ホーム
製品
Red Hat Data Grid
8.0
Data Grid Server ガイド
6.4. エンドポイント認証メカニズムの設定

6.4. エンドポイント認証メカニズムの設定

クライアントとの認証を行うように、SASL 認証メカニズムで Hotfaillock および REST コネクターを設定します。

6.4.1. Hotot 認証の設定
リンクのコピー

特定の SASL 認証メカニズムを使用して、クライアントとの認証を Data Grid サーバーセキュリティーレルムに対して認証するように設定します。

手順

Hot Rod コネクター設定に authentication 定義を追加します。
Hot Rod コネクターが認証に使用する Data Grid セキュリティーレルムを指定します。
使用する Hot Rod エンドポイントの SASL 認証メカニズムを指定します。
必要に応じて SASL 認証プロパティーを設定します。

6.4.1.1. Hot Rod 認証設定
リンクのコピー

SCRAM、DIGEST、および PLAIN 認証を使用した Hot Rod コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:10.1
           https://infinispan.org/schemas/infinispan-server-10.1.xsd"
           xmlns="urn:infinispan:server:10.1"
           socket-binding="default" security-realm="default"> 
   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="SCRAM-SHA-512 SCRAM-SHA-384 SCRAM-SHA-256 
                           SCRAM-SHA-1 DIGEST-SHA-512 DIGEST-SHA-384
                           DIGEST-SHA-256 DIGEST-SHA DIGEST-MD5 PLAIN"
               server-name="infinispan" 
               qop="auth"/> 
      </authentication>
   </hotrod-connector>
</endpoints>

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:10.1
           https://infinispan.org/schemas/infinispan-server-10.1.xsd"
           xmlns="urn:infinispan:server:10.1"
           socket-binding="default" security-realm="default">


   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="SCRAM-SHA-512 SCRAM-SHA-384 SCRAM-SHA-256


                           SCRAM-SHA-1 DIGEST-SHA-512 DIGEST-SHA-384
                           DIGEST-SHA-256 DIGEST-SHA DIGEST-MD5 PLAIN"
               server-name="infinispan"


               qop="auth"/>


      </authentication>
   </hotrod-connector>
</endpoints>

Copy to Clipboard

Toggle word wrap

1: default という名前のセキュリティーレルムに対する認証を有効にします。
2: 認証に使用する SASL メカニズムを指定します。
3: Data Grid サーバーがクライアントに宣言する名前を定義します。サーバー名は、クライアント設定と一致する必要があります。
4: 認証 QoP を有効にします。

Kerberos 認証を使用した Hot Rod コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
           xmlns="urn:infinispan:server:10.1"
           socket-binding="default" security-realm="default">
   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="GSSAPI GS2-KRB5" 
               server-name="datagrid" 
               server-principal="hotrod/datagrid@INFINISPAN.ORG"/> 
      </authentication>
   </hotrod-connector>
</endpoints>

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
           xmlns="urn:infinispan:server:10.1"
           socket-binding="default" security-realm="default">
   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="GSSAPI GS2-KRB5"


               server-name="datagrid"


               server-principal="hotrod/datagrid@INFINISPAN.ORG"/>


      </authentication>
   </hotrod-connector>
</endpoints>

Copy to Clipboard

Toggle word wrap

1: Kerberos 認証に GSSAPI および GS2-KRB5 メカニズムを有効にします。
2: Data Grid サーバー名を定義します。これは Kerberos サービス名と同じです。
3: サーバーの Kerberos アイデンティティーを指定します。

6.4.1.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

Data Grid は、Hot Rod コネクターを使用して以下の SASL 認証メカニズムをサポートします。

Expand

認証メカニズム	説明	関連する詳細
`PLAIN`	プレーンテキスト形式の認証情報を使用します。`PLAIN` 認証は、暗号化された接続でのみ使用する必要があります。	`Basic` HTTP メカニズムに似ています。
`DIGEST-*`	ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、`DIGEST-MD5`、`DIGEST-SHA`、`DIGEST-SHA-256`、`DIGEST-SHA-384`、および `DIGEST-SHA-512` ハッシュアルゴリズムをサポートします。	`Digest` HTTP メカニズムに似ています。
`SCRAM-*`	ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、`SCRAM-SHA`、`SCRAM-SHA-256`、`SCRAM-SHA-384`、および `SCRAM-SHA-512` ハッシュアルゴリズムを強度順にサポートします。	`Digest` HTTP メカニズムに似ています。
`GSSAPI`	Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する `Kerberos` サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために `ldap-realm` も指定します。	`SPNEGO` HTTP メカニズムに似ています。
`GS2-KRB5`	Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する `Kerberos` サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために `ldap-realm` も指定します。	`SPNEGO` HTTP メカニズムに似ています。
`EXTERNAL`	クライアント証明書を使用します。	`CLIENT_CERTHTTP` メカニズムに似ています。
`OAUTHBEARER`	OAuth トークンを使用し、`token-realm` 設定が必要です。	`BEARER_TOKEN` HTTP メカニズムに似ています。

6.4.1.3. SASL Quality of Protection (QoP)
リンクのコピー

SASL メカニズムが整合性とプライバシー保護設定に対応している場合は、qop 属性を使用して Hot Rod コネクター設定に追加することができます。

Expand

QoP 設定	説明
`auth`	認証のみ。
`auth-int`	整合性保護による認証。
`auth-conf`	整合性とプライバシー保護による認証。

6.4.1.4. SASL ポリシー
リンクのコピー

SASL ポリシーを使用すると、Hot Rod コネクターが使用できる認証メカニズムを制御できます。

Expand

ポリシー	説明	デフォルト値
`forward-secrecy`	セッション間の forward secrecy をサポートする SASL メカニズムのみを使用します。これは、1 つのセッションに分割しても、将来のセッションに分割するための情報が自動的に提供されないことを意味します。	false
`pass-credentials`	クライアント認証情報が必要な SASL メカニズムのみを使用してください。	false
`no-plain-text`	単純な受動的攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-active`	アクティブな非辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-dictionary`	受動的な辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-anonymous`	匿名ログインを許可する SASL メカニズムは使用しないでください。	true

ヒント

Data Grid のキャッシュ承認では、ロールおよびパーミッションに基づいてキャッシュへのアクセスを制限します。キャッシュ承認を設定する場合は、<no-anonymous value=false /> を設定して匿名ログインを許可し、アクセスロジックをキャッシュ承認に委任できます。

SASL ポリシー設定の Hot Rod コネクター

<hotrod-connector socket-binding="hotrod" cache-container="default">
   <authentication security-realm="ApplicationRealm">
      <sasl server-name="myhotrodserver"
            mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL" 
            qop="auth">
         <policy> 
            <no-active value="true" />
            <no-anonymous value="true" />
            <no-plain-text value="true" />
         </policy>
      </sasl>
   </authentication>
</hotrod-connector>

<hotrod-connector socket-binding="hotrod" cache-container="default">
   <authentication security-realm="ApplicationRealm">
      <sasl server-name="myhotrodserver"
            mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"


            qop="auth">
         <policy>


            <no-active value="true" />
            <no-anonymous value="true" />
            <no-plain-text value="true" />
         </policy>
      </sasl>
   </authentication>
</hotrod-connector>

Copy to Clipboard

Toggle word wrap

1: Hotgitops コネクターの複数の SASL 認証メカニズムを指定します。
2: SASL メカニズムのポリシーを定義します。

前述の設定により、Hot Rod コネクターは GSSAPI メカニズムを使用します。これは、すべてのポリシーに準拠する唯一のメカニズムであるためです。

トップに戻る

6.4. エンドポイント認証メカニズムの設定

6.4.1. Hotot 認証の設定
リンクのコピー

6.4.1.1. Hot Rod 認証設定
リンクのコピー

6.4.1.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

6.4.1.3. SASL Quality of Protection (QoP)
リンクのコピー

6.4.1.4. SASL ポリシー
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4. エンドポイント認証メカニズムの設定

6.4.1. Hotot 認証の設定リンクのコピーリンクがクリップボードにコピーされました!

6.4.1.1. Hot Rod 認証設定リンクのコピーリンクがクリップボードにコピーされました!

6.4.1.2. Hot Rod エンドポイント認証メカニズムリンクのコピーリンクがクリップボードにコピーされました!

6.4.1.3. SASL Quality of Protection (QoP)リンクのコピーリンクがクリップボードにコピーされました!

6.4.1.4. SASL ポリシーリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4.1. Hotot 認証の設定
リンクのコピー

6.4.1.1. Hot Rod 認証設定
リンクのコピー

6.4.1.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

6.4.1.3. SASL Quality of Protection (QoP)
リンクのコピー

6.4.1.4. SASL ポリシー
リンクのコピー