Data Grid セキュリティーガイド

手順

1. infinispan.xml 設定を開いて編集します。

2. まだ宣言されていない場合は、cache-container の security 要素内に <authorization /> タグを追加します。

   これにより、Cache Manager の承認が有効になり、キャッシュが継承できるグローバルロールおよびパーミッションセットが提供されます。

3. Data Grid がユーザーロールに基づいてアクセスを制限する各キャッシュに <authorization /> タグを追加します。

手順

1. infinispan.xml 設定を開いて編集します。
2. ロールマッパーとロールおよびパーミッションのセットを宣言して、cache-container の承認を設定します。
3. ユーザーロールに基づいてアクセスを制限するようにキャッシュの承認を設定します。

手順

1. infinispan.xml 設定を開いて編集します。
2. cache-container および各キャッシュ設定の security 設定から、authorization 要素をすべて削除します。

手順

1. セキュリティー承認設定で common-name-role-mapper を有効にします。

2. クライアント証明書から Common Name (CN) に、適切な権限を持つロールを割り当てます。

   <cache-container name="certificate-authentication" statistics="true">
      <security>
        <authorization>
          <!-- Declare a role mapper that associates the common name (CN) field
               in client certificate trust stores with authorization roles. -->
          <common-name-role-mapper/>
          <!-- In this example, if a client certificate contains `CN=Client1` then
               clients with matching certificates get ALL permissions. -->
          <role name="Client1" permissions="ALL"/>
        </authorization>
      </security>
   </cache-container>

   Copy to Clipboard Toggle word wrap

手順

1. 承認を有効にし、ロールマッパーを指定し、ロールおよびパーミッションのセットを定義する GlobalConfigurationBuilder を作成します。

   GlobalConfigurationBuilder global = new GlobalConfigurationBuilder();
   global
      .security()
         .authorization().enable() 

   1

   
            .principalRoleMapper(new IdentityRoleMapper()) 

   2

   
            .role("admin") 

   3

   
               .permission(AuthorizationPermission.ALL)
            .role("reader")
               .permission(AuthorizationPermission.READ)
            .role("writer")
               .permission(AuthorizationPermission.WRITE)
            .role("supervisor")
               .permission(AuthorizationPermission.READ)
               .permission(AuthorizationPermission.WRITE)
               .permission(AuthorizationPermission.EXEC);

   Copy to Clipboard Toggle word wrap

   1

   Cache Manager の Data Grid 承認を有効にします。

   2

   ロールにプリンシパルをマップ PrincipalRoleMapper の実装を指定します。

   3

   ロールとその関連付けられたパーミッションを定義します。

2. ConfigurationBuilder で承認を有効にして、ユーザーロールに基づいてアクセスを制限します。

   ConfigurationBuilder config = new ConfigurationBuilder();
   config
      .security()
         .authorization()
            .enable(); 

   1

   Copy to Clipboard Toggle word wrap

   1

   暗黙的に、グローバル設定からすべてのロールを追加します。

   すべてのロールをキャッシュに適用しない場合は、以下のようにキャッシュに承認されたロールを明示的に定義します。

   ConfigurationBuilder config = new ConfigurationBuilder();
   config
      .security()
         .authorization()
            .enable()
            .role("admin") 

   1

   
            .role("supervisor")
            .role("reader");

   Copy to Clipboard Toggle word wrap

   1

   キャッシュに承認されたロールを定義します。この例では、writer ロールのみを持つユーザーは "secured" キャッシュには許可されていません。Data Grid は、これらのユーザーからのアクセス要求を拒否します。

1. Data Grid クラスターの最初のノードであるコーディネーターノードは、秘密鍵を生成します。
2. 参加ノードは、コーディネーターとの証明書認証を実行して、相互に ID を検証します。
3. 参加ノードは、コーディネーターノードに秘密鍵を要求します。その要求には、参加ノードの公開鍵が含まれています。
4. コーディネーターノードは、秘密鍵を公開鍵で暗号化し、参加ノードに返します。
5. 参加ノードは秘密鍵を復号してインストールします。
6. ノードはクラスターに参加し、秘密鍵でメッセージを暗号化および復号化します。

1. ノードは、起動時に Data Grid クラスパスのキーストアから秘密鍵をインストールします。
2. ノードはクラスターに参加し、秘密鍵でメッセージを暗号化および復号化します。

手順

1. Data Grid がノードの ID を検証できるようにする証明書チェーンでキーストアを作成します。

2. クラスター内の各ノードのクラスパスにキーストアを配置します。

   Data Grid Server の場合は、$RHDG_HOME ディレクトリーにキーストアを配置します。

3. 以下の例のように、SSL_KEY_EXCHANGE プロトコルおよび ASYM_ENCRYPT プロトコルを Data Grid 設定の JGroups スタックに追加します。

   <infinispan>
     <jgroups>
       <!-- Creates a secure JGroups stack named "encrypt-tcp" that extends the default TCP stack. -->
       <stack name="encrypt-tcp" extends="tcp">
         <!-- Adds a keystore that nodes use to perform certificate authentication. -->
         <!-- Uses the stack.combine and stack.position attributes to insert SSL_KEY_EXCHANGE into the default TCP stack after VERIFY_SUSPECT. -->
         <SSL_KEY_EXCHANGE keystore_name="mykeystore.jks"
                           keystore_password="changeit"
                           stack.combine="INSERT_AFTER"
                           stack.position="VERIFY_SUSPECT"/>
         <!-- Configures ASYM_ENCRYPT -->
         <!-- Uses the stack.combine and stack.position attributes to insert ASYM_ENCRYPT into the default TCP stack before pbcast.NAKACK2. -->
         <!-- The use_external_key_exchange = "true" attribute configures nodes to use the `SSL_KEY_EXCHANGE` protocol for certificate authentication. -->
         <ASYM_ENCRYPT asym_keylength="2048"
                       asym_algorithm="RSA"
                       change_key_on_coord_leave = "false"
                       change_key_on_leave = "false"
                       use_external_key_exchange = "true"
                       stack.combine="INSERT_BEFORE"
                       stack.position="pbcast.NAKACK2"/>
       </stack>
     </jgroups>
     <cache-container name="default" statistics="true">
       <!-- Configures the cluster to use the JGroups stack. -->
       <transport cluster="${infinispan.cluster.name}"
                  stack="encrypt-tcp"
                  node-name="${infinispan.node.name:}"/>
     </cache-container>
   </infinispan>

   Copy to Clipboard Toggle word wrap

手順

1. シークレットキーが含まれるキーストアを作成します。

2. クラスター内の各ノードのクラスパスにキーストアを配置します。

   Data Grid Server の場合は、$RHDG_HOME ディレクトリーにキーストアを配置します。

3. Data Grid 設定の JGroups スタックに SYM_ENCRYPT プロトコルを追加します。