第7章 キーストアへの Data Grid Server 認証情報の保存
外部サービスには、Data Grid Server での認証に認証情報が必要です。パスワードなどの機密なテキスト文字列を保護するには、これらを Data Grid Server 設定ファイルに直接追加するのではなく、認証情報キーストアに追加します。
次に、データベースや LDAP ディレクトリーなどのサービスと接続を確立するためのパスワードを復号化するように、Data Grid Server を設定することができます。
$RHDG_HOME/server/conf
のプレーンテキストのパスワードは暗号化されません。ホストファイルシステムへの読み取りアクセス権を持つすべてのユーザーアカウントは、プレーンテキストのパスワードを表示できます。
認証情報キーストアはパスワードで保護されたストア暗号化パスワードですが、ホストファイルシステムへの書き込みアクセス権を持つユーザーアカウントは、キーストア自体を改ざんすることが可能です。
Data Grid Server の認証情報を完全に保護するには、Data Grid Server を設定および実行できるユーザーアカウントにのみ読み書きアクセスを付与する必要があります。
7.1. 認証情報キーストアのセットアップ
Data Grid Server アクセスの認証情報を暗号化するキーストアを作成します。
認証情報キーストアには、暗号化されたパスワードに関連するエイリアスが少なくとも 1 つ含まれます。キーストアの作成後に、データベース接続プールなどの接続設定にエイリアスを指定します。その後、Data Grid Server は、サービスが認証を試行するときに、キーストアからそのエイリアスのパスワードを復号化します。
必要な数のエイリアスを使用して、必要な数の認証情報キーストアを作成できます。
セキュリティーのベストプラクティスとして、キーストアは Data Grid Server のプロセスを実行するユーザーのみが読み取れるようにする必要があります。
手順
-
$RHDG_HOME
でターミナルを開きます。 キーストアを作成し、
credentials
コマンドを使用して認証情報を追加します。ヒントデフォルトでは、キーストアのタイプは PKCS12 です。キーストアのデフォルトの変更に関する詳細は、
help credentials
を実行します。次の例は、パスワード "changeme" 用に "dbpassword" のエイリアスを含むキーストアを作成する方法を示しています。キーストアの作成時に、
-p
引数を使用してキーストアにアクセスするためのパスワードも指定します。- Linux
bin/cli.sh credentials add dbpassword -c changeme -p "secret1234!"
- Microsoft Windows
bin\cli.bat credentials add dbpassword -c changeme -p "secret1234!"
エイリアスがキーストアに追加されていることを確認します。
bin/cli.sh credentials ls -p "secret1234!" dbpassword
- Data Grid Server 設定を開いて編集します。
認証情報キーストアを使用するように Data Grid を設定します。
-
security
設定にcredential-stores
セクションを追加します。 - 認証情報キーストアの名前と場所を指定します。
clear-text-credential
の設定で、認証情報キーストアにアクセスするためのパスワードを指定します。注記Data Grid Server 設定に認証情報キーストアのクリアテキストパスワードを追加する代わりに、外部コマンドまたはマスクされたパスワードを使用して、セキュリティーを強化することができます。
また、ある認証情報ストアのパスワードを、別の認証情報ストアのマスターパスワードとして使用することもできます。
-
Data Grid Server がデータソースや LDAP サーバーなどの外部システムとの接続に使用する設定において、認証情報キーストアを参照します。
-
credential-reference
セクションを追加します。 -
store
属性で、認証情報キーストアの名前を指定します。 alias
属性でパスワードのエイリアスを指定します。ヒントcredential-reference
設定の属性はオプションです。-
store
は、複数のキーストアがある場合にのみ必要です。 -
alias
は、キーストアに複数のパスワードエイリアスが含まれている場合にのみ必要です。
-
-
- 変更を設定に保存します。