ログインモジュールのリファレンス

principalClass

完全修飾クラス名

org.jboss.security.SimplePrincipal

プリンシパル名の String 引数を取るコンストラクターが含まれる Principal 実装クラス。

module

String

none

カスタムコールバック/ バリデーターの読み込みに使用できる jboss-module への参照。

unauthenticatedIdentity

String

none

これにより、認証情報を含まない要求に割り当てる必要があるプリンシパル名が定義されます。これを使用すると、保護されていないサーブレットは特定ロールを必要としない EJB でメソッドを呼び出すことができます。このようなプリンシパルには関連したロールがなく、セキュアでない EJB や、チェックされていないパーミッション制約と関連する EJB メソッドのみにアクセスできます。詳細は、Unauthenticated Identity セクションを参照してください。

password-stacking

useFirstPass または false

false

詳細は、パスワードスタッキングのセクションを参照してください。

ignorePasswordCase

boolean

false

パスワードの比較で大文字と小文字を無視するかどうかを示すフラグ。

digestCallback

完全修飾クラス名

none

入力パスワードをハッシュするために salts などの事前/ ポストダイジェストコンテンツが含まれる org.jboss.crypto.digest.DigestCallback 実装のクラス名。hashAlgorithm が指定され、hashUserPassword が true に設定されている場合のみ使用されます。

storeDigestCallback

完全修飾クラス名

none

入力パスワードをハッシュするために salts などのストア/予測ダイジェストコンテンツが含まれる org.jboss.crypto.digest.DigestCallback 実装のクラス名。hashStorePassword が true で hashAlgorithm が指定されている場合にのみ使用されます。

throwValidateError

boolean

false

検証エラーをクライアントに公開すべきかどうかを示すフラグ。

inputValidator

完全修飾クラス名

none

クライアントが提供するユーザー名およびパスワードを検証するために使用される org.jboss.security.auth.spi.InputValidator 実装のインスタンス。

principal

String

guest

プリンシパルに使用する名前。

roles

文字列のカンマ区切りリスト

none

サブジェクトに割り当てられるロールのカンマ区切りの一覧。

usersProperties

ファイルまたはリソースへのパス。

users.properties

ユーザー/パスワード間のマッピングが含まれるファイルまたはリソースです。ファイルの形式は username=password です。

rolesProperties

ファイルまたはリソースへのパス。

roles.properties

ユーザー/ ロール間のマッピングが含まれるファイルまたはリソースです。ファイルの形式は username=role1,role2,role3 です。

defaultUsersProperties

String

defaultUsers.properties

UserProperties プロパティーに渡されるデフォルトのプロパティーとして使用される username-to-password マッピングが含まれる properties リソースの名前。

defaultRolesProperties

String

defaultRoles.properties

UserProperties プロパティーに渡されるデフォルトのプロパティーとして使用される username-to-roles マッピングが含まれる properties リソースの名前。

roleGroupSeperator

String

.

ユーザー名とロールのグループ名を分離するのに使用する文字 (例 jduke.CallerPrincipal=…​ の .)。

username

String

none

認証のユーザー名

password

暗号化された文字列

""

認証に使用するパスワード。パスワードを暗号化するには、コマンドラインでモジュールを直接使用します (例: java org.picketbox.datasource.security.SecureIdentityLoginModule password_to_encrypt)。このコマンドの結果をモジュールオプションの値フィールドに貼り付けます。デフォルト値は空の String です。

managedConnectionFactoryName

JCA リソース

none

データソースの JCA 接続ファクトリーの名前。

username

String

none

認証のユーザー名

password

暗号化された文字列

""

認証に使用するパスワード。vault メカニズムを介して暗号化できます。デフォルト値は空の String です。

principal

プリンシパルの名前

none

モジュールに対して認証されたサブジェクトに関連付けられるプリンシパル。

jboss.security.security_domain

String

エラーメッセージに表示されるセキュリティードメインの名前。

roleName

ロール名

nobody

ログインフェーズで、run as として使われるロールの名前 。

principalName

プリンシパル名

nobody

ログインフェーズで、run as プリンシパルとして使用するプリンシパルの名前。指定しないと、nobody のデフォルト値が使用されます。

principalClass

完全修飾クラス名

org.jboss.security.SimplePrincipal

プリンシパル名の String 引数を取るコンストラクターが含まれる Principal 実装クラス。

rolesProperties

プロパティーファイルまたはリソースの完全修飾ファイルパスまたは完全修飾ファイル名。

none

ロールを置き換えるロールにマップするプロパティーファイルまたはリソースの完全修飾ファイルパスおよび名前。形式は original_role=role1,role2,role3 になります。

replaceRole

true または false

false

現在のロールに追加するか、現在のロールをマップされたロールに置き換えるか。True に設定された場合を置き換えます。

realm

String

ApplicationRealm

必要なレルムの名前。

realm

String

ApplicationRealm

必要なレルムの名前。

hashAlgorithm

String

REALM

継承された UsernamePassword ログインモジュールからのオプションに対して、UsernamePasswordLoginModule によって設定される静的な値。

hashStorePassword

String

false

継承された UsernamePassword ログインモジュールからのオプションに対して、UsernamePasswordLoginModule によって設定される静的な値。

dsJndiName

JNDI リソース

java:/DefaultDS

認証情報を格納している JNDI リソースの名前。

principalsQuery

準備済み SQL ステートメント

select Password from Principals where PrincipalID=?

プリンシパルに関する情報を取得するための準備済み SQL クエリー。

rolesQuery

準備済み SQL ステートメント

none

ロールに関する情報を取得するための準備済み SQL クエリー。これは、「'select Role, RoleGroup from Roles where PrincipalID=?'」のクエリーと同等です。ここでは、Role は ロール名で、RoleGroup 列値は常に大文字の R または CallerPrincipal を持つ Roles のいずれかにしてください。

suspendResume

boolean

true

データベースの操作中に既存の JTA トランザクションを一時停止するかどうか。

transactionManagerJndiName

JNDI リソース

java:/TransactionManager

ログインモジュールによって使用されるトランザクションマネージャーの JNDI 名。

principalDNPrefix

文字列

ユーザー DN を形成するためにユーザー名に追加される接頭辞。ユーザーにユーザー名を要求し、principalDNPrefix および principalDNSuffix を使用して完全修飾 DN をビルドできます。

principalDNSuffix

文字列

ユーザー DN を形成するためにユーザー名に追加される接尾辞。ユーザーにユーザー名を要求し、principalDNPrefix および principalDNSuffix を使用して完全修飾 DN をビルドできます。

rolesCtxDN

完全修飾 DN

none

ユーザーロールを検索するコンテキストの完全修飾 DN。

userRolesCtxDNAttributeName

attribute

none

ユーザーロールを検索するコンテキストの DN を含むユーザーオブジェクトの属性です。これは、ユーザーのロールを検索するコンテキストがユーザーごとに一意である可能性がある点で rolesCtxDN とは異なります。

roleAttributeID

attribute

roles

ユーザーロールを含む属性の名前。

roleAttributeIsDN

true または false

false

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

roleNameAttributeID

attribute

name

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

uidAttributeID

attribute

uid

ユーザー ID に対応する UserRolesAttributeDN の属性名。これは、ユーザーロールの特定に使用されます。

matchOnUserDN

true または false

false

ユーザーの完全識別名またはユーザー名のみで、ユーザーロールの検索と一致するかどうか。True の場合、完全なユーザー DN が一致値として使用されます。False の場合、ユーザー名のみが uidAttributeName 属性に対する一致値として使用されます。

allowEmptyPasswords

true または false

false

空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。

searchTimeLimit

integer

10000 (10 秒)

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

searchScope

OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか

SUBTREE_SCOPE

使用する検索範囲。

jaasSecurityDomain

String

none

java.naming.security.credentials を復号化するために使用される JaasSecurityDomain の JMX ObjectName。暗号化されたパスワードの形式は、このオプションで渡されたオブジェクトで呼び出される encrypt64(byte[]) メソッドによって返されます。

baseCtxDN

完全修飾 DN

none

ユーザーの検索を開始するため、トップレベルのコンテキストの固定 DN です。

bindCredential

文字列 (オプションで暗号化)

none

DN の認証情報を保存するために使用されます。

bindDN

完全修飾 DN

none

ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、baseCtxDN および rolesCtxDN 値の読み取りおよび検索パーミッションが必要です。

baseFilter

LDAP フィルター文字列。

none

認証するユーザーのコンテキストを見つけるために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

jaasSecurityDomain

String

none

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

rolesCtxDN

完全修飾 DN

none

ユーザーロールを検索するためのコンテキストの固定 DN です。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、ユーザーアカウントが DN になります。

roleFilter

LDAP フィルター文字列。

none

認証されたユーザーに関連付けられたロールを見つけるために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名の検索フィルター例は (member={0}) です。認証済み userDN を照合する他の例は (member={1}) です。

roleAttributeID

attribute

role

ユーザーロールを含む属性の名前。

roleAttributeIsDN

true または false

false

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

defaultRole

ロール名

none

すべての認証ユーザーに含まれるロール

parseRoleNameFromDN

true または false

false

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグにより、LDAP クエリーのパフォーマンスを向上できます。

parseUsername

true または false

false

DN が username 名用に解析されるかどうかを示すフラグ。true に設定した場合には、DN はユーザー名に対して解析されます。false に設定した場合には、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

usernameBeginString

String

none

DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

usernameEndString

String

none

DN の最後から削除され、username を表示する文字列を定義します。このオプションは usernameBeginString とともに使用され、parseUsername が true に設定されている場合のみ考慮されます。

roleNameAttributeID

attribute

name

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

distinguishedNameAttribute

attribute

distinguishedName

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

roleRecursion

Integer

0

ロール検索の再帰レベルの数は、一致するコンテキストの下に続きます。これを 0 に設定して再帰を無効にします。

searchTimeLimit

integer

10000 (10 秒)

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

searchScope

OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか

SUBTREE_SCOPE

使用する検索範囲。

allowEmptyPasswords

true または false

false

空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。

referralUserAttributeIDToCheck

attribute

none

紹介を使用しない場合、このオプションは無視することができます。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

bindDN

完全修飾 DN

none

ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、baseCtxDN および rolesCtxDN 値の読み取りおよび検索パーミッションが必要です。

bindCredential

文字列 (オプションで暗号化)

none

DN の認証情報を保存するために使用されます。

jaasSecurityDomain

String

none

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

java.naming.provider.url

String

java.naming.security.protocol の値が SSL の場合、ldap://localhost:686, otherwise ldap://localhost:389

ディレクトリーサーバーの URI。

baseCtxDN

完全修飾 DN

none

検索のベースとして使用する識別名。

baseFilter

LDAP 検索フィルターを表す文字列。

none

検索結果を絞り込むために使用するフィルター。

searchTimeLimit

integer

10000 (10 秒)

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

roleAttributeID

LDAP 属性を表す文字列値。

none

承認ロールの名前が含まれる LDAP 属性です。

roleAttributeIsDN

true または false

false

ロール属性が識別名 (DN) であるかどうか。

rolesCtxDN

完全修飾 DN

none

ユーザーロールを検索するコンテキストの完全修飾 DN。

roleFilter

LDAP フィルター文字列。

none

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

recurseRoles

true または false

false

ロールの roleAttributeID を再帰的に検索するかどうか。

roleNameAttributeID

LDAP 属性を表す文字列。

none

実際の role 属性が含まれる roleAttributeID 内に含まれる属性です。

referralUserAttributeIDToCheck

attribute

none

紹介を使用しない場合、このオプションは無視することができます。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていない場合、チェックは常に失敗するため、ロールオブジェクトは参照ツリーに格納できません。

searchScope

OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか

SUBTREE_SCOPE

使用する検索範囲。

allowEmptyPassword

true または false

false

空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。

bindAuthentication

文字列

システムプロパティー java.naming.security.authentication が設定されている場合、この値はその値を使用し、それ以外の場合は、デフォルトで simple に設定されます。

ディレクトリーサーバーへのバインドに使用する SASL 認証のタイプ。

java.naming.factory.initial

クラス名

com.sun.jndi.ldap.LdapCtxFactory

InitialContextFactory 実装クラス名。

java.naming.provider.url

ldap:// URL

Java.naming.security.protocol の値が SSL、ldap://localhost:636 の場合、それ以外は ldap://localhost:389

LDAP サーバーの URL。

java.naming.security.authentication

SASL メカニズムの none、simple、または name

デフォルトは simple です。プロパティーが明示的に定義されていない場合、この動作はサービスプロバイダーによって決定されます。

LDAP サーバーにバインドするために使用するセキュリティーレベル。

java.naming.security.protocol

トランスポートプロトコル

指定されていない場合、プロバイダーによって決定されます。

SSL などのセキュアなアクセスに使用するトランスポートプロトコル。

java.naming.security.principal

String

none

サービスへの呼び出し元を認証するためのプリンシパルの名前。これは、以下で説明されているその他のプロパティーから構築されます。

java.naming.security.credentials

認証情報のタイプ

none

認証スキームによって使用される認証情報のタイプ。ハッシュ化されたパスワード、クリアテキストのパスワード、キー、証明書などが例となります。このプロパティーが指定されていない場合、この動作はサービスプロバイダーによって決定されます。

delegationCredential

IGNORE、REQUIRE または USE

IGNORE

このログインモジュールが委任を処理する方法を定義します。IGNORE は、委任クレデンシャルを使用せず、通常の Kerberos 認証を実行するように指定します。USE は、Subject を設定できる場合 GSSCredential の使用を指定し、利用できない場合は標準の Kerberos 認証にフォールバックします。REQUIRE は、GSSCredential を使用せず、認証が失敗した場合に認証に失敗するように指定します。

addGSSCredential

boolean

false

GSSCredential を、設定された Subject のプライベート認証情報に追加できるようにします。

wrapGSSCredential

boolean

false

無効化を防ぐために、Subject に追加される GSSCredential をラップすべきかどうかを指定します。GSSCredential が Subject に追加されていない場合は効果がありません。

credentialLifetime

Integer

GSSCredential.DEFAULT_LIFETIME

GSSCredentialの有効期間 (秒単位)。負の値の場合は、これを GSSCredential.indefinite_LIFETIME に設定します。

serverSecurityDomain

文字列

null

Kerberos ログインモジュールを介してサーバーサービスの ID を取得するために使用されるドメインを定義します。このプロパティーを設定する必要があります。

removeRealmFromPrincipal

boolean

false

さらなる処理を行う前に Kerberos レルムをプリンシパルから削除する必要があることを指定します。

usernamePasswordDomain

String

null

Kerberos が失敗した場合にフェイルオーバーログインとして使用する必要のある設定内の別のセキュリティードメインを指定します。

securityDomain

String

other

信頼できる証明書を保持するトラストストアの JSSE 設定を持つセキュリティードメインの名前。

verifier

class

none

ログイン証明書の検証に使用する org.jboss.security.auth.certs.X509CertificateVerifier のクラス名。

rolesProperties

String

roles.properties

各ユーザーに割り当てるロールを含むリソースまたはファイルの名前です。ロールプロパティーファイルは、username=role1,role2 の形式で指定する必要があります.ここで、ユーザー名は証明書の DN となり、等号 (=) および空白文字をエスケープします。以下の例では、CN\=unit-tests-client,\ OU\=Red\ Hat\ Inc.,\ O\=Red\ Hat\ Inc.,\ ST\=North\ Carolina,\ C\=US の形式を使用しています。

defaultRolesProperties

String

defaultRoles.properties

rolesProperties ファイルが見つからない場合は、フォールバックするリソースまたはファイルの名前です。

roleGroupSeparator

1 文字

. (シングルピリオド)

rolesProperties ファイルのロールグループの区切り文字として使用する文字。

dsJndiName

JNDI リソース

java:/DefaultDS

認証情報を格納している JNDI リソースの名前。

rolesQuery

準備済み SQL ステートメント

select Role,RoleGroup from Roles where PrincipalID=?

ロールをマッピングするために実行される SQL の準備済みステートメント。これは、「'select Role, RoleGroup from Roles where PrincipalID=?'」のクエリーと同等です。ここでは、Role は ロール名で、RoleGroup 列値は常に大文字の R または CallerPrincipal を持つ Roles のいずれかにしてください。

suspendResume

true または false

true

データベースの操作中に既存の JTA トランザクションを一時停止するかどうか。

transactionManagerJndiName

JNDI リソース

java:/TransactionManager

ログインモジュールによって使用されるトランザクションマネージャーの JNDI 名。

useClientCert

boolean

false

true の場合、ログインモジュールは接続の SSLSession を取得し、パスワードの代わりにピアの X509Certificate を置き換えます。

マルチスレッド

true または false

true

各スレッドに独自のプリンシパルおよび認証情報ストレージがある場合は true に設定されます。仮想マシンのすべてのスレッドが同じアイデンティティーおよび認証情報を共有することを示すには、false に設定します。

password-stacking

useFirstPass または false

false

UseFirstPass に設定して、このログインモジュールがアイデンティティーとして使用する LoginContext に保存されている情報を検索することを示します。このオプションは、このログインモジュールと他のログインモジュールをスタックする際に使用できます。

restore-login-identity

true または false

false

login() メソッドの開始時に表示されるアイデンティティーおよび認証情報が logout() メソッドの呼び出し後に復元される必要がある場合は true に設定します。