OpenFrame TACF 환경설정
본 장에서는 OpenFrame TACF 운영에서 필요로 하는 설정 항목에 대해 설명한다.
1. 개요
OpenFrame TACF(이하 TACF) 운영에 관련된 사항은 openframe_tacf.conf에 각 'SECTION'의 'KEY'에 설정한 후 ofconfig 툴을 이용하여 시스템 설정을 저장한다.
|
기본값이 '(NONE)'인 'KEY'가 일부 존재하며 그러한 'KEY'의 'VALUE'를 '(NONE)'으로 지정했을 경우의 동작에 대해서는 해당 항목의 비고에 기재되어 있다. |
다음은 각 서브젝트의 섹션에 대한 설명이다. 각 섹션별 키의 상세 입력 값에 대한 설명은 해당 절을 참고한다.
-
TACF에서 사용하는 일반적인 설정을 저장한다.
섹션 설명 TACF 동작에 필요한 기본적인 정보를 설정한다.
사용자의 그룹 리스에 대한 처리 여부를 설정한다.
RACF의 옵션 설정 명령어인 SETROPTS의 기능을 설정한다.
2. tacf
OpenFrame TACF에 관련한 설정을 저장한다.
2.1. TACF_DEFAULT
TACF의 동작에 필요한 기본적인 정보를 설정한다.
2.1.1. HISTORY_COUNT
최대 비밀번호 이력 개수를 지정한다.
비밀번호를 변경할 경우 이전에 사용된 비멀번호를 다시 사용하는 것을 방지하기 위해 변경한 비밀번호의 이력을 기록할 수 있다. 이 설정 개수를 초과하는 이력은 가장 마지막에 기록된 것부터 차례대로 삭제된다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
20 |
범위 |
1 ~ 2147438647 |
비고 |
1 이상의 정수의 값을 가지며 1 미만의 정수를 입력할 경우 1로 설정된다. |
2.1.2. UTIL_DIRECTORY
tacfcopy를 실행하고 생성되는 output 파일을 출력할 디렉터리를 지정한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
String |
기본값 |
${OPENFRAME_HOME}/temp |
범위 |
|
비고 |
실제 디렉터리 경로를 지정한다. |
2.1.3. PASSWORD_INTERVAL
기본값으로 사용될 비밀번호 변경 주기를 일 단위로 지정한다. 새로운 사용자를 등록하는 과정에서 비밀번호 변경 주기를 지정하지 않았을 경우 이 설정 값이 기본값으로 사용된다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
30 |
범위 |
0 ~ 2147438647 |
비고 |
0 이상의 정수를 가지며 사용자의 비밀번호를 주기적으로 변경하지 않으려면 값을 0으로 설정한다. |
2.1.4. MAX_RETRY_COUNT
최대 로그인 재시도 횟수를 지정한다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
10 |
범위 |
1 ~ 2147438647 |
비고 |
1 이상의 정수의 값을 가지며, 로그인할 때 비밀번호가 일치하지 않을 경우 설정한 재시도 횟수만큼 로그인 과정을 시도하게 되고, 지정한 재시도 횟수에 도달했을 때는 ACCOUNT_LOCK_PERIOD에서 설정한 일정 기간 동안 사용자의 계정이 잠금 상태가 된다. |
2.1.5. LOCK_PERIOD_UNIT
사용자가 MAX_RETRY_COUNT의 최대 시도 횟수를 넘겨서 계정이 잠금 상태가 될 때 잠금 주기의 단위를 지정한다. 단위는 시간 또는 분으로 지정할 수 있다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
String |
기본값 |
HOUR |
범위 |
HOUR, MINUTE |
비고 |
ACCOUNT_LOCK_PERIOD 설정에 기술된 값의 단위를 시간 혹은 분으로 지정한다. |
2.1.6. ACCOUNT_LOCK_PERIOD
사용자가 인증 과정에 실패한 경우 인증에 실패한 사용자 계정에 대하여 일정 기간 계정 잠금 시간을 LOCK_PERIOD_UNIT에 지정된 시간 단위로 지정한다.
계정 잠금의 상태는 계정 잠금 상태가 발생한 시간으로부터 설정한 ACOUNT_LOCK_PERIOD 만큼 지난 이후에 자동으로 해제된다. 0부터 시간 또는 분 단위로 설정할 수 있다. LOCK_PERIOD_UNIT가 미지정인 경우에는 기본값인 HOUR를 기반으로 시간이 적용된다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
24 |
범위 |
0 ~ 2147438647 |
비고 |
0 이상의 정수를 가지며 0으로 설정한 경우 잠금시간이 0으로 설정되기 때문에 1 이상의 값을 설정할것을 권고한다. |
2.1.7. RETRY_RESET_PERIOD
사용자 계정의 로그인 재시도 횟수를 0으로 초기화하는 시간을 설정한다.
로그인 재시도 횟수는 설정한 RETRY_RESET_PERIOD 시간이 경과한 후에는 0으로 재설정된다. 0부터 시간 단위로 설정할 수 있다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
3 |
범위 |
0 ~ 2147438647 |
비고 |
0 이상의 정수를 가지며 0으로 설정한 경우 비밀번호 오류로 인한 계정 잠금 기능을 사용하지 않는다. |
2.1.8. EXPIRE_WARNING_DAYS
사용자가 시스템에 접속했을 때 비밀번호 변경에 대한 경고 메시지를 보여주기 위한 경고 일자를 일 단위로 지정한다. 최종 변경일이 5일이고, 변경 주기가 10일일 경우 비밀번호 만료 일자는 15일이 된다. 경고 일자로 3일을 설정했다면, 12일부터 15일까지 3일 동안 비밀번호 변경 경고 메시지를 사용자에게 표시한다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Number |
기본값 |
0 |
범위 |
0 ~ 2147438647 |
비고 |
0 이상의 정수를 가지며 0으로 설정한 경우 비밀번호 변경에 대한 경고 메시지를 설정하지 않는다. |
2.2. AUTH_OPTION
TACF 사용자는 디폴트로 소속된 그룹 이외에 TACF에 등록된 한 개 이상의 그룹에 소속될 수 있다. 따라서 특정 리소스에 대해서 사용자가 특정 그룹으로의 권한이 있는 경우 현재 디폴트 그룹의 권한 뿐만 아니라 사용자가 소속된 디폴트 그룹 이외의 모든 그룹에 대해서도 해당 리소스의 권한 체크를 실행할지 여부를 지정할 수 있다. AUTH_OPTION에서는 이러한 사용자의 그룹 리스트에 대한 처리 여부 및 리소스 권한과 관련 처리 옵션을 설정한다.
2.2.1. OPTION_LGP
사용자 그룹 리스트에 대한 처리 여부를 지정한다. 예를 들어 특정 데이터 셋의 접근 권한을 사용자의 디폴트 그룹에 대해서만 검사하는 것이 아니라 사용자가 소속된 모든 그룹에 대해서 검사할 것인지를 지정한다. 멀티노드 환경에서 모든 노드의 설정이 일치해야 한다.
| 항목 | 설명 |
|---|---|
파라미터 타입 |
Y_N |
기본값 |
NO |
범위 |
YES, NO |
비고 |
|
2.3. SETROPTS
RACF의 옵션 설정 명령어인 SETROPTS의 기능을 설정한다. 현재 TACF에서는 PROTECTALL 및 MIXEDCASE 옵션만 지원하고 있다.