14.6. FIPS ホストで CLI を実行する
クライアント登録 CLI (kcreg.sh|bat スクリプト) または管理 CLI (kcadm.sh|bat スクリプト) を実行する場合、CLI はプレーンな BouncyCastle 依存関係の代わりに BouncyCastle FIPS 依存関係も使用する必要があります。そのために必要なのは、jar を CLI ライブラリーフォルダーにコピーすることだけです。CLI ツールは、対応する BCFIPS jar が存在することを検出すると、プレーン BC の代わりに BCFIPS 依存関係を自動的に使用します (使用されるバージョンについては上記を参照)。たとえば、CLI を実行する前に次のようなコマンドを使用します。
cp $KEYCLOAK_HOME/providers/bc-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/ cp $KEYCLOAK_HOME/providers/bctls-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/
注記
CLI で BCFKS トラストストア/キーストアを使用しようとすると、このトラストストアがデフォルトの Java キーストアタイプではないために問題が発生することがあります。その場合は、Java セキュリティープロパティーでデフォルトとして指定できます。たとえば、kcadm|kcreg クライアントで操作を行う前に、unix ベースのシステムで次のコマンドを実行します。
echo "keystore.type=bcfks fips.keystore.type=bcfks" > /tmp/kcadm.java.security export KC_OPTS="-Djava.security.properties=/tmp/kcadm.java.security"
