4.3. Data Grid Server の認証メカニズム


Data Grid Server は、セキュリティーレルム設定に一致する認証メカニズムでエンドポイントを自動的に設定します。たとえば、Kerberos セキュリティーレルムを追加すると、Data Grid Server は Hot Rod エンドポイントの GSSAPI および GS2-KRB5 認証メカニズムを有効にします。

重要

現在、Lightweight Directory Access Protocol (LDAP) プロトコルと DIGEST または SCRAM 認証メカニズムは、特定のハッシュ化されたパスワードにアクセスする必要があるため、使用できません。

ホットローテーションエンドポイント

Data Grid Server は、設定に対応するセキュリティーレルムが含まれている場合に Hot Rod エンドポイントの以下の SASL 認証メカニズムを有効にします。

セキュリティーレルムSASL 認証メカニズム

プロパティーレルムおよび LDAP レルム

SCRAMDIGEST

トークンレルム

OAUTHBEARER

信頼レルム

EXTERNAL

Kerberos ID

GSSAPIGS2-KRB5

SSL/TLS ID

PLAIN

REST エンドポイント

Data Grid Server は、設定に対応するセキュリティーレルムが含まれている場合に REST エンドポイントの以下の HTTP 認証メカニズムを有効にします。

セキュリティーレルムHTTP 認証メカニズム

プロパティーレルムおよび LDAP レルム

DIGEST

トークンレルム

BEARER_TOKEN

信頼レルム

CLIENT_CERT

Kerberos ID

SPNEGO

SSL/TLS ID

BASIC

Memcached エンドポイント

Data Grid Server は、設定に対応するセキュリティーレルムが含まれている場合、Memcached バイナリープロトコルエンドポイントに対して次の SASL 認証メカニズムを有効にします。

セキュリティーレルムSASL 認証メカニズム

プロパティーレルムおよび LDAP レルム

SCRAMDIGEST

トークンレルム

OAUTHBEARER

信頼レルム

EXTERNAL

Kerberos ID

GSSAPI、GS2-KRB5

SSL/TLS ID

PLAIN

Data Grid Server は、パスワードベースの認証をサポートするセキュリティーレルムでのみ、Memcached テキストプロトコルエンドポイントでの認証を有効にします。

セキュリティーレルムMemcached テキスト認証

プロパティーレルムおよび LDAP レルム

はい

トークンレルム

いいえ

信頼レルム

いいえ

Kerberos ID

いいえ

SSL/TLS ID

いいえ

RESP エンドポイント

Data Grid Server は、パスワードベースの認証をサポートするセキュリティーレルムでのみ、RESP エンドポイントでの認証を有効にします。

セキュリティーレルムRESP 認証

プロパティーレルムおよび LDAP レルム

はい

トークンレルム

いいえ

信頼レルム

いいえ

Kerberos ID

いいえ

SSL/TLS ID

いいえ

4.3.1. SASL 認証メカニズム

Data Grid Server は、Hot Rod および Memcached バイナリープロトコルエンドポイントを使用して、次の SASL 認証メカニズムをサポートします。

認証メカニズム説明セキュリティーレルムタイプ関連する詳細

PLAIN

プレーンテキスト形式の認証情報を使用します。PLAIN 認証は、暗号化された接続でのみ使用する必要があります。

プロパティーレルムおよび LDAP レルム

BASIC HTTP メカニズムと同様です。

DIGEST-*

ハッシュアルゴリズムとナンス値を使用します。ホットロッドコネクターは、強度の順に、DIGEST-MD5DIGEST-SHADIGEST-SHA-256DIGEST-SHA-384、および DIGEST-SHA-512 ハッシュアルゴリズムをサポートします。

プロパティーレルムおよび LDAP レルム

Digest HTTP メカニズムに似ています。

SCRAM-*

ハッシュアルゴリズムとナンス値に加えてソルト値を使用します。ホットロッドコネクターは、SCRAM-SHASCRAM-SHA-256SCRAM-SHA-384、および SCRAM-SHA-512 ハッシュアルゴリズムを強度順にサポートします。

プロパティーレルムおよび LDAP レルム

Digest HTTP メカニズムに似ています。

GSSAPI

Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する Kerberos サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために ldap-realm も指定します。

Kerberos レルム

SPNEGO HTTP メカニズムに似ています。

GS2-KRB5

Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する Kerberos サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために ldap-realm も指定します。

Kerberos レルム

SPNEGO HTTP メカニズムに似ています。

EXTERNAL

クライアント証明書を使用します。

トラストストアレルム

CLIENT_CERTHTTP メカニズムに似ています。

OAUTHBEARER

OAuth トークンを使用し、token-realm 設定が必要です。

トークンレルム

BEARER_TOKEN HTTP メカニズムに似ています。

4.3.2. SASL Quality of Protection (QoP)

SASL メカニズムが整合性およびプライバシー保護 (QoP) 設定をサポートする場合は、qop 属性を使用して Hot Rod および Memcached エンドポイント設定に追加できます。

QoP 設定説明

auth

認証のみ。

auth-int

整合性保護による認証。

auth-conf

整合性とプライバシー保護による認証。

4.3.3. SASL ポリシー

SASL ポリシーは、Hot Rod および Memcached 認証メカニズムをきめ細かく制御します。

ヒント

Data Grid のキャッシュ承認では、ロールおよびパーミッションに基づいてキャッシュへのアクセスを制限します。キャッシュ認証を設定し、<no-anonymous value=false /> を設定して匿名ログインを許可し、アクセスロジックをキャッシュ承認に委譲します。

ポリシー説明デフォルト値

forward-secrecy

セッション間の forward secrecy をサポートする SASL メカニズムのみを使用します。これは、1 つのセッションに分割しても、将来のセッションに分割するための情報が自動的に提供されないことを意味します。

false

pass-credentials

クライアント認証情報が必要な SASL メカニズムのみを使用してください。

false

no-plain-text

単純な受動的攻撃の影響を受けやすい SASL メカニズムは使用しないでください。

false

no-active

アクティブな非辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。

false

no-dictionary

受動的な辞書攻撃の影響を受けやすい SASL メカニズムは使用しないでください。

false

no-anonymous

匿名ログインを許可する SASL メカニズムは使用しないでください。

true

SASL ポリシーの設定

以下の設定では、Hot Rod エンドポイントは、すべての SASL ポリシーに準拠する唯一のメカニズムであるため、認証に GSSAPI メカニズムを使用します。

XML

<server xmlns="urn:infinispan:server:15.0">
  <endpoints>
    <endpoint socket-binding="default"
              security-realm="default">
      <hotrod-connector>
        <authentication>
          <sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
                server-name="infinispan"
                qop="auth"
                policy="no-active no-plain-text"/>
        </authentication>
      </hotrod-connector>
      <rest-connector/>
    </endpoint>
  </endpoints>
</server>

JSON

{
  "server": {
    "endpoints" : {
      "endpoint" : {
        "socket-binding" : "default",
        "security-realm" : "default",
        "hotrod-connector" : {
          "authentication" : {
            "sasl" : {
              "server-name" : "infinispan",
              "mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
              "qop" : [ "auth" ],
              "policy" : [ "no-active","no-plain-text" ]
            }
          }
        },
        "rest-connector" : ""
      }
    }
  }
}

YAML

server:
  endpoints:
    endpoint:
      socketBinding: "default"
      securityRealm: "default"
      hotrodConnector:
        authentication:
          sasl:
            serverName: "infinispan"
            mechanisms:
              - "PLAIN"
              - "DIGEST-MD5"
              - "GSSAPI"
              - "EXTERNAL"
            qop:
              - "auth"
            policy:
              - "no-active"
              - "no-plain-text"
      restConnector: ~

4.3.4. HTTP 認証メカニズム

Data Grid Server は、REST エンドポイントに以下の HTTP 認証メカニズムをサポートします。

認証メカニズム説明セキュリティーレルムタイプ関連する詳細

BASIC

プレーンテキスト形式の認証情報を使用します。暗号化された接続でのみ BASIC 認証を使用する必要があります。

プロパティーレルムおよび LDAP レルム

HTTP Basic HTTP 認証方式に対応し、PLAIN SASL メカニズムと同様です。

DIGEST

ハッシュアルゴリズムとナンス値を使用します。REST コネクターは、SHA-512SHA-256、および MD5 ハッシュアルゴリズムをサポートします。

プロパティーレルムおよび LDAP レルム

Digest HTTP 認証スキームに対応し、DIGEST-* SASL メカニズムに似ています。

SPNEGO

Kerberos チケットを使用し、Kerberos ドメインコントローラーが必要です。対応する Kerberos サーバー ID をレルム設定に追加する必要があります。ほとんどの場合、ユーザーメンバーシップ情報を提供するために ldap-realm も指定します。

Kerberos レルム

Negotiate HTTP 認証スキームに対応し、GSSAPI および GS2-KRB5SASL メカニズムに類似しています。

BEARER_TOKEN

OAuth トークンを使用し、token-realm 設定が必要です。

トークンレルム

Bearer HTTP 認証スキームに対応し、OAUTHBEARER SASL メカニズムに似ています。

CLIENT_CERT

クライアント証明書を使用します。

トラストストアレルム

EXTERNAL SASL メカニズムに似ています。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.