8.4. キャッシュ通信を保護する
現行の Infinispan キャッシュ実装は、RBAC、ACL、トランスポートスタック暗号化などのさまざまなセキュリティー対策により保護されているはずです。
JGroups は、Red Hat build of Keycloak サーバー間のすべての通信を処理し、TCP 通信用の Java SSL ソケットをサポートします。Red Hat build of Keycloak は、CLI オプションを使用して TLS 通信を設定します。カスタマイズした JGroups スタックを作成したり、キャッシュ XML ファイルを変更したりする必要はありません。
TLS を有効にするには、cache-embedded-mtls-enabled を true に設定する必要があります。使用する証明書を含むキーストアが必要です。cache-embedded-mtls-key-store-file でキーストアへのパスを設定し、cache-embedded-mtls-key-store-password でそれを復号するためのパスワードを設定します。トラストストアに、接続を受け入れるための有効な証明書を格納します。トラストストアは、cache-embedded-mtls-trust-store-file (トラストストアへのパス) と cache-embedded-mtls-trust-store-password (それを復号するためのパスワード) を使用して設定できます。不正アクセスを制限するには、各 Red Hat build of Keycloak に自己署名証明書を使用します。
UDP または TCP_NIO2 を使用した JGroups スタックの場合、プロトコルスタックの設定方法について、JGroups 暗号化ドキュメント を参照してください。
キャッシュ通信の保護の詳細は、Infinispan Security Guide を参照してください。
