6.3.2. Kerberos アイデンティティーの設定
Kerberos アイデンティティーは、Kerberos パスワードから派生するサービスプリンシパル名と暗号化鍵が含まれる キータブ ファイルを使用します。
注記
キータブ ファイルには、ユーザーとサービスのアカウントプリンシパルの両方を含めることができます。ただし、Data Grid サーバーは、サービスアカウントのプリンシパルのみを使用します。その結果、Data Grid サーバーはクライアントに ID を提供でき、これによりクライアントが Kerberos サーバーで認証できるようになります。
ほとんどの場合、Hot Rod および REST コネクターに一意のプリンシパルを作成します。たとえば、INFINISPAN.ORG ドメインに datagrid サーバーがあるとします。この場合、以下のサービスプリンシパルを作成する必要があります。
-
hotrod/datagrid@INFINISPAN.ORGは Hot Rod サービスを特定します。 -
HTTP/datagrid@INFINISPAN.ORGは REST サービスを識別します。
手順
Hot Rod および REST サービスのキータブファイルを作成します。
- Linux
$ ktutil ktutil: addent -password -p datagrid@INFINISPAN.ORG -k 1 -e aes256-cts Password for datagrid@INFINISPAN.ORG: [enter your password] ktutil: wkt http.keytab ktutil: quit
- Microsoft Windows
$ ktpass -princ HTTP/datagrid@INFINISPAN.ORG -pass * -mapuser INFINISPAN\USER_NAME $ ktab -k http.keytab -a HTTP/datagrid@INFINISPAN.ORG
-
キータブファイルを
$ISPN_HOME/server/confディレクトリーにコピーします。 -
server-identities定義を Data Grid サーバーのセキュリティーレルムに追加します。 - Hot Rod および REST コネクターにサービスプリンシパルを提供するキータブファイルの場所を指定します。
- Kerberos サービスプリンシパルに名前を付けます。
6.3.2.1. Kerberos ID 設定
以下の例では、Data Grid サーバーの Kerberos ID を設定します。
<security xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1">
<security-realms>
<security-realm name="default">
<server-identities> 1
<kerberos keytab-path="hotrod.keytab" 2
principal="hotrod/datagrid@INFINISPAN.ORG" 3
required="true"/> 4
<kerberos keytab-path="http.keytab" 5
principal="HTTP/localhost@INFINISPAN.ORG" 6
required="true"/>
</server-identities>
</security-realm>
</security-realms>
</security>