ホーム
製品
Red Hat Data Grid
8.1
Data Grid Server ガイド
4.3. エンドポイント認証メカニズムの設定

4.3. エンドポイント認証メカニズムの設定

クライアントで認証するために、SASL または HTTP 認証メカニズムを使用して、Hot Rod および REST コネクターを設定します。

Data Grid サーバーでは、コマンドラインインターフェイス (CLI) とコンソールに加え、Hot Rod および REST エンドポイントにアクセスするために、ユーザー認証が必要です。また、Data Grid サーバーは、定義したセキュリティーレルムに基づいて認証メカニズムを自動的に設定します。

4.3.1. Data Grid Server の認証
リンクのコピー

Data Grid サーバーは、エンドポイントに割り当てるセキュリティーレルムに基づいて、認証メカニズムを自動的に設定します。

SASL 認証メカニズム

以下の SASL 認証メカニズムは Hot Rod エンドポイントに適用されます。

Expand

Security Realm	SASL 認証メカニズム
プロパティーレルムと LDAP レルム	SCRAM-、DIGEST-、CRAM-MD5
トークンレルム	OAUTHBEARER
トラストレルム	EXTERNAL
Kerberos アイデンティティー	GSSAPI、GS2-KRB5
SSL/TLS アイデンティティー	PLAIN

HTTP 認証メカニズム

以下の HTTP 認証メカニズムは REST エンドポイントに適用されます。

Expand

Security Realm	HTTP 認証メカニズム
プロパティーレルムと LDAP レルム	DIGEST
トークンレルム	BEARER_TOKEN
トラストレルム	CLIENT_CERT
Kerberos アイデンティティー	SPNEGO
SSL/TLS アイデンティティー	BASIC

デフォルト設定

Data Grid サーバーは、以下のスニペットに示すように $RHDG_HOME/server/ conf/users.properties で定義されたプレーンテキストの認証情報が含まれるプロパティーレルムを使用する default という名前のセキュリティーレルムを提供します。

<security-realm name="default">
  <properties-realm groups-attribute="Roles">
    <user-properties path="users.properties"
                     relative-to="infinispan.server.config.path"
                     plain-text="true"/>
    <group-properties path="groups.properties"
                      relative-to="infinispan.server.config.path" />
  </properties-realm>
</security-realm>

endpoints 設定は、以下のようにデフォルトのセキュリティーレルムを Hot Rod および REST コネクターに割り当てます。

<endpoints socket-binding="default" security-realm="default">
  <hotrod-connector name="hotrod"/>
  <rest-connector name="rest"/>
</endpoints>

上記の設定により、Data Grid サーバーには、プロパティーレルムがサポートするメカニズムによる認証が必要になります。

4.3.2. Hot Rod 認証の手動設定
リンクのコピー

Data Grid サーバーがセキュリティーレルムに使用するデフォルトの SASL 認証メカニズムを上書きするように、Hot Rod コネクター認証を明示的に設定します。

手順

Hot Rod コネクター設定に authentication 定義を追加します。
Hot Rod コネクターが認証に使用する Data Grid セキュリティーレルムを指定します。
使用する Hot Rod エンドポイントの SASL 認証メカニズムを指定します。
必要に応じて SASL 認証プロパティーを設定します。

4.3.2.1. Hot Rod 認証設定
リンクのコピー

SCRAM、DIGEST、および PLAIN 認証を使用した Hot Rod コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:11.0
           https://infinispan.org/schemas/infinispan-server-11.0.xsd"
           xmlns="urn:infinispan:server:11.0"
           socket-binding="default" security-realm="default">


   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="SCRAM-SHA-512 SCRAM-SHA-384 SCRAM-SHA-256


                           SCRAM-SHA-1 DIGEST-SHA-512 DIGEST-SHA-384
                           DIGEST-SHA-256 DIGEST-SHA DIGEST-MD5 PLAIN"
               server-name="infinispan"


               qop="auth"/>


      </authentication>
   </hotrod-connector>
</endpoints>

1: default という名前のセキュリティーレルムに対する認証を有効にします。
2: 認証に使用する SASL メカニズムを指定します。
3: Data Grid Server がクライアントに宣言する名前を定義します。サーバー名は、クライアント設定と一致する必要があります。
4: auth QoP を有効にします。

Kerberos 認証を使用した Hot Rod コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:11.0 https://infinispan.org/schemas/infinispan-server-11.0.xsd"
           xmlns="urn:infinispan:server:11.0"
           socket-binding="default" security-realm="default">
   <hotrod-connector name="hotrod">
      <authentication>
         <sasl mechanisms="GSSAPI GS2-KRB5"


               server-name="datagrid"


               server-principal="hotrod/datagrid@INFINISPAN.ORG"/>


      </authentication>
   </hotrod-connector>
</endpoints>

1: Kerberos 認証に GSSAPI および GS2-KRB5 メカニズムを有効にします。
2: Data Grid サーバー名を定義します。これは Kerberos サービス名と同じです。
3: サーバーの Kerberos アイデンティティーを指定します。

4.3.2.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

Data Grid は、Hot Rod コネクターを使用して以下の SASL 認証メカニズムをサポートします。

Expand

認証メカニズム	説明	関連する詳細
`PLAIN`	プレーンテキスト形式の認証情報を使用します。`PLAIN` 認証は、暗号化された接続でのみ使用する必要があります。	`Basic` HTTP メカニズムに似ています。
`DIGEST-*`	ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、`DIGEST-MD5`、`DIGEST-SHA`、`DIGEST-SHA-256`、`DIGEST-SHA-384`、および `DIGEST-SHA-512` ハッシュアルゴリズムをサポートします。	`Digest` HTTP メカニズムに似ています。
`SCRAM-*`	ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、`SCRAM-SHA`、`SCRAM-SHA-256`、`SCRAM-SHA-384`、および `SCRAM-SHA-512` ハッシュアルゴリズムを強度順にサポートします。	`Digest` HTTP メカニズムに似ています。
`GSSAPI`	Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する `Kerberos` サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために `ldap-realm` も指定します。	`SPNEGO` HTTP メカニズムに似ています。
`GS2-KRB5`	Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する `Kerberos` サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために `ldap-realm` も指定します。	`SPNEGO` HTTP メカニズムに似ています。
`EXTERNAL`	クライアント証明書を使用します。	`CLIENT_CERTHTTP` メカニズムに似ています。
`OAUTHBEARER`	OAuth トークンを使用し、`token-realm` 設定が必要です。	`BEARER_TOKEN` HTTP メカニズムに似ています。

4.3.2.3. SASL Quality of Protection (QoP)
リンクのコピー

SASL メカニズムが整合性とプライバシー保護設定に対応している場合は、qop 属性を使用して Hot Rod コネクター設定に追加することができます。

Expand

QoP 設定	説明
`auth`	認証のみ。
`auth-int`	整合性保護による認証。
`auth-conf`	整合性とプライバシー保護による認証。

4.3.2.4. SASL ポリシー
リンクのコピー

SASL ポリシーを使用すると、Hot Rod コネクターが使用できる認証メカニズムを制御できます。

Expand

ポリシー	説明	デフォルト値
`forward-secrecy`	セッション間の forward secrecy をサポートする SASL メカニズムのみを使用します。これは、1 つのセッションに分割しても、将来のセッションに分割するための情報が自動的に提供されないことを意味します。	false
`pass-credentials`	クライアント認証情報が必要な SASL メカニズムのみを使用してください。	false
`no-plain-text`	単純な受動的攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-active`	アクティブな非辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-dictionary`	受動的な辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。	false
`no-anonymous`	匿名ログインを許可する SASL メカニズムは使用しないでください。	true

ヒント

Data Grid のキャッシュ承認では、ロールおよびパーミッションに基づいてキャッシュへのアクセスを制限します。キャッシュ承認を設定する場合は、<no-anonymous value=false /> を設定して匿名ログインを許可し、アクセスロジックをキャッシュ承認に委任できます。

SASL ポリシー設定の Hot Rod コネクター

<hotrod-connector socket-binding="hotrod" cache-container="default">
   <authentication security-realm="ApplicationRealm">
      <sasl server-name="myhotrodserver"
            mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"


            qop="auth">
         <policy>


            <no-active value="true" />
            <no-anonymous value="true" />
            <no-plain-text value="true" />
         </policy>
      </sasl>
   </authentication>
</hotrod-connector>

1: Hotgitops コネクターの複数の SASL 認証メカニズムを指定します。
2: SASL メカニズムのポリシーを定義します。

前述の設定により、Hot Rod コネクターは GSSAPI メカニズムを使用します。これは、すべてのポリシーに準拠する唯一のメカニズムであるためです。

4.3.3. REST 認証の手動設定
リンクのコピー

Data Grid サーバーがセキュリティーレルムに使用するデフォルトの HTTP 認証メカニズムを上書きするように、REST コネクター認証を明示的に設定します。

手順

REST コネクター設定に authentication 定義を追加します。
REST コネクターが認証に使用する Data Grid セキュリティーレルムを指定します。
使用する REST エンドポイントの認証メカニズムを指定します。

4.3.3.1. REST 認証設定
リンクのコピー

BASIC および DIGEST 認証による REST コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:11.0 https://infinispan.org/schemas/infinispan-server-11.0.xsd"
           xmlns="urn:infinispan:server:11.0"
           socket-binding="default" security-realm="default">


   <rest-connector name="rest">
      <authentication mechanisms="DIGEST BASIC"/>


   </rest-connector>
</endpoints>

1: default という名前のセキュリティーレルムに対する認証を有効にします。
2: 認証に使用する SASL メカニズムを指定します。

Kerberos 認証による REST コネクター

<endpoints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:infinispan:server:11.0 https://infinispan.org/schemas/infinispan-server-11.0.xsd"
           xmlns="urn:infinispan:server:11.0"
           socket-binding="default" security-realm="default">
   <rest-connector name="rest">
      <authentication mechanisms="SPNEGO"


                      server-principal="HTTP/localhost@INFINISPAN.ORG"/>


   </rest-connector>
</endpoints>

1: Kerberos 認証の SPENGO メカニズムを有効にします。
2: サーバーの Kerberos アイデンティティーを指定します。

4.3.3.2. REST エンドポイント認証メカニズム
リンクのコピー

Data Grid は、REST コネクターを使用して以下の認証メカニズムをサポートします。

Expand

認証メカニズム	説明	関連する詳細
`BASIC`	プレーンテキスト形式の認証情報を使用します。暗号化された接続でのみ `BASIC` 認証を使用する必要があります。	HTTP `Basic` HTTP 認証方式に対応し、`PLAIN` SASL メカニズムと同様です。
`DIGEST`	ハッシュアルゴリズムとナンス値を使用します。REST コネクターは、`SHA-512`、`SHA-256`、および `MD5` ハッシュアルゴリズムをサポートします。	`Digest` HTTP 認証スキームに対応し、`DIGEST-*` SASL メカニズムに似ています。
`SPNEGO`	Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する `Kerberos` サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために `ldap-realm` も指定します。	`Negotiate` HTTP 認証スキームに対応し、`GSSAPI` および `GS2-KRB5SASL` メカニズムに類似しています。
`BEARER_TOKEN`	OAuth トークンを使用し、`token-realm` 設定が必要です。	`Bearer` HTTP 認証スキームに対応し、`OAUTHBEARERSASL` メカニズムに似ています。
`CLIENT_CERT`	クライアント証明書を使用します。	`EXTERNAL` SASL メカニズムに似ています。

4.3. エンドポイント認証メカニズムの設定

4.3.1. Data Grid Server の認証
リンクのコピー

4.3.2. Hot Rod 認証の手動設定
リンクのコピー

4.3.2.1. Hot Rod 認証設定
リンクのコピー

4.3.2.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

4.3.2.3. SASL Quality of Protection (QoP)
リンクのコピー

4.3.2.4. SASL ポリシー
リンクのコピー

4.3.3. REST 認証の手動設定
リンクのコピー

4.3.3.1. REST 認証設定
リンクのコピー

4.3.3.2. REST エンドポイント認証メカニズム
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3. エンドポイント認証メカニズムの設定

4.3.1. Data Grid Server の認証リンクのコピーリンクがクリップボードにコピーされました!

4.3.2. Hot Rod 認証の手動設定リンクのコピーリンクがクリップボードにコピーされました!

4.3.2.1. Hot Rod 認証設定リンクのコピーリンクがクリップボードにコピーされました!

4.3.2.2. Hot Rod エンドポイント認証メカニズムリンクのコピーリンクがクリップボードにコピーされました!

4.3.2.3. SASL Quality of Protection (QoP)リンクのコピーリンクがクリップボードにコピーされました!

4.3.2.4. SASL ポリシーリンクのコピーリンクがクリップボードにコピーされました!

4.3.3. REST 認証の手動設定リンクのコピーリンクがクリップボードにコピーされました!

4.3.3.1. REST 認証設定リンクのコピーリンクがクリップボードにコピーされました!

4.3.3.2. REST エンドポイント認証メカニズムリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3.1. Data Grid Server の認証
リンクのコピー

4.3.2. Hot Rod 認証の手動設定
リンクのコピー

4.3.2.1. Hot Rod 認証設定
リンクのコピー

4.3.2.2. Hot Rod エンドポイント認証メカニズム
リンクのコピー

4.3.2.3. SASL Quality of Protection (QoP)
リンクのコピー

4.3.2.4. SASL ポリシー
リンクのコピー

4.3.3. REST 認証の手動設定
リンクのコピー

4.3.3.1. REST 認証設定
リンクのコピー

4.3.3.2. REST エンドポイント認証メカニズム
リンクのコピー