Red Hat Summit2.4. Data Grid Server のセキュリティー
Data Grid Server のセキュリティーは、認証と暗号化を設定して、ネットワーク攻撃を防ぎ、データを保護します。
2.4.1. セキュリティーレルム
Data Grid 8 では、セキュリティーレルムは暗黙の設定オプションを提供します。これは、以前のバージョンほど多くの設定を提供する必要がないことを意味します。たとえば、Kerberos レルムを定義すると、Kerberos 機能を利用できます。トラストストアを追加すると、証明書認証を取得します。
Data Grid 7.x には、2 つのデフォルトのセキュリティーレルムがありました。
-
ManagementRealmは管理 API を保護します。 -
ApplicationRealmは、エンドポイントとリモートクライアント接続を保護します。
一方、Data Grid 8 は、HotRod および REST エンドポイントに使用できる複数の異なるセキュリティーレルムを定義できる security 要素を提供します。
<security>
<security-realms>
...
</security-realms>
</security>サポートされているセキュリティーレルム
-
プロパティーレルムは、プロパティーファイル
users.propertiesとgroups.propertiesを使用して、データグリッドにアクセスできるユーザーとグループを定義します。 - LDAP レルムは、OpenLDAP、Red Hat Directory Server、Apache Directory Server、Microsoft Active Directory などの LDAP サーバーに接続して、ユーザーを認証し、メンバーシップ情報を取得します。
- トラストストアレルムは、データグリッドへのアクセスが許可されているすべてのクライアントの公開証明書を含むキーストアを使用します。
- トークンレルムは外部サービスを使用してトークンを検証し、Red Hat SSO などの RFC-7662 (OAuth2 トークンイントロスペクション) と互換性のあるプロバイダーを必要とします。
2.4.2. サーバー ID
サーバー ID は、証明書チェーンを使用して、データグリッドサーバー ID をリモートクライアントに証明します。
Data Grid 8 は、以前のバージョンと同じ設定を使用して SSL ID を定義しますが、使いやすさが向上しています。
- セキュリティーレルムに SSLID が含まれている場合、Data Grid はそのセキュリティーレルムを使用するエンドポイントの暗号化を自動的に有効にします。
-
テストおよび開発環境の場合、Data Grid には、起動時にキーストアを自動的に生成する
generate-self-signed-certificate-host属性が含まれています。
<security-realm name="default">
<server-identities>
<ssl>
<keystore path="..."
relative-to="..."
keystore-password="..."
alias="..."
key-password="..."
generate-self-signed-certificate-host="..."/>
</ssl>
</server-identities>
...
<security-realm>2.4.3. エンドポイント認証メカニズム
Hot Rod および REST エンドポイントは、SASL または HTTP メカニズムを使用してクライアント接続を認証します。
Data Grid 8 は、Data Grid 7.x 以前と同じ authentication 要素を hotrod-connector および rest-connector 設定に使用します。
<hotrod-connector name="hotrod">
<authentication>
<sasl mechanisms="..." server-name="..."/>
</authentication>
</hotrod-connector>
<rest-connector name="rest">
<authentication>
<mechanisms="..." server-principal="..."/>
</authentication>
</rest-connector>以前のバージョンとの主な違いの 1 つは、Data Grid 8 がエンドポイントの追加の認証メカニズムをサポートしていることです。
Hot Rod SASL 認証メカニズム
Hot Rod クライアントは、DIGEST-MD5 ではなく SCRAM-SHA-512 をデフォルトの認証メカニズムとして使用するようになりました。
プロパティーセキュリティーレルムを使用する場合は、PLAIN 認証メカニズムを使用する必要があります。
| 認証メカニズム | 説明 | 関連する詳細 |
|---|---|---|
|
|
プレーンテキスト形式の認証情報を使用します。 |
|
|
|
ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、 |
|
|
|
ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、 |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する |
|
|
| クライアント証明書を使用します。 |
|
|
|
OAuth トークンを使用し、 |
|
HTTP (REST) 認証メカニズム
| 認証メカニズム | 説明 | 関連する詳細 |
|---|---|---|
|
|
プレーンテキスト形式の認証情報を使用します。暗号化された接続でのみ |
HTTP |
|
|
ハッシュアルゴリズムとナンス値を使用します。REST コネクターは、 |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する |
|
|
|
OAuth トークンを使用し、 |
|
|
| クライアント証明書を使用します。 |
|
2.4.4. EAP アプリケーションの認証
EAP アプリケーションクラスパスの hotrod-client.properties にクレデンシャルを追加して、次の方法でデータグリッドで認証できるようになりました。
-
リモートキャッシュコンテナー (
remote-cache-container) -
リモートストア (
remote-store) - EAP モジュール
2.4.5. ロギング
Data Grid は、JBoss Log Manager に基づいていた以前のバージョンのロギングサブシステムの代わりに Apache Log4j2 を使用します。
デフォルトでは、DataGrid はログメッセージを次のディレクトリーに書き込みます。$RHDG_HOME/${infinispan.server.root}/log
server.log はデフォルトのログファイルです。
アクセスログ
以前のバージョンでは、Data Grid にキャッシュのセキュリティーログを監査するためのロガーが含まれていました。
<authorization audit-logger="org.infinispan.security.impl.DefaultAuditLogger">
Data Grid 8 は、この監査ロガーを提供しなくなりました。
ただし、Hot Rod エンドポイントと REST エンドポイントのログカテゴリーを使用できます。
-
org.infinispan.HOTROD_ACCESS_LOG -
org.infinispan.REST_ACCESS_LOG
関連情報
