3.3. Data Grid Server の認証メカニズム
Data Grid Server は、セキュリティーレルム設定に一致する認証メカニズムでエンドポイントを自動的に設定します。たとえば、Kerberos セキュリティーレルムを追加すると、Data Grid Server は Hot Rod エンドポイントの GSSAPI および GS2-KRB5 認証メカニズムを有効にします。
現在、Lightweight Directory Access Protocol (LDAP) プロトコルと DIGEST または SCRAM 認証メカニズムは、特定のハッシュ化されたパスワードにアクセスする必要があるため、使用できません。
ホットローテーションエンドポイント
Data Grid Server は、設定に対応するセキュリティーレルムが含まれている場合に Hot Rod エンドポイントの以下の SASL 認証メカニズムを有効にします。
| セキュリティーレルム | SASL 認証メカニズム |
|---|---|
| プロパティーレルムおよび LDAP レルム |
SCRAM-*, DIGEST-*, |
| トークンレルム | OAUTHBEARER |
| 信頼レルム | EXTERNAL |
| Kerberos ID | GSSAPI、GS2-KRB5 |
| SSL/TLS ID | PLAIN |
REST エンドポイント
Data Grid Server は、設定に対応するセキュリティーレルムが含まれている場合に REST エンドポイントの以下の HTTP 認証メカニズムを有効にします。
| セキュリティーレルム | HTTP 認証メカニズム |
|---|---|
| プロパティーレルムおよび LDAP レルム | DIGEST |
| トークンレルム | BEARER_TOKEN |
| 信頼レルム | CLIENT_CERT |
| Kerberos ID | SPNEGO |
| SSL/TLS ID | BASIC |
3.3.1. SASL 認証メカニズム
Data Grid Server は、Hot Rod エンドポイントで以下の SASL 認証メカニズムをサポートします。
| 認証メカニズム | 説明 | セキュリティーレルムタイプ | 関連する詳細 |
|---|---|---|---|
|
|
プレーンテキスト形式の認証情報を使用します。 | プロパティーレルムおよび LDAP レルム |
|
|
|
ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、 | プロパティーレルムおよび LDAP レルム |
|
|
|
ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、 | プロパティーレルムおよび LDAP レルム |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する | Kerberos レルム |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する | Kerberos レルム |
|
|
| クライアント証明書を使用します。 | トラストストアレルム |
|
|
|
OAuth トークンを使用し、 | トークンレルム |
|
3.3.2. SASL Quality of Protection (QoP)
SASL メカニズムが整合性およびプライバシー保護 (QoP) 設定をサポートする場合は、qop 属性を使用して Hot Rod エンドポイント設定に追加できます。
| QoP 設定 | 説明 |
|---|---|
|
| 認証のみ。 |
|
| 整合性保護による認証。 |
|
| 整合性とプライバシー保護による認証。 |
3.3.3. SASL ポリシー
SASL ポリシーは、Hot Rod 認証メカニズムを細かく制御できます。
Data Grid のキャッシュ承認では、ロールおよびパーミッションに基づいてキャッシュへのアクセスを制限します。キャッシュ認証を設定し、<no-anonymous value=false /> を設定して匿名ログインを許可し、アクセスロジックをキャッシュ承認に委譲します。
| ポリシー | 説明 | デフォルト値 |
|---|---|---|
|
| セッション間の forward secrecy をサポートする SASL メカニズムのみを使用します。これは、1 つのセッションに分割しても、将来のセッションに分割するための情報が自動的に提供されないことを意味します。 | false |
|
| クライアント認証情報が必要な SASL メカニズムのみを使用してください。 | false |
|
| 単純な受動的攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| アクティブな非辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| 受動的な辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。 | false |
|
| 匿名ログインを許可する SASL メカニズムは使用しないでください。 | true |
SASL ポリシーの設定
以下の設定では、Hot Rod エンドポイントは、すべての SASL ポリシーに準拠する唯一のメカニズムであるため、認証に GSSAPI メカニズムを使用します。
XML
<server xmlns="urn:infinispan:server:14.0">
<endpoints>
<endpoint socket-binding="default"
security-realm="default">
<hotrod-connector>
<authentication>
<sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
server-name="infinispan"
qop="auth"
policy="no-active no-plain-text"/>
</authentication>
</hotrod-connector>
<rest-connector/>
</endpoint>
</endpoints>
</server>
JSON
{
"server": {
"endpoints" : {
"endpoint" : {
"socket-binding" : "default",
"security-realm" : "default",
"hotrod-connector" : {
"authentication" : {
"sasl" : {
"server-name" : "infinispan",
"mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
"qop" : [ "auth" ],
"policy" : [ "no-active","no-plain-text" ]
}
}
},
"rest-connector" : ""
}
}
}
}
YAML
server:
endpoints:
endpoint:
socketBinding: "default"
securityRealm: "default"
hotrodConnector:
authentication:
sasl:
serverName: "infinispan"
mechanisms:
- "PLAIN"
- "DIGEST-MD5"
- "GSSAPI"
- "EXTERNAL"
qop:
- "auth"
policy:
- "no-active"
- "no-plain-text"
restConnector: ~
3.3.4. HTTP 認証メカニズム
Data Grid Server は、REST エンドポイントに以下の HTTP 認証メカニズムをサポートします。
| 認証メカニズム | 説明 | セキュリティーレルムタイプ | 関連する詳細 |
|---|---|---|---|
|
|
プレーンテキスト形式の認証情報を使用します。暗号化された接続でのみ | プロパティーレルムおよび LDAP レルム |
HTTP |
|
|
ハッシュアルゴリズムとナンス値を使用します。REST コネクターは、 | プロパティーレルムおよび LDAP レルム |
|
|
|
Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する | Kerberos レルム |
|
|
|
OAuth トークンを使用し、 | トークンレルム |
|
|
| クライアント証明書を使用します。 | トラストストアレルム |
|
