��� �� ��� ��� ���� ���� � ���
�� � ����.
�� ��, ��� WebSEAL ���� �� � ����� ���
� ��� ��� �� ��� ��� step-up POP policy� ���
� � ��� junction region� ��� �� ��� � ����.
�� �� policy� POP policy� IP ����� �� �����
����.
Step-up ��� �� �� ���� �� �� ��� � �� ��� ���� �� ���� ��
�� � �� ���� ��� �� ��� ���� ����.
WebSEAL � � ���� �� ����� ����� ���
�� WebSEAL� ��� � ��� ���� “���� ��” ��
“��” � �� �� ����.
�� ���� �� � �� �� �� ���� � ��� ��� �
� “�” �� ���� �� �����. �� ��, ��� ���
� �� ��� �� �� ��� ��� ��� �� ����
�� ��� �����. � �� �� �� � �� � ���
�.
����� ��� �� �� �� ���� �� � ����
� WebSEAL� ��� ����� �� � �� ����. Step-up�� ��� �� ���(�)� ���� �� ��� � �� �
�� ��� ����� �����.
Step-up ���� ���� ��� ���� � �� �� ��� “” �� �� ��� ��� ���� � � “���” ����
�� ��� ��� �����. ��, �� �� ����
66 �� 3.8
![Page 87: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/87.jpg)
�� ��� ���� �� �� � ��� ����. ���� �
�� ��� ��� � ��� ��� ��� ����.
WebSEAL step-up �� ����� ���� �� � �� �� �
��(�)� �����.
¶ ���� ��
¶ ��
¶ �� ��
webseald.conf �� ��� [authentication-levels] ����� ��
�� ������. ���� � �� �� �����.
[authentication-levels]level = unauthenticatedlevel = password
� ����� ����� ��� ��� ��� 0 - 2� � ��
� �����.
¶ “Unauthenticated” ���� ��� ���� � ��� ��� �
�� � �� 0� �����.
¶ � ���� �� �� ��� � ����.
71 ���� �Step-up �� �� � ������ ������.
¶ �����, �� � �� 1� �� “password”� �����.
¶ Step-up ��� ����� ��� � �� ��� ��� ���.
�: ��� �� ��� �� �� ��� �� 79 ����
�WebSEAL ���� ������.
Step-up �� ��Step-up �� ��� �� �� ��� ��� �� �� ��� POPpolicy� � �����. POP policy� IP ����� �� ��� �
�� ������.
67Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 88: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/88.jpg)
pdadmin pop modify set ipauth � IP ����� �� ���
��� � ���� � �� �� �� �����.
�� �� � IP �� ��� �� � ����. � ����
��� ���� �����. IP ��� ���� �� �� �� ��
�� ��� anyothernw(�� �� ����)� � �� ���
�� � ����. � � IP ��� ��� ���� �� ��
��� ��� �� �� ���� ��� �����. �� step-up�� ��� �� � ��� ������.
��:
pdadmin> pop modify <pop-name> set ipauth anyothernw <level-index>
anyothernw �� POP� �� ���� � �� ��� ���
� ���� ���� ��� �����. � ���� ���� ��
�� IP ��� ����� �� � ����� ���� ���
��� ��� �� ��� ���� � �����.
�����, anyothernw� �� � �� 0�� POP� �����.� �� pop show �� “Any Other Network”� �����.
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method policy
Any Other Network 0
��
1. webseald.conf�� �� �� ������.
[authentication-levels]level = unauthenticatedlevel = token-card
2. IP ����� �� ��� POP ��� ������.
68 �� 3.8
![Page 89: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/89.jpg)
pdadmin> pop modify test set ipauth anyothernw 1
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: mon, wed, fri:anytime:localIP Endpoint Authentication Method policy
Any Other Network 1
� policy�� ��� “unauthenticated”(� 0)� ���� ��
���� � �� �� �� ���(� 1)�� step-up� ��
���. POP policy� � ���� �� �� ��� ����,���� � �� ������ ��� � �� ��� �
���� � ��� �����.
�� 72 ���� ����� � �� POP policy�� �����
�.
Step-up ��� ��WebSEAL �� ����� step-up POP policy� ����� �
��� ���� �� �� ��� �����. � HTML ��� ��
� webseald.conf �� ��� [acnt-mgt] ���� �� stepup-login���� � �����.
[acnt-mgt]stepup-login = stepuplogin.html
� HTML ��� login.html �� tokenlogin.html ��� ��� �
� ���� ����� �� ��� � ����.
� ���� %TEXT% �� ���� ���� ���, � ��
� ��� �����. � ��� WebSEAL� ���� �� �� �
� ��� ���� ��� �!��� �� � �� �� ���� �
�� ����� ���. � ��� � ��� � � �� ��
� ���� �� ���� ����� � �� ����.
69Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 90: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/90.jpg)
Step-up �� ����WebSEAL �� ��� ���� POP� �� ��� ����
�.
�� 11. ��� � � �� step-up ��� �� ��� ��
�� 12. SecurID �� �� step-up ��� �� ��� ��
70 �� 3.8
![Page 91: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/91.jpg)
1. POP� �� IP ����� �� ��� policy ��
2. ACL �� ��
3. POP� �� �� policy ��
4. POP� �� �� � policy ��
Step-up �� �� � ����
1. Step-up �� HTTP HTTPS� � �� �����.
2. HTTP ������ HTTPS�� step-up� � ����.
3. ���� �� � ���� ��� � �� ����� �� �
�� �� !� ���� ���.
4. ���� � ���� � �� ��� � ����.
5. ��� �� step-up ��� ���� ���� ����.
�: Step-up �� �� ����� ���� ��� ����
�����. ����� ����� ���� WebSEAL�
���� WebSEAL� ���� ���� �� ��, �
���� 0� � �� �� ���� � ��� ����
�.
�� ���� ���� step-up ��
���� �� �� �� ��
�� �� ��
�� �� ��
6. �� � �� ���� � ����. �� � �� ��
� �� ��� �� ��� �� ������ �� ����
�.
�� ���� �� ��� � ��� �� �� ��� � �� �
� �� ���� � �����.
��� �� ��� ��� �� ����� ���� WebSEAL�� �� �� �� ���� ��� ���� �����.
71Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 92: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/92.jpg)
7. � �� �� �� ��� ��� �� � 0, 1, 2���. �
� �� �� ���� ��� WebSEAL POP� �� �� �
� �� ��� ��� � ���� �����.
8. webseald.conf �� ���� step-up �� �� ���� ��
���� ��� WebSEAL ��� step-up ��� �� ����
� ���. ��� �� �� �� �� ���� ��� ��
POP� � ���� �� �� � �� ��� ���� ��
�� � � ��� �� �� ��� ���� � ����.
step-up �� �� ��� �� webseald.log ��� ���
� �� � ���� ��� ������.
���� �� �� POP policy���� � �� POP policy� ���� IP ��� ��� � �
� �� �� �� ��� ���� ���. � ��� ���� �
� IP ��(�� IP �� ��)� � ���� �� ��� ���
� �� �� � ����.
�� � policy� step-up �� ��� ��� � ��� ��� ��
IP �� ��� �� �� �� ���� ��� �� ����.
���� � �� policy� POP policy� IP ����� �� ��
� ���� ����. � ��� �� � � �� ����� �
�� ���.
¶ �� �
¶ � ����
�� �� ��WebSEAL step-up �� ����� ���� �� � �� �� �
��� �����.
¶ ���� ��
¶ ��
72 �� 3.8
![Page 93: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/93.jpg)
¶ �� ��
� ����� ����� ��� ��� ��� 0 - 2� � ��
� �����.
webseald.conf �� ��� [authentication-levels] ����� ��
�� ������. ���� � �� �� �����.
[authentication-levels]level = unauthenticatedlevel = password
���� � ��� ��� � � �� �� ��� � ����. ���, “unauthenticated”� � 0�� “password”� � 1���.
�� 66 ���� �Step-up ��� �� � ���� ������.
IP �� � �� ���� POP policy� � ��� IP �� � IP �� ��� ��
� ���.
pdadmin pop modify set ipauth add � IP ����� �� �
�� ��� �� ����(�� ���� ��) � �� �� �� �
����.
��:
pdadmin> pop modify <pop-name> set ipauth add <network> <netmask><level-index>
�� �� � IP �� ��� ����. � �� ���� �
��� �� ����. IP ��� ���� �� �� �� ���� �
�� anyothernw(�� �� ����)� � �� ��� �� �
����. � � IP ��� ��� ���� �� ����� �
�� �� ���� �� ��� ��� ���.
��:
pdadmin> pop modify <pop-name> set ipauth anyothernw <level-index>
73Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 94: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/94.jpg)
�� �� �� ���� IP ��� �� � ���� ��
�� ����� ���� ��� � 0� ���� ����� ��
� “���”� ������.
anyothernw �� POP� �� ���� � �� ��� ���
� ���� ���� ��� �����. � ���� ���� ��
�� IP ��� ����� �� � ����� ���� ����
��� ��� �� ��� ���� � �����.
�����, anyothernw� �� � �� 0�� POP� �����.� �� pop show �� “Any Other Network”� �����.
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method policy
Any Other Network 0
�� � �� �� ��� �� 66 ���� �Step-up ��� �
� � ���� ������.
��IP �� ��� 9.0.0.0�� ������ 255.0.0.0� ���� � �
� 1(����� “password”)� ����� ����.
pdadmin> pop modify test set ipauth add 9.0.0.0 255.0.0.0 1
�� ���� � 0 ��� ����� ����.
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.255 0
�� ���(�� ��� ���� �� � �� ���)� � ��
�� ���� �� ������.
pdadmin> pop modify test set ipauth anyothernw forbidden
74 �� 3.8
![Page 95: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/95.jpg)
IP ��� �� step-up �� �� �����:
pdadmin> pop modify <pop-name> set ipauth remove <network> <netmask>
�� ��, �� ����.
pdadmin> pop modify test set ipauth remove 9.0.0.0 255.0.0.0
���� �� �� ����WebSEAL POP� �� ��� ���� � �� ��� ���
��.
1. POP� �� IP ����� �� ��� policy ��
2. ACL �� ��
3. POP� �� �� policy ��
4. POP� �� �� � policy ��
���� �� �� �� � �������� � �� policy� �� ���� � WebSEAL� ���
� IP ��� TCP �� ���� IP ���� ���. ���� �
��� HTTP ���� ���� ��, WebSEAL� ���� ���
��� � � IP ��� � ����.
� ��, WebSEAL �� ���� IP ��� ���� ��� �
����. ���� ����� WebSEAL � � �� ��� � �
� ���� � �� policy� ��� �� ��� ���.
QOP(Qualtiy of Protection) POP policyQOP(Qualtiy of Protection) POP ��� ���� �� � �� �
�� ��� �� �� ��� � ����.
�� � �� WebSEAL ���� �����.
QOP(Qualtiy of Protection) POP �� �� �� Policy Director�� ��� � � ��� ����� ����� “P” � “I” ACL �
75Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 96: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/96.jpg)
� ��� ��� ����. �� QOP(Qualtiy of Protection)� �
� ��� ��� �� � ��� ���.
QOP POP �� ACL ��� �� “yes” �� �� QOP(Qualtiyof Protection)� ���� �� ����� ����. �� ��(�: WebSEAL)� �� �� �� ��� ��� ��� �����.
pdadmin> pop modify <pop-name> set qop {none|integrity|privacy}
QOP �� ��
����� ��� ���� �����(SSL).
��� ���� ��� ��� �� �� ���� �����.
�� ��, �� ����.
pdadmin> pop modify test set qop privacy
���� � ��� ��(HTTP/HTTPS)WebSEAL HTTP � HTTPS� � �� ��� ���� �
���� ��� �����. �� �� WebSEAL �� �� �
��� �� �� ��� �� ��� ���� ���� � policy� �����.
�� �� SSL� � ����, ���� � ����� ���
��.
¶ ���� � ��� WebSEAL ��� �� � �� �
��� �� � ����� ������.
¶ ���� � ��� WebSEAL ��� SSL ���� � � �
�� �����.
��� ��������� �� ��
1. �� ����� WebSEAL� �����(HTTP �� HTTPS� �).
76 �� 3.8
![Page 97: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/97.jpg)
2. WebSEAL ����� �� ���� � ��� �����.
3. �� �� �� �� � �� �� �����.
4. �� �� ���� � �� �� �� ACL� ���� � �
���� ��� ���� �� ��� ���� �����.
5. � �� ��� ���� ��� Read(r) � Traverse(T) ���
����, ���� � ACL ��� �� ����.
6. ��� �� ��� �� ����� ��� ��(BA �� �
� ��)� ���.
��� ��� ��� �� �� ���� ACL policy� ��, ���� � ���
��� ��� ��� ���� � ���� ���� ��� � �
���.
Read(r) � Traverse(T) �� � �� �� �� ���� �
��� ����.
���� � ���� ���� ����� � �� �� ����
�� ACL policy� ��, ���� � ���� Read(r) ��� �
�����. ���� ��� � ��(BA �� �� ��)� ���.
���� � HTTPS� �����HTTPS� �� WebSEAL�� ���� � ��� ���� ��
� ��� ������ ��� ����.
¶ �� ������ �� ���� ���� �� ��� �� �
� �� � ��� ��� �����. ��� �� ���
�� ���� �� � ����.
¶ �� ������ ����� ���� �� ���� ���
��� �� �����. �����, ��� ��� ����� �
����� ���.
77Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
![Page 98: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/98.jpg)
ACL/POP policy� ���� � ��� �
�: “�� ���” �� �� “any-other” �� �� ����.
1. ���� � ���� �� �� �� ��� ���� ��
� ���� �� � �� ��� ��� �� Read(r) �
Traverse(T) ��� �� ACL� �� ��� ������.
���� �� Tr�� ��� Tr
�: ���� �� �� ��� ��� � � ��� ��� �
� ���(“and” �� ��)���. ���� ��� �� ��
��� � ��� ���� ���� ���� �����.���� �� � ���� � ��� � ���, ACL�� ��� �� ���� ��� ���� � �� ��� �
���. ACL� � ��� �� ���� ��� �� ��,�� � ���� ��� ��� ���� �� ����.
2. ���(SSL)� ����� ��� �� ���� ����
POP(Protected Object policy)� ��� ������.
��� �� 75 ���� �QOP(Qualtiy of Protection) POPpolicy�� ������.
78 �� 3.8
![Page 99: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/99.jpg)
WebSEAL ��
� ��� WebSEAL� �� ��� ������ ��� ���� �
�� � ���. ���� �� ���� ���� PolicyDirector ��� ����. WebSEAL � ��� ���� ����
�� ��� ����. �� �� �� ���� � ���� �
� ��� �� ��� ���� �����.
�� �� �� ����.
¶ 80 ���� ��� ����� �� ��
¶ 83 ���� ��� �� ��
¶ 94 ���� ��� �� ���
¶ 100 ���� ��� �� ���
¶ 102 ���� ��� �� ���
¶ 104 ���� ������ ��� �� ���
¶ 108 ���� �HTTP � �� ���
¶ 111 ���� �IP �� �� ���
¶ 111 ���� ��� �� ���
¶ 113 ���� ������ ��� ���� ���
4
79Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 100: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/100.jpg)
�� ����� �� ���� � ���� ������ ���� �� ���� �� ��
�� ���� ������.
¶ WebSEAL ����� � �� �� ���� ���� �� �
��� ��� � ��� ���� �� ��� � ����.
¶ WebSEAL� ��� ��� �� Policy Director ��� ���
�� �����.
¶ WebSEAL � ��� ���� ���� �� ��� ����.
¶ �� �� ���� � ��� ���� � �� �� �� policy��� ACL ���� POP ��� ��� �� �� �� �
� ��� ���� �����.
�: ACL = �� �� �� policy POP = �� �� � policy
�� � WebSEAL ���� ���� �� � ��� ��
���.
¶ �� ���
�� ���� ���� WebSEAL � �� �� ��� �
��� �����. �� ���� ����� ��� � �
���� �� � ��� �����. �� WebSEAL � � �
� ���� ��� �� ���� � ��� �� � ��� �
��� � ��� ��� � �����.
¶ �� ���
�� ���� WebSEAL � � ����� ���� ���
�� �����. �� ��� ����� ����� ���, �
� � �� �� ����.
WebSEAL ���� ��� � � �� �� ���� �� �
� ���� � ����. �� ���� ���� �� �� ��
�� ���� ����.
80 �� 3.8
![Page 101: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/101.jpg)
���� �� ��� ��WebSEAL �� � �� ��� ��� �����.
1. SSL ID(SSL ����� � ���)
2. � �� �� �
3. BA � ���
4. HTTP � ���
5. IP ��
WebSEAL ���� ��� ��� � � ��� �� ����
�� ���� �����.
���� �� ��WebSEAL �� ���� ����� ����� ��� ����
� ���� ���� �� ���� ������. �� �� ��
� �� ��� �� � WebSEAL �� ������ �� ��
� �����.
�� � �� ���� WebSEAL� � �� �� � ��
���.
�� �� ��� �
1. failover � HTTP � HTTPS
2. CDSSO ID �� HTTP � HTTPS
3. ����� ��� HTTPS
4. �� �� HTTP � HTTPS
5. �� ��(��� � � ��) HTTP � HTTPS
6. �� ��(��� � � ��) HTTP � HTTPS
7. HTTP � HTTP � HTTPS
8. IP �� HTTP � HTTPS
WebSEAL ���� ��� ��� � � ���� �� ���
� �� ���� �����.
81Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 102: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/102.jpg)
HTTP � HTTPS �� � �� � �� ���� ����� ��
� �� ����� � � ����. �� ��� � �� �� ��
�� ���� ��� � ��� ���� ����� �� �� �
���� ��� �����.
��� �� ��� �
¶ 83 ���� ��� �� ��
¶ 94 ���� ��� �� ���
¶ 100 ���� ��� �� ���
¶ 102 ���� ��� �� ���
¶ 104 ���� ������ ��� �� ���
¶ 108 ���� �HTTP � �� ���
¶ 111 ���� �IP �� �� ���
¶ 111 ���� ��� �� ���
¶ 113 ���� ������ ��� ���� ���
¶ CDAS ��
Tivoli SecureWay Policy Director WebSEAL Developer Reference� ������.
82 �� 3.8
![Page 103: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/103.jpg)
�� �� ������ � �� � �� �� ���� � � �� �� �
�� �� � �� ��� �� ��� ���� ��� ��� ��
� ���. � � � �� � ����� ���� � �� �
�� �� �� ��� ��� ��� ���.
���� � �� �� �� ��� ��� � � ��� �
���� � �� ��� ��� ���. �� �� ���
����/� ��� �� �� �� �� �� ����� ��
� ������. ����� � � ����� ���� �� ���
� ���� ��� �� ��� � � ����.
WebSEAL HTTP � HTTPS ��� � � �����. HTTP�
“stateless” ������ �� �� ��� ���� �� ��� ��
�� ����. �, SSL �� ���� �� �� ��� ����
�� �� �� ID� ����� �� ����. HTTP ��
HTTPS� ��� SSL �� ���� � ����.
��� WebSEAL �� ���� � �������� HTTP �
�� ��� ���. SSL �� ID� ��� ���� �� �� ��
��. ���� WebSEAL �� �� ��� ���� ����
�� ��� ������� ����.
1. SSL ID
2. � �� �� �
3. BA � ���
4. HTTP � ���
5. IP ��
GSKit � WebSEAL �� ���� ��� ���� � � �� �������� �� ID ���
�� � ����. HTTPS � HTTP �� �� ��� � � ���
� ��� � �� �� ��� �� �����.
83Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 104: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/104.jpg)
¶ WebSEAL �� ��
WebSEAL �� ��� � ����� � �� �� ��
�� ��� �� ID ��(�� �� ��)� ����.
�� �� � ��� ����� ������� ���� ���
� �� ��� � �� ��� �����.
¶ GSKit SSL �� ID ��
GSKit �� ��� SSL �� ID ��� ���� �� ��� �
���� � HTTPS(SSL) ��� �����.
GSKit ��� �� WebSEAL LDAP ��� ����� ��
SSL ��� �� �� �� ��� �������.
� ��� � ��� ��� ��� � �� �� �� �� �� �
��� ��� � ����. �� �� ��� ���� ��� �
���.
�� 13. �� �� �� ���
84 �� 3.8
![Page 105: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/105.jpg)
WebSEAL �� �� ��WebSEAL ��/�� ��� �� � �� ���� ��� � �
���.
¶ �� �� �� � � �
¶ �� �� ��� � �
¶ �� �� ��� ��� � �
�� �� �� � � ��webseald.conf �� ��� [session] ���� �� max-entires ���� WebSEAL ��/�� ��� �� �� �� �� ����.
� � �� ��� �� �� ����. �� ��� � �� ��
�� � ��� �� ��� �� ���� ��� ���� �
� ���� ���� ����.
�� ��� ��� �� ��� 4096���.
[session]max-entries = 4096
�� �� ���� � ��webseald.conf �� ��� [session] ���� �� timeout ��
�� WebSEAL ��/�� ��� ��� �� �� � ����
����.
WebSEAL �� ��� ����� �����. �� �� ���
���� �� �� ��� WebSEAL� ���� �� �� ���
�����.
���� ��� ���� ����. � “�� ���”� ��
“�� �”� �����. �� �� ��� ��� ���� �
��� �� ����� �� �� ���� �� ����.
�� ��� �� ���(� ��)� 3600���.
85Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 106: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/106.jpg)
[session]timeout = 3600
�� �� ��� ���� � ��webseald.conf �� ��� [session] ���� �� inactive-timeout���� ��� �� ���� �� ��� �� ����.
�� ��� �� ��� ���(� ��)� 600���.
[session]inactive-timeout = 600
��� ��� ���� ���� ��� �� “0”�� ����
�.
GSKit SSL �� ID �� ���� � �� ���� GSKit SSL �� ID ��� �� ����
�.
¶ �� �� ��� � �
¶ �� �� �� � � �
�� �� ���� � ��GSKit SSL �� ID ��� ��� �� �� � ���� ��
� ���� webseald.conf �� ��� [ssl] ���� ����.SSL V2 ��� �� ���(ssl-v2-timeout) SSL V3 ��� �
� ���(ssl-v3-timeout), ��� � �� ���� ����.
�� SSL V2 �� ���(� ��)� 100���(��� ��� 1-100).
[ssl]ssl-v2-timeout = 100
�� SSL V3 �� ���(� ��)� 7200���(��� ���
1-86400).
[ssl]ssl-v3-timeout = 7200
86 �� 3.8
![Page 107: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/107.jpg)
�� �� �� � � ��webseald.conf �� ��� [ssl] ���� �� ssl-max-entries ���� GSKit SSL �� ID ��� �� �� �� �� ����.
� � �� ��� �� �� ����. �� ��� � �� ��
�� � ��� �� ��� �� ���� ��� ���� �
� ���� ���� ����.
�� ��� ��� �� ��� 4096���.
[ssl]ssl-max-entries = 4096
�� ��� �� �������� � �� �� ��� ������ � �� �� �
� ���� � �� ��� ������ ����. � � �� �
���� �� �� ��� �� ���� ����� ����
� ����. �� � ��� � ����� �(�� �� ��)� � � ������ ���� ������.
�� �� ����� �� � �� � SSL ��� �� ��
�� ����� ��� � ��� � ��� �����. �� ��,�� Microsoft Internet Explorer ���� 2 - 3� ���� SSL��� �� �����.
�� �� ����� � ��(10� ��)� ��� �� �� �
� ����� �� ���� ���� �����. � ���
�� ��� �� ��� �� ��� ��� � �� “� �”���� ���.
�� �� �� � � �� ��� ����� � ���� �� �
���� �����. �� ��� �� ��� ���� �� ���
�. �� �� � policy� ���� ����.
�� ��� �� ��WebSEAL � � �� �� �� �����. �� �� �
� ���� �����.
87Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 108: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/108.jpg)
¶ �� �� ���� ���. �� ��� ���� ��
¶ �� ���� ����� ���(�� ���� � ���
���� ��)
¶ �� � ���(�� ���)
¶ �� �� � � � ���� �� �� �� � ��� ��
�� ��
�� ID �� �� � �� ���webseald.conf �� ��� [session] ���� �� ssl-id-sessions���� �� �� �� �� �� ����� ���. � ��
�� HTTPS� � ���� ����� �� ��� �� ��
��� SSL �� ID� ���� ��� �����. � ���� “no”� ��� ���� �� ���� �� �� �����.
[session]ssl-id-sessions = no
� ���� “no”� �� ��� HTTPS� � ���� �
���� � �� � ��� �����.
1. SSL �� ID� �� �� ID ����� ���� ����.
2. failover �, CDSSO ID ��, �� ��� � � ��, ��
��, ����� ���� ���� ����� ��� �
����� � �� �����.
3. use-same-session = yes� ���� �� �� ����� �
�� �����(�� � ��). ��� ��� �� ID ���
� BA �� �����.
4. HTTP �� ���� ����� �� �� ID �����
HTTP �� �����.
5. IP ��� ���� ����� �� �� ID ����� IP �
�� �����.
88 �� 3.8
![Page 109: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/109.jpg)
�� ���� �� ��� ����� ���� ��� �� � �
� �� ����� ����. ��� �� ������� ��� �
� � �� ��� � � �� �����. �� ����� ���
���� ���� ���� ���� � �� ���� �� �
�� � ����. �� ���� �� WebSEAL �� �� failover�� �� �� �� �� � ����.
�� �(���� failover ��)� ����� WebSEAL� ���
� webseald.conf �� ��� [session] �����
resend-webseal-cookies ���� ��� WebSEAL�� �� �
�� �� � � failover �� ����� ���� � � �
���. ��� ��� �� � � failover �� ���� ����
�� ��� ��� ��� ���.
resend-webseal-cookies ���� �� � “no”���.
[session]resend-webseal-cookies = no
�� � �� WebSEAL �� � � failover �� ���� �
� �� “yes”� �����.
��� �� �� � �� �������� � ��� ��(�: HTTP)� � ����� �� �
��, �� ��� ��(�: HTTPS)� � �� ���� � ���
�� ID ���� ����� WebSEAL� ��� � ����.
webseald.conf �� ��� [session] ���� �� use-same-session���� ��� �� ID ���� ��� �� �� �� ����
� ���. �����, � ���� “no”� ��� ����.
[session]use-same-session = no
� ���� “yes”� �� ��� �� � ��� �����.
1. � �� ��� �� � ���� � �� � ���� �
�� ���� � �� �� �����.
89Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 110: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/110.jpg)
a. failover �
b. ����� ���
c. CDSSO ID ��
d. �� ��
e. ��� � � �� ��
f. �� ��
2. HTTP �� ���� ����� HTTP �� �����.
3. IP ��� ���� ����� IP ��� �����.
4. ssl-id-sessions �� �����. � � ��� �� ��
ssl-id-sessions� “no”� � � ����.
��� �� HTTP ����� �� ����� �� ���
SSL �� ID� ��� �� ���� �����.
5. �� HTTP � HTTPS ���� � �� � �� ����
� � ��� ����� ����.
�� �� ID ��� �� ���� �� ���� ���� ����� �� �� ��� ��
�� � �� ���� �� ���� �����.
¶ �� � �� �� �� ���(ssl-id-sessions)
¶ ����� HTTP HTTPS ���� ��� ��� �� ��
�� ���� �� �� �� �� ���(use-same-session)
�� � ��� ��� � ssl-id-sessions ��� �
use-same-session ���� ����, ��� �� ID ���� ��
� ����.
90 �� 3.8
![Page 111: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/111.jpg)
HTTPS �����
�� �� ssl-id-sessions =yes
ssl-id-sessions = nouse-same-session =
no
use-same-session =yes ssl-id-sessions
ignored
failover � SSL ID � �
��� SSL ID � �
CDSSO SSL ID � �
�� SSL ID � �
�� SSL ID � �
BA SSL ID BA � �
HTTP � SSL ID HTTP � HTTP �
IP �� SSL ID IP �� IP ��
HTTP �����
�� �� use-same-session = no use-same-session =yes
failover � � �
CDSSO � �
�� � �
�� � �
BA BA � �
HTTP � HTTP � HTTP �
IP �� IP �� IP ��
failover �� ���� � failover � ��(HTTP � HTTPS�) �� ��� �
��� � �� ���� WebSEAL � ���� ����
����� �����. failover �� ��� ����� ��
��� "� � � #�� �� ����� � � �� ���� ��
����.
91Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 112: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/112.jpg)
��� ����� �� ��� ����� ���� � ����
WebSEAL ���� ��� � ����. �� ��� ��� �
��� ��� ��� �� ��� ���� � � ���� ��
� �����.
�� ������ ������.
����� �� ���� � ��� � ����. �� ��
� ��� �� URL� �� �� �� �����. �� ���
��� ����� �� ��� � (�: WS1) �����. �
� ��� WS1� ���� � �������� �� � ���
WS1� ����.
failover �� �� � �� ����� �� ��� �(�� �
�, ��� �� ��� ��� � ��) WS1� �� ����
� �� ��� ����. WS1� �� ����� �� �� ���
���� �� �� � � ��(WS2 �� WS3)� ��� ��
��. �� ��� �� � �� ��� ����. ����� � �
� � � � �� ���� �� �� ����� �����.
�� 14. failover � ����
92 �� 3.8
![Page 113: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/113.jpg)
�� WebSEAL � � ���� � �� ��� ����� �
� ���� ������. �� ����� �� ��� � ���
�� �����. �� WebSEAL � � ��� �� ���� ��,�� ��� �� �� �� �� � � �����. ��
WebSEAL � � �� ��� �� �� � �� �� � ���
��. �� ����� ��� ����� ��� ��� WebSEAL� � �� ��� ��� � ����.
�� �� �� �� �� ��� ���� DNS���. �� �
�� ��� ��� �� �� ���� � �� �� ��� �
����. �� �� ��� � DNS �� � � � �
�� ����. ����� �� �� ��� ���� � ��
���. ���� �� �� � failover �� � ����
�� ��� � � �����.
failover �� ��
webseald.conf �� ��� �� [failover] ���� ��
failover-auth ���� � �� failover �� �� �� �� �
���� ���.
¶ failover �� ����� “http”, “https” �� “both”� ���
���.
¶ failover �� �� ����� ��� “none”(���)� ����
��.
�� ��, �� ����.
[failover]failover-auth = https
��� ���� WebSEAL � �� � ���� �� ���.
93Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 114: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/114.jpg)
�� �� ��� � �� �
� ���� ����� WebSEAL� ���� cdsso_key_gen ��
��� ������. � ����� �� �� �� ���� ���
� �� ��� �� � �����. ����� �� � ��
� ��(�� �� �)� ������.
UNIX: # cdsso_key_gen <pathname>
Windows: MSDOS> cdsso_key_gen <pathname>
�� � � ���� ����� ��� ��� ��� ��
� ��� ������. � � � �� webseald.conf �� ��
� [failover] ���� �� ��� ������. ��� ���
� ��� � � � �� failover � ��� �� ����� �
��.
[failover]failover-cookies-keyfile = <absolute-pathname>
���� ws.key �� ��� ��� �� ��� � ����.
�� � ��
� �(� ��)� � �� ����� ����.
failover-cookie-lifetime = 60
�� �� ������� HTTP � HTTPS ���� � �� �� ��� �� �
�� ����� � � ����.
WebSEAL� � ���� �� �� ���� �� ���
webseald.conf �� ��� [authentication-mechanisms] ����
� �����. ���� �� ��� ���� ��� �����.
94 �� 3.8
![Page 115: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/115.jpg)
¶ ��(�) ���
�� ���� �� ���� ��� � �� �����(UNIX)�� DLL(Windows) ��� �����.
¶ ��� �� �� ���
WebSEAL ��� �� �� CDAS(Cross DomainAuthentication Service) � � ���� ���� � ��� � �
� ���� � �� �����.
�� CDAS ���� ��� ��� �� �� ������ ��
���.
� �� ������ ���� �� � ���� �����.
��� ��
�� � �� ��
passwd-ldap ����� LDAP ��� � ��� ����
�.
�� ��
token-cdas ����� LDAP ��� � SecurID ��
��� �����.
����� ��� ��
cert-ssl ����� SSL� � ����� ���� �
����.
HTTP � �/�� IP �� ��
http-request ����� �� HTTP � �/�� IP ��� �
�����.
CDSSO ID �� ��
cdsso �� ��� �� �� � ��
[authentication-mechanisms] ���� ���� �� ��� � ��
� �� ���� ��� � ����.
<authentication-method-parameter> = <shared-library>
95Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 116: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/116.jpg)
82 ���� ���� �� ��� ���� ������.
�� ��� �� CDAS �� ������ CDAS � � �� ��� �� �� ������ ���� �
�� � ���� ��� � ����.
��� ��
passwd-cdas ����� ��� ������ �� ��� � �
�� �����.
token-cdas ����� ��� � �� ��� ����
�.
cert-cdas ����� SSL� � ����� ���� ��
���.
CDAS � � ���� ��� �� �� ����� �� � ���
� ��� �� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
WebSEAL ��� �� � �������, WebSEAL �� ��(BA) ��� � ��(LDAP �
����)� ���� SSL� � ����� ����� ��� �
���.
WebSEAL �� TCP � SSL ��� � �� �����. ��
� [authentication-mechanisms] ���� � ���� ��� �
� ��(LDAP �����)� �� ��, SSL� �� ����� �
��� �� ��� �����.
�� ��� Solaris� �� [authentication-mechanisms] ���� �
��� �����.
[authentication-mechanisms]passwd-ldap = libldapauthn.socert-ssl = libsslauthn.so
96 �� 3.8
![Page 117: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/117.jpg)
�� �� ���� ����� �� �����(�� CDAS ��) �
� ��� ���� ������. � �� ���� �� ��� �
� ��� 82 ���� ���� �� ��� ���� ������.
�� �� �� ��webseald.conf �� ��� [authentication-mechanism] ���� �
��� ���� �� ���� ��� �� ������ ������.�� �� �� �� ���� ��� � �����.
1. �� �� ���� �� ����� �����. ���� ��� �
��� � �� ������ ��� � ����.
2. cert-cdas ��� cert-ssl ���� �� ��� ���� cert-cdas���� �����. �� � ��� ���� ����� ���
� ��� ���.
3. �� �� ���� � �� ��� ���� ��� �����.WebSEAL ��� ����� ���� ���� �� �� �
��� �����.
a. passwd-cdas
b. passwd-ldap
4. � �� �� �� �� ���� � ��� ��� �� ���
��� ��� � ����. �� ��, ��� �/�� � HTTP� ��� � � ����� ��� �� �� ������ ��
� � ����. � ��� ���� ��� �� ������ �
��� passwd-cdas � http-request ���� � � ����
�. �� ��� ������ � ��� �� ��� ��� �
���� �����.
��� ���WebSEAL �� � ���� ������ � ��� ���
�� ����.
1. �� ��� � ���� � ����
2. �� ��� � �� �� �� �� ����
97Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 118: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/118.jpg)
�� � ���� ���� “403 failure” �� ����.
1. �� �� �:
a. ����� ���
b. failover �
c. CDSSO
d. IP ��
e. HTTP �
2. ����� WebSEAL� � �� ����� �� ���� �
�� �
�� � �� � ��Policy Director� HTTP �� HTTPS�� ���� ����� �
��� � �� � �� �����.
pkmslogout� �� �� �� ���� ���� �� �� ���� ��� �
����� pkmslogout �� ���� �� ������ ����
� � ����. �� ��, �� ���� IP �� ��� ����
����� ��� pkmslogout� ���� ����. � ���� �
���� �� ����� ���.
pkmslogout � ����� ���, �� ��, �� �� �
HTTP � ��� �� ��� �� ��� �����.
�� �� �� �����.
https://www.tivoli.com/pkmslogout
����� webseald.conf �� ���� �� ���� ���
����.
[acnt-mgt]logout = logout.html
98 �� 3.8
![Page 119: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/119.jpg)
���� ����� �� logout.html ��� ��� � ����.
pkmslogout ����� �� �� ��� ����� ������ �
���� �� �� ��� ���� ���� ���� �� �� ��
�� � ���� ����� ���.
��� �� �� � ��� �����.
https://www.tivoli.com/pkmslogout?filename=<custom_logout_file>
��� custom_logout_file ���� �� �� ����. � �
� �� logout.html �� � �� � HTML � ��� ��
��� lib/html/C ����� ��� ���.
pkmspasswd�� ��(BA) �� �� ��� ��� � � ��� ��� ���
�� � ����. � � HTTP �� HTTPS�� �����.
�� ��, �� ����.
https://www.tivoli.com/pkmspasswd
WebSEAL�� BA� ��� � ��� �� ��� � � �
BA ����� � �� �� �����.
1. ��� ����.
2. ���� ���� �� ������ �������.
3. ����� �� ��� �� ����� ����� BA �
��� �����.
4. ����� ��� ����� �� ���� ���.
� ����� �� ��� ���� ������ �����.
99Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 120: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/120.jpg)
�� �� ���� ��(BA) �� ���� ��� � � ��� ����
�����. BA� HTTP ����� � ���� HTTP �
HTTPS� � ��� � ����.
�����, WebSEAL �� ��(BA) ��� � ��� ���
HTTPS��� ��� � �����.
� �� �� � �� ���webseald.conf �� ��� [ba] ���� �� ba-auth ����
�� �� ���� �� � �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� ������.
�� ��, �� ����.
[ba]ba-auth = https
�� �� ���� � ����� ����� ��� ���� ����� � �
�� � ���� �� ��� ��� ������.
�� �� ��� �� ���� webseald.conf �� ��� [ba]���� ����.
�� ��, �� ����.
[ba]basic-auth-realm = Policy Director
100 �� 3.8
![Page 121: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/121.jpg)
� �� ��� ��passwd-ldap ���� ��� � � �� ��� ���� � �
��� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libldapauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� ldapauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
passwd-ldap libldapauthn.so libldapauthn.a ldapauthn.dll libldapauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
passwd-ldap ���� �� ����� ��� ��� �� �� �
��� ��� � � �� �� ���� ��� � ����. ����, �� ����.
Solaris:
[authentication-mechanisms]passwd-ldap = libldapauthn.so
�� 15. BA ��� � ��
101Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 122: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/122.jpg)
Windows:
[authentication-mechanisms]passwd-ldap = ldapauthn.dll
�� ��� ��� � �� ��� ���� � ��� �� �� ��
�� �����.
�� �� ��Policy Director� �� ��(BA) ���� ��� �� ��
� �����. � �� �� ��(BA) ���� � �� �
�� � �� �� Policy Director���� ��� �� HTML ��
� ��� �����.
�� � ���� ���� ����� �� ��(BA)�� ����
��� ��� � � �� ��� ����� ����.
�� �� �� � �� ���webseald.conf �� ��� [forms] ���� �� forms-auth ���� �� �� ���� �� �� �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� �����
�.
�� ��, �� ����.
[forms]forms-auth = https
�� �� ��� ��passwd-ldap ���� ��� � � �� ��� ���� � �
��� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libldapauthn���
�� �� ��������.
102 �� 3.8
![Page 123: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/123.jpg)
¶ Windows�� � �� ��� ���� �� ldapauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
passwd-ldap libldapauthn.so libldapauthn.a ldapauthn.dll libldapauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
passwd-ldap ���� �� ����� ��� ��� �� �� �
��� ��� � � �� �� ���� ��� � ����. ����, �� ����.
Solaris:
[authentication-mechanisms]passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms]passwd-ldap = ldapauthn.dll
�� ��� ��� � �� ��� ���� � ��� �� �� ��
�� �����.
HTML �� �� ��� ���� ���� ��� �� ��� ��� ��� ���. �����,� login.html �� �� ����� ����.
<install-directory>/lib/html
� ��� �� � �� ���� �� ��� � ����. �� �
�, �� ����.
103Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 124: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/124.jpg)
���� �� ��� � �� HTML ��� �� ��� �� 37���� ���� �� HTML ��� ��� ������.
������ ��� �� ��WebSEAL SSL� �� ����� �� ���� ���� �
���� � ��� �����. � �� ����� ��� ��
(�: �� � �� DN)� Policy Director ���� �����.
�����: ���� �� �� ���� ���� �� �� �� � ��� ������.
¶ WebSEAL � � ���� ���� SSL ����� � �
�� �����.
¶ WebSEAL CA(Certificate Authority) �� ���� �����
�� ���� ����� ���� ���� ����� �
����.
1. SSL ����� WebSEAL � � ��� �����.
2. � ��� WebSEAL � � � ���� � ��� �
� � ����. � ���� ��� trusted CA(CertificateAuthority)� � ��� ������.
3. ����� ���� ���� ��� � �� �� � �� �
��� �����. ���� ���� ����� trusted CA���� �� ��� ��� �����. WebSEAL ���� �
�� 16. � WebSEAL ��� ��
104 �� 3.8
![Page 125: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/125.jpg)
� �� � �� ���� �� � ���� � � � ��
� � ����.
4. � � ���� �� ��� ����� ���� � �
� CA(Certificate Authority)� � ������ �����
���. �� ���� ���� ���� ��� ��� ���
�.
5. �� ����� �� ��� ������� �� �� ���
� �� � ���� WebSEAL � ���� ��� �
����.
� ����� �� �� � �� ���, � �� �
����� (��� ��� ��� ����) ��� ��� � �
���. ����� ��� ���� � � � ��� �
�� � ��� � ����.
6. �� ����� �� � WebSEAL � � ����.
7. WebSEAL ���� ���� �� �� �� CA� ��
��� ��� ���. ���� ���� �� WebSEAL� ������� �� trusted CA��� �� ���� �
�� �������.
�� 17. ����� WebSEAL ���� ���
105Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 126: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/126.jpg)
8. ���� �� ��� WebSEAL SSL � �� ����
����� ����.
9. ���� �� ��� � ����� ��� � ����. �
���� ���� Policy Director ��� ����.
10. �� � ���� WebSEAL � ���� ��� ��
���. � ����� �� �� �� �� ���� �
��� ��� �� �� �� ������.
WebSEAL ��� �����, WebSEAL�� �� � ��� � ���� �� ����.��� ���� WebSEAL� SSL �� ����� ��� �� �
��� ����(��� �� CA ���� ���� �� �)� ��
� �� ����. �� ���� �� �� � �� WebSEAL ��
� ����� � ���� ��� � ��� ����� ����.
SSL�� � ��� ���� trusted CA(Certificate Authority)�
�� ��� ��� � ���� ��� ���� �� �� ���
��. GSKit iKeyman ����� ���� CA� ���� ��� �
�� ��� � ����. iKeyman� ���� � ��� ����
��� ���� �� �� ����. webseald.conf �� ��� [ssl]����� webseal-cert-keyfile-label ���� ���� ���� �
� WebSEAL � � ����� ������. (� � �� �
������� “default”� �� ���� �����.)
�� ����(�� ��, �� �� junction� �� �)��� �
� ���� ��� ���� iKeyman ����� ���� ��� �
� ���� �� � ��� ���� �� � ����.
41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
253 ���� �iKeyman�� �� ��� ������.
106 �� 3.8
![Page 127: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/127.jpg)
��� �� �� � �� ���webseald.conf �� ��� [certificate] ���� ��
accept-client-certs ���� ��� WebSEAL� SSL��� �
���� ���� � ��� ���� ��� ��� � ����.
�����, WebSEAL ����� ���� ��� ����.
[certificate]accept-client-certs = never
� ���� �� � �� optional � required �� ����.
�� �� accept-client-certs ���� ��� �� �� �
����.
� ��
never ������� X.509 ���� ��� ����.
optional ����� X.509 ���� ���� ���� ���
� ���� ��� � ��� ������.
required ����� X.509 ���� ���� ��� � �
�� ������. ����� ���� ���� ��
� ��� ��� ����.
��� �� ��� ��cert-ssl ���� ��� �� �� ��� �� �� ������ �
����.
¶ UNIX�� � �� ��� ���� �� libsslauthn��� �
� �� ��������.
¶ Windows�� � �� ��� ���� �� sslauthn��� �
� DLL���.
Authn����
� �����
Solaris AIX Windows HP-UX
cert-ssl libsslauthn.so libsslauthn.a sslauthn.dll libsslauthn.sl
107Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 128: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/128.jpg)
webseald.conf �� ��� [authentication-mechanism] �����
cert-ssl ���� �� ����� ��� ��� �� �� ���
� ��� �� ���� ��� � ����.
Solaris:
[authentication-mechanisms]cert-ssl= libsslauthn.so
Windows:
[authentication-mechanisms]cert-ssl = sslauthn.dll
�� ����� ��� � ���� �� �� ��� DN� LDAPDN� �� �����.
�� ������ ��� ��� “required”� ��� HTTPS ����
� �� �� �� �� �� �����.
HTTP �� �� ��Policy Director� ���� �� ��� ����� � ���� �
�� �� HTTP � ��� � ��� �����.
� ����� �� (�� �� ) � ���� Policy Director �
�� ���� �� ��(�� �����)� �����. WebSEAL� ��� ��� ���� �� ��� �����.
WebSEAL ��� �� HTTP � ���� ��� ������ �
����. ��� ��� �� �� ���� �� ����� � ��
�� ����� ���� �� ����. ��� �� HTTP � �
��� ��� � ����.
�����, � �� ������ �� ��� ���� ���� �
���� �����.
108 �� 3.8
![Page 129: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/129.jpg)
HTTP � �� �� � �� ���webseald.conf �� ��� [http-headers] ���� ��
http-headers-auth ���� HTTP � �� ���� �� �� �
� �� ����� ���.
¶ HTTP � �� ���� ����� “http”, “https” �� “both”� ������.
¶ HTTP � �� ���� �� ����� ��� “none”� ��
����.
�� ��, �� ����.
[http-headers]http-headers-auth = https
� �� ��webseald.conf �� ��� [auth-headers] ���� ���� ��
HTTP � ��� ��� ���.
[auth-headers]header = <header-type>
�����, � � �� ������ �� ��� � ���� �
���� ���� ����.
[auth-headers]header = entrust-client
� ��� ���� �� ���� �� � ���� �� ��� �
���, ����� � ���� Policy Director ��� ��� ��
�. API ��� ��� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
HTTP � �� ��� ��http-request ���� HTTP �� � ��� ���� � ��
������ �����.
¶ UNIX�� � �� ��� ���� �� libhttpauthn���
�� �� ��������.
109Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 130: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/130.jpg)
¶ Windows�� � �� ��� ���� �� httpauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
http-request libhttpauthn.so libhttpauthn.a httpauthn.dll libhttpauthn.sl
�����, ��� � �� ������ �� ��� � ����
��� Policy Director ��� ����� ���� ����. � �
�� ���� �� ���� �� � ���� �� ��� ����,����� � ���� Policy Director ��� ��� ���. API��� ��� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
webseald.conf �� ��� [authentication-mechanism] �����
http-request ���� �� ����� ��� ��� �� �� �
��� HTTP � �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]http-request = libhttpauthn.so
Windows:
[authentication-mechanisms]http-request = httpauthn.dll
�� �
1. ssl-id-sessions = no�� �� ID �� ��� ������ �
���� ����. �� � �� ��� ����� �����.
2. ����� ��� �� ������ “�� ” ���(HTTP403)� �����.
110 �� 3.8
![Page 131: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/131.jpg)
IP �� �� ��Policy Director� ����� � ���� IP ��� �� ���
�����.
IP �� �� �� � �� ���webseald.conf �� ��� [ipaddr] ���� �� ipaddr-auth ���� IP �� �� ���� �� �� �� ����� ���.
¶ IP �� �� ���� ����� “http”, “https” �� “both”�������.
¶ IP �� �� ���� �� ����� ��� “none”� ����
��.
�� ��, �� ����.
[ipaddr]ipaddr-auth = https
IP �� �� ��� ��IP ��� �� ���� ��� �� �� ������ �����. ��� ������ http-request ���� ������.
�� �� ��Policy Director� ����� � ���� �� ��� �� �
�� �����.
� �� �� � �� ���webseald.conf �� ��� [token] ���� �� token-auth ���� �� �� ���� �� �� �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� ������.
�� ��, �� ����.
111Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 132: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/132.jpg)
[token]token-auth = https
� �� ��� ��token-cdas ���� �� �� �� ��� ���� � ��
������ �����.
¶ UNIX�� � �� ��� ���� �� libtokenauthn��
� �� �� ��������.
¶ Windows�� � �� ��� ���� �� tokenauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
token-cdas libtokenauthn.so libtokenauthn.a tokenauthn.dll libtokenauthn.sl
�����, ��� � �� ������ SecurID �� �� �
��� ����� ���� ����. � ��� ���� �� �
��� �� �� ���� �� ��� ���� ����� � ���
� Policy Director ��� ��� ���. API ��� ��� TivoliSecureWay Policy Director WebSEAL Developer Reference� ���
���.
webseald.conf �� ��� [authentication-mechanism] �����
token-cdas ���� �� ����� ��� ��� �� �� �
��� �� �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]token-cdas = libtokenauthn.so
Windows:
[authentication-mechanisms]token-cdas = tokenauthn.dll
112 �� 3.8
![Page 133: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/133.jpg)
����� ��� ��� ��Policy Director� MPA(Multiplexing Proxy Agent)� ���� �
����� �� ���� �����.
SPA(Standard Proxy Agent)� SSL � HTTP� � ���� �
� � ��� ���� ��� ���� ��������.WebSEAL � SSL � HTTP ��� � ���� ��� ��
���.
MPA(Multiplexing Proxy Agent)� �� ���� ��� ���
� �� ��������. ����� WAP(Wireless Access Protocol)� � ��� � � ������ WAP �������� ���.������ �� � � �� �� �� ���� �� ���
� �� � �� � �� � “�� ”���.
WebSEAL� � � ��� ��� ���� ��� �������
�� ���� �����. WebSEAL MPA � �� � ��
����� �� �� �� ��� ��� ���.
�� 18. MPA ������ �� ��
113Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 134: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/134.jpg)
WebSEAL MPA� �� �� ��� ������� � ���
�� �� ��� ��� ��� ����� ���. ���� MPA� �� �� ��� � �� ���� ����� � �� �
� ��� � �� ���� ��� ���.
�� �� ��� �� � �� ��WebSEAL� � MPA�� �� �� ��� �� WebSEAL�� ������ �� �� ��� �� ��� ���. ��
� MPA � ����� �� ��� �� ��� ��� ����.
�� ��
MPA � WebSEAL ����� � WebSEAL
SSL �� ID
HTTP � HTTP �
BA � BA �
IP ��
� �
¶ ����� �� ��� ����� SSL �� ID� ��� � �
���.
¶ � ���, MPA� �� ��� ���� BA �� ����
����� �� ��� �� ���� HTTP � �� ��
���.
¶ MPA� �� ��� ���� HTTP �� ���� ����
� �� �� HTTP � ��� ��� � ����.
¶ � �� ��� �� ��� ����, �� ��� ���� �
���.
¶ MPA ��� ���� ssl-id-sessions� ��� ����. ��,ssl-id-sessions=yes� ���� SSL �� ID� HTTPS ���
�� �� ��� ������ � �����. MPA� SSL ��
ID� ��� ������ ����� � �� ���� ����
114 �� 3.8
![Page 135: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/135.jpg)
��� ����� � ��� ��� ��� �����. �� 90 �
��� ���� �� ID ��� �� ���� ������.
WebSEAL� � MPA�� ���� �� ���� WebSEAL� �
������ ���� �� ��� ��� ���. �� �
MPA � ����� �� ��� �� ���� ��� ����.
�� ��
MPA � WebSEAL ����� � WebSEAL
�� �� �� ��
�� ��
�� ��
HTTP � HTTP �
���
IP ��
¶ � ���, MPA� �� ��(BA)� ���� ����� �� �
�� ���� ��, �� � HTTP �� �����.
¶ ��� � IP �� �� ���� ������ ��� � ��
��� �� ���� ����.
¶ ��, �� ��� ��(�� ��) ��� ���� � ��� �
�� �� ���� �� ����� ���(101 ���� ��
� �� ��� ��� ��). MPA ��� ���� ��� ��
� �����. ��� MPA�, �� ��, ��(�� ��)�� �
��� � ���, ����� ��� ��� � �� ����
���� � ����.
MPA � �� ������ �� �� ���� ��
1. WebSEAL ��� �� � �� ��� �����.
¶ ����� ��� ����� �� �� ��
¶ �� MPA ������ �� Policy Director �� ��
¶ MPA ��� webseal-mpa-servers ��� ��
115Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 136: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/136.jpg)
2. ����� MPA ������ �����.
3. ������ ��� HTTP ���� ����.
4. ������ ����� �����.
5. ������ ���� ��� �� WebSEAL� � ���
����.
6. MPA� WebSEAL� � ����(���� �� ���� �
���) MPA(WebSEAL ��� �� ��)� �� ��� ��
����.
7. WebSEAL webseal-mpa-servers ��� �� MPA� � �
� �����.
8. MPA� �� ��� ���� ��� �� MPA ���� ���
���.
� MPA ��� � � ���� ��� ���� �� ��
� �� �� ���� ���� ����.
9. �� WebSEAL ��� ���� ��� ���.
MPA� ��� � ��� ��� ���� � �� ����
� ��� � ����.
10. ����� MPA� �� �� �� �� ���� ����
����� �����.
11. WebSEAL ���� �� ������ ��� �����.
12. � ������ ���� �� ��� �� MPA�� ��
�� ��� �� ��� ���.
13. �� �� ���� ���� �� �� �� ACL ��� �
�� �� �� �� �� ��� ���� �����.
MPA �� �� � �� ���webseald.conf �� ��� [mpa] ���� �� mpa ����
MPA ��� �� �� �� ����� ���.
¶ MPA �� ���� ����� “yes”� ������.
116 �� 3.8
![Page 137: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/137.jpg)
¶ MPA �� ���� �� ����� ��� “no”� ������.
�� ��, �� ����.
[mpa]mpa = yes
MPA� �� ��� �� ���� �� ��� �� ��� �� Tivoli SecureWay PolicyDirector Base � �� � Tivoli SecureWay Policy Director WebPortal Manager � ��� ������.
webseal-mpa-servers ��� MPA �� ���� �� �� ��� �� Tivoli SecureWay Policy Director Base� �� � Tivoli SecureWay Policy Director Web Portal Manager� ��� ������.
MPA �� ����� ���� Policy Director� ��� WebSEAL � �� MPA� �
����.
117Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
![Page 138: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/138.jpg)
118 �� 3.8
![Page 139: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/139.jpg)
�� ��� �� � ���
� ��� ��� � WebSEAL� ��� � �� ���� ��
� �� �� �� �� �� ���� ��� � ��� �� ��
��. � ��� � �� �� ��� �� �� � ���� �
���.
�� �� �� ����.
¶ �CDSSO �� ���
¶ 125 ���� �e-Community �� �� � ���
CDSSO �� ��Policy Director� CDSSO(Cross Domain Single Sign-on)� �� �
� � ���� � ��� ��� ����� �� ���� ��
���. CDSSO� � ���� �� �� �� ���� � �� ��
� ��� ��� ���� ����� ���. CDSSO �� ���
��� �� � � ���� ����(e-Community SSO ��).
CDSSO� �� �� � ���� ��� ��� � ��� ��
�� ��� �����. �� ��, � ��� ������� ��� �
�� �� � ��� ��� � � ��� �� ���� ��� �
���. CDSSO� �� �� ��� ��� �� ��� ��� �
���.
5
119Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 140: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/140.jpg)
���� �� ���� ��� ��� �� ��� �� CDSSO ��
� ��� ��� �� ��� � �� ����� � �� ��
��� �����. �� � �� ��� ��� ��(� �� ���
�� ���)� ��� �� ���� �� ���� ��� ����.
��� �� CDMF �� ����� �� CDSSO ������, �� �� ���� �� ���� ���
�� � � � ��� �� �� ����� ����� �� � ���
�.
CDMF(Cross Domain Mapping FrameWork)� � ��� ���
��� � ��� ��� ��� �� �� ���� ��� � �� �
�� �� �� ������ ��� � �� �� ����� ���
�����.
CDMF ����� ������ ��� �� �� � ��� �� �
�� ���� �� ���� � �� ���� �����.
CDMF� ��� CDSSO� �� �� ���� ����� ���� � ��19�� �����.
1. �� ���� ����� ���� � ���� ��� ��� �
�� ��� ��� �� ���� � �� ���� ��� ���
��� � �� ��� ��� ��� ���.
���� ���� ��� ���� �� �� � ���(A)� �
��� ��� CDSSO ��� ��� � ����.
2. ���� � ���� �� ��� �� �� � ��� B� �
�� ����� �����.
� ��� �� �� CDSSO ��� �����.
/pkmscdsso?<destination-URL>
�� ��, �� ����.
/pkmscdsso?https://www.domainB.com/index.html
120 �� 3.8
![Page 141: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/141.jpg)
3. �� �� ��� A� �� WebSEAL � �� �����.WebSEAL ���� Policy Director ��(� �), �� ��
�(“A”), �� ��� �� � ����� ���� �� ��� �
����.
�� ��� ��� ���� �� �� CDMF �� �����
(cdmf_get_usr_attributes)� ���� �����. � �����
� ��� �� ���� � ��� B� � ��� � �� ��
� ��� ��� � ����.
WebSEAL triple-DES� cdsso_key_gen ����� � ����
�� � � �� ���� ������. � �� ��� A ��� B WebSEAL � � �� webseald.conf �� ���
[cdsso-peers] ����� ���� ����.
���� ��� �� ���� �� ���
����(authtoken-lifetime)� ���� ����. ���� ��
�� ���� �� ��� �� � ����.
4. ��� A WebSEAL � � �� ��� ��� ����� �
� �� ��� B WebSEAL � (HTTP �� ���)� ��
��.
5. ��� B WebSEAL � � �� ��� �� ���� ��
�� ������� ���� ��� ��� ��� ��� ��
����.
6. ��� B WebSEAL � � �� CDSSO �� ��� ����
�� �����. � CDSSO ������ �� � ��� ��
� ���� ��� �� CDMF �����(cdmf_map_usr)� �
����.
CDMF ������ ��� �� � ����� �� ��� ��
��� �� CDSSO ������ �����. CDSSO �����
� � ��� ���� ��� �����.
7. ��� B �� ���� ���� �� � �� �� � �
�� ACL ��� ���� �� �� �� �� ���
���� �����.
121Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 142: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/142.jpg)
CDSSO �� �� � �� ���webseald.conf �� ��� [cdsso] ���� �� cdsso-auth ���� CDSSO �� ���� �� �� �� ����� ���.
¶ CDSSO �� ���� ����� “http”, “https” �� “both”�������.
¶ CDSSO �� ���� �� ����� ��� “none”� ����
��.
�� ��, �� ����.
[cdsso]cdsso-auth = https
CDSSO �� ��� ��cdsso �� ���� �� �� ��� �� �� �� ���
��� �����.
�� 19. CDMF� ��� �� ��� �� � ����
122 �� 3.8
![Page 143: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/143.jpg)
¶ UNIX�� � �� ��� ���� �� libcdssoauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� cdssoauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
cdsso libcdssoauthn.so libcdssoauthn.a cdssoauthn.dll libcdssoauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
cdsso ���� �� ������ ��� �� �� ����
CDSSO �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms]cdsso = cdssoauthn.dll
�� � ��� ���WebSEAL ��� �� �� ���� cdsso_key_gen ����� �
���� � ���� ���� ���. ���� � ���� �
� ��� WebSEAL � ��� ���� � � “���”
� ���. � ���� ���� WebSEAL � � � � ��
� ���.
�: ��� ���� ���� � Policy Director CDSSO ��
��� ��� ����.
cdsso_key_gen ����� �� � � ����� ��� ��(�� �� �)� ��� ���.
123Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 144: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/144.jpg)
UNIX: # cdsso_key_gen <absolute-pathname>
Windows: MSDOS> cdsso_key_gen <absolute-pathname>
� ����� ���� WebSEAL � �� webseald.conf �� �
�� [cdsso-peers] ���� ��� ��� ������. � ��
�� �� WebSEAL �� � �� ��� �����.
[cdsso-peers]<webseal-machine-name> = <keyfile-location>
��� A �� ��:
[cdsso-peers]www.domainB.com = <pathname>/A-B.key
��� B �� ��:
[cdsso-peers]www.domainA.com = <pathname>/A-B.key
�� ���� A-B.key �� ��� ���� ����(�: WebSEALA), ����(���) �� ��(�: WebSEAL B)� �����.
� ���� ������ �� ��� �� ���� �� ��� ����� ���
� ����. ����� ���� �� ���� ��� ���� �
� ��� �����. ���� ��� ��� � � ����
�� ��� �� � �� ��� ��� ��� �� � ���
���.
webseald.conf �� ��� [cdsso] ���� �� authtoken-lifetime���� �� � �� ����. � � ��� ����. �
�� 180���.
[cdsso]authtoken-lifetime = 180
���� ��� ��� �� � � ��� ���.
124 �� 3.8
![Page 145: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/145.jpg)
CDSSO HTML �� ��2� � ���� �� ����� HTML �� �� � ��
CDSSO ��� ��� ���.
/pkmscdsso?<destination-URL>
�� ��, �� ����.
/pkmscdsso?https://www.domainB.com/index.html
�� � ���� ��� �� ��(�: ��� � � ��)� ����� ���
�� ��� �� ���� ��� ��� �����. ��� �� �
�� � ������ ����� ���.
WebSEAL � ��� ��� � ��� �� SSL� ���� �
� ��� �� �����. �� ���� ���� �����
�� � ����. ��� ���� ��� � �� � ����
�� ��� ��� ���� ��� ���.
��� �������� �� �� �� ����� ����. ���
����� � �� � ����� ���� �� ��� �� ��
�� ��� ��� ��� � ����.
��� “�� CDSSO �”� �� � ����. �� �� CDSSO���� ���� �� WebSEAL � � �� � �� �� �
�� � �� ���. ��� ��� ��� ���� � ���� �
���� ���� �� ���� ���� ���� ���.
e-Community �� �� � ��E-community �� �� � Policy Director ���� �� ��� �
�� � �� �����. �� ��� ��� �� ���� ���
��� �� ���� �� � � � �� ��� ��� � ��
�� ����.
125Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 146: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/146.jpg)
“e-community”� ���� �� ���� �� ���(Policy Director�� DNS)� �����. ��� ���� ��� � ����� �
���(��� ��� ��� � �� �� DNS �� ����), �
� �� �� �� �� �� ����(�: ��, � �� �� �
�� � ��)�� ��� � ����.
�� ��� ����� �� “�” �� “���” ����� �� �
��� �� ����. ���� ����� ���� � ����
e-community� ��� ���� ��� �����.
� ���� ���� e-community� ���� ���� � �� �
�(��� ���� ��� � � ��� ����)� � �����
�������. ��� �� e-community �� �� ��� ���
�� � ���� ���� � �� � !�� �� � ��� �
� � �� ���.
� �� �����, Policy Director Web Portal Manager� ����
���� ���� ��� ���� �� ����� ��� ���
�� ��� � ����.
�� ����� � �� ���� ���, � ��� A(dA.com) �
��� B(dB.com)� �� � e-community� �����. � ���
� ��� A� � �� ��� ���� �����. ��� B� ��,� “��” ������.
126 �� 3.8
![Page 147: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/147.jpg)
� ��� ���� “��”���. �, ���� �� ��� ���
��. ���� ���� �� ��� �� ��� ���� �� �
����� ��� ���.
��� �� � (MAS), � � ���� �� ��� �� ����
����� �� � (�� ��� � ��)� � ��� ���
��. �������� MAS� mas.dA.com�� �����. MAS���� �� ���� ���� ��� ����� ���. MAS�� �
���� �� ��� ��� �� ���� ���.
�� ���� MAS� ����� ���� �� MAS� “vouch for”��� �����. � �� �� ���� ���� �� � � �
����. � � � “vouch for” ���, ���� ����� MAS����� e-community� ��� � ��� ��� ����.
�� 20. e-Community ��
127Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 148: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/148.jpg)
e-community ��� �� �� �� 129 ���� �e-Community �
��� �� �� �� �� ����.
e-Community �� � ����
¶ � �� �� URL(� �)� �� �� ��� �����. ��� �� �� pkmscdsso �� ���� CDSSO ��
������(119 ���� �CDSSO �� ��� ��).
¶ e-community ���� e-community� ���� �� ���� �
� WebSEAL � � � � ��� �����.
¶ e-community ��� ���� �� ���� � ���� ���
�� ��� �� � (MAS)� � �����.
¶ e-community �� ���� MAS� ��� ��� ��� ��
�� ��(�� ��, ��� B� ��� ��� A-��� Be-community� ���� �� ���), �� ������ “��”��� ����.
MAS� ���� ���� ���� �� �� ��� MAS� ��� �� ������ ���� �� �� � � ��� �
�� ��� �����.
¶ MAS(� �� �� ����� �� �� � �)� ���� �
� ��� “��(vouch for)”���.
¶ ��� �� �� ���� “vouch for” ���� ��� � �
� � � �����. ��� �� ���� �� � �� “vouchfor” ��� � � ��� � ����. e-community �� ��
� ���� ��� ���� � ��� �� �� ����.
¶ ��� “vouch for” ��� ��� ���� ��� �� ���
�����. “vouch for” ���� � ��� �� ��� ��
�� ����. �� � (triple-DES)� ���� �����. �
��� ��� ��� �� ��� ���� ���(�) �� �
� ����.
¶ e-community �� HTTP HTTPS�� �� �����.
128 �� 3.8
![Page 149: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/149.jpg)
¶ �� e-community ���� � �� ��� �� � � �
�� ����. CDMF(Cross Domain Mapping Function) API� ���� �� ���� ���� �� ���� ��� ���
� ��� � ����.
e-community ���� �� ��� ��� ���� ���� �
�� �� ��� ���� ����.
¶ e-community� �� �� ��� ���� WebSEAL � �
webseald.conf ���� ����.
e-Community ���� ��e-community� ��� �� WebSEAL � (MAS), � ��� � �
� ���� ��� �� WebSEAL � � �����. MAS�
WebSEAL � � �� ������ �����, �� ��� �� �
�� WebSEAL ���� ��(�� ���� MAS� ���� ��)� ��� � ����.
���� �� �� � �� WebSEAL � � �� ���� ��
� � ��� MAS� ����� ��� ���. �� � ���� �
��� �� �������, �� ���� � ��� � ���
����. �� ��, �� ���� �� � � �� ��� ����
� ��� � ����. ��� � ��� ���� �� ���
� e-community ���� �� ����� e-community ����
� ��� � ����.
e-community �� “vouch for” ���� ��� ���. ��, ��
�� ��� ��� ���� � WebSEAL � ��� ��� ��
� ��� WebSEAL� ����� �� ��� �� � ��� �
���. e-community ���� WebSEAL � � “vouch for” � �
���� ���� ��� � “vouch for” � ��� ��� ����
�.
“vouch for” � � � ���� �� ��� �� ��� ��� �
���. ���� �� ��� �� “vouch for” � � �� MAS���. MAS� � ���� ��� ��� �� “vouch for” � ��
129Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 150: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/150.jpg)
�� �����. ���� e-community� �� �� ��� ����
��, � �� ���� �� �� � � ���� �� ��� ���
����(MAS���� ��� �� ��� ����) ��� ����
�� ��� �� “vouch for” � � ��� �� � ����.
“vouch for” � � �� �� “vouch for” ��� ��� ����.“vouch for” � � ��� ���� �� ���� WebSEAL � �
�����. ��� �� ��� �� ��� ������. ���� �
��� ����.
“vouch for” �� ��� ���� � � �� � � ���� ��
�� ��� �����. �� ���� �� �� ��� ���� �
� ��� ��� � ����. ���� �� ���� ��� �
�� ���, �� e-community ��� ���� ���.
� �� ����� e-community ���� �� �� �� ����
�� ������. ���� ���� � �� ��� FIRST ��
����(1 � 2)� � ���. �� ���� 2 �� 3 � �
���� � �� ��� NEXT �� ����(3 � 4)� ����.���� 5� �� �� ���� �����.
130 �� 3.8
![Page 151: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/151.jpg)
“Vouch For” ��
¶ ���� e-community ��� ���� ���� ���� ��
� �� MAS� �����.
MAS� �� � ��� ����, �� ����� ���� �
��. MAS� ��� �� � ��� ��� ��, ��� ���
����� ������ ���. ��� ��� �� ���
��� �� ��� � ���� ����.
¶ MAS� �� � ���(� ����� ��� A)� �� “vouchfor” � ���.
¶ ��� �� e-community �� ���� ��� ��� �� �
� �� � � �� “vouch for” � � �����. “vouch for”� � MAS��� “vouch for” ��� ���� ��� � � �
� � ���. “vouch for” � � ��� �� ���� ��
“vouch for” ��� �����. ��� �� ������ “vouchfor” ���� �� � ��� MAS� ���� �� � �
�� 21. e-Community ���� �
131Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 152: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/152.jpg)
�� � � ���� � ����. � ����� e-community �
� MAS� “vouch for” � �� �����.
(1) � �� e-Community ��: WebSEAL 1(��� A)
¶ ���� WebSEAL 1(MAS ��� ��� �)� � ����
��� �����. ������ � ���� �� e-community �
� �� �� ����. WebSEAL 1 ���� �� �� �
�� ��� �� ����.
¶ WebSEAL 1 ���� e-community ��� ���� MAS� �
�� �����. WebSEAL 1 ���� ��� MAS�� ��
“vouch for” URL� �����.
¶ MAS� “vouch for” ��� �, � ���� �� ���
� ��� ����� ������ � �����.
¶ ��� ���, MAS� ���� �� ��� ����, �� ��
� ���, ��� “vouch for” �� �� ���� ���
WebSEAL 1�� �� ��� URL� �����. �� ��� A�� e-community �� ������ ���� � ���(� �
�, MAS)� �� “vouch for” � � �����.
��� ��� �� MAS� ��� ���� “vouch for”��� �����. � �� �� �� “vouch for” �� ��
� � ��� �����. ���� � � ���� �� �� �
�� � ��� �� ��� ����.
¶ WebSEAL 1 ��� �� ��� ���� �� �� ���
�����.
�: ��� ��� ���� �� ��� ��� ���. �� �
�� ���� WebSEAL 1� CDMF(Cross Domain MappingFramework)� ��� ���.
¶ �� �� ���� ��� ���� �����.
(2) � �� e-Community ��: WebSEAL 3(��� B)
132 �� 3.8
![Page 153: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/153.jpg)
¶ ���� WebSEAL 3(�� ��� B)� � ���� ��� �
����. ������ � ���� �� e-community �� �
� �� ����. WebSEAL 3 ���� �� �� ��� �
�� �� ����.
¶ WebSEAL 3 ���� e-community ��� ���� MAS� �
�� �����. WebSEAL 3 ���� ��� MAS�� ��
“vouch for” URL� �����.
¶ MAS� “vouch for” ��� �, � ���� �� ���
� ���, ����� ������ � �����.
¶ ��� ���, MAS� ���� �� ��� ����, �� ��
� ���, ��� “vouch for” �� �� ���� ���
WebSEAL 3�� �� ��� URL� �����. �� ��� A�� e-community �� ������ ���� � ���(� �
�, MAS)� �� “vouch for” � � �����.
��� ��� �� MAS� ��� ���� “vouch for”��� �����. � �� �� �� “vouch for” �� ��
� � ��� �����. ���� � � ���� �� �� �
�� � ��� �� ��� ����.
¶ WebSEAL 3 ��� �� ��� ���� �� ��� ��
� �����.
¶ WebSEAL 3 WebSEAL 3� ��� B� �� “vouch for” �
� ����� ����� � �� e-community �(��� B� � ���)� ���� ����.
¶ �� �� ���� ��� ���� �����.
(3) �� e-Community ��: WebSEAL 2(��� A)
¶ ���� WebSEAL 2(MAS ��� ��� �)� � ����
��� �����. ������ MAS� “vouch for” � �� �
��� ��� A e-community �� �� �� ����.WebSEAL 2� � �� ���. WebSEAL 2� ���� �
� �� ��� ��� �� ����.
133Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 154: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/154.jpg)
¶ WebSEAL 2 ���� e-community ��� ���� MAS� �
�� �����. ��� A e-community �� ��� MAS ��� �� WebSEAL 2 ��� �����. �� WebSEAL 2�“vouch for” � � ��� �����. (���� 2� � ���
� ��� A � � ��� � ��� B � �� �����
� �������.)
¶ WebSEAL 2� ��� �� ��� A “vouch for” � (� �
�, WebSEAL 2� ��� A� ���� MAS)� �� ��
“vouch for” URL� ���� ��� �����.
¶ MAS� “vouch for” ��� �, ���� � ���� �� �
�� ���(���� 1 2�� ��).
¶ MAS� ��� “vouch for” �� �� ����� WebSEAL2�� �� ��� URL� ��� �����.
¶ WebSEAL 2� ��� �� ��� ���� �� ��� ��
� �����.
¶ �� �� ���� ��� ���� �����.
(4) �� e-Community ��: WebSEAL 4(��� B)
¶ ���� WebSEAL 4(�� ��� B)� � ���� ��� �
����. ���� 2� � ���� ��, ������
WebSEAL 3� “vouch for” � �� ���� ��� Be-community �� �� �� ����. WebSEAL 4� ���
� �� �� ��� ��� �� ����.
¶ WebSEAL 4 ���� e-community ��� ���� MAS� �
�� �����. ��� B e-community �� ��� MAS ��� �� WebSEAL 4 ��� �����. �� WebSEAL 4�“vouch for” � � ��� �����. (���� 1� � ���
� ��� B � � ��� � ��� A � �� �����
� �������. �� MAS ��� �� �����. �� �
� WebSEAL 4� ��� B� �� “vouch for” � � ���.)
134 �� 3.8
![Page 155: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/155.jpg)
¶ ���� 2� � ���� ��, WebSEAL 4� ��� B �
�� �� ��� B “vouch for” � (���, WebSEAL 3)��� �� “vouch for” URL� ���� ��� �����.
¶ WebSEAL 3 “vouch for” ��� �, ���� � ����
�� ��� ���(���� 2�� ��).
¶ WebSEAL 3 ��� “vouch for” �� �� �����
WebSEAL 4�� �� ��� URL� ��� �����.
¶ WebSEAL 4� ��� �� ��� ���� �� ��� ��
� �����.
¶ �� �� ���� ��� ���� �����.
(5) � � e-Community ��: WebSEAL 2(��� A)
¶ ���� ���� WebSEAL 2(��� A)� �����. ����
3� ��� ��, WebSEAL 2� ���� �� �� ��� �
�� ����.
¶ �� �� ���� ��� ���� �����.
e-Community�� ����
¶ ���� ����� ��� ������ �� SSL �� ��
e-community �� �����.
¶ ���� /pkmslogout ���� � ������ � ����
�� SSL �� � e-community �� �����.
e-Community ��� �� ��
¶ e-community �� � WebSEAL � � � ��� ���
�� ���, ���� ���� ���� ��� � ��� �
� WebSEAL � (��� ��� �� ��)� �����.
¶ ��� �� ��� “vouch for” � � �, e-community �
�, “vouch for” � � �� ��(URL), ��� � �� ��
����. �� ��� ��� �� �� ����.
135Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 156: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/156.jpg)
¶ e-community �� ���� ���� � � ��� ���
“vouch for” ��� ��� � �� ���. MAS� ���� �
��� �� e-community �� � ��� ��� ���.
¶ �� webseald.conf �� ���� ��� �(���) �� ��� ����. � � � �� � � ��� ��� �
��� �� “vouch for” ��� ��� � ���� �����. �
�� ���� ���� ��� � MAS� ���� ���.
¶ ����� ��� �� ����� �����. ���� �� �
���� ������ e-community �� �����. ��� �
�� �� ������� ���� �����.
“Vouch For” �� � ��� �� ��e-community “vouch for” ���� �� �� � �� URL(“vouchfor”�� “vouch for” �)� � ���� �� ��� ����
�. ��� URL webseald.conf� �� ��� ���� e-community“vouch for” HTTP �� ��� � �����.
“vouch for” ��
“vouch for” �� ���� � ���� �� �� ��� ��� �
� � �� � (e-community� � �� )��� ��� ��� �
������. � � “vouch for” � (MAS� e-community ���
�� � � ��)� HTTP �� ���� ����.
“vouch for” ���� �� � ��� �� ����.
https://<vouch-for-server>/pkmsvouchfor?<ecommunity-name>&<target-URL>
�� � � ecommunity-name� ���� e-community ��� ��
����. �� � � “vouch for” �� target-URL� ���� �
��� ��� �� �� ��� ���� �����.
pkmsvouchfor “vouch for” URL �� �����.
�� ��, �� ����.
136 �� 3.8
![Page 157: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/157.jpg)
https://mas.dA.com/pkmsvouchfor?companyABC&https://ws5.dB.com/index.html
“vouch for” ��
“vouch for” � “vouch for” � ��� �� � �� ����.
“vouch for” ��� �� � ��� �� ����.
https://<target-URL>?PD-VFHOST=<vouch-for-server>&PD-VF=<encrypted-token>
PD-VFHOST ���� “vouch for” ��� ��� � � ����
�. ��(��) � � � ��� ���� “vouch for” ��(PD-VF)� �� ��� � ��� ��� � �����. PD-VF ���
� ��� “vouch for” ��� �����.
�� ��, �� ����.
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
“Vouch For” �� �� ���� ��� �� �� �� ����� �� ��� �� ��� �
� �� ����� ���. ��� ��� ��� URL� ���� �
�� �� ��� ���� �� ���� ���� �����. ��
� ��� ���� “vouch for” ����� ���.
¶ ���� “vouch for” �� �� ��, ���� ��(���
��), ��� ��� � � ��� �, e-community �� � �
� �� �� �� ����.
¶ ��� “vouch for” ��� ��� ��� � � � ����
���� ��� � ��� ���� � �� ��(� �� ��)���� � ����.
¶ �� ��� ��� � ��� �� triple-DES � � ��
�� ������.
¶ ��� �� ��� ����� ��� ����.
137Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 158: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/158.jpg)
¶ �� � �� �����. �� � � � ��� ���� ��
� ��� ��� ��� �����. � � ��� �� �
� ���� � ��� � ��� �����.
¶ �� webseald.conf �� ���� ��� �(���) �� ��� ����. � � �� ��� ��� ��� � ��
�� � ����(� ��).
“Vouch For” � ���WebSEAL cdsso_key_gen ����� � ���� � ����
��� �� �� ���� ���� ���. ���� � ���� �
� ��� WebSEAL � ��� ���� � � “���”
� ���. � ���� ���� WebSEAL � � � � ��
� ���.
�: ��� ���� ���� � Policy Director e-community �
���� ��� ����. ���� � � � �� ��� �
��� ���.
cdsso_key_gen ����� �� ��� � ����� ��� �
�(�� �� �)� ��� ���.
UNIX: # cdsso_key_gen <absolute-pathname>
Windows: MSDOS> cdsso_key_gen <absolute-pathname>
��� ���(� � ��) �� � � �� ���� ��� �� �
��� � ���� � ��� webseald.conf �� ���
[e-community-sso] ����� intra-domain-key ���� ����
�����.
[e-community-sso]intra-domain-key = <absolute-pathname>
MAS, �� ���� �� � � �� �� ��� �� ���
� � ���� ��� ��� [inter-domain-keys] ���� ��
138 �� 3.8
![Page 159: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/159.jpg)
���. MAS ��� ���� �� �� � �� inter-domain-keys� ���� ����. MAS� �� ���� �� � ���� �
��� ��� � ���.
[inter-domain-keys]<domain-name> = <absolute-pathname><domain-name> = <absolute-pathname
e-Community ��� ���� e-community ��� ��� �� �� ���� � �
����. �� ���� webseald.conf ��� ����.e-community�� ���� � � � � � ��� �� �� ��
� ���.
e-community-sso-auth
� ���� e-community ��� �� �� �� ����� ���.��� “http”, “https”, “both” �� “none”� �����. �� ��,�� ����.
[e-community-sso]e-community-sso-auth = both
“http”, “https” � “both”� � e-community ���� ���� �
� ��� �����. “none”� � � � � �� e-community� �� ����� ���. �� � “none”���.
master-http-port
e-community-sso-auth� HTTP e-community ��� ���� ���
�� � � HTTP ��(�� 80)� �� �� ���� HTTP ��� ���� master-http-port ���� � ��� �����.� � � ��� �� � � ���� � ���� �����. �
����, � ���� ��� � ����.
[e-community-sso]master-http-port = <port-number>
139Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 160: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/160.jpg)
master-https-port
e-community-sso-auth� HTTPS e-community ��� ���� ��
� �� � � HTTPS ��(�� 443)� �� �� ����
HTTPS ��� ���� master-http-port ���� � ���
�����. � � � ��� �� � � ���� � ���� �
����. �����, � ���� ��� � ����.
[e-community-sso]master-https-port = <port-number>
e-community-name
� ���� ���� �� ���� ���� �� � � ��
e-community� �� �� �����. �� ��, �� ����.
[e-community-sso]e-community-name = companyABC
e-community-name � e-community� ���� �� ���� �
� WebSEAL � � � ��� ���.
intra-domain-key
� ���� � � ��� ��� ��� ��� ����� ��
��� � ���� ��� ��� �����. �� ��, ��
����.
[e-community-sso]intra-domain-key = /abc/xyz/key.file
� ���� � ��� ��� ��� � �� �� WebSEAL� � �� ��� ��� ��(���) ��� ���.
is-master-authn-server
� ���� � � � MAS�� ��� �����. ��� “yes” �
� “no”� �����. �� ��, �� ����.
140 �� 3.8
![Page 161: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/161.jpg)
[e-community-sso]is-master-authn-server = yes
�� �� WebSEAL� ��� �� � � ����� ��� ��
��� �� ��� � ����. � ������ �� ����
e-community� �� �� WebSEAL � � � MAS�� “��”�
��.
master-authn-server
is-master-authn-server ���� “no”� ��� � ���� �
�� ��� ��� ���. � ���� MAS� ��� ��� �
� �����. �� ��, �� ����.
[e-community-sso]master-authn-server = mas.dA.com
vf-token-lifetime
� ���� “vouch for” ��� � ��� �(� ��)� ��
��. � � ��� �� ����� � �����. ��� 180����. ���� � � ��� �� � � ��� ���. �� �
�, �� ����.
[e-community-sso]vf-token-lifetime = 180
vf-url
� ���� “vouch for” URL� �����. � ���(/)� ��
� ���. ��� /pkmsvouchfor���. �� ��, �� ��
��.
[e-community-sso]vf-url = /pkmsvouchfor
� URL� �� �� ����.
vf-url = /ecommA/pkmsvouchfor
ec-cookie-lifetime
141Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 162: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/162.jpg)
� ���� e-community ��� �� �� �(� ��)� ��
���. ��� 300����. �� ��, �� ����.
[e-community-sso]ec-cookie-lifetime = 300
��� �
MAS, �� ���� �� ���� � � ���� ��� ���
�� �� ��� � ��� ��� ��� [inter-domain-keys]����� �����. � � �� ��� ��� � �� �
�� �� �� �� �� ��� ���.
�� ��� MAS(��� A)� � �� �� ��� ���� ��
��� �����.
[inter-domain-keys]dB.com = /abc/xyz/key.fileBdC.com = /abc/xyz/key.fileC
� ���� key.fileB� ��� A ��� B ��� �� �
�� �����. key.fileC� ��� A ��� C ��� ��
��� �����.
��� �� � �� MAS� � �� ��� ��� ��� �
�� ���. MAS(��� A) ��� ���� ��� B� �� �
�
key.fileB� ��� ��� ���.
[inter-domain-keys]dA.com = /efg/hij/key.fileB
MAS(��� A) ��� ���� ��� C� �� � �
key.fileC� ��� ��� ���.
[inter-domain-keys]dA.com = /efg/hij/key.fileC
142 �� 3.8
![Page 163: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/163.jpg)
CDSSO �� ��� ��e-community ���� cdsso �� ���� ��� ���. ��
�� � � “vouch for” ��� �� �� �� ����� ��� �
�� ��� � � ���� �����. cdsso �� ���� ��
�� ��� �� �� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libcdssoauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� cdssoauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
cdsso libcdssoauthn.so libcdssoauthn.a cdssoauthn.dll libcdssoauthn.sl
webseald.conf �� ��� [authentication-mechanism] ����
cdsso ��� �� ����� ��� ��� �� �� ����
CDSSO �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms]cdsso = cdssoauthn.dll
143Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
![Page 164: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/164.jpg)
144 �� 3.8
![Page 165: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/165.jpg)
WebSEAL Junction
WebSEAL � ��� � ������ � �� ��� WebSEALjunction �� junction��� ���. WebSEAL junction ���
� WebSEAL � ��� � ������ � �� TCP/IP �����. junction WebSEAL� ��� � � �� � ��� ���
� �� ���.
pdadmin �� ���� �� Web Portal Manager� ����
WebSEAL junction� ��� � ����. � ��� WebSEALjunction ��� � � ��� � ���.
�� �� �� ����.
¶ 146 ���� �WebSEAL Junction ���
¶ 149 ���� �“pdadmin � ���”� ��� Junction ���
¶ 150 ���� ��� WebSEAL Junction ���
¶ 153 ���� ��� �� SSL Junction�
¶ 157 ���� �TCP � SSL ��� Junction ���
¶ 158 ���� �SSL� �� WebSEAL�� WebSEAL��
Junction�
¶ 159 ���� ��� Junction ���
¶ 178 ���� �WebSEAL Junction ��� �� � �����
6
145Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 166: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/166.jpg)
¶ 181 ���� ���� � �� query_contents ���
WebSEAL Junction ���� � WebSEAL junction ��� ��� � ����.
¶ TCP ��� �� WebSEAL�� ��� � �
¶ SSL ��� �� WebSEAL�� ��� � �
¶ HTTP ��� � ��� TCP ��� �� WebSEAL�� ���
�
¶ HTTPS ��� � ��� SSL ��� �� WebSEAL�� ��
��
¶ SSL ��� �� WebSEAL�� WebSEAL�
junction� ���� �� �� � �� ��� ��� ���.
1. WebSEAL �� � ���� � ������ � � junction(��)� ��� ������.
2. junction ��� ������.
Junction ������ �� � ��WebSEAL junction ��� �� XML ��� ������ ��� �
���. junction ������ ����� ��� webseald.conf �
� ��� [junction] ���� �����. ����� WebSEAL �
��([server] ����� server-root ���)� ������.
[junction]junction-db = jct
¶ � junction ��� .xml� ��� ��� �����.
¶ pdadmin ����� ���� junctions � ��� ���� �
� � ����.
¶ XML ��� ���� junction ��� �� ��, ��, �� � �
�� � ����.
146 �� 3.8
![Page 167: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/167.jpg)
���� � ��� � ��: ��
1. pdadmin ���� �� Web Portal Manager� ����
WebSEAL ��� � �� junction� ������.
2. junction ���� ��� ACL Policy� ���� ��� � � �
� ���� � ��� ������.
��� ��� � ��: ��
1. pdadmin ���� �� Web Portal Manager� ����
WebSEAL ��� � ���� junction� ������.
WebSEAL ��� �� ���� ���� “��” �� � �
���. �� � ��� �� �� ���� �� ���
WebSEAL� ���� query_contents�� �� ������� �
��� �� �� � ��� WebSEAL� � ��� ���.
2. query_contents ����� ��� � � ������.
3. �� �� � ��� �� ��� �� �� ACL Policy� �
�����.
WebSEAL Junction �� �� ���� � junction� �� “�”� ��� ����.
¶ �� WebSEAL �� � �� ����� junction� ��� � �
���.
¶ ��� �� ����� �� ��� � � junction� � ��
��.
��� junction ����� �� �� ��� � � ��(TCP�� SSL)� ��� ���.
¶ ACL policy� junction� � ��� � � �����.
¶ junction ���� �� WebSEAL � � � ��� �� �� �
���� ���� ���. �� ��, WebSEAL� /path/...��� ��� ��� ��� /path�� �� junction ����
���� ����.
147Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 168: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/168.jpg)
¶ � � ���� �� HTML ���� � ����� �� �
� URL� �� ����(�: Javascript �� ��")� ��� �
� junction ���� ��� � � � ��� �� �� ����
� ���� ���. �� ��, ��� � � ���� ��
���� /path/... ��� URL� �� ����� ��� ��, /path�� �� junction ���� ���� ����.
WebSEAL Junction�� HTTP 1.0�� ���WebSEAL junction�� HTTP 1.0�� �����. � ���� �
�� junction � �� �� ������� �� �� �� ��
� ��� � � ����.
� ��� ���� RFC ��
� ��� ( ��� ���
WebSEAL)
HTTP/1.0 � HTTP/1.1 RFC2068
���(WebSEAL�� junction
� )
HTTP/1.0 �� RFC1945
�: ���� ���� HTTP/1.0 “Keep-Alive”� ���� ����.HTTP �� �� HTTP/1.1� � �����.
WebSEAL Junction� �� �� �WebSEAL junction ��� ��� 9 ���� �WebSEAL Junction� �� ��� ������.
junction � ��� �� ��� �� 245 ���� �WebSEALJunction ���� ������.
148 �� 3.8
![Page 169: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/169.jpg)
“pdadmin �� ���”� ��� Junction ��pdadmin� ���� �� sec_master � ����� � ����
���� ���.
�� ��, �� ����.
UNIX:
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
Windows:
MSDOS> pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
WebSEAL junction� ����� pdadmin server task �� ��
����.
pdadmin> server task <server-name> <task>
server-name ��� � �� � � � ��� �� PolicyDirector ����(�: WebSEAL)� �� �����.
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL�� server-name �� ����.
webseald-cruz
server list �� ���� � � ��� ��� � ����.
pdadmin> server listwebseald-cruz
149Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 170: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/170.jpg)
�� WebSEAL Junction ��WebSEAL TCP(HTTP) � WebSEAL ��� � ����
�� � �� � SSL(HTTPS) junction� �� �����.
WebSEAL ��� � �� junction ���� WebSEAL �
�� �� ��(� � � �) �� ����.
pdadmin� ���� �� WebSEAL junction� ����� �� �
�� � ��� �����.
¶ ��� ������ � � ��� �(-h ��)
¶ junction ��: tcp, ssl, tcpproxy, sslproxy, local(-t ��)
¶ junction ���(�� ���)
pdadmin> server task <server-name> create -t <type> -h<host-name> <jct-point>
�� ��, �� ����.
pdadmin> server task webseald-cruz create -t tcp -h doc.tivoli.com /pubs
TCP �� JunctionTCP ��� �� WebSEAL junction junction� �� ��� ��
��� junction �� � � ��� ����� ����.
�� 22. �� TCP(HTTP) Junction
150 �� 3.8
![Page 171: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/171.jpg)
� TCP junction� ���� �� � � ����� -t tcp ��
�� create �� ������.
pdadmin> server task <server-name> create -t tcp -h <host-name>[-p <port>] <jct-point>
TCP junction� �� �� �� �(���� � ��) 80���.
SSL �� JunctionSSL junction TCP junction �� ��� ��� ����
WebSEAL ��� � �� �� ��� ����� ��� ��
�.
SSL junction � ����� ������ ��������� ��
��� ����. SSL� ���� ������ WebSEAL�� �
�, WebSEAL�� ��� � �� ��� ��� � ����. �
�� � � SSL junction� ��� � HTTPS� ��� � ��� �
��.
� SSL junction� ���� �� � � ����� -t ssl �� �
� create �� ������.
pdadmin> server task <server-name> create -t ssl -h <host-name>[-p <port>] <jct-point>
SSL junction� �� �� �� �(���� � ��) 443���.
�� 23. � SSL(HTTPS) ��
151Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 172: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/172.jpg)
��� �� ��� ������ ��� � � ��� ���� WebSEAL � � �
� ����� ���� ��� �����. SSL ���� ���
� � ��� ���� ��, � � � � ���� � ��� �
��� �����.
WebSEAL� ��� � ��� � ���� �� WebSEAL �
�� ��� ������� ��� �� �� CA ��� ����
� ���� ���� ��� ���.
Policy Director� SSL� IBM GSKit(Global Security Kit) ��� �
����. GSKit iKeyman ����� ���� ��� � ����
�� CA� �� ���� WebSEAL ��� ��(pdsvr.kdb)���� ���.
��� ������ �� �� ��� �� 253 ����
�iKeyman�� �� ��� ������.
SSL Junction� ��SSL� �� junction ��� /sales��� Junction ���
sales.tivoli.com
pdadmin> server task <server-name> create -t ssl -hsales.tivoli.com /sales
�: �� ���� -t ssl �� �� �� 443� �����.
SSL� �� junction ��� /travel�� �� 4443� junction ��
� travel_svr
pdadmin> server task <server-name> create -t ssl -p 4443-h travel_svr /travel
152 �� 3.8
![Page 173: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/173.jpg)
�� ��� SSL JunctionWebSEAL SSL junction(-t ssl �� -t sslproxy)� �� WebSEAL� ��� � �� �� ��� �����. �� SSL� ��
�� ��� ��� ���� ��� ��� ����. (��� ���
� ��� ���� ����.)
1. WebSEAL ��� � � �����(�� SSL ����).
¶ WebSEAL ��� � ��� � ���� ������.�WebSEAL ��� � ���� ������ ������.
¶ WebSEAL ���� �� �� �(DN)� �����
(-D)(������ �� ��). 154 ���� ��� �(DN)���� ������.
2. ��� � � WebSEAL� �����(� �� ��).
¶ ��� � � WebSEAL�� ���� ���� �����
�(-K). 154 ���� �WebSEAL ���� ���� ��
��� ������.
¶ ��� � � BA(Basic Authentication) �� �� WebSEAL�� ��� ������(-B , -U , -W) . 155 ����
�WebSEAL BA �� ����� ������.
SSL� �� �� ��� ���� � �� �� ��� ����
�.
¶ ���� ���� BA �� ���� ��� � ����.
¶ junction ��� �� ���� ��� � ����.
SSL� �� -b ��(BA �� ��� ��) �� ��� �� 156���� �Junction� � ���� �� �� ����� ���.
WebSEAL ��� �� ���� ����WebSEAL SSL ����� �� ��� � ���� ���
��. ��� � � � ���� WebSEAL� ����. WebSEAL
153Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 174: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/174.jpg)
�� �� �� CA(Certificate Authority) ��� ���� �
���� ���� ���� ���.
(� CA�� �� �����) ������ � ���� �� ��
��� ���� CA(Certificate Authority) ���� WebSEAL�� �
��� ������� ����� ���.
iKeyman ����� ���� �� CA ���� ������� ��
�� �����. 253 ���� �iKeyman�� �� ��� ��
����.
� ��(DN) ���� �(DN) ��� � � � ��� ��� ���� � ���
�. � DN ��� ����� � � �� SSL junction� ���
� ��� � DN� ��� ���. DN ��� ��� �����
SSL junction� �� �� ���� � ��� ���� �� � �
���.
� � ���� ���� � ���� �� DN junction� �
�� DN � ���. DN� �� ���� ��� ��� � ��
��� ���.
� DN ��� ����� -D “<DN>” ��� ���� SSL junction� ��� � ��� � DN� ������. ���� �� �� �
�� ����� DN ���� ���� �����. �� ��, ��
����.
-D “/C=US/O=Tivoli/OU=SecureWay/CN=Policy Director”
-D �� -K �� -B �� �� ��� �� �����.
WebSEAL ����� ���� ������� ���� � junction ��� � �� WebSEAL ��
� ����� -K ��� ������.
-K “<key-label>”
154 �� 3.8
![Page 175: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/175.jpg)
� ����� �� ���� ��� �����.
¶ ��� � � ���� ���� WebSEAL� ��� ����
� ����.
¶ WebSEAL �� ���� ���� ����
��� � (ssl-keyfile-label)� ����� ��(webseald.conf)���.
¶ DN ��(-D)� �� junction� ���� �� � ����.
-K �� GSKit ������� ��� �� �� ����
���� ���� ��� �����. iKeyman ����� ����
������� �� ���� ������. webseald.conf �� �
�� �� ssl-keyfile-label ���� ���� �� �����
�.
� ��� ���� ��� ���. �� ��, �� ����.
-K “cert1_Tiv”
41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
WebSEAL BA �� ���BA(Basic Authentication)� �� WebSEAL ��� ����� -B -U“<username>” -W “<password>” ��� ������.
-B -U “<username>” -W “<password>”
� ����� �� ���� ��� �����.
¶ ��� � � BA �� WebSEAL� ��� ����� ��
��.
¶ -b ��� ���� junction� ���� ����(��� ����
� -B �� -b filter� ���).
¶ WebSEAL BA �� �� �� ��� ���� ��� �
� ����� �����.
155Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 176: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/176.jpg)
¶ DN ��(-D)� �� junction� ���� �� � ����.
��� � �� ��� ���� ��� ���. �� ��, ��
����.
-U “WS1” -W “abCde”
Junction� �� ����� �� �� ��BA �� �� ���� �� ��� ����� junction� ��
� ����. -b �� filter, supply, ignore, gso �� � �� ��
� ����. �� ��� �� ��� �� 189 ���� ��� �
� � ���� �� BA � ���� � ����.
-b �� �� ��� �� junction �� ��� ��� ��� �
�� ��� ��� �� ���.
-b supply ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� �� ���� ��� � � “�” ��� �
BA �� �����.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b ignore ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� �� ���� ��� � � ��� � BA �
� �����.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b gso ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� GSO � � � ���� ��� � � ���
�� BA �� �����.
156 �� 3.8
![Page 177: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/177.jpg)
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b filter ��
¶ �����, -b filter �� WebSEAL ��� BA � ��� �
���� ���� � �����.
WebSEAL BA �� �� � HTTP ����� �����.WebSEAL ��� ��� � � ����� �� ��� ���
�.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
¶ ��� � � � ���� ��� ����(������) CGI�� HTTP_IV_USER, HTTP_IV_GROUP �
HTTP_IV_CREDS� ��� � ����. ���� � servlet� �
�� ��� Policy Director �� HTTP �(iv-user, iv-groups,iv-creds)� ������.
TCP � SSL ��� Junction ��HTTP �� HTTPS ��� � � ���� ���� ���� ��
��� ��� WebSEAL junction� ��� � ����. ���
TCP �� �� �� SSL ���� ����� junction� ���
� ����.
create ��� ��� � � �� TCP � �� SSL ��
junction� ���� � type ��� �� �� � ��� ����
�.
¶ -t tcpproxy
¶ -t sslproxy
create � add ��� ��� � � �� � � � ���� �
�� �� � ��� �����.
157Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 178: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/178.jpg)
-H <host-name> ��� � � DNS ��� � �� IP ��
-P <port> ��� � � TCP ��
-h <host-name> �� � � � DNS ��� � �� IP ��
-p <port> �� � � � TCP ��. TCP junction� ��
��� 80�� SSL junction� �� ��� 443�
TCP ��� junction ��: (� ��� ��)
pdadmin> server task <server-name> create -t tcpproxy-H clipper -P 8081 -h www.ibm.com -p 80 /ibm
SSL ��� junction ��: (� ��� ��)
pdadmin> server task <server-name> create -t sslproxy-H clipper -P 8081 -h www.ibm.com -p 443 /ibm
SSL� �� WebSEAL�� WebSEAL�� JunctionPolicy Director� ���� WebSEAL � ��� WebSEAL �
�� SSL junction� �����. create �� -C ��� ���
� SSL� � � �� WebSEAL � � junction�� �� ���
������.
�� 24. ��� junction ��
158 �� 3.8
![Page 179: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/179.jpg)
��:
pdadmin> server task <server-name> create -t ssl -C -h serverA /jctA
�� � ���� �� ��� �����.
¶ SSL ����� ���� ��� WebSEAL � � � � �
��� � ���� WebSEAL � � ��� � ����.
¶ -C ��� ���� ���� WebSEAL � � � �� ��
� BA(Basic Authentication) �� ��� WebSEAL � � �
�� � ����.
�� -C ���� ��� WebSEAL � � �� ��� HTTP �
� Policy Director �� ���� �� � �� � � ��� �
��� -c ��� ��� ��� � ����. � ����� iv-user,iv-groups � iv-creds� ����. 161 ���� �HTTP �� ��
���� �� ��(-c)�� ������.
�� �� WebSEAL�� WebSEAL�� junction� �����.
¶ junction -t ssl �� -t sslproxy junction ��� �����.
¶ � �� WebSEAL � � �� LDAP �� DCE ������ �
�� ���. ��� ��� WebSEAL � � ����
WebSEAL � � �� ��� ��� � ����.
�� Junction ��� ���� �� � WebSEAL junction ��� ��� � �
���.
¶ 160 ���� ��� Junction �� �(-f)�
¶ 161 ���� �HTTP �� �� ���� �� ��(-c)�
¶ 163 ���� �HTTP �� �� ���� IP �� ��(-r)�
¶ 164 ���� ��� �� Junction � � � ��(-k)�
¶ 165 ���� ������ ���� �� URL ��(-i)�
159Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 180: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/180.jpg)
¶ 165 ���� ����� � ����� ���������� URL��(-j)�
¶ 170 ���� �Junction ��� ���� � �� URL ���
¶ 172 ���� �Stateful Junction ��(-s, -u)�
¶ 173 ���� �Stateful Junction� �� ��� � UUID ��
(-u)�
¶ 177 ���� �Windows �� ����� Junction(-w)�
��� Junction � ��(-f)�� junction� ��� �� junction� � �� ��� -f ��� �
�� ���.
�� ��(� � websealA�)��� � ��� �����.
1. pdadmin�� �������.
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
2. server task list �� ���� ��� �� junction ����
�����.
pdadmin> server task websealA list/
3. server task show �� ���� junction� ����� ��
���.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /opt/pdweb/www/docs
160 �� 3.8
![Page 181: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/181.jpg)
4. �� junction ���� ��� �� �� junction� �����
�. (�� junction� ��� �� junction� � �� ��� -f��� �����.)
pdadmin> server task websealA create -t local -f -d /tmp/docs /Created junction at /
5. �� junction ���� ������.
pdadmin> server task websealA list/
6. � junction� ����� �����.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /tmp/docs
HTTP �� �� ����� �� ��(-c)-c ��� ���� junction ��� � � �� HTTP ��� �
� Policy Director �� ���� �� � �� � � ���
�� � ����. Policy Director HTTP � ��� junction �
�� � �� ������� ���� ����� Policy Director �
�� ��� ��� �� ��� �����.
HTTP � ��� ��� � � ���� ��� � ��� ��� �
� � �� � ���� ���� ���. � ��� �� �
�(-)� ��(_)� ��� “HTTP”� ���� �� ��� ���� CGI�� � ���� ����. HTTP �� � �� �� �
� �� ���.
PD �� HTTP �
� ��
�� CGI �� � ��
iv-user = HTTP_IV_USER = ��� � ����� �. �����
���� � ��( � �� ��) ��
� “���� ��”���.
161Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 182: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/182.jpg)
PD �� HTTP �
� ��
�� CGI �� � ��
iv-groups = HTTP_IV_GROUPS = ����� �� ��� ��. �� ��
�� ���� �����.
iv-creds = HTTP_IV_CREDS = Policy Director ��� ���� ��
opaque ��� ��. �� � � ��� �
���� �� � ������
Authorization API� ���� �� �� �
� �� � � � � �� � � . T i v o l i
SecureWay Policy Director Authorization
ADK Developer Reference� ������.
CGI ���� Policy Director �� HTTP � ��� �� �
HTTP_IV_USER, HTTP_IV_GROUPS � HTTP_IV_CREDS� �
�� � ����. �� ������ ����� ��� ��, HTTP ���� � ��� �� �� ��� ��� ������.
-c ��-c �� �� Policy Director �� HTTP � ���� ��� �
����� � � ������ �����.
-c <header-types>
header-types ���� all, iv_user, iv_user_l, iv_groups � iv_creds� �����.
� ��
iv_user ��� �(� ��)� ��� HTTP ��� i v-user��� �����.
iv_user_l ���� �� DN(� ��)� ��� HTTP ���
iv-user ��� �����.
iv_groups ���� �� ��� ��� HTTP ��� iv-groups��� �����.
162 �� 3.8
![Page 183: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/183.jpg)
� ��
iv_creds ���� �� ��� ��� HTTP ��� iv-creds �
�� �����.
�: iv_user �� iv_user_l � ��� ���� � �� �� ����
����.
-c all �� � �� ��� �� ��� �� HTTP �� ��
��. (� �� � � ��(iv_user )� �����.)
�: �� ��� �� ������. �� ���� ����.
��:
-c all
-c iv_creds
-c iv_user,iv_groups
-c iv_user_l,iv_groups,iv_creds
HTTP �� �� ����� IP �� ��(-r)-r ��� ���� junction ������ � � �� ��� HTTP�� ���� IP �� ��� �� � ����. Policy DirectorHTTP � ��� ���� junction �� � � �� �����
�� IP �� ��� ���� ��� ��� � ����.
HTTP � ��� ��� � � ���� ��� � ��� ��� �
� � �� � ���� ���� ���. � ��� �� �
�(-)� ��(_)� ��� “HTTP”� ���� �� ��� ���� CGI�� � ���� ����. HTTP �� � �� �� �
� �� ���.
�: IP ��� �� �� ��� ���� ��� ��� ���� �
����. IP �� �� ��� � � NAT(Network AddressTranslator)� ��� ��� �� ����.
163Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 184: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/184.jpg)
PD �� HTTP �
� ��
�� CGI �� � ��
iv-remote-address HTTP_IV_REMOTE_ADDRESS
����� IP ��. � � ��� �
� NAT(Network Address Translator)� IP
��� ��� �� ����.
-r �� ���� ��� IP ��� ��� ������ � � ��
�� �����. � �� �� �� ����.
�� ��� Junction� � ��� ��(-k)� � ��� �� ��� �� � ���� ���� � ���.-k ��� ���� Policy Director �� �(��� ����
WebSEAL ���� ���)� ��� � � � �� � ����.�� � �� Plumtree Corporate Portal ����� WebSEAL� �
�� �� ���� � �����.
����� � � ��� ��� �� ��� ��� �, � �
� �� �� ������ � � ��� �� WebSEAL� �
���� ��� ���� � ��� �����. �� �� ���
� � � � ����� �� ��� ������ � � ��
�� �� �� ��� � ����.
WebSEAL ��� � � �� junction� ��� � �� ��
-k ��� ������.
� � ���� ��� � �� �� ����.
¶ ��� � � ��� �� ���� �� ��� �����. �
� ��(BA) ���� ����.
¶ webseald.conf �� ��� [session] ����� ssl-id-sessions���� “no”� �� ���. HTTPS ��� ��, � �
SSL �� ID �� ��� �� �� ���� �� ��� �
������.
164 �� 3.8
![Page 185: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/185.jpg)
¶ WebSEAL ���� � � � ������ failover �� �
� ������. Failover ��� ��� ���� ��
WebSEAL � ��� ��� ����� ��� �� ��� �
� ����.
����� �� � �� URL ��(-i)�����, Policy Director� �� ��� ��� � URL� ��
��� �����. -i �� junction ��� � � �� �� ��
� WebSEAL� URL� ����� ���� ��� ���� � ��
���.
Junction�� � ��� �� ��, WebSEAL URL� �����
� ����� ���� ����. �����,� � � ����� �
����.
���� HTTP � � URL� ����� ����� ���� HTTP��� ����� �� HTTP � � URL� ����� ���� �
���.
�� ��, ����� ���� �� � �� �� � URL ���
URL� ����.
http://server/sales/index.htm
http://server/SALES/index.HTM
�� � ��� � URL� �� ��� ACL(Access Control List)���� ���.
-i ���� �� � � junction�� WebSEAL � � � ��
� �� URL� ����� ���� ����.
�� � � ������ �������� URL ��(-j)� ���� WebSEAL� ��� � � �� ����� ���� �
� �� � � � �� �� ���� ��� � ���.
¶ 166 ���� ����� �� �����
165Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 186: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/186.jpg)
¶ 167 ���� �Junction �� ���� � �� URL ���
¶ 169 ���� ����� �� � ��� �� URL ���
¶ 170 ���� �Junction ��� ���� � �� URL ���
���� �� ���������� junction � � � ��� � ���� ��� ��
HTML, ����� ������(��") �� ����� ����.� ���� ���� Javascripts, VBscripts, ASP, JSP � ActiveX�� ����.
HTML, ���� �� ��"� � �� ���� ��� � �
� �� !� �� ����� �(URL)� ��� ����. URL
�� �� ���� �����.
¶ ��
¶ ��
¶ � ��
��� � �� �� URL� ������ junction� ���� ��
� ���� �� ���� �����. WebSEAL ��� �� ��
��� �� URL� ��� �� ��� � junction �� ��
� ��� ���.
�� ���� � URL�� �� WebSEAL ��� ���� ��
��. ��� URL� junction ��� �� �� ���� �� �� �
� �� �� ���� � ��� � �� �� ����� ��
��. � �� �� WebSEAL � � ��� �� ����� ��
�� �� ����.
�� URL �� ��( �� �� ���)
abc.html ../abc.html
./abc.html sales/abc.html
166 �� 3.8
![Page 187: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/187.jpg)
�� URL �� ��( ��� junction ��� ���)
http://www.tivoli.com/abc.html
� �� URL �� ��( ��� junction ��� ���)
/abc.html /accounts/abc.html
WebSEAL �� �� � � �� URL� �� � ����
���� �����.
¶ �� HTML ��
HTML � ��� ���� �� ����� � ����
WebSEAL ���� ��� junction ��� URL� �����.179 ���� �Junction � �� �� HTML URL �� ��
������.
¶ ���� � ����� ������ ��
����� ��� ��� � �� � � �� URL ��
� ��� � �� ����� ��� � WebSEAL� �� �
� �� � ����� ����. WebSEAL ��� � junction��� ����� ����� ���.
�: � ����� �� ������ ���� �� URL� ���
�� �(�� �� � ��� ��)� ���� �� ����.
Junction ��� �� � �� �� URL ���� ������ ��� � � ��� ����� � �� URL
��� ���� �����. WebSEAL ����� ��� � �
�� � �� ��� � ����. URL� junction ��� ���
� ���� ������ �� � URL� ����.
167Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 188: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/188.jpg)
����� � �� � �� ��� ���� WebSEAL
�� �� ���� ��� �� ��� �� �����. WebSEAL ��� �� � “� � ��” �� ����� ��
���.
-j �� junction � �� � ����� � ���� ����
���� ���� ��� � �� URL� ���� �� � �
� ���� �����.
� ��:
pdadmin> server task <server-name> create ... -j ...
� ��� � junction ��� �� ����� �����. � �
�� �� � �� �����.
IV_JCT_<backend-server-name> = </junction-name>
����� � URL� ���� ���� WebSEAL URL� ��
���� �����. ��� � � �� WebSEAL �� �
�� ���� junction ��� ���� ��� ������. ��URL ��� ��� junction ��� � ����� � � ��
��.
�� ����� � �� URL �� � �� ���� �����.
�� 25. �� �� ���� �� URL
168 �� 3.8
![Page 189: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/189.jpg)
WebSEAL � �� URL� ���� � � �� �� �
���� �����. 170 ���� �Junction ��� ���� � �
� URL ���� ������.
�� � ���� ��� �� URL ��WebSEAL�� junction� � ���� �� �� URL� ���
� �� ��� �����. webseald.conf �� ���� �� URL�� � �� �� �� �� ����� �� ���� �� ���
�.
[script-filtering]script-filter = no
�����, ���� �� ��� � ����. ���� �� �
����� ��� �����.
script-filter = yes
�: ��� � �� junction� ����� -j ��� ��� ���.junction ��� �� ���� �� ����� ��� ��
��� ����� �����.
script-filter ��� �� � ��, � , �� ����
�� URL� �����.
�� 26. � �� URL ��
169Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 190: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/190.jpg)
http://server/resource
script-filter ��� �� �� � ��� ��� junction��� ����.
/junction-name/resource
� ��� �� � �� ��� ��� �� ��� ���� � �
���. script-filter ���� �� URL �� � �� ��� ��
� junction�� ������.
�� ����� � URL �� ���� �����.
Junction ��� �� � �� �� URL ��Policy Director� � �� URL �� � �� � � ����
�� �����. �� �� ��� junction �� ���� junction�� ���� ���� ����� � ����.
WebSEAL junction �� ���� �� ���� � �� URL� �� �� ��� �����. URL� �� �� ��� ���� �
�� ���� WebSEAL � �� � junction�� ��� �
����.
�� 27. �� URL ��
170 �� 3.8
![Page 191: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/191.jpg)
��� jmt.conf�� ASCII ��� �����. � ��� ���
webseald.conf �� ��� [junction] ����� �����.
jmt-map = lib/jmt.conf
���� �� ��� ��� �� junction �, �� � �� ��
��� �����. �� �� �� ��� � ���� ��
� ��� �� ����.
junction �� ��� �� �����, � �� ��� � � /jctA �
/jctB�� WebSEAL� junction���.
#jmt.conf#<junction-name> <resource-location-pattern>/jctA /documents/release-notes.html/jctA /travel/index.html/jctB /accounts/*/jctB /images/weather/*.jpg
�� jmt.conf �� ��� �����. ��� ���� ���
�� WebSEAL� �� ��� � ��� jmt load �� �
��� ���� “��”� ���.
pdadmin> server task <server-name> jmt loadJMT ���� ����� �������.
�� �� junction �� ��� ���� �����.
¶ � ����� -j ���� junction �� ���� ��
¶ � ��� �� ���� ��� ������ �
¶ � ��� �� URL� �� �� ���� ��
¶ �� �� � �� � �� � junction � ������ �
�� ��� �
¶ ��� �� � ��� ��� �� ��� ���� ��. �
�� WebSEAL �� ��
¶ �� ���� ���� �� �� ���� �� ���� ��
� � ��. ��� WebSEAL �� ��
171Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 192: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/192.jpg)
¶ �� ���� �� ��� ��� ��� �� ��� �� ��
� ���� ��. ��� WebSEAL �� ��
¶ �� ��� �� � ���� �� �� WebSEAL � ��
��(webseald.log)� �� ��� �� ��� ��
Stateful Junction ��(-s, -u)���� � �� ������ �������� ��� HTTP ��� �� “��”� �������. �� ��, � ��� ��� ��
�� � �����.
¶ CGI ����� � �� ��� ��� ��� � ����
�� ��
¶ ��� ������ ��� ��� � ���� ���� ����
¶ ���� ��� ��� ��� ��� ���� ��� �� �
�� �������� �� �� ����
� �� ������� ��� � � �� ��� � �� ���
� ��� � ����. WebSEAL � � ��� �� ��� �
� junction� ��� � ���� ��� �� �� �� ��
� � � ����� �� �� ��� �� �� �� ��� �
� ������ ���.
�����, Policy Director� �� ��� �� �� � � ���
����� ��� � ��� ���� �����. Policy Director�
“least-busy” ��� �����. � �� �� �� �� �
�� �� � � � � �� ��� �����.
create � -s ���� � �� ��� �� ���� ����� �
�� �� ��� � �� � � � ����� �� “statefuljunction”� �����. �� ���� ��� ���� WebSEAL�� ��� � � UUID� ���� ���� ���� �� �
����. � � ����� � ��� � ���� �� UUID��� ��� ���� � ��� � � ������ ���.
172 �� 3.8
![Page 193: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/193.jpg)
-s �� �� ��� � � � junction ����� junction�� �
� ���� WebSEAL � � �����. �� junction� ���
��� ���� add �� -s �� �� ���� ��� �� �
�� � � ��� junction ���� junction���.
����� �� ���� WebSEAL � � ��� �� � � �
� ��� ��� � � junction�� ��, -u ��� ���� ��
� ��� � UUID� � ���� WebSEAL � � ���� �
�� ���. �Stateful Junction� �� ��� � UUID ��(-u)�� ������.
Stateful Junction� �� ��� �� UUID ��(-u)��� � ������ � � �� junction� ���� WebSEAL�� UUID(Unique Universal Identifier)� ���� � ��� �
� �����. � UUID� ����� ���� stateful junction� �
����� �� �����(create -s).
�� ���� ��� ���� WebSEAL �� ��� � �
UUID� ���� ���� ���� �� �����. � � �
���� � ��� � ���� �� UUID ��� ��� ��
�� � ��� � � ������ ���.
�� ���� WebSEAL � � �� ��� � � junction��
stateful junction ��� �� ���� ���. �� ����
�� 28. Stateful junction ��� � UUID� ���
173Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 194: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/194.jpg)
WebSEAL � �� ��� � �� � junction ��� � � �
��� UUID� �����. �� �� ��� � � � ���
� WebSEAL � � �� �� UUID� "� �� �����.
�� ���� � �� � �� � ��� ��� ���� � �
� ��� ���� �����. �� ��, �� “��”� �� UUID� ���� WebSEAL � 1� � ��� � � �����.
��� ��� �������� � ��� �� ��� ����
� WebSEAL � 2� � ��� ��, WebSEAL � 2� �
��� � � ���� � ��� UUID� ���� ��� “��”� �� ���� ����. ��, ��� ��� ���� ����.
-u ��� ���� �� ��� � � � ��� UUID� � �
��� WebSEAL � � ��� � ����.
�� ��, � �� ��� � �� stateful junction� �� � ��
�� ���� WebSEAL � � ��� ������. WebSEAL� 1 ��� � 2 ��� stateful junction� ���� ��� �
2� ���� � ��� UUID(UUID A)� �����. ���
WebSEAL � 2 ��� � 2 ��� stateful junction� ���
� �� UUID(UUID B)� ���� ��� � 2� �����.
174 �� 3.8
![Page 195: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/195.jpg)
�������� ��� ��� WebSEAL � 2� � ����
� WebSEAL � 1� � ���� ��� � 2 ��� ��
“��”� �� ���.
junction �� � UUID ��� ��� �� ����� �����
�.
1. WebSEAL � 1��� � ��� � �� junction� ����
��.
create -s � add� ������.
2. 1�� ��� � ��� � � � �� UUID� ������.
show� ������.
3. WebSEAL � 2��� ��� � �� junction� ���� 2�
��� �� UUID� ������.
create -s -u � add -u� ������.
�� 29. �� UUID
175Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 196: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/196.jpg)
�� ���� ��� � 1 WebSEAL-1 � WebSEAL-2� �
UUID 1� ���. ��� � 2� WebSEAL-1 � WebSEAL-2�� UUID2� ���.
��:�� ����,
¶ WebSEAL-1� WS1��� ���.
¶ WebSEAL-2� WS2�� ���.
¶ ��� � 1� APP1��� ���.
¶ ��� � 2� APP2�� ���.
pdadmin> server task webseald-WS1 create -t tcp -h APP1 -s /mntpdadmin> server task webseald-WS1 add -h APP2 /mntpdadmin> server task webseald-WS1 show /mnt
(�� UUID1 � UUID2� ���)
pdadmin> server task webseald-WS2 create -t tcp -h APP1 -u <UUID1> -s /mntpdadmin> server task webseald-WS2 add -h APP2 -u <UUID2> /mnt
����� ��� � 2� stateful ��� ���� UUID2� ��
�� � ���. �� ��� � � ��� WebSEAL-1 ��
WebSEAL-2� � ������ ��� ��� ����� ��
��� � 2� ���� �����.
�� 30. Stateful junction� �� ��� � UUID ��
176 �� 3.8
![Page 197: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/197.jpg)
Windows �� ���� Junction(-w)WebSEAL URL� �� �� ��� ���� junction ���
� � �� ���� ��� � � ��� �����. Win32 �
� ��� � �� �� ���� �� �� �� � �� ���
����� � � ��� ��� ��� � ����.
� �� �� �� �� �� �����(abcdefghijkl.txt). �
�� �� ����� � ��� 8.3 �� � ��� �����
(abcdefx1.txt).
Windows ���� junction� ��� ��, ��� �� � ���
�� ��� ���� �� ���� � ���� ���� “��
�”� ���� ��� ��� ���.
-w �� 8.3 �� � ��� ��� ����. ���� �(8.3)��� �� �� ���� � �� ��� �� ACL� ���
� ����. � � �� � �� �� �� �
“403 Forbidden” �� ���� ���.
Windows�� �� �� “foo.”� �� �� �� “foo”� ��
� ��� �����. -w �� ��� � � ��� ��� �
� URL� �� ��� # �� �� �����. ACL �� # �
� �� �� �� �� ��� ���.
�: Win32�� ����� ���� ��(abced.txt = AbCdE.txt) �
�� -i ���� ���� 165 ���� ������ ����
�� URL ��(-i)�� ������.
��:Windows NT 4.0��� �� ��� ��� \ProgramFiles\Company Inc.\Release.Notes ��� ��� � ����.
1. \program files\company inc.\release.notes
2. \\program files\company inc\release.notes
177Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 198: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/198.jpg)
3. \prograx1\companx2\releasx3.not
�� �� 1��� -i ��(-w� ��)� � ��� “���� ��
�”� �� �����.
�� 2��� Windows NT� �� # �� �� �� �����
� �����.
�� 3��� Windows NT� �� �� ��� ���� �� 8.3��� ���� �(DOS ���� �)� ���� ��� ����
�.
-w �� �� 2 3�� �� ���� � �� ����. -w�� # �� �� ���� ��(x) ��� ���� �� �� �
��� ��� ��� junction � � �� �� URL�� �
�� ���� �� �����.
WebSEAL Junction ��� �� �� ����
¶ ���� Junction�� �� � ���
¶ 179 ���� �Junction � �� �� HTML URL �� �
¶ 180 ���� �Junction�� �� ��� ���
¶ 181 ���� �Junction� �� ��� ���
��� Junction�� �� �� ������ junction ����� �� �� �� � � ��� � ��
��. ��� ����� � � � ��� � ����.
� junction ����� �� �� � � ���(�� � ��)��� �� ��� ����, � HTTP �� HTTPS� ��� ��
�. ���� � � � ��� junction ����� ���� ��
��.
178 �� 3.8
![Page 199: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/199.jpg)
1� Policy Director � � ���� junction � � �� ���
� ������. �� ���� ��� � ��� ��(� ��
� ��) ���� ��� ���� ���. ���� � � ���
���� �� ��� ��, ���� ��� ���� ���� ��
���.
��� ���� � �� �� � � �� ���� ���� ���
���.
Junction� ���� �� HTML URL ���junction � ��� MIME �� “text/html”� �� ��� �
����.
WebSEAL� ��� � �� � ��� URL(�� URL � � ��
URL)� ����.
¶ �� �� URL �� ���� �� junction � � �� �
�� � URL� ��� �����.
/dir/file.html
� URL �� �� �� junction � � junction ����
���� �����.
/jct/dir/file.html
¶ �� URL �� ���� �� ��� � �� IP �� �
��� ��� � URL ��� �����.
http://servername[:port]/file.html ��https://servername[:port]/file.html
� URL �� � ��� �� ��� � ����.
1. URL� HTTP�� ���/��� TCP junction � ����
��, �� ���� �� junction ���� ���� URL������.
/jct/...
179Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 200: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/200.jpg)
2. URL� HTTPS�� ���/��� SSL junction � ����
��, �� ���� �� junction ���� ���� URL������.
/jct/...
3. iv.conf ���� ���� ��/�� �� �� URL� �����.
4. META ��� �� �� �� ���� ��� ��� ���
��.
5. BASE ��� HREF ��� �� ��� ����� �� �
�� ��� �����.
junction � � �� URL �� � �� ���� webseald.conf�� ��� [filter-url] ���� ����.
[filter-url] ����� WebSEAL � � junction � � � �
�� URL� ����� ���� ���� HTML ��� ��� ��
����.
���� ���� �� HTML ��� ����� �����. ��� URL� �� �� HTML ��� ��� � �� ����.
�� 165 ���� ����� � ����� ����������
URL ��(-j)�� ������.
Junction�� �� ��� ���� Policy Director �� junction�� ��� � ����. �� �
�, x ��� �� CGI ����� l ��� �� ���� ���
�� ��� � ����. WebSEAL ��� � �� �� ��
�� CGI ���� ���� �� �� ���� ����, ��� �
HTTP �� ���� ���� ���� ��� ����.
junction� � �� �(�: CGI ���� �� ���� ��)�
���� � r ��� ��� �����.
<META HTTP-EQUIV=”Refresh” CONTENT=”5;URL=http://server/url”>
180 �� 3.8
![Page 201: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/201.jpg)
Junction� �� ��� ����, WebSEAL ��� �� ��� ���� �����. ���
���� webseald.conf �� ��� [ssl] �����
webseal-cert-keyfile-label ���� � �� � � ����� �
����.
junction ��� ������ � � ����� ���� ��� �
��� �� WebSEAL� ���� � iKeyman ����� ��
�� � ���� ���� �� ���� ��� ���. �� �
� -K <key-label> ��� ���� junction� ������. 153 �
��� ��� �� SSL Junction�� ������.
junction� -K� ���� ��� GSKit� ���� �� ����
��� �� �� “��” ���� �� �� ��� �� ��� ��
���. ��� �� ��� ��� �� ������(pdsrv.kdb)�“��”(�)�� � ���� ��� � ���.
�� ���� �� ����.
¶ ��� �� ���� ��� ��� ������.
¶ �� �������� ��� ���� “��”�� ��� �
���.
¶ WebSEAL � � ��� �� webseal-cert-keyfile-label ���� ������.
¶ -K junction ��� � WebSEAL ����� ��� ��
������.
��� ���� query_contents ��Policy Director � ���� ���� ��� ������ � ��
� ��� ����� ��, ��� � ��� ��� �� ���
WebSEAL� ��� ���.
181Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 202: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/202.jpg)
query_contents�� CGI ����� � ��� �����.query_contents ���� ��� � �� ��� ���� ��� �
� � ��� WebSEAL� Web Portal Manager� �����. ����� WebSEAL � �� ����� ��� � ��� ��
�� ���� ���. ��� � � UNIX �� Windows � ��
�� �� �� ���� �� �� ���� �� ��� �����.
Web Portal Manager� �� � �� ���� �� � �� �
��� junction� ���� �� �� � ��� ��� �� ��
� query_contents� ���� ����. �� Web Portal Manager� �� ������ ��� ��� � � ���� � ���
��� ��� �� �� policy ����� ��� � ����.
query_contents ��query_contents �� ���� �� ����. ��� PolicyDirector � �� ��� � � �� �� � �� ��� ���� �
� ��� ���� ��� ��� ����.
��� Policy Director ����� ����� ����� �� ���
�.
UNIX: <install-path>/www/lib/query_contents
Windows: <install-path>\www\lib\query_contents
����� �� �� ����.
� ��
query_contents.exe Win32 ���� �� � �� ����. ��
� � � cgi-bin ����� ���� ���.
query_contents.sh UNIX ���� �� � �� ����. �� �
� � cgi-bin ����� ���� ���.
query_contents.c �� �. ��� query_contents� ��� ��
� �� ��� �����. ���� ����
���� ����.
182 �� 3.8
![Page 203: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/203.jpg)
� ��
query_contents.html HTML ��� ��� ��
query_contents.cfg � � � �� ��� ���� � �� ��
�� UNIX ��� query_contents ���� ������ query_contents.sh�� �� �����
����.
<install-path>/www/lib/query_contents
1. query_contents.sh� �� � � �� ��� ���� /cgi-bin����� ������.
2. .sh ��� ������.
3. � � � �� ��� � UNIX � ��� �����.
��� Win32 ��� query_contents ���� ������ query_contents.exe�� �� � �� ���
� query_contents.cfg�� �� �� ��� ����.
Windows: <install-path>\www\lib\query_contents
1. ��� � � � CGI ����� ��� ����� ������.
2. ��� ���� ��� � � � �� ��� ��� �� ���
����� ������.
3. query_contents.exe� �� � � � CGI ����� ����
��.
4. query_contents.cfg� Windows ����� ������.
� ���� �� ��� �� � ����.
� �� Windows ��
Windows 95 c:\windows
Windows NT 3.5x c:\winnt35
Windows NT 4.x c:\winnt
183Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 204: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/204.jpg)
5. �� � � � �� �� ����� ��� �����
query_contents.cfg ��� ������.
� ���� �� Microsoft IIS(Internet Information Server) �
Netscape FastTrack � � � ��� �� ����. � ���
� ���(;)�� ���� �� ����� query_contents �
��� �� �����.
�� ���
1. Win32 ��� MS-DOS � ���� ��� �� CGI ����
��� query_contents ����� �����.
MSDOS> query_contents dirlist=/
�� ��� ��� �� ���.
100index.htmlcgi-bin//pics//
�� 100 ��� ���� �� �����. ��� �� 100�� ��(��� ��� ���) ��� �� �� � �����.
� �� �� � ��, �� ��� ��� ��� ���
��� �� �� ��� ���� �� ����.query_contents.cfg ��� ��� ���� �� ��� ���
�� ������.
2. ������ ��� URL� ������.
http://<win32-machine-name>/cgi-bin/query_contents.exe?dirlist=/
�� �� �� ��� �� ��� ���. � �� ���
� �� ��, � � � CGI ��� ���� ����. � � �
�� ���� ���� ������.
query_contents ��� ��query_contents �� URL ��� �� ����� ��� ���
� �� ����.
184 �� 3.8
![Page 205: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/205.jpg)
�� ��, � � ��� �� ���� ��� � � �����
�� � URL�� query_contents� ����.
http://third-party-server/cgi-bin/query_contents?dirlist=/
query_contents ����� ��� ��� �����.
1. CGI �� �� $SERVER_SOFTWARE� � � �
�� �����.
� $DOCROOTDIR � � ��� ��� �� � ��
�� ��� ����.
2. �� URL�� �� � $QUERY_STRING� � �� �
�� ���� ���� ��� �����.
�� � $OPERATION �� ��� �� � ���
$OBJPATH� ����. �� ���� $OPERATION dirlist�� $OBJPATH� “/”���.
3. �� � ���� ���� ��(ls)� ���� Policy Director �
� ��� � ��� �� ��� �����. �����
�� ���� ���� �� ���(//)� ���� ����.
��� �� �� ����.
100index.htmlcgi-bin//pics//
�� 100 ��� ���� �� �����.
Doc �� ���� ��� ��UNIX:
UNIX � � �� query_contents.sh� ���� �� �����
�� �� ���� �� ��� � ��� ����.
query_contents� � ��(100�� � ��)� ���� �� ��
� ���� ��� ����� ���� ��� ����
$DOCROOTDIR �� ���� � � �� ������.
185Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 206: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/206.jpg)
�� �� ����� ��� ��� ����� �� �� �
�, cgi-bin �� ��� ����� � ����. $FULLOBJPATH
�� ���� ��� cgi-bin ��� ���� ��� �� ��
������.
Windows:
query_contents.exe� Windows � ��� ���� �� ����
� query_contents.cfg ��� ������.
�� ��query_contents ����� �� �(query_contents.c)� PolicyDirector� � ���� �� �� �����.
�� ��� � � � �� ��� ���� � � ����� ��
��� ��� � ����. ��� �� �� ����.
1. ���� �� - �� �� ��� �� � ������� � �
�� �����.
2. �� ���� ���� �� � ��� �����.
�� ������ ��� � � � �����.
query_contents ��query_contents CGI ���� Web Portal Manager�� junction � � �� � ��� ��� � Policy Director� � �
����. �� �� ���� �� ��� �� �� � � ���
�� ��� ���.
� � (pdmgrd) ��� query_contents ����� �����
� policy� �� ���. �� �� ACL(query_contents_acl)��� �� ������.
group ivmgrd-servers Tl
user sec_master dbxTrlcam
186 �� 3.8
![Page 207: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/207.jpg)
pdadmin ����� ���� junction � � query_contents.sh(UNIX) �� query_contents.exe(Windows) �� �� � ACL� �
�����. UNIX� ��, ��� �� � � ����.
pdadmin> acl attach /WebSEAL/<host>/<junction-name>/query_contents.shquery_contents_acl
187Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
![Page 208: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/208.jpg)
188 �� 3.8
![Page 209: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/209.jpg)
� �� �� � ���
� ��� ��� � WebSEAL� ��� � � ���� � �
�� �� �� �� �� �� ���� ��� � ��� �� �
���. � ��� WebSEAL ��� ��� � ��� �� �� �
� � ���� � ���. ���� �� �� junction,
�� �� � � LTPA� �����.
�� �� �� ����.
¶ ��� �� � ���� �� BA � ���
¶ 196 ���� �GSO(Global Sign-on) ���
¶ 200 ���� �IBM WebSphere(LTPA)�� �� �� ��
�� �� � ���� �� BA �� ��� ���� -b ��� ���� WebSEAL junction �� � �
� �� � ��� ���� � ��� ���� � ���.
¶ 190 ���� �SSO(Single Sign-On) ���
¶ 190 ���� �BA ��� ���� �� ���
¶ 191 ���� ����� �� � � �� ���
¶ 193 ���� ��� ���� BA � �� ���
¶ 194 ���� ����� BA � �� ���
¶ 195 ���� �GSO�� ��� � � �� ���
7
189Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 210: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/210.jpg)
SSO(Single Sign-On) ���� ��� ��� � ������ � � �� ��� � ���
���� ����� WebSEAL � ��� � � � ��� �
� ���� ��� � � ����. � ���� �� ��� ���
��� �� ����.
SSO(Single Sign-On) ���� � �� ��� ��� � � �
��� ��� �� � ����. �� �� � ��� ���� �
�� �� ����� ���� ��� ��� ��� ��� ��
� � �� ���. ��� � � ���� ��� ���� ���
�� ��� �����.
BA ��� ����� �� ����� � � �� �� �� ���� �� ��� �����
WebSEAL junction� ��� � ����. -b �� ��� ����
HTTP BA �� �� �� ���� �� ��� ��� � ��
��.
��� ���� �� � � ����� ���� �� ���� �
� � ��� ���.
1. ��� � �� �� ��� �����?
(WebSEAL HTTP �� ��(BA) �� ���� �� ���
�����.)
�� 31. �� ���
190 �� 3.8
![Page 211: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/211.jpg)
2. ��� � �� �� ��� ��� ��, � ��� ��� ���
�?
(WebSEAL HTTP �� ��� ��� �����?)
3. WebSEAL ��� � �� ��� �� ��� ���?
(TCP �� SSL junction��?)
���� WebSEAL �� �� �� � � WebSEAL ��
�� ��(BA) �� �����. �� junction� � ��� �
� ���� �� �� �� �����. -b ��� ���� �
� �� ��� �� �� ��� ������.
����� �� � �� �� ��-b supply
-b supply �� �� Policy Director ��� �(����� �
� ��)� �� �(“�”) �� �� ����� WebSEAL� �
����. �� ���� ��� � ������ ���� ����.
� ��� �� �� �� �� �� �� ���� ��� ��
����� �����. “�” ��� webseald.conf �� ���
basicauth-dummy-passwd ����� ������.
[junction]basicauth-dummy-passwd = <password>
�� 32. ��� � � �� �� ��
191Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 212: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/212.jpg)
� ������� ��� � � Policy Director ������ ���
���� ��� �����. ���� ����� �� PolicyDirector ���� ���� WebSEAL ��� � � �� ���
��� ��� ��� � �� � ���� �����.
� � ��� � �� � ��� �����.
¶ WebSEAL �� ���� ��� �� ��� � �(“�”) ��� ��� � � ����� ��� ���.
¶ “�” ��� webseald.conf �� ���� �����.
¶ ��� � ������ HTTP BA �� �� Policy Director��� ��� ���.
¶ ��� �� ��(��� � � ��)� junction� � ���
� ��� junction� �� �����. SSL junction� ����
�� � ����.
������ ��� � ��� Policy Director “�” ��� �����. �� ���� ��� � ������� � ��� ����. �� “
�� 33. BA �� �� � ″�″ ��� ���
192 �� 3.8
![Page 213: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/213.jpg)
�” ��� �� � ��� �� ���� ����� ���
�� ���� ��� �� �� ������ � � ���� �
���.
����� ��� � � ��� � �� WebSEAL� ��� �
�, � ������ � ���� ���� ����. ��� �� �
�� �� ������ ��� � � ����� ��� � �
����.
� ������ �� � �� ���� ��� � � ����
� ���� ����� WebSEAL� ����� ��� ���.
��� � ������ Policy Director ��� ���� � ��
� ��� ���.
� ����� BA � �� ��-b ignore
-b ignore �� ��� ���� BA(Basic Authentication) �
� �� �� �� ��� � � ����� WebSEAL� �����.WebSEAL � BA ���� ��� ����� ����� �
���� BA �� ����� � �� �� �� �� ��� �
� ����� ��� � ����.
�: �� � �� �� � ��� ���� ��� � � ��
�� ����� WebSEAL� ���� � � ����.
� � ��� � �� � ��� �����.
¶ ��� � � BA� �� ���� �� ��� �����.
��� � � �� �� ��� �� ����� ����. �
���� WebSEAL � � ���� �� ���� ��� � �
�� ��� ����.
¶ ��� � � ��� ���� �� ��� �������.
193Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 214: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/214.jpg)
¶ WebSEAL ��� ���� ��� �� ��� � ��
� ��� � � ����� �����.
¶ ��� �� ��(��� � � ��)� junction� � ���
� ��� junction� �� �����. SSL junction� ����
�� � ����.
����� BA � �� ��-b filter
-b filter �� ��� � � ��� ���� �� ���� ��
�� �� �� ��(BA) � ��� ����� WebSEAL� ���
��. � ������ WebSEAL �� � ���� ���.
� � ��� � �� � ��� �����.
¶ �� �� ���� WebSEAL ���� �����.
¶ ��� � �� �� ��� ���� ����.
¶ WebSEAL� ��� ��� � � ��� � ����.
¶ WebSEAL ��� � � ���� ��� �����.
�� 34. WebSEAL �� ���� �� ��� ���
194 �� 3.8
![Page 215: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/215.jpg)
��� � � � �� ���� ��� ��� ��� ��� � �
�� -c �� ���� HTTP � ��� Policy Director ���
� �� ��� �� � ����. ��� �� 161 ���� �HTTP�� �� ���� �� ��(-c)�� ������.
GSO�� ��� �� � �� ��-b gso
-b gso �� ��� � � GSO(Global Sign-On)� �����
� � ��� �� ��(��� � � ��)� �����
WebSEAL� �����.
� � ��� � �� � ��� �����.
¶ ��� � �������� WebSEAL ������ ���� �
�� ��� � � ��� �����.
¶ � WebSEAL � ��� � � �� �����.
��� �� ��(��� � � ��)� junction� � ���� �
�� junction� �� �����. SSL junction� ���� �� �
����.
� ��� 196 ���� �GSO(Global Sign-on) ���� ��
�� ����.
�� 35. ���� BA � �� ��
195Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 216: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/216.jpg)
GSO(Global Sign-on) ��Policy Director� �� ��� � � ��� ��� � �����
� � � ��� � �� �� ��� �� �� � ���� ���
��.
�� ��� ��� �� ��� ������ ��� �� �� �
�� ���� ���� �����.
¶ DCE ������ �� � ��� - Tivoli GSO(Global Sign-On)�� ��
¶ LDAP ������ �� � ��� - LDAP ����� ��
�� � ��� ���
�� �� � �� ���� � ���� ��� ����� ��
� �� ��� ��� ��� � �� ���. �� ���
��� � �� ��� ��� �������� �� � ��� ��
����� ���� ���� GSO� ���� � ���� ��
�� ��� � ��� ��� ��� ���.
� �� WebSEAL ��� � � ��� “GSO aware” junction� ���� ������. GSO �� GSO �� �� � WebPortal Manager� ���� ����� ���.
WebSEAL� junction � � ��� ��� �� ��� ��
WebSEAL GSO � � ��� �� ��� ����. GSO � �
�� �� � ������� �� ��� � �� ��� ����
�� � ���� �� ��� ������� �����.
�� �� ��� ������ ��� �� ��� ��� ���
���� � GSO ���� ���� ��� �����.
1. ����� ��� � � ������ ��� �� �� ��
� ��� WebSEAL� �����. Policy Director ��� ���
��.
196 �� 3.8
![Page 217: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/217.jpg)
�: �� �� � ����� �� �� ��� �� ����.
2. WebSEAL Policy Director ��� GSO �� LDAP � � �
����.
3. � � ��� �� ������ ��� ��� ��� �
��� �����.
4. WebSEAL junction� � ��� � � ��� ��� HTTP�� ��(BA) �� ��� � � �� ��� ����.
�� �� ���� ��� GSO� WebSEAL� �� ��� ���� ��� ���
��. ��� Michael� travel-app ������ ��� ��� �
��(��36 ��), WebSEAL GSO / LDAP � � Michael� �
� ��� ����.
�� 36. �� �� � ���
197Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 218: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/218.jpg)
GSO / LDAP � � �� �� ��� �� ��� ���� ��
��� �� ������� �������. �� ��� � ����
�� ��� �/�� �����. �� �� �� ���� �
�� ��� � ����.
� � travel-app ��� �� �� ��� ���� Michael� ��
����� ���� ����.
�� ��� GSO �� �� ������� ��� �����.
Michael Paul
resource: travel-app username=mike
password=123
resource: travel-app
username=bundy password=abc
resource: payroll-app username=powell
password=456
resource: payroll-app
username=jensen password=xyz
� ���� GSO� ��� � “mike” �� “123”� WebSEAL�
�����. WebSEAL junction� � ��� � � ���� �
��� �� ��(BA) �� ��� � � ��� �����.
GSO �� WebSEAL Junction ��GSO �� WebSEAL ��� � ��� junction�� ����
�.
GSO� ���� junction� ����� create �� -b gso ��
�� ������. �� ��� create �� ��� �����.
create -t tcp -h <host-name> -b gso -T <resource> <jct-point>
198 �� 3.8
![Page 219: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/219.jpg)
GSO junction � �� ��� ���� ����.
�� ��
-b gso GSO� � junction� ��� �� ��� � �
� ��� ����� �����.
-T <resource/resource-group>
GSO �� �� �� ��� �����. � ���
��� ���� �� � GSO �������
�� �� � �� ��� ���. GSO
junction� �����.
WebSEAL/GSO ����� ���� junction junction� ��� �
-t ssl ��� ��� ���� SSL� � ��� � ����.
�� SSL junction� GSO �� ���� �� � �� ���� �
���� �� ����.
GSO �� WebSEAL junction� ��sales_svr ���� travel-app ������ ��� /sales junction���� ������.
create -t tcp -b gso -T travel-app -h sales_svr /sales
adm_svr ���� payroll-app ������ ��� /admin junction���� ���� SSL� � junction� ������.
create -t ssl -b gso -T payroll-app -h adm_svr /admin
�: �� ���� -t ssl �� �� �� 443� �����.
GSO �� ��GSO(Global Sign-on) �� ��� ���� ��� � ���� GSOjunction� ��� ���� � ����. �����, GSO ��� �
�� � ����. ��� �� ��� GSO �� ��(GSO ��� �
� GSO ��)� ��� ��� LDAP � � ��� ���.
GSO ��� ���� �� ���� webseald.conf �� ���
[gso-cache] ���� ����. � ��� ��� ���. ���
199Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 220: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/220.jpg)
���� �� ��� �� �� �� � ��� �� �����.� � ��� ��� �� �� �� ����� WebSEAL����� ��� ��� ��� ����. ���� ����� GSOjunction� ���� �� ���� GSO ��� ���� ����.
��� ��
gso-cache-enabled GSO �� ��� �� � �� ����
� ���. � “yes” � “no”���. �
�� “no”���.
gso-cache-size �� � ����� ��� �� ��
�� ����. � �� GSO junction
� � ������� ���� ��
�� ��� �� �� ���� ���
��. �� ��� � ���� �
����, �� �� ��� ���
�. ��� �� �� �� 50����
�����.
gso-cache-entry-lifetime ��� ��� �� ��� ��� ��
�� � �� �� ��(� ��). �� �
�� �� �� ��� � ����
�� �� ��� LDAP � � �� �
�� ���.
gso-cache-entry-idle-timeout ��� �� ��� ��� �� �� �
�� �� ��(� ��)
IBM WebSphere(LTPA)�� �� �� �Policy Director WebSEAL IBM WebSphere ��� �� � ��
�� ��� ��� ��� � ����. WebSEAL� WebSphere��� �� ������ ���� ���� ����� � �� �
�� ��� ���� �����. ���� WebSEAL WebSEALjunction� �� �� ��� IBM WebSphere � �� �� �� �
���� �����.
200 �� 3.8
![Page 221: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/221.jpg)
WebSphere� � �� LTPA(Lightweight Third PartyAuthentication) ���� �����. WebSEAL junction� ���
� LTPA� ���� ����� �� �� �� � ���� ���
��.
���� WebSphere ��� �� ��� �� ���� �
WebSEAL� ��� ���. ��� ���� WebSEAL ����
�� LTPA �� �����. WebSphere� �� �� �����
���� LTPA ��� ��� �� � �� ��� �� ����.� ��� WebSEAL WebSphere � ���� ���� ��� �
��� �� � ���� ������.
WebSEAL junction� � WebSphere� ��� ��� HTTP �
� �� ����. ��� WebSphere � � ��� �, �
� �� ���, �� �� �� ��� ���� ���� ��
���.
��� ���� � WebSEAL ��� LTPA �� ��� �
�� ��� �� � � ��� �� LTPA �� ��� � �
���. �� �� �� � ��� � ��(���) ��� �
� ��� � ����.
LTPA Junction ��LTPA �� �� WebSphere�� �� �� ��� �� � �
� ��� �����.
1. LTPA ���� ������.
2. �� ��� ����� � ���� ��� ��� �����
�.
3. � ��� �� ��� ������.
��� � �� �� ���� junction create �� � �� ��
���� �����.
¶ -A �� junction� LPTA �� ����� ���.
201Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 222: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/222.jpg)
¶ -F <“keyfile”> �� � ��� �� �� �� ��� ���
�� � �� ��� �� �� � ��(WebSEAL � �)� �����. �� � �� WebSphere � �� ����
WebSEAL � � ��� �����. � ��� � ��
���� ��� WebSphere ��� ������.
¶ -Z <“keyfile-password”>� ��� �� � ��� ��� �
����.
��� junction XML ���� ��� ���� �����.
WebSEAL ��� WebSphere � ��� junction� ��� � �
� �� junction �� �� � ��� ������. �� ��, ��
����.
create ... -A -F “/abc/xyz/key.file” -Z “abcdefg” ...
LTPA �� ��LTPA �� ��, ��� � �� ��� � �� ��� ��
��. LTPA �� �� ��� � ���� LTPA junction� �
�� ���� � �� ���. �����, LTPA ��� �� ���
��. ��� �� ���, ��� � ��� ��� � � LTPA�� ���� ������.
LTPA ��� ���� ���� webseald.conf �� ���
[ltpa-cache] ���� ����. ���� �� �� � �� ���
�� ��� �� �����. � � ��� ��� �� ��
��� �����, WebSEAL ����� ��� ��� ��� �
���.
��� ��
ltpa-cache-enabled LTPA �� ��� �� � �� ���
�� ���. � “yes” � “no”���.
��� “yes”���.
202 �� 3.8
![Page 223: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/223.jpg)
��� ��
ltpa-cache-size �� � ����� ��� �� ��
�� ����. � �� LTPA junction
� � ������� ���� ��
�� ��� �� �� ���� ���
��. �� ��� � ���� �
���� �� �� ��� ���
�. ��� �� �� �� 50����
�����. ��� 4096�� ����
�.
ltpa-cache-entry-lifetime ��� ��� �� ��� ��� ��
�� � �� �� ��(� ��). �� �
�� �� �� ��� � ����
�� �� ��� � LTPA �� ��
� ���. ��� 3600����.
ltpa-cache-entry-idle-timeout ��� �� ��� ��� �� �� �
�� �� ��(� ��). ��� 600�
���.
LTPA � ���� �� �� ����
¶ ���� �� WebSphere � � � ��� �� ����.LTPA junction � WebSphere � � �����. � � ��
� � � ��� junction ���� ���� �� � � ���
��� ���� ���.
¶ �� �� �� ���� ��� WebSEAL � WebSphere �
� �� ���� ��� ����� ��� ��� ���.
¶ WebSphere � � LTPA � � �� � ��� ����
�. WebSEAL ��� ��� junction � �� ��� ���
�.
203Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
![Page 224: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/224.jpg)
204 �� 3.8
![Page 225: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/225.jpg)
������ �
WebSEAL �� � � �� URL ��� � ��� �����
� ��� �����. WebSEAL �� � � HTTP �� ��
� ��� ��� ������� ����� ��� ���� ��
� ��� � �� ���. �� WebSEAL �� ���� ����
�� �� URL� � �� ��� ��� � ����.
�� �� �� ����.
¶ �CGI ����� ���
¶ 208 ���� ���� � � ������ ���
¶ 209 ���� ��� ���� �� �� ���
¶ 213 ���� ���� �� ��� ��� ���
¶ 215 ���� ��� URL� �� �� ���
¶ 223 ���� ��� URL ��: Travel Kingdom�
CGI ���� ��CGI ������ ���� � WebSEAL CGI � ���
� �� �� �� �� �����. CGI ������ ��
WebSEAL � � junction ��� � �� ��� �� ��
�� ��� � ����. �� CGI ������� Policy Director�� ���, �� � �� ��� �����.
8
205Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 226: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/226.jpg)
�� WebSEAL � �� �� �� �� ���� CGI �����
� ��� � �� ���.
��� junction � �� ��� CGI ������� ���� �
� �� WebSEAL�� � � ���� HTTP � ���� ��
���. -c ��� ���� ��� � � ��� HTTP ��� PolicyDirector �� � ��� ���� junction� ��� ���.
�� 161 ���� �HTTP �� �� ���� �� ��(-c)�� �
�����.
�� Policy Director �� �� �
CGI �� � ��
HTTP_IV_USER ���� Policy Director ��� �� �
HTTP_IV_GROUPS ���� �� Policy Director ��. �� ��
�� ���� �����. (� ��� ���
� ����.)
HTTP_IV_CREDS Policy Director ��� ���� �� opaque
��� ��. �� � ������� Authorization
API� ���� �� �� ���� ��� � �
�� �� � � ��� �����. Policy
Director ADK Developer Reference� ����
��.
�� WebSEAL ��� �� REMOTE_USER �
WebSEAL� ���� �� � ���� HTTP_IV_USER ��
� REMOTE_USER �� ��� �����.REMOTE_USER �� junction ��� � �� ��� CGI �
������ ���� ��� �� ����. ��� � ����
WebSEAL� �� ���� ����.
CGI �� � ��
REMOTE_USER HTTP_IV_USER �� ��� �� �� ��
206 �� 3.8
![Page 227: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/227.jpg)
Windows: WIN32 �� �� ��� � �� junction�� �����.
Windows� CGI ������ � ����� ��� � �� ��
��� �� �� ���� ��� � ����. �� �����
��� ��� �� �� �����.
��� ��� Windows ��� �� �� CGI ���� ���� �
�� webseald.conf �� ��� � �� �� CGI �����
� �� ����� ���� �� � ����. (�� ��� ��
Policy Director �� �� �� ����� ���� �� ����
���.)
��� Windows ��� �� �� webseald.conf �� ���
[cgi-environment-variables] ���� ������. �� ��� ��
����.
ENV = <variable-name>
�� ��, �� ����.
[cgi-environment-variables]#ENV = SystemDriveENV = SystemRootENV = PATHENV = LANGENV = LC_ALLENV = LC_CTYPEENV = LC_MESSAGESENV = LOCPATHENV = NLSPATH
��� �� �� CGI ���� �����.
207Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 228: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/228.jpg)
��� ��� ������ ��WebSEAL ��� � � � �� ������ ��� �
�� �� ��� �����. ��� � � � �� ��� ��
����.
¶ Java servlet
¶ Oracle Web Listener� �� ����
¶ � � ����
-c ��� ���� ��� � � junction� ��� � WebSEALPolicy Director �� ���� �� � �� � � ��� � �
� ��� ��� HTTP �� ����.
Policy Director �� HTTP � ��� ��� junction � ��
������� ���� ����� Policy Director ��� ��� �
�� �� ��� �����.
WebSEAL ��� Policy Director �� HTTP �� �����.
PD �� HTTP �
� ��
��
iv-user = ����� ��� � �. ����� ���� �
��( � �� ��), ��� “���� ��”�
��.
iv-groups = ����� �� ��� ��. �� �� �� �
�� ���� �����.
iv-creds = Policy Director ��� ���� �� opaque �
�� ��. �� � ������� Authorization API
� ���� �� �� ���� ��� � ��� ��
� � ��� �����. Tivoli SecureWay Policy
Director Authorization ADK Developer Reference�
������.
208 �� 3.8
![Page 229: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/229.jpg)
HTTP �� CGI �������� HTTP_IV_USER,HTTP_IV_GROUP � HTTP_IV_CREDS �� �� �� �� �
����. �� CGI ��� ������ ������ ��, HTTP ������� � ��� ��� � �� ��� ������.
�� 161 ���� �HTTP �� �� ���� �� ��(-c)�� �
�����.
�� ���� � � ������ ������ � ���� �� ��� ���(���� � �
��� ���)� �� ���(���� � �� ���) � �
� �� ��� ��� ��� ����.
¶ � �� ��� ���� ���� ������� ��� ���
� �� �����. ��� ��� ���� �� �� ��
� �� �� ���� �����.
¶ �� �� ��� �� ��� �� �� ���� ���� �� �
�� ���� �����. ��� ��� ���� ��� ����
��, �� �� �� � �� ��� ��� ���� �� �
� �����.
�� ��� �� ���(CDAS)� �� �, Policy Director� �
� ��� �� �� ��� � ��/� ��� ���� ��� ��
� ���� � �� �� ��� ���� �����. ������
Authorization API� ���� ������ �� � ���� ��
� � ����. � CDAS �� ���� � �� ��� ��
Tivoli Policy Director WebSEAL Developer Reference� �����
�.
LDAP ����� ��� �� �� �WebSEAL ��� �� �� LDAP ��� � ����� ��
� ��� �� � �� �� �� � �� �� ���� ���
��. �� �� � ��� junction� � ��� ������ �
� ��� ��� HTTP �� ��� � ����.
209Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 230: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/230.jpg)
¶ ��� LDAP ����� ��� ������ ��� �� �� �
��� � ����� ���� Policy Director ��� ���
��.
¶ WebSEAL ������ � ���� ���� WebSEALjunction� � ��� � � ���� ��� HTTP �� �
���� �����.
¶ ��� ������ �� �� Authorization API� ����
� ���� ���� ��� � ����.
�� LDAP ��� HTTP �� ��� �� WebSEAL ����
� ��� ����.
1. LDAP �������� �� ���� ���� ���� � ��
�� ��� ��� �����.
2. Junction� �� �� ��� ���� ������ ��� ��
�� ���� ��� junction� � ���� ��� HTTP �
� �����.
��� �� LDAP ��� ������ �� LDAP ��� ���� ���� � �� ��� ��
��.
1. �� LDAP ���� ��� �� ��� ���� ����
pd.conf �� ��� [ldap-ext-cred-tags] ���� ������.
� ���� � �� �� ����.
2. ��� �� ���� ��� �� ��� ���� ��� ��
CDAS ��� ������.
CDAS � ��� �� ��� �� Tivoli Policy DirectorWebSEAL Developer Reference� ������.
210 �� 3.8
![Page 231: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/231.jpg)
pd.conf �� ��� [ldap-ext-cred-tags] ���� ���� LDAPinetOrgPerson �� � ��� �� ���� ��� ��� �� �
�� �� �� ��� ������. � ���� ��� �� �
� �� ����.
<custom-credential-field> = <inetOrgPerson-field>
�� ����, pd.conf �� ���� �� � custom-credential-field���� �� ��� “tagvalue_” �� ���� ����. � �
��� ��� �� ��� �� ��� �� ��� �����. �� ��, �� ����.
inetOrgPerson �� � ��� LDAP
��� ���employeeNumber:09876
��� �� �� �� �: ldap-employee-number
[ldap-ext-cred-tags] ���� �� ��
� ��:
ldap-employee-number = employeeNumber
��� ��� �� �� � �:
tagvalue_ldap-employee-number:09876
¶ � ���� LDAP ��� � � ��� �� ��� ��� �
����. passwd-ldap �� ���� ��� ���.libldapauthn(ldapauthn) �� ������ �� ��� �� �
� ��� �� pd.conf �� ��� [ldap-ext-cred-tags] ���
� ��� ���� ����.
¶ LDAP ���� inetOrgPerson �� � ��� �� ��
� �� ����� � � ����.
¶ [ldap-ext-cred-tags] ���� �� ��� ��� � ����.
¶ ��� ���� �� �� ��� ��� ���� ��� ��
���.
¶ LDAP �� � ����� ���� ����.
211Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 232: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/232.jpg)
¶ �� �� � ����� ���� ����.
HTTP �� �� ��� ���� ��� �� ��� �� �� ��� junction� � ��� �
� ���� ��� HTTP �� ��� � ����. � ��� �
��� ���� �����.
1. �� �� �� ���� ���� junction� ������. � �
��� WebSEAL �� �� � ��� �� junction �� ��
��� � ��� ����� �����.
2. ������ ��� �� ��� ���� ��� HTTP �� �
��� �����.
junction �� ��� � ��� ���� �� junction� ���
�� ���� ��� ������. � ��� �
HTTP-Tag-Value���. ��� � �� �� ��� ����
�.
<custom-credential-field>=<http-header-field>
custom-credential-field ���� pd.conf �� ���
[ldap-ext-cred-tags] ���� ���� �� �� �����.“tagvalue_” ���� ���� ����. ���� ����� ��
�� ����. http-header-field ���� ���� ��� � �
��� HTTP �� �� �����. �� ��, �� ����.
junction �� ��� HTTP-Tag-Value� � ��:
ldap-employee-number=employee-id
��� ��� �� �� � �:
tagvalue_ldap-employee-number:09876
HTTP �� �� �� � �: employee-id:09876
212 �� 3.8
![Page 233: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/233.jpg)
WebSEAL ��� ������ � � ��� ��� ��� �
junction �� ��� �� HTTP-Tag-Value� � ��� �
��.
pdadmin object modify set attribute �� ���� � ��
�� junction� ������.
pdadmin> object modify <obj-name> set attribute <attr-name> <attr-value>
�� ��, �� ����.
pdadmin> object modify /WebSEAL/WS1/junctionA set attributeHTTP-Tag-Value ldap-employee-number=employee-id
pdadmin object modify set attribute �� �� � ���� ��
�� HTTP-Tag-Value� � ��� ������(�� ��� �
�� ���) junction � � �� �� ��� �� ���� ���
� ����.
��� �� ��� ��� �� � , � �� ���� �� ����� �� ��� � ��� �
�� �� ��� ���� ���� �� � ��� ������. ���� �� ���, �� ��� � �� ��� ��� � ����.� �� �� ���� �� �� ��� ���� ��� ��
��� ����. �� ���� � ���� � ��� �� �
�� ��� �� ���� ����.
WebSEAL �� �� � Authorization API �� �� ���� ��
�� Policy Director ���� ��� �� � ���� ��� � �
���.
��� �� WebSEAL � ���� ���� ���� ��� �
� � ��� �����.
1. � �� �� � ��� �� �� �� � ��� ��
region� �����.
2. ��� �� ACL� � �� �� �� ��� �����.
213Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 234: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/234.jpg)
3. � ���� �� URL, � ��� �� �� �� � �� �
� ��� ���� � ����� ��� �� ��� ���
�� WebSEAL �� ��� ��� � ����.
4. � URL� �� � ��� ��� � WebSEAL �� ��
�� ���� ���� � �� � ��� ���� � ���
� �� �� ��� ���� �� ��� �����.
5. WebSEAL � ��� ���(junction ) � � � ����
PD_PORTAL HTTP �� �����.
6. ��� � �� ��� ��� �� � ���(�: CGI�
servlet)� PD_PORTAL � ��� �, �� ��, ��� �
����� ����� ��� �� URL �� �����.� ��� �� �� ��� ��� ����� �� ��� ��
� �� ��� ����.
��� ���� �� WebSEAL ��
1. ��� ���� �� �� WebSEAL junction� ������.�� ��, �� ����.
pdadmin> server task <server-name> create -t tcp-h portalhost.abc.com /portal-jct
2. webseald.conf �� ��� ���� � [portal-map] ����
������.
[portal-map]
3. � ���� �� � ��� ����� � �� URL ��
��� �� � ��� ���� �� � ��� region(���
��� ��� ����)� �����. � �� PD_PORTAL �
� �����.
[portal-map]<URL> = <object-space-region>:<permission>
�: � ���� � ���� ��� ���� �� ����
� ACL� �� ��� �� �� �����.
214 �� 3.8
![Page 235: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/235.jpg)
4. ��� � ��� �� ��� ��� WebSEAL(webseald)����� ���.
��� ��� ��
¶ � � � junction� ����� ��� ������.
pdadmin> server task webseald-WS1 -t ssl -h PORTAL1 /portal
¶ ��� ���� �� ��� ��� �� �� WebSEAL �� �
� � ��� region� ������.
pdadmin> objectspace create /Resources“Portal Object Hierarchy” 10pdadmin> object create /Resources/Content ““ 10ispolicyattachable yespdadmin> object create /Resources/Support ““ 10ispolicyattachable yespdadmin> object create /Resources/Content/CGI ““ 11ispolicyattachable yespdadmin> object create /Resources/Support/Servlet ““ 11ispolicyattachable yes
�: “ispolicyattachable” ��� � ��� � “yes”� ���
� ���. �� ��� ���� � ACL� ���
�� �� �� �� �� �����.
¶ WebSEAL ��(webseald.conf):
[portal-map]/portal/servlet/PortalServlet = /Resources:r
¶ ���� � ���� � URL:
https://WS1/portal/servlet/PortalServlet
�� URL� ��� �� ���� � �� ���� ��� ��� � ���� ��� ��
��� �����. � � ������ � ��� ��� �� �
�� URL(Uniform Resource Locators)� ���� �����. ��� URL � �� �� �����. ��� ���� ����
���� �� ��� �� ���� ����� �� URL� ��
� ��� ����.
215Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 236: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/236.jpg)
�� URL ������ ��� � ������ ��� � ����� ���� �
� � CGI ������ � ������ � �����.
��� �� ��� �� URL ��� �� ��� ���� ���
��� � � �� ��(��� �� ����)� ���. ��
URL �� ��� �� �� � ��� ��� URL �
�� �����. URL� �� ��� �� � ������ ����
�� ��, ��� � �� �����.
�� URL� ACL ��� ��WebSEAL �� �� � �� �� policy ����(ACL)� �
��� ������ ��� � �� URL �� ���� ��
URL� �����. WebSEAL� �� � �� �� ����� �
�� ���� �� �� �� ����. �� �� ���� ACL � �� �� �� �� URL� � ��� ���� ���
��.
�� URL ��� ��� ���� �� �� �� policy ���
����� � ��� �� � ����. Policy Director� � �
� URL� �� �� �� �� �� ��� � �� ���� ��
�� � ��� ����.
�� 37. URL� � ���� CGI ������ ��
216 �� 3.8
![Page 237: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/237.jpg)
�� ��� ���� �� � ��� �� ��� �����.
/opt/PolicyDirector/www/lib/dynurl.conf
� ��� ��(� ��� ���)� webseald.conf �� ���
[server] ����� dynurl-map ���� �����.
[server]dynurl-map = lib/dynurl.conf
� �� ��� �� ����� �� ���� ����. � �
�(�� ��)� ��� �� URL ��� �����.
� ��� ���� ��� ��� ������. ��� �� �� �
� ����.
<object> <template>
Policy Director� �� � ���� ��� �� �� ���� ��
� ��� ��� UNIX � ��� ����(���� ��)������. � ��� ���� �� �� URL � �� ��
�����.
Policy Director� ��� UNIX � �� ��� �����.
�� ��
\ ���� �� ��� ��� �� � �����. �� �
�, \t� TAB ���� ESC ��� ��� � �� ��
��.
? �� �� ���� ����. �� ��, “abcde” �
�� “ab?de” �� �����.
* 0� ��� �� ���� ����
[] ����� ��� � �� �� ��� �����. ��
��, ��� “abcde”� � �� “ab[cty]de” ���
��.
^ ��� �����. �� ��, �� [^ab]� ‘a’ �� ‘b’
�� ��� �� �����.
217Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 238: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/238.jpg)
�� ��� �� � ��� ���� �� URL� �����.
http://<server-name>/home-bank/owa/acct.bal?acc=<account-number>
� �� URL� ���� �� �� �� �� �����.
http://<server-name>/home-bank/owa/acct.bal?acc=*
� ���� �� URL� �� �� �� �� �� ��� �
�� �� � ����. home-bank��� �� �� �� ��
��, ��(acc=*)� ��� ��� �� �� ���� �(*) ����� ���� ��� ACL �� �� ��� �����.
�� �� �� �� �� �� �� �� �� URL� �� ��
��� �����.
�� 38. �� URL�� �� ��
218 �� 3.8
![Page 239: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/239.jpg)
�� URL� �� WebSEAL �dynurl update �� ���� dynurl.conf �� ��� �� �
��� WebSEAL �� �� � ��� ��� � ����.
1. dynurl.conf� �� ���� �� URL ��� ��, �� ��
������.
2. � dynurl update �� ���� � � ������.
pdadmin> server task webseald-<server-name> dynurl update
server-name ��� WebSEAL ��� ���� � ��� �
� �����.
��� ���� �� URL �� �� �� �� URL �� dynurl.conf �� ���� ��
� ��� �� �����.
�� � ��� �� URL ��� ��� � dynurl.conf ��� �
� �� ����� ���� ���� ���� �� ���. �
��� ����� �� ��� �� � ��� � �� ���
�����.
����� � �� ��, WebSEAL URL� ����
http://<server>� �� ��� ������.
� �� ACL� ���� �� ��� ��� ������. �� ��, book.sales ��� �� ������ � � ���� ��
�� ��� �� ���� �� �� ������� ��� ���
� �� �� �� � ���� ���.
���� � �� URL ���
/ows/sales/bksale /ows/db-apps/owa/book.sales*
/ows/sales/general /ows/db-apps/owa/*
219Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 240: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/240.jpg)
�� ��� ��� �� ��, /ows/db-apps/owa ����� �
�� ��� /ows/sales/general �� �� �����. ��� �
� �� � �� ���� � �� ��� �� � ����.
�� � �� ��� URL � ��� ��� � URL �� �
��� GET ����� �� ��� ��� ���(POST � GET��� �� ��� ���).
��� ��� GET ����� �� ���(�: ���� ��� ��
�� ���)� URL� �����.
��� ��� POST ����� �� ���� ��� ��� ���
��.
ACL ��� URL� �� � �� ���� ���� ��� �� �� ��
��� ����(���� �� �� ���) ���� � ACL �� ��� �����.
POST ��� ���� ��POST ��� �� ��� ��� �����. �� POST ����
������ ��� � ��� ��� ���� ��� ��� �� �
����.
post-max-read
webseald.conf �� ��� [server] ���� �� post-max-read���� POST ��� ���� ����� ��� �� ��� �
� ������ � POST ��� WebSEAL� ��� ��� ���
��. WebSEAL� � ��� �� � �� ��� ��
�� ��� �� ����.
�� URL ��� �� ��� POST ��� ��� � post-max-read��� �� �����. ��� 4096������.
[server]post-max-read = 4096
220 �� 3.8
![Page 241: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/241.jpg)
� ���� �� POST �� ��(����)� ���� ���� �
� ������. � ���� WebSEAL� ����� ��� POST��� ���� ���� �����.
dynurl-allow-large-posts
post-max-read ���� WebSEAL� � ��� ���� POST��� �� ������, �� ��� ������ � � � ��
�� �� ��� ����. � ������ ����� � �� �
����� � � � �����. ������ � � ��� ��
�� ��� ��� � ��� ���� ��� ����.
dynurl-allow-large-posts ���� WebSEAL� max-post-read�� �� ��� �� ��� � POST ��� ���� ��� ��
� � �� ���. ��� �� “no”(���)� ��� WebSEALmax-post-read�� ��� ��� �� ��� � POST ��� ��
�����.
[server]dynurl-allow-large-posts = no
��� �� “yes”� ��� WebSEAL �� POST ��� ��
���, max-post-read �� ���� ��� �� ������.
[server]dynurl-allow-large-posts = yes
�� 1
¶ � POST ��� �����(post-max-read ��� �).
¶ dynurl-allow-large-posts = no
¶ �� URL� �����.
¶ �: �� � ���
�� 2
¶ � POST ��� �����(post-max-read ��� �).
221Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 242: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/242.jpg)
¶ dynurl-allow-large-posts = yes
¶ �� URL� �����.
¶ �: WebSEAL� post-max-read �� ��� �� ��� �
� � �� ��� ���� � �� �� ���� �� ��
� �����. ��� �� �� � �� ��� ���� ��
� � �� � � �� �� ���� ����.
¶ �� ������ � POST ���� �� �� ���� �
�� �� ��� �� ����.
/rtpi153/webapp/examples/HitCount\?*action=reset*
�� � �� �����:
¶ �� URL� ��� ����� WebSEAL� ����� �� �
�� ������.
/opt/PolicyDirector/www/lib/dynurl.conf
¶ �� �� ��� �� ��� ��� ���.
<object> <template>
¶ ��� ���, �� ��� �� URL ��� ���� ����.
¶ ��� �� �� �� � �� WebSEAL �� � ���
� �� ����� �����.
¶ ������ � �� ��� ����� �� �� � ��
��. ����� � �� �� �� ��� ���� �� ��
��.
�� � dynurl.conf �� IBM WebSphere ��� ��� ��
� � ������� ���� � �� �� �� �����.
���� �� URL ���
/app_showconfig /rtpi153/webapp/examples/ShowConfig*
/app_snoop /rtpi153/servlet/snoop
/app_snoop /rtpi025/servlet/snoop
222 �� 3.8
![Page 243: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/243.jpg)
���� �� URL ���
/app_hitcount/ejb /rtpi153/webapp/examples/HitCount\?source=EJB
/app_hitcount /rtpi153/webapp/examples/HitCount*
�� ����
¶ �� �� URL ����� ��� �� �� ��� � ����.(�� ��, app_snoop� �� �� � � �� URL� ����
�.)
¶ �� �� ��� � ����(�: app_hitcount �
app_hitcount/ejb).
¶ ���� URL ��� ����� � # ��� # ��� ��
�� � � � ����. ����� ���� ��� �����.���� ��� # ��� �� ���� ����� ������.
¶ dynurl.conf ��� ��� ������ dynurl update ��
�����(pdadmin server task ��).
�� ���� �� �� � �� ��� ����� � Web PortalManager� �� �� �����.
¶ �� � ��� ���� ��� �����. ���� ����
��.
¶ �� �� � ��� �� ���� �� � � ���� �
���.
¶ dynurl.conf ���� �� �� ���� �� �� �� ��
ACL� ������.
�� URL ��: Travel Kingdom�� ���� �� ����� Oracle Web Listener� � ��
URL� ���� ��� �����.
223Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 244: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/244.jpg)
� ��� �� �� URL � � � Oracle Web Listener���. ��� �� �� URL � � � ���� ��� � ����.
�����Travel Kingdom ���� � ����� �� �� ���� �
��� �����. � ��� ��� ��� �� � ���� �
�� ��� � �� � � � � � �� Oracle ������ �
������ ���� ���.
1. � � ��
��� �� ��� ���� ���� ���� �� ��� ��
� � ����. Travel Kingdom �� �� ��� � ���
� �� ���� �� �� �� ����� ��� �� ���
�. �� �� �� ��� ��� ��� ���� ��� � �
�� ���� ��� �� ��� ���.
2. �� ���
�� �� �� �����, Travel Kingdom ��, �� � �
� ��� �� � ������� �������. � ��� �
� � ��� �� �� �����.
������������� ��� � ��� �� ��� ����� Oracle� � � �����.
/db-apps/owa/tr.browse �� ���� �� ���, �� �� ��
� � ��
/db-apps/owa/tr.book ��� ���� � ���(��� �� ��
�� ��)
/db-apps/owa/tr.change �� ��� ����� ��� � ���
/db-apps/owa/admin.browse ��� � ��, �� �� �� � ��
� ���� �� �� ��� �� � �
��
224 �� 3.8
![Page 245: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/245.jpg)
/db-apps/owa/admin.resume ���� � �������� ���� �
�� ��� ��� �� � ��� �
/db-apps/owa/admin.update � ��� ��� �� ��� ���� �
���
� �� �WebSEAL � � Travel Kingdom� �� � ��� � ���
��� ���� � �����.
¶ �� �� ������ � � ������� �� ���
Oracle � � � �� junction(/ows)� ��� � ����.
�� policy���� � ���� ����� � ��� ��� �� ����
� � ��� ��� � �� ������.
1. ��� ��� �� ����� ��� � ����.
2. �� ��� ��� ��� ���� �� � ���, �� ��
��� �� ����� ��� � ����.
3. � �� �� � ��� �� ��� �� ��� ��� �
���.
4. � �� ��� Travel Kingdom ��� ��� ��� ���
�� � ��� �� ��� �� ��� � � ����.
��� ��� �� URL ����� � � �� ���� � �� �� ��� �
� URL�� ACL �� � �� ����� ��� ��� ���.
��� ��� ��� ��� �� � �� ���� ��� ��
�� ������.
225Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 246: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/246.jpg)
���� � �� URL ��
/ows/tr/browse /ows/db-apps/owa/tr.browse\?dest=*&date=??/??/????
/ows/tr/auth /ows/db-apps/owa/ t r .book\?des t=*&depar t=??/?? /????
&return=??/??/????
/ows/tr/auth /ows/db-apps/owa/tr.change
/ows/admin/forall /ows/db-apps/owa/admin.resume
/ows/admin/forall /ows/db-apps/owa/admin.browse\?empid=[th]???
/ows/admin/auth /ows/db-apps/owa/admin.update\?empid=????
�� ���������� ��� � �� � WebSEAL� �����.
� ������ ����� �� �� Travel Kingdom �����
��� ���� ��� �� ���.
�� � �� ��� � �� ��� ����� �����.
Staff Travel Kingdom ��� ���
TKStaff Travel Kingdom ����
AdminStaff Travel Kingdom � ��� ���. � �� Staff���� ���� �� ������.
Customer ���� � �� ��� ��� Travel Kingdom���
� ����� � ���� ��� ���� WebSEAL � � ��
� ����� ����� � ����. �� �� � ���� ���
� � ��� �� Oracle � � � �����.
��� ��� � �� ��� �������� �� �� ��� ���
����.
226 �� 3.8
![Page 247: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/247.jpg)
/ows/tr/browse ���� �� Tr any_authenticated Tr
/ows/tr/auth ���� �� - any_authenticated -
group TKStaff Tr group Customer PTr
/ows/admin/forall ���� �� - any_authenticated -
group Staff Tr
/ows/admin/auth ���� �� - any_authenticated -
group AdminStaff Tr
�� � Travel Kingdom� �� �� � �� �� ���� ��
�� � ��� ��� ��� ����. � �� ���� ��
untrusted ���� � ��� ���� ��� � �� ��
���� � ��� ���� ��� ����(��� � ��).
����� ��� ��� �� ��� �� ���� ��� �� ���
�����.
¶ ��� �� �
¶ ��� ��
¶ ��� ��� �� �� �� ��
�� ���� �� ���� �� WebSEAL Oracle � � �
�� ��� �� ��� �� �� � ���� ���� � ���
��.
227Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
![Page 248: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/248.jpg)
228 �� 3.8
![Page 249: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/249.jpg)
webseald.conf ��
webseald.conf �� �
�� � ���:
¶ WEBSEAL GENERAL
[server]
¶ LDAP
[ldap]
¶ SSL
[ssl]
¶ JUNCTION
[junction]
[filter-url]
[filter-schemes]
[script-filtering]
[gso-cache]
[ltpa-cache]
¶ AUTHENTICATION
[ba]
[forms]
A
229Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 250: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/250.jpg)
[token]
[certificate]
[http-headers]
[auth-headers]
[ipaddr]
[authentication-levels]
[mpa]
[cdsso]
[cdsso-peers]
[failover]
[e-community-sso]
[inter-domain-keys]
[authentication-mechanisms]
[ssl-qop]
[ssl-qop-mgmt-hosts]
[ssl-qop-mgmt-networks]
[ssl-qop-mgmt-default]
¶ SESSION
[session]
¶ CONTENT
[content]
[acnt-mgt]
[cgi]
[cgi-types]
[cgi-environment-variables]
[content-index-icons]
[icons]
[content-cache]
230 �� 3.8
![Page 251: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/251.jpg)
[content-mime-types]
[content-encodings]
¶ LOGGING
[logging]
¶ AUTHORIZATION API
[aznapi-configuration]
[aznapi-entitlement-services]
¶ POLICY DIRECTOR
[policy-director]
[manager]
WEBSEAL GENERAL
��� ��
[server] ���
SYSTEM
unix-user WebSEAL � � UNIX ��� ��
unix-group WebSEAL � � UNIX �� ��
unix-pid-file PID ��� ��
server-root WebSEAL � � �� ����
server-name WebSEAL � ���� �
THREADS AND CONNECTIONS
worker-threads WebSEAL ��� ���� �
client-connect-timeout �� ���� �� ���
persistent-con-timeout HTTP/1.1 ��� �� ���
HTTPS CLIENT
https HTTPS �� �
https-port � HTTPS ��� ��� ��
HTTP CLIENT
http �� HTTP(TCP) �� �
http-port �� HTTP ��� ��� ��
231Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 252: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/252.jpg)
WEBSEAL GENERAL
��� ��
POST REQUESTS
post-max-read POST ��� ���� ���� � ��
��� �
DYNURL
dynurl-map URL � �� �� � �� ��� ��
dynurl-allow-large-posts post-max-read�� ��� ��� � POST
��� �� WebSEAL� �� ��
URI HANDLING
utf8-url-spport-enabled
LDAP
��� ��
[ldap] ���
ldap-server-config ldap.conf �� ��� ��(�� � ��)
cache-enabled �� LDAP �� �� � �� ���
prefer-readwrite-server �� ��� LDAP � � �� �(�� �
�� �)
auth-using-compare LDAP ��� �� �� � ��� ���
� �� �� �� �
default-policy-override-support
�� policy �� ��� �� policy ��
user-and-group-in-same-suffix
�� ��. ��� ��� ��� LDAP �
���� ���� �����.
ssl-enabled WebSEAL � LDAP ��� �� SSL �
� � �� ���
ssl-keyfile SSL ��� ��
ssl-keyfile-dn SSL ��� �� ��� ���(�� �
�)
ssl-keyfile-pwd SSL �� ��
bind-dn WebSEAL �$� �� �(�� � ��)
232 �� 3.8
![Page 253: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/253.jpg)
LDAP
��� ��
bind-pwd WebSEAL �$� ��(�� � ��)
enabled
host
port
SSL
��� ��
[ssl] ���
webseal-cert-keyfile SSL �� ��� WebSEAL� �����
�� � ���� �� �� ��� �
�
webseal-cert-keyfile-pwd WebSEAL ��� �� ��
webseal-cert-keyfile-stash WebSEAL �� �� � ��� ��
webseal-cert-keyfile-label ��� ��� ��� WebSEAL ���� �
ssl-keyfile �� ��� �� WebSEAL ��� �
�� ��
ssl-keyfile-pwd WebSEAL ��� �� ��(�� ���)
ssl-keyfile-stash WebSEAL �� �� � ��� ��(�
� ���)
ssl-keyfile-label ��� ��� ��� ���� �( �� �
��)
disable-ssl-v2 ����� SSL V2 ��� �� ����
disable-ssl-v3 ����� SSL V3 ��� �� ����
disable-tls-v1 ����� TLS V1 ��� �� ����
ssl-v2-timeout SSL V2 ��� �� GSKit �� �� ID
���
ssl-v3-timeout SSL V3 ��� �� GSKit �� �� ID
���
233Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 254: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/254.jpg)
SSL
��� ��
ssl-max-entries GSKit SSL �� ID ��� �� �� ��
�
ssl-ldap-server CRL ��� ���� LDAP �
ssl-ldap-server-port � LDAP � � CRL ��� � ����
�� ��
ssl-ldap-user LDAP � � � ���
ssl-ldap-user-password LDAP � � � ��� ��
ssl-auto-refresh
ssl-listening-port
ssl-pwd-life
ssl-authn-type
JUNCTION
��� ��
[junction] ���
junction-db junction ������� ��
jmt-map junction � �� �� ���(JMT)� �
�
http-timeout TCP � junction�� ���� ����
� � �� ���
https-timeout SSL � junction�� ���� ����
� � �� ���
ping-time WebSEAL junction � ping �� �
� ��
basicauth-dummy-passwd “-b supply” junction� � �� �� �
�� ��� �� ��
worker-thread-hard-limit �� junction� �� �� ��� � ��
� ��� ���
worker-thread-soft-limit �� junction� �� �� ��� � ��
� ��� ���
234 �� 3.8
![Page 255: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/255.jpg)
JUNCTION
��� ��
io-buffer-size junction�� � ��� �� ��
��
DOCUMENT FILTERING
[filter-url] ���
<tag> = <attribute> junction � ���� ���
WebSEAL� ���� URL ��
[filter-schemes] ���
scheme = <scheme-name> junction � ���� ���
WebSEAL� ���� URL �� ��
[script-filtering] ���
script-filter junction � � ������ �� URL
�� � �� � �� ���
GSO CACHE
[gso-cache] ���
gso-cache-enabled GSO �� �� � �� ���
gso-cache-size GSO ��� �� �
gso-cache-entry-lifetime GSO �� ��� �� �� �
gso-cache-entry-idle-timeout ��� GSO �� ��� �� �� �
LTPA CACHE
[ltpa-cache] ���
ltpa-cache-enabled LTPA �� �� � �� ���
ltpa-cache-size LTPA ��� �� �
ltpa-cache-entry-lifetime LTPA �� ��� �� �� �
ltpa-cache-entry-idle-timeout ��� LTAPA �� ��� �� �� �
AUTHENTICATION
��� ��
BASIC AUTHENTICATION
[ba] ���
235Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 256: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/256.jpg)
AUTHENTICATION
��� ��
ba-auth �� �� ��� �� � �� ���
basic-auth-realm ���� BA ��� � ��� ��� �
� �
FORMS
[forms] ���
forms-auth ��� ��� �� �� � �� ���
TOKEN
[token] ���
token-auth �� ��� ��� �� �� � �� �
��
CERTIFICATE
[certificate] ���
accept-client-certs WebSEAL ����� ��� �� ��
HTTP HEADERS
[http-headers] ���
http-headers-auth HTTP �� ��� �� �� � �� �
��
[auth-headers] ���
�� ��� ��� �� HTTP �
IP ADDRESS
[ipaddr] ���
ipaddr-auth IP �� ��� ��� �� �� � �� �
��
STEP UP
[authentication-levels] ���
level = ���� �� level =��
step-up �� �
MULTIPLEXING PROXY AGENTS
[mpa] ���
236 �� 3.8
![Page 257: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/257.jpg)
AUTHENTICATION
��� ��
mpa ����� ��� ����� �� �� ��
�� � �� ���
CDSSO
[cdsso] ���
cdsso-auth CDSSO ��� ��� �� �� � �� �
��
authtoken-lifetime CDSSO �� ��� �� �� � �
[cdsso-peers] ���
<machine-name> = <keyfile-location>
CDSSO� ���� ��� ��
FAILOVER
[failover] ���
failover-auth failover � �� �� � �� ���
failover-cookies-keyfile cdsso_key_gen�� �� � ��� �
��(�� ��)
failover-cookie-lifetime failover � ��� ��� �� ��
enable-failover-cookie-for-domain
failover � ��� � �� ��� �
�� �� �� �
e-COMMUNITY SSO
[e-community-sso] ���
e-community-sso-auth e-community SSO �� � �� ���
e-community-name “vouch for” �� � ��� ����
e-community �
intra-domain-key DNS ����� WebSEAL ����� ��
��� ���� � ���� ��� ��
is-master-authn-server �� ��� ��� WebSEAL �� � �
��
master-authn-server ��� WebSEAL �� � � �(�� �
�� �� ��)
master-http-port ��� �� � � ��� � HTTP �
�
237Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 258: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/258.jpg)
AUTHENTICATION
��� ��
master-https-port ��� �� � � ��� � HTTPS �
�
vf-token-lifetime “vouch for” �� � �
vf-url “vouch for” URL
ec-cookie-lifetime e-community � � �
[inter-domain-keys] ���
<domain-name> = <keyfile> e-community� ���� �� ���� ��
��
AUTHENTICATION MECHANISMS AND LIBRARIES
[authentication-mechanisms] ���
passwd-cdas passwd-ldappasswd-uraf token-cdascert-ssl cert-cdas http-requestc d s s o p a s s w d - s t r e n g t hcred-ext-attrs
���� �� ��� � � �� ��
��� ��
SSL QUALITY OF PROTECTION MANAGEMENT
[ssl-qop] ���
ssl-qop-mgmt QOP(quality of protection) � �� � �
� ���
[ssl-qop-mgmt-hosts] ���
<ip-address> �� ���� �� QOP ��� �
[ssl-qop-mgmt-networks] ���
<ip-address/mask> �� ����� �� QOP ��� �
[ssl-qop-mgmt-default] ���
default �� �� ��� IP ��� �� �� QOP
��� �
SESSION
��� ��
[session] ���
238 �� 3.8
![Page 259: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/259.jpg)
SESSION
��� ��
�� �� WebSEAL ��/�� ��� �� �� ��
�
�� WebSEAL ��/�� ��� ��� �� �
� �
��� �� WebSEAL �� ���� ��� ��� �
SSL CLIENT SESSIONS
ssl-id-sessions SSL ID� ��� HTTPS ��� �� ��
��
SHARING SESSIONS
use-same-session HTTP HTTPS ��� ���� ���
�� � ��� �� ID ��
SENDING SESSION COOKIES
resend-webseal-cookies ����� �� �� � �� ��
�� � failover � ���
CONTENT
��� ��
[content] ���
LOCAL DIRECTORIES AND FILES
doc-root � �� ��� �� ����
directory-index ���� �� ��� �
delete-trash-dir ��� ��� ��� �� �� ��� �
���
LOCAL USER DIRECTORIES
user-dir ����� �� HTML ��� ���� �
� ��� � �����.
ERROR PAGES
error-dir WebSEAL � ��� �� ��
Director
239Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 260: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/260.jpg)
CONTENT
��� ��
ACCOUNT MANAGEMENT PAGES
[acnt-mgt] ���
mgt-pages-root �� � ���� ��
��� ��� �� �
���� ���� �� ��� ��� �
account-locked �� ���� � ��� �� ��
��� ��� �
passwd-expired �� ���� � ��� �� ��
��� ��� �
passwd-change �� � �� �
passwd-change-success �� � ��� ���� �� ��� �
�� �
passwd-change-failure �� � ��� �� �� ��� �
�� �
help ��� � ���� �� �� �� ��
��� �
token-login �� ��� �� �
next-token �� �� �� �
stepup-login step-up �� ��� �� �
LOCAL CGI
[cgi] ���
cgi-timeout �� CGI ���(��) �� � � �� �
�� �
[cgi-types] ���
bat = cmd cmd = cmd pl =perl sh = sh tcl = tclsh76
�� CGI �� ��� ���� ���
� ��(Win32 � �)
[cgi-environment-variables] ���
ENV CGI ������ ��� �� �� �
ICONS
[content-index-icons] ���
240 �� 3.8
![Page 261: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/261.jpg)
CONTENT
��� ��
image/* video/* audio/*
text/html text/* application/x-
tar application/*
���� ��� WebSEAL� � ����
�� ��� ��� ��� ��(index.html�
�� � ���)
[icons] ���
diricon ������� ���� ���
backicon �� ����� ���� ���
unknownicon � �� �� ��� ��� ���
DOCUMENT CACHING
[content-cache] ���
text/html image/* */* WebSEAL� ���� ��� �� ��
MIME ��� �� �� �� ��
MIME TYPES
[content-mime-types] ���
<extension> = <type> �� �� ��� MIME �� ��
deftype �� ��� �� ���� ���� �� �
�� ���� �� MIME ��
CONENT ENCODINGS
[content-encodings] ���
gz Z �� �� ���� ����� �� �
��� � �� ��
LOGGING
��� ��
[logging] ���
server-log � � �� ��� ��
max-size HTTP ��� �� �� ��� �� ��
�
flush-time HTTP �� �� �� �
�� HTTP �� �� �� � �� ���
requests-file HTTP �� ��� ��
241Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 262: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/262.jpg)
LOGGING
��� ��
referers HTTP �� ��� �� � �� ���
referers-file HTTP �� ��� ��
���� HTTP ���� �� �� � �� ���
agents-file HTTP ���� ��� ��
gmt-time �� ��� �� GMT ���� �� ��
AUTHORIZATION API
��� ��
[aznapi-configuration] ���
db-file �� ����� policy ������ ��
��� ��
cache-refresh-interval ��� �� � � �� ��() �� ��
� �� ��
listen-flags policy �� �� �� ��� �� ��� �
� � �� ���
tcp-port ���� �� TCP ��
udp-port ���� �� UDP ��
AUTHORIZATION API LOGGING
logclientid=webseald
logsize � �� ��� �� �� �� �� �
��
logflush � �� �� �� �� �
logaudit �� �� � �� ���
auditlog �� ��� ��
auditcfg = azn �� �� ��� ��
auditcfg = authn �� ��� ��
auditcfg = wand WebSEAL ��� ��
AZNAPI SERVICE DEFINITIONS
<service-id>
mode
242 �� 3.8
![Page 263: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/263.jpg)
AUTHORIZATION API
��� ��
azn-server-name
pd-user-name
[aznapi-entitlement-services] ���
AZN_ENT_EXT_ATTR
POLICY DIRECTOR
��� ��
[policy-director] ���
config-file pd.conf �� ��� ��
[manager] ���
master-host
master-port
master-dn
243Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
![Page 264: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/264.jpg)
244 �� 3.8
![Page 265: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/265.jpg)
WebSEAL Junction ��
pdadmin ����� WebSEAL junction ���� ��� � �� �
�� �� � ��� �����.
�� �� �� ����.
¶ �“pdadmin � ���”� ��� Junction ���
¶ 247 ���� �Junction ��
¶ 248 ���� ��� � � �� �� Junction ���
¶ 251 ���� ��� Junction� �� � ���
“pdadmin �� ���”� ��� Junction ��pdadmin� ���� �� sec_master � ����� � ����
���� ���.
�� ��, �� ����.
UNIX:
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
B
245Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
![Page 266: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/266.jpg)
Windows:
MSDOS> pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
� �� ����, �� ��� ���� �� ���� ��� �
� �� � ����.
# pdadmin -a sec_master -p <password>pdadmin>
WebSEAL junction� ����� pdadmin server task �� ��
����.
pdadmin> server task <server-name> <task>
server-name ��� � �� � � � ��� �� PolicyDirector ����(�: WebSEAL)� �� �����,
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL�� server-name �� ����.
webseald-cruz
server list �� ���� � � ��� ������.
pdadmin> server listwebseald-cruz
�� WebSEAL junction� ����� �� � �� � ���
�����.
¶ ��� ������ � � ��� �(-h ��)
¶ junction �� -- tcp, ssl, tcpproxy, sslproxy, local(-t ��)
¶ junction ���(�� ���)
pdadmin> server task <server-name> create -t <type>-h <host-name> <jct-point>
246 �� 3.8
![Page 267: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/267.jpg)
Junction ��� junction � pdadmin server task �� ��� � ���
�.
�� ��
create �� � � �� �� junction� �����.
add ��� junction ���� �� � � �����.
remove � � junction ����� �����.
��: remove -i <server-id> <junction-point>
show �� ���� �� � � ID� �����.
delete junction ���� �����.
��: delete <junction-point >
list � � � �� junction ���� �����.
��: list
show junction� ����� ����.
��: show < junction-point>
jmt load jmt clear jmt load � WebSEAL� junction �� ���
���(jmt.conf)� ���� ���� �� � �
� URL� �����.
jmt clear � WebSEAL�� junction �� �
�� ���� �����.
help junction �� �����.
��:help
help <command> �� junction �� �� ��� ���� ���
�.
exit pdadmin ����� �����.
��: exit
� � � � �� �� ��� �� ����.
247Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
![Page 268: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/268.jpg)
�� ��� �� ��� Junction ����: �� junction ���� ���� �� � � junction���.
��:
create -t <type> -h <host-name> [<options>] <junction-point>
Junction
-t <type> **��**
junction� ��. �� � ��: tcp, ssl,tcpproxy, sslproxy, local.
-t tcp� �� ��� 80���. -t ssl� ��
��� 443���.
��� ��
-h <host-name> **��**
�� ��� � � DNS ��� � �� IP
��
��
SSL� �� �� ��
-K <key-label> WebSEAL ���� ���� ���� �
�� � � �����.
-B WebSEAL BA � ��� ���� ��
� � � �����. -U, -W � -b filter �
�� �����.
-U <“username”> WebSEAL ��� �. BA � ��� �
�� � � ���� -B �� �����.
-W <“password”> WebSEAL ��. BA � ��� ��� �
� ���� -B �� �����.
-D <“DN”> ��� � ���� �� �� �����.
� ��� DN ���� � � ���
������.
��� junction ��(-t tcpproxy �� -t sslproxy� ���)
248 �� 3.8
![Page 269: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/269.jpg)
-H <host-name> ��� � � DNS ��� � �� IP �
�.
-P <port> ��� � � TCP ��
BA �� �� ��
-b <BA-value> WebSEAL � � ��� � � HTTP BA
�� ��� ���� ��� �����. ��
� ��: filter(���), ignore, supply, gso
� TCP � SSL junction ��
-c <id-types> junction� �� HTTP �� Policy Director
���� ��� ����. id-types ��
� Policy Director HTTP � ��(iv-user,
iv-user-l, iv-groups, iv-creds �� ��)� �
� ��� ��� � ����.
-i WebSEAL � � URL� ����� ���
� ����.
-j � �� URL� �� ����� ����
� ��� junction ��� �����.
-k ��� � � � �� �� ����.
-p <port> ��� ��� � � TCP ��. TCP
junction� ��� 80�� SSL junction� �
�� 443���
-q <url> query_contents ����� �� �� URL.
Policy Director� /cgi_bin/��
query_contents� ���. ����� ��
�� query_contents ��� �� �� �
��� ���� WebSEAL� � ��� ��
�� URL� ����.
-r junction� �� HTTP �� ���� IP �
�� ����.
-s junction� stateful ������� �����
�����. ����� junction ��� �
�� ����.
- T < r e s o u r c e /
resource-group>
GSO �� �� �� ��� �. -b gso �
�� ���� � ���� �����.
249Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
![Page 270: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/270.jpg)
-u <UUID> stateful junction(-s)� � WebSEAL� �
� ��� � � UUID� �����.
-v <virt-host-name> ��� � � � �� ��� �. � �
� ��� � �� �� ��� �� �
����.
� � � �� ����� junction�� �
� ��� ��� junction � � ��� �
�� ���� �� �� ���� -v�
�����. �������� �� HTTP �
�� ��� � � �� � �� �
� � � ��� ��� �� � ����.
�� ���� � ��� � � �� �
�� �� � ��� ����� WebSEAL
� ��� ���.
-w Win32 �� ��� ��
LTPA junctions
-A LTPA junction �� � �� ���
-F <“keyfile”> LTPA � ���� ����� � ��
��� ��
- Z < “ k e y f i l e -
password”>
��� ��
WebSEAL�� WebSEAL SSL�� junction
-C SSL� �� ���� WebSEAL � �
�� WebSEAL � ��� �� ��. -t ssl�� -t sslproxy ��� �����.
�� junction ��(-t local �� ��)
-d <dir> junction� �� �� ����. **��**
-f �� junction ��� �� ����.
Junction ���
junction� ���� WebSEAL � ��� ��
250 �� 3.8
![Page 271: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/271.jpg)
� Junction� �� �� ����: ��� junction ���� �� � � �����.
��:
add -h <host-name> [<options>] <junction-point>
��� ��
-h <host-name> **��**
�� ��� � � DNS ��� � �� IP
��
��
SSL� �� �� ��
-D <“DN”> ��� � ���� �� �� �����.
� ��� DN ���� � � ���
������.
��� junction ��(-t tcpproxy � -t sslproxy� ���)
-H <host-name> ��� � � DNS ��� � �� IP �
�
-P <port> ��� � � TCP ��
� TCP � SSL junction ��
-i WebSEAL � � URL� ����� ���
��.
-j � �� URL� �� ����� ����
� ��� junction ��� ��
-p <port> ��� ��� � � TCP ��. TCP
junction� ��� 80�� SSL junction� �
�� 443���.
-q <url> query_contents ����� �� �� URL.
Policy Director� /cgi_bin/��
query_contents� ���. � ����� �
��� query_contents ��� �� ��
� ��� ���� WebSEAL� � ���
�� �� URL� ����.
251Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
![Page 272: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/272.jpg)
-u <UUID> stateful junction(-s)� � WebSEAL� �
� ��� � � UUID� �����.
-v <virt-host-name> ��� � � � �� ��� �. � �
� ��� � �� �� ��� �� �
����.
� � � �� ����� junction�� �
� ��� ��� junction � � ��� �
�� ���� �� �� ���� -v�
�����. �������� �� HTTP �
�� ��� � � �� � �� �
� � � ��� ��� �� � ����.
�� ���� � ��� � � �� �
�� �� � ��� ����� WebSEAL
� ��� ���.
-w Win32 �� ��� ��
Junction ���
�� junction ���� � � �����.
252 �� 3.8
![Page 273: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/273.jpg)
iKeyman � ��� ��
iKeyman ����� �� ��� ��� � ��� � �� �
����. iKeyman� ���� �� ������ � �� �
�� �� �� ��, ������� CA �� ��, ��� ���
����� �� ������� �� ��, CA��� �� ��
�� � �, �� � � ��� �� � ����.
iKeyman ����� Policy Director �� ���� GSKit(GlobalSecurity Kit) �� �����.
�� �� �� ����.
¶ 254 ���� �iKeyman ���� ���
¶ 255 ���� ��� WebSEAL ������ ���
¶ 257 ���� ��� ������ ���
¶ 260 ���� ��� �� � �� �� ���
¶ 262 ���� ��� �� CA �� ���
¶ 263 ���� ��� CA �� ���
¶ 264 ���� ������� �� �� ���
¶ 268 ���� �� �� ���
¶ 270 ���� ��� �� ���
¶ 270 ���� ��� �� ���
C
253Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 274: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/274.jpg)
¶ 271 ���� ��� �� �� ���
¶ 272 ���� ������� �� ��
iKeyman ���� ��� ��� �� � ���� iKeyman ����� ������.
Windows:
MSDOS> /Program Files/IBM/gsk4/bin/gsk4ikm.exe
UNIX:
# /usr/bin/gsk4ikm
IBM � �� �����.
�� 39. IBM � �
254 �� 3.8
![Page 275: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/275.jpg)
�� WebSEAL ������ � �������� ���� � � � �� WebSEAL� �
� �� ��� ���� � ��� �� CA ��� �����.
��, WebSEAL �� �� ������(pdsrv.kdb)� ��
���. � ���� �� WebSEAL ��( ��� = PolicyDirector) � �� �� CA ��� ����� ���� ����.
�� WebSEAL ������� ��� �� ��� �����.
1. IBM � �� ������ �� ���� ��� ����
��.
2. �� ��� ��� �� ����� ������.
UNIX: /opt/PolicyDirector/lib/certs
Windows: C:\Program Files\Tivoli\PolicyDirector\lib\certs
3. ��� ������.
pdsrv.kdb
4. ��� �����.
�� � �� �� ��� �����.
5. �� WebSEAL ��� ������.
pdsrv
6. ��� �����.
������ ��� � �� ����.
�� WebSEAL ��� �� �� �� ����. ��� ��
��� “Policy Director”���. � ��� ��� ��� �
(*)� ����� ���� ��� ����.
256 ���� ��40� ������.
255Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 276: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/276.jpg)
�� ���� �� ��� �� �� ��� �����. �� �� CA(Certificate Authority) �� ��� �����.
257 ���� ��41� ������.
�� 40. �� WebSEAL pdsrv.kdb ��: WebSEAL ��
256 �� 3.8
![Page 277: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/277.jpg)
��� ������ �� �������� ���� � � � �� WebSEAL� �
� �� �� ���� � ��� �� CA ��� �����.
��, WebSEAL �� �� ������(pdsrv.kdb)� ��
���. � ���� �� WebSEAL ��( ��� = PolicyDirector) � �� �� CA ��� ����� ���� ����.
� �� ������� �� ����� �� ������� �
�� � ����. �� ������� ��� � �� WebSEAL�� ������� �� ������� ��� �� secmgrd.conf ��
�� 41. �� WebSEAL pdsrv.kdb ��: �� ��
257Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 278: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/278.jpg)
� ssl-keyfile ���� ���� WebSEAL� � ��� ���.41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
�� ������ ��� ����� �� ��� �����.
1. IBM � �� ������ �� ���� ��� ���
���.
�� �� ��� �����.
2. ������ �� ���� “CMS ������ ��”� �
�����.
3. key.kdb � �� �� ������.
4. �� ��� �� �� �� ���� � ��� �� �� �
���� ��� ��� � �� �� ������.
5. ��� �����.
�� � �� �� �����.
6. �� ��� ��� ���� �� �� ��� �� ������.
7. (���) �� �� � ���� ���� ��� �� ����
��.
8. (���) ��� �� ��� ���� ������.
�� ���� sth ��� ����.
�� 42. �� �� ��
258 �� 3.8
![Page 279: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/279.jpg)
secmgrd.conf �� ��� ssl-keyfile-stash ���� ����
WebSEAL� ��� �� �� ��� � ��� ���.
41 ���� �WebSEAL� �� ������ ��� ���
� ������.
9. ��� �����.
�� �� ���� �� ������� ������ ��
���.
10. ��� �����.
�� ������� ����� ��� ���. IBM
� �� �����.
IBM � � �� �� �� � �� ��� �
����.
�� �� �� ��� iKeyman �� �����.
¶ RSA Secure Server CA
¶ Thawte Personal Premium CA
¶ Thawte Personal Freemail CA
¶ Thawte Personal Basic CA
¶ Thawte Premium Server CA
¶ Thawte Server CA
¶ VeriSign Class 1 Public Primary CA
¶ VeriSign Class 2 Public Primary CA
¶ VeriSign Class 3 Public Primary CA
¶ VeriSign Test CA Root Certificate
� �� �� ��� �� CA(Certificate Authority)���� �
� �� ���. WebSEAL � �� ��� ���� ����
� ��� ������.
259Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 280: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/280.jpg)
� ��� ���� �� �� ��� ��� � ��, CA�� �
� ���� ������� ��� ���.
262 ���� ��� �� CA �� ���� ������.
�: VeriSign Test CA Root Certificate� ������ ���� ��
CA� ���� ����. �� ������� ������
��� ���� �� � ��� ��� ���.
�� ������� WebSEAL� ���� �� �� � � ��
� ��� � ��� CA� �� � ��� ��� ���. ���� � �� �� �� �� ����.
268 ���� �� �� ���� ������.
270 ���� ��� �� ���� ������.
��� �� ��� �� ��� ���� ������� ���� �� � ��� ���� �� ����
� �� ��� ��� ����� �� �� � ����.iKeyman�� �� � �� ��� ���� ������ �
�� � ����. �� � �� ��� ��� CA� ����
���� ���� �� �� �����.
�: �� � �� ��� ���� ������� ���� �
���. �� ���� �� ����� � � ����� �
��� ���� ����.
��, WebSEAL “Policy Director”�� �� � ��� �
����. � ��� ������ ����� �� �� � �
�� ��� �� ����.
�� �� � �� ��� ����� �� ��� ����
�.
260 �� 3.8
![Page 281: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/281.jpg)
1. iKeyman� ���� pdsrv.kdb ���� � ��� ��
��� ����.
IBM � �� �� ���� ��� �� �� ���� �
���, ��� ������ ��� �� ����.
2. �� ���� �� ��� ������.
3. �� �� � ��� �����.
�� �� � �� �� �� ��� �����.
4. “test-cert” � ���� ������.
5. �� � � ��(� � ���)� ���� ��� ������.��� ��� ��� ���� ���� �� �� �� �
� ������.
262 ���� ��43� ������.
6. ��� �����.
IBM � �� �� �� ���� ���� ��� �� �
�� ��� �� ����.
261Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 282: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/282.jpg)
��� �� CA ��� ���� CA� � �� �� ��� ���� �� CA��� �
� ��� ��� ���. � CA� � ���� � ��� ��
� ��� ����. � ��� ��� ��� CA� ������.
CA��� �� ��� ���� �� �� �������
��� � ����. ���� �� �� ��� *.arm ��(�:cert.arm)� �����.
������� �� CA ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� �����.
����� CA �� �� �� �����.
�� 43. �� �� � �� ��
262 �� 3.8
![Page 283: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/283.jpg)
1. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
2. �� CA ��� �� �� �� � ��� �����
���� � � ��� ������.
3. ��� �����.
��� �� �� ��� �����.
4. VeriSign Root CA Certificate � �� CA ��� ��
���� ���� ��� �����.
�� �� �� ���� �� ��� �� CA ��� ��
�� �����.
�� CA ��� ���� �� ��� �� �� ��� �� ���� ���� �
�� �� CA ��� ��� ���.
�: �� CA ��� ���� �� ��� �� ��� ���� �
�� � CA �� ��� �� ��� � ��� ����.
�������� �� CA ��� ����� �� ��� ����
�.
1. IBM � �� �� ���� �� ��� ������.
2. ����� �� CA ��� ��(���)����.
3. ��� �����.
�� 44. ����� CA �� �� �� ��
263Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 284: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/284.jpg)
��� �����.
4. �� �����.
�� �� �� ���� �� ��� �� CA ��� ��
�� �� ���� ����.
������ �� ��� ����� �� ����� ���� ����� �� � ��� �
�� � ��� �������� ��� ���� � �� ����
��� ��� � ��� ����. ������ ���� ��� �
��� ��� � �� ��� ����.
¶ ��� ��� ��. ��� �� ��
¶ �������� �� �� �
¶ ������� �� �� �
���� ��� ��. ��� ��� ����� (��) �������� ���� (��) ������
� ����� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ���
� ��� ��� ������.
3. �� ������� ����� ��� ������.
4. ��� ��� ��, �� �� ��� �����. ��� ��
� �� �� ��� �����.
��� �� �� �� �����.
5. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
��� �� �� ��� ��� �� ��� ��� ��
��� ���. iKeyman ��� Base64-encoded ASCII �� �
���� DER �� ��� �����.
264 �� 3.8
![Page 285: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/285.jpg)
6. ��� ���� �� �� �� �� ����� ��
�� � � � ��� ������.
7. ��� �����.
��� �� ��� �����.
���� �� ������� ��� ����� �� ��� ���
��.
1. �� ������� ����.
2. �� �� � ����� ��� ��� ������.
3. �� �� ��� � ��� �����. �� �� ���
��� ��� �����.
4. ��� ��� � ��� �� �� � � ��� �����
�. �� ��� ��� ��� �� ����.
�� 45. ����� �� ��
�� 46. ����� �� ��
265Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 286: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/286.jpg)
5. ��� �����.
6. �� ���� � ��� �� ��� �� ��� ����. ��� ���� �����.
�� ��� �� ������� ����� �� ��� ��
���.
�������� � ��� ��(��) �������� (��) ������� ��� ��
�� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ���
� ��� ��� ������.
3. �/� ��� �����.
�/� �� ����.
4. �� �� ���� �� ������.
5. �� �� �� ���� CMS ������ ��� ��
����.
6. ���� ��� ���� �� ������� �� � �
��� ������. �� ��� ��� ��� �� ����.
7. ��� �����.
�� 47. �/�
266 �� 3.8
![Page 287: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/287.jpg)
�� � �� �� �����.
8. ��� ���� ��� �����.
��� ���� �� �� �����.
9. ���� ��� ���� ��� �����.
�� ������� ��� ��� �����.
������� � ��� ��(��) �������� (��) ������� ��� ��
�� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ��
�� ��� ��� ������.
3. ���� ��� ��(���)����.
4. �/� ��� �����.
�/� �� ����.
5. �� �� ���� �� ������.
6. �� �� �� ���� CMS ������ ��� ��
����.
7. ���� ��� �� �� ������� �� � � �
�� ������. �� ��� ��� ��� �� ����.
�: � ������ ��� ���� ���� �����. “�”� �����. � ��� �� �������� ���
��. �� ��� ��� ����.
267Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 288: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/288.jpg)
8. ��� �����.
�� � �� �� �����.
9. �� ������� �� ��� ���� ��� �����.
10. �� ������� �� � ��� �� ��� ���
��.
�� ��� ��WebSEAL�� ��� SSL ����� ���� � CA� ��
��� �����. WebSEAL� �� �� ����(junctioncp -K� junction ������ � � �� �)� ����� �� �
�� ��� � ����.
iKeyman ����� ��� CA� �� � �� �� ��� ���
� ��� ���.
�� ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� �����.
� � �� �� �� �� ��� �����.
�� 48. �/�
268 �� 3.8
![Page 289: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/289.jpg)
3. � ��� �� ���� ������.
4. �� � � ��� ���� ��� ������.
��� ��� ��� ���� ���� �� �� �� �
� ������.
5. �� # ���� ��� �� � ��� ������. ��
� ��� ��� � ����.
6. ��� �����.
�� �� ���� �� �� ��� �� ��� ����
� ����� �����.
7. ��� �����.
�� �� �� ���� ���� ��� �� �� �� �
�� ���� ����.
8. � �� ��� ����� ��� ��� CA� ���� ��
� CA� � ���� �� ���� ���� �������.
�� 49. � � �� �� ��
269Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 290: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/290.jpg)
�� ��� ��CA� � �� �� ��� �� �� ��� ��� �
������ ��� ���.
�� ��� ��� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� ������.
����� �� �� �� �����.
3. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
4. �� �� ��� �� �� �� � ��� �����
�. �� ��� ��� ��� �� ����.
�: CA� ��� �� �� ���� ��� ��� � ���
���� ��� ��� ����� ���.
5. ��� �����.
6. ��� �� �� �����.
7. �� ��� �� ���� ���� ��� �����.
�� �� ���� �� �� ��� ���� �����.
�� ��� ���� ��� �� ���� ��� �������� ��� �
�� ���.
�: �� ��� ���� �� ��� �� ���� �� �� �
�� ������.
�� ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ����� �� ��� ��(���)�� ��� �����.
270 �� 3.8
![Page 291: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/291.jpg)
�� �� �����.
3. �� �����.
�� �� ��� ��� �� �� �� ��� ��
�� ����.
��� �� ��� ��iKeyman ����� ���� ������� � ��� �� �
� ��� ���� �� � ��� WebSEAL� �� �� ���
��� � ����. (��� CA���� �� �� ��� ���
� � �������� (������) �� � �� ���
���� ��� ��, ������� � ��� �� ��� ��
� ����.)
CA�� � �� ��� �� �� � �� ��
� ������� �� �� CA� ��� �� ��� �� �
�� ���� ��� � ����. �� �� ��� �� ���
�� �(*)� ����.
�� ��� �� �� � �� �� ��� ���� �� �
� ��� ����. �� �� ��� �� �� �
�� ��� ��� ��� � �� ��� �� �� ��
� ��� � ����. ��� ���� �� �� ��� ���
� �� �� ����.
�� �� ��� ���� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
�� �� ��� �� ��� �� �(*)� ����.
2. �� �� ��� ���� �� �� ��� ���� �
�/��� �����. ��� � � �� ���.
��� �� �� �� �����.
3. �� ��� � ���� ���� ��� �����.
271Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
![Page 292: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/292.jpg)
�� ��� ��� �� �(*)� �� �� �� ���
����.
������ �� �iKeyman ��� ���� ������� �� ��� �� � �
���.
������ ��� ���� �� ��� �����.
1. ������� ����.
2. ������ �� �� � ���� �� �� �����
�.
�� � �� �����.
3. �� ��� � ��� ���� �� �� ��� �� �����
�.
4. ��� ��, �� �� � ���� ������.
5. ��� ��, ��� �� ��� ���� ������.
6. ��� �����.
�� ��� ���� ��� ����� ������ �����.
272 �� 3.8
![Page 293: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/293.jpg)
��
������ ���
�� 213
�� 215
WebSEAL �� 214
�� �� �� 47
�� ������ 48
�� ��
�� 100
�� webseal ACL policy 59
����� ��, request.log 52
���� � �� POP policy 72
����� �� �
�� 190
BA �� �� ���� �� �� 190
CDSSO 119
e-community 125
GSO �� �� 199
GSO(global sign-on) 196
LTPA(WebSphere) 200
-b filter 194
-b gso 195
-b ignore 193
-b supply 191
�� ���� �� �� 209
�� URL
��, dynurl �� 219
�� 219
�� 223
�� � � ���� 222
ACL �� � �� 216
dynurl-allow-large-posts 221
dynurl-map 217
GET � POST ��� 220
POST ��� ���� �� 220
post-max-read 220
���� �� ��� 28
������� 37, 98
��� 37
� �� �� 97
��� � ��
�� 97
��, HTTP 50
�� ����, WebSEAL � 20
�� 50
����� �� ����
�� � 27
�� �� 30
�� �� 32
273Tivoli SecureWay Policy Director WebSEAL �� ���
��
![Page 294: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/294.jpg)
�� �� (��)
�� �� 32
������ ������ �� 208
� policy
�� 4
� �� 4
ACL policy 4
POP(Protected Object Policy) 4
�� � 3
�� �� 3
��� �� ������ �� 47
����� �� junction 153
�� ��� �� 81
�� ��
� 83
�� � 87
�� � �� 88
��� �� ID ��� �� 90
�� ��
GSKit 83
WebSEAL 83
�� � 87
�� 88
�� ID ��� �� 90
��� 85
��� ���
HTTP � HTTPS 24
��
� �� 209
HTTP �� ��� � 210
�� (��)
LDAP ��� � 209
�� �
�� 7
EPAC 8
����� �� policy 61
�� �� 102
������ ��, ��� 208
���� 50
�� 50
��
�� 5
�� �� 94
�� �� 100
�� ��� �� 97
��� � �� 97
� 6
�� 102
�� 104
�� 111
CDSSO 119
e-community 125
HTTP � 108
IP �� 111
MPA 113
�� ���, �� 81
�� �� POP policy 65
���� � ���, �� 76
���
� 38
���� ��� 81
���� �� ��� �� 81
������ �� �� 40
���� � 80
274 �� 3.8
![Page 295: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/295.jpg)
��� (��)
GSKit 39
iKeyman 39
��� �� 104
����� ��, �� ���� 209
��� ��� 23
�� HTML URL ��
� �� URL 179
�� URL 179
����� �� 32
�� �� 32
������ �� �� 40
����� � 209
�� �� 111
��� 47
���� WebSEAL �
�� 48
���� WebSEAL � �� 48
���� 109
�� 12
�� ��� � 15
�� ���� � 12
����3 ����� ��� policy 59
Aaccept-client-certs 107
account-locked 37
acct_locked.html 38
ACL policy, WebSEAL �� 57
acnt-mgt ��� 37
agents-file 50
agent.log 50
�� 54
authentication-levels ��� 66, 72
authtoken-lifetime 124
aznapi-configuration ��� 47
Bbackicon 28
basicauth-dummy-passwd 191
basic-auth-realm 100
ba-auth 100
275Tivoli SecureWay Policy Director WebSEAL �� ���
��
![Page 296: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/296.jpg)
Ccache-refresh-interval 48
CDMF �� ����� 120
cdsso 122
CDSSO �� 119
cdssoauthn 122
cdsso-auth 122
cdsso-peers ��� 123
cdsso_key_gen 93, 123, 138
cert-ssl 107
CGI �����
�� 205
WIN32 �� � �� 207
cgi-environment-variables ��� 207
cgi-timeout 25
cgi-types ��� 29
client-connect-timeout 24
content-caches ��� 30
CRL �� 44
Ddb-file 47
directory-index 28
diricon 28
disable-ssl-v2 23
disable-ssl-v3 23
disable-tls-v1 23
doc-root 26
dynurl �� 219
dynurl-allow-large-posts 221
dynurl-map 217
dynurl.conf 216
Eec-cookie-lifetime 141
entrust-client 109
e-community �� 125
�� 139
�� 128
���� � 129
e-community � 135
″vouch for″ �� � � 136
″vouch for″ �� 137
″vouch for″ �� ��� 138
e-community � 135
e-community-name 140
e-community-sso-auth 139
Ffailover �, �� 91
failover-auth 93
failover-cookies-keyfile 94
failover-cookie-lifetime 94
filter-url ��� 52, 180
flush-time 52
forms-auth 102
GGET ��� 220
gmt-time 51
GSKit 39
�� �� 40
GSKit �� �� 83
�� 86
GSO 196
GSO �� �� 199
GSO ��, �� 199
276 �� 3.8
![Page 297: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/297.jpg)
GSO(global sign-on) 196
gso-cache-enabled 200
gso-cache-entry-idle-timeout 200
gso-cache-lifetime 200
gso-cache-size 200
Hhelp 37
help.html 38
HTML ��� �� ��� 37
��� �� 38
http 22
HTTP �� �� �� 53
HTTP �� 50
HTTP � ��� 33
��� �� 36
HTTP � �� 108
HTTP �� �� LDAP ��� 209
httpauthn 109
https 22
https-port 22
https-timeout (junctions) 25
http-headers-auth 109
http-port 22
http-request 109
HTTP-Tag-Value 212
http-timeout (junctions) 25
HTTP_IV_CREDS 161, 206, 208
HTTP_IV_GROUPS 161, 206, 208
HTTP_IV_REMOTE_ADDRESS 163
HTTP_IV_USER 161, 206, 208
IiKeyman 42
�� 43
�� ������ �� 255
������ �� �� �� 264
������ �� � 272
�� CA �� �� 263
�� �� SSL junction 153
�� �� �� �� 271
�� �� CA �� �� 262
�� �� � �� �� 260
�� ������ �� 257
� �� �� 268
�� 254
�� �� 270
�� �� 270
SSL �� junction 152
WebSEAL ��� ��� 106
inactive-timeout 86
inter-domain-keys ��� 138, 142
intra-domain-key 138, 140
IP �� �� 111
ipaddr-auth 111
is-master-authn-server 140
iv-creds 161, 208
iv-groups 161, 208
iv-remote-address 163
iv-user 161, 208
Jjmt load 170
jmt-map 170
jmt.conf 170
junction
�� 9, 146
�� �� 180
277Tivoli SecureWay Policy Director WebSEAL �� ���
��
![Page 298: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/298.jpg)
junction (��)
�� � �� 178
����� ���� �� URL ��(-i) 165
� ��� 245
��� UUID ��(-u) 173
�� �� junction�� -b ��� ��
156
�� ��(-D, -K, -B, -U, -W) 153
�� junction(-f) �� � 160
�� �� � � � ���(-k) 164
���� �� �� �� URL �� 169
������� URL ��(-j) 165
�� �� 150
�� ��(-t) 150
��� �� 181
��� �� � 147
�� HTML URL �� 179
�� ���� � �� URL �� 167
��� junctions (-H, -P) 157
��� ��(-h) 150
BA �� ��(-B, -U, -W) 155
DN ��(-D) 154
gso ��(-b gso, -T) 198
GSO(global sign-on) 196
HTTP �� �� ���� �� ��
(-c) 161
HTTP �� �� IP �� ��(-r) 163
junction �� ��� 170
junction ��� ���� � �� URL �
� 170
LTPA(-A, -F, -Z) 201
pdadmin � ��� 149
stateful junction ��(-s, -u) 172
WebSEAL ���� ���(-K) 154
WebSEAL�� WebSEAL�� (-C) 158
Windows �� ���(-w) 177
-b filter 194
-b gso 195
-b ignore 193
junction (��)
-b supply 191
junction-db 146
Lldapauthn 101, 102
ldap-ext-cred-tags ��� 210, 212
libcdssoauthn 122
libhttpauthn 109
libldapauthn 101, 102
libsslauthn 107
libtokenauthn 112
listen-flags 47
logging ��� 52
login.html 38, 103
logout.html 38
log-filtered-pages 52
LTPA ��, �� 202
LTPA(WebSphere) 200
junction �� 201
LTPA �� �� 202
ltpa-cache ��� 202
ltpa-cache-enabled 202
ltpa-cache-entry-idle-timeout 202
ltpa-cache-entry-lifetime 202
ltpa-cache-size 202
Mmaster-authn-server 141
master-https-port 140
master-http-port 139
max-entries 85
max-size 51
mgt-pages-root 37
278 �� 3.8
![Page 299: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/299.jpg)
mpa 116
MPA �� 113
Nnexttoken.html 38
next-token 37
Ppasswd-change 37
passwd-change-failure 37
passwd-change-success 37
passwd-expired 37
passwd-ldap 101, 102
passwd.html 38
passwd_exp.html 38
passwd_rep.html 38
pdadmin policy
disable-time-interval 59
max-login-failures 59
max-password-repeated-chars 61
min-password-alphas 61
min-password-length 61
min-password-non-alphas 61
password-spaces 61
pdadmin � ���(junctions) 149
pd.conf 210
PD_PORTAL � 214
pd_start � 21
persistent-con-timeout 24
ping-time (junctions) 25
pkmscdsso 125
pkmslogout 98
pkmspasswd 99
pkmsvouchfor 136, 141
POP policy
���� � �� 72
�� ��(step-up) 65
QOP(Qualtiy of Protection) 75
portal-map ��� 214
POST ��� 220
���� �� 220
post-max-read 220
QQOP(Qualtiy of Protection)
�� � 45
���� 45
��� 45
QOP(Qualtiy of Protection) POP policy 75
query_contents 181
� 186
��� �� 184
� 182
query_contents.c 182
query_contents.cfg 182
query_contents.exe 182
query_contents.html 182
query_contents.sh 182
Rreferers-file 50
referer.log 50
�� 54
REMOTE_USER 206
requests-file 50
request.log 50
���� �� �� �� 52
�� 54
279Tivoli SecureWay Policy Director WebSEAL �� ���
��
![Page 300: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/300.jpg)
resend-webseal-cookies 88
Sscript-filter 169
script-filtering ��� 169
server-name 48
server-root 20
SSL �� ID 88
sslauthn 107
ssl-id-sessions 88
ssl-keyfile 43
ssl-keyfile-label 43
ssl-keyfile-pwd 43
ssl-keyfile-stash 43
ssl-ldap-server 44
ssl-ldap-server-port 44
ssl-ldap-user 44
ssl-ldap-user-password 44
ssl-max-entries 87
ssl-qop-mgmt 45
ssl-qop-mgmt-default ��� 45
ssl-qop-mgmt-hosts ��� 45
ssl-qop-mgmt-networks ��� 45
ssl-v2-timeout 86
ssl-v3-timeout 86
stepuplogin.html 38, 69
stepup-login 37, 69
step-up �� 65
Ttcp-port 47
tokenauthn 112
tokenlogin.html 38
token-auth 111
token-cdas 112
token-login 37
Uudp-port 47
unknownicon 28
use-same-session 88, 89
Vvf-token-lifetime 141
vf-url 141
vouch for �� � � 136
WWebSEAL
�� 1
� �� � �� 21
WebSEAL junction, junction �� 145
WebSEAL �� �� 83
�� 85
webseald.conf
�� 18
�� 18
�� 229
webseal-cert-keyfile 41
webseal-cert-keyfile-label 41, 106, 181
webseal-cert-keyfile-pwd 41
webseal-cert-keyfile-stash 41
webseal-mpa-servers �� 115, 117
WebSphere LTPA 200
WIN32 �� �, �� 207
280 �� 3.8
![Page 301: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/301.jpg)
![Page 302: Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³ »¼publib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/ko... · 2002-11-09 · Tivoli SecureWay Policy Director Base Tivoli](https://reader030.vdocuments.us/reader030/viewer/2022040802/5e3bc9e311176c71f66d0582/html5/thumbnails/302.jpg)
Printed in Australia
GA30-1321-01