Red Hat Summit6.4. エンドポイント認証メカニズムの設定
クライアントとの認証を行うように、SASL 認証メカニズムで Hotfaillock および REST コネクターを設定します。
6.4.1. Hotot 認証の設定
特定の SASL 認証メカニズムを使用して、クライアントとの認証を Data Grid サーバーセキュリティーレルムに対して認証するように設定します。
手順
-
Hot Rod コネクター設定に
authentication定義を追加します。 - Hot Rod コネクターが認証に使用する Data Grid セキュリティーレルムを指定します。
- 使用する Hot Rod エンドポイントの SASL 認証メカニズムを指定します。
- 必要に応じて SASL 認証プロパティーを設定します。
6.4.1.1. Hot Rod 認証設定
SCRAM、DIGEST、および PLAIN 認証を使用した Hot Rod コネクター
<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1
https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1"
socket-binding="default" security-realm="default"> 1
<hotrod-connector name="hotrod">
<authentication>
<sasl mechanisms="SCRAM-SHA-512 SCRAM-SHA-384 SCRAM-SHA-256 2
SCRAM-SHA-1 DIGEST-SHA-512 DIGEST-SHA-384
DIGEST-SHA-256 DIGEST-SHA DIGEST-MD5 PLAIN"
server-name="infinispan" 3
qop="auth"/> 4
</authentication>
</hotrod-connector>
</endpoints>
Kerberos 認証を使用した Hot Rod コネクター
<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1"
socket-binding="default" security-realm="default">
<hotrod-connector name="hotrod">
<authentication>
<sasl mechanisms="GSSAPI GS2-KRB5" 1
server-name="datagrid" 2
server-principal="hotrod/datagrid@INFINISPAN.ORG"/> 3
</authentication>
</hotrod-connector>
</endpoints>
6.4.1.2. Hot Rod エンドポイント認証メカニズム
Data Grid は、Hot Rod コネクターを使用して以下の SASL 認証メカニズムをサポートします。
| 認証メカニズム | 説明 | 関連する詳細 |
|---|---|---|
|
|
プレーンテキスト形式の認証情報を使用します。 |
|
|
|
ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、 |
|
|
|
ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、 |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する |
|
|
| クライアント証明書を使用します。 |
|
|
|
OAuth トークンを使用し、 |
|
6.4.1.3. SASL Quality of Protection (QoP)
SASL メカニズムが整合性とプライバシー保護設定に対応している場合は、qop 属性を使用して Hot Rod コネクター設定に追加することができます。
| QoP 設定 | 説明 |
|---|---|
|
| 認証のみ。 |
|
| 整合性保護による認証。 |
|
| 整合性とプライバシー保護による認証。 |
6.4.1.4. SASL ポリシー
SASL ポリシーを使用すると、Hot Rod コネクターが使用できる認証メカニズムを制御できます。
| ポリシー | 説明 | デフォルト値 |
|---|---|---|
|
| セッション間の forward secrecy をサポートする SASL メカニズムのみを使用します。これは、1 つのセッションに分割しても、将来のセッションに分割するための情報が自動的に提供されないことを意味します。 | false |
|
| クライアント認証情報が必要な SASL メカニズムのみを使用してください。 | false |
|
| 単純な受動的攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| アクティブな非辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| 受動的な辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| 匿名ログインを許可する SASL メカニズムは使用しないでください。 | true |
Data Grid のキャッシュ承認では、ロールおよびパーミッションに基づいてキャッシュへのアクセスを制限します。キャッシュ承認を設定する場合は、<no-anonymous value=false /> を設定して匿名ログインを許可し、アクセスロジックをキャッシュ承認に委任できます。
SASL ポリシー設定の Hot Rod コネクター
<hotrod-connector socket-binding="hotrod" cache-container="default">
<authentication security-realm="ApplicationRealm">
<sasl server-name="myhotrodserver"
mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL" 1
qop="auth">
<policy> 2
<no-active value="true" />
<no-anonymous value="true" />
<no-plain-text value="true" />
</policy>
</sasl>
</authentication>
</hotrod-connector>
前述の設定により、Hot Rod コネクターは GSSAPI メカニズムを使用します。これは、すべてのポリシーに準拠する唯一のメカニズムであるためです。
