2장. Apache Karaf 컨테이너 보안

Karaf 컨테이너에는 기본적으로 컨테이너의 모든 측면을 보호하는 데 사용되는 karaf 영역인 사전 정의된 JAAS 영역이 있습니다.

자체 애플리케이션에서 karaf 영역을 사용할 수 있습니다. 간단하게 karaf 를 사용하려는 JAAS 영역의 이름으로 구성합니다.

Karaf 컨테이너를 처음 시작하면 karaf 기본 영역을 사용하도록 구성됩니다. 이 기본 구성에서 karaf 영역은 동시에 활성화된 5개의 JAAS 로그인 모듈을 배포합니다. 배포된 로그인 모듈을 보려면 다음과 같이 jaas:realms console 명령을 입력합니다.

Index │ Realm Name │ Login Module Class Name
──────┼────────────┼───────────────────────────────────────────────────────────────
1     │ karaf      │ org.apache.karaf.jaas.modules.properties.PropertiesLoginModule
2     │ karaf      │ org.apache.karaf.jaas.modules.publickey.PublickeyLoginModule
3     │ karaf      │ org.apache.karaf.jaas.modules.audit.FileAuditLoginModule
4     │ karaf      │ org.apache.karaf.jaas.modules.audit.LogAuditLoginModule
5     │ karaf      │ org.apache.karaf.jaas.modules.audit.EventAdminAuditLoginModule

사용자가 로그인을 시도할 때마다 인증은 5개의 모듈을 목록순으로 진행합니다. 각 모듈의 플래그 값은 인증이 성공하려면 모듈이 성공적으로 완료되어야 하는지 여부를 지정합니다. 또한 플래그 값은 모듈이 완료된 후 인증 프로세스가 중지되는지 또는 다음 모듈을 진행할지 여부를 지정합니다.

선택적 플래그는 5개의 인증 모듈 모두에 대해 설정됩니다. Optional 플래그 설정을 사용하면 현재 모듈이 성공적으로 완료되었는지 여부와 관계없이 인증 프로세스가 항상 한 모듈에서 다음으로 전달됩니다. Karaf JAAS 영역의 플래그 값은 하드 코딩되며 변경할 수 없습니다. 플래그에 대한 자세한 내용은 표 2.1. “JAAS 모듈 정의 플래그” 을 참조하십시오.

properties 로그인 모듈은 사용자 이름/암호 자격 증명을 플랫 파일 형식으로 저장하는 데 사용됩니다. properties 로그인 모듈에서 새 사용자를 생성하려면 텍스트 편집기를 사용하여 InstallDir/etc/users.properties 파일을 열고 다음 구문으로 행을 추가합니다.

Username=Password[,UserGroup|Role][,UserGroup|Role]...

예를 들어 암호, topsecret, 역할인 admin 을 사용하여 jdoe 사용자를 생성하려면 다음과 같은 항목을 생성할 수 있습니다.

jdoe=topsecret,admin

admin 역할이 jdoe 사용자에게 전체 관리 권한을 제공하는 경우.

사용자에게 직접 역할을 할당하는 대신 속성 로그인 모듈에서 사용자 그룹에 사용자를 추가하는 옵션도 있습니다. properties 로그인 모듈에서 사용자 그룹을 생성하려면 텍스트 편집기를 사용하여 InstallDir/etc/users.properties 파일을 열고 다음 구문으로 행을 추가합니다.

_g_\:GroupName=Role1,Role2,...

예를 들어 역할, 그룹 및 admin 을 사용하여 admin group 사용자 그룹을 생성하려면 다음과 같은 항목을 생성할 수 있습니다.

_g_\:admingroup=group,admin

그런 다음 다음 사용자 항목을 생성하여 majorclanger 사용자를 admingroup 에 추가할 수 있습니다.

majorclanger=secretpass,_g_:admingroup

공개 키 로그인 모듈은 SSH 공개 키 자격 증명을 플랫 파일 형식으로 저장하는 데 사용됩니다. 공개 키 로그인 모듈에서 새 사용자를 생성하려면 텍스트 편집기를 사용하여 InstallDir/etc/keys.properties 파일을 열고 다음 구문으로 행을 추가합니다.

Username=PublicKey[,UserGroup|Role][,UserGroup|Role]...

예를 들어 InstallDir/etc/keys.properties 파일에 다음 항목을 추가하여 admin 역할이 있는 jdoe 사용자를 생성할 수 있습니다.

jdoe=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,admin

사용자에게 직접 역할을 할당하는 대신 공개 키 로그인 모듈에서 사용자 그룹에 사용자를 추가하는 옵션도 있습니다. 공개 키 로그인 모듈에서 사용자 그룹을 생성하려면 텍스트 편집기를 사용하여 InstallDir/etc/keys.properties 파일을 열고 다음 구문으로 행을 추가합니다.

_g_\:GroupName=Role1,Role2,...

예를 들어 역할, 그룹 및 admin 을 사용하여 admin group 사용자 그룹을 생성하려면 다음과 같은 항목을 생성할 수 있습니다.

_g_\:admingroup=group,admin

그런 다음 다음 사용자 항목을 생성하여 admingroup 에 jdoe 사용자를 추가할 수 있습니다.

jdoe=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,_g_:admingroup

기본적으로 암호는 InstallDir/etc/users.properties 파일에 일반 텍스트 형식으로 저장됩니다. 이 파일에서 암호를 보호하려면 관리자만 읽을 수 있도록 users.properties 파일의 파일 권한을 설정해야 합니다. 추가 보호를 제공하기 위해 메시지 다이제스트 알고리즘을 사용하여 저장된 암호를 선택적으로 암호화할 수 있습니다.

암호 암호화 기능을 활성화하려면 InstallDir/etc/org.apache.karaf.jaas.cfg 파일을 편집하고 주석에 설명된 대로 암호화 속성을 설정합니다. 예를 들어 다음 설정은 MD5 메시지 다이제스트 알고리즘을 사용하여 기본 암호화를 활성화합니다.

encryption.enabled = true
encryption.name = basic
encryption.prefix = {CRYPT}
encryption.suffix = {CRYPT}
encryption.algorithm = MD5
encryption.encoding = hexadecimal

암호 암호화에 대한 자세한 내용은 2.1.10절. “저장된 암호 암호화” 을 참조하십시오.

JAAS 영역을 사용자 정의하려는 경우 가장 편리한 방법은 더 높은 순위의 karaf 영역을 정의하여 기본 karaf 영역을 재정의하는 것입니다. 이렇게 하면 모든 Red Hat Fuse 보안 구성 요소가 사용자 지정 영역을 사용하도록 전환됩니다. 사용자 지정 JAAS 영역을 정의하고 배포하는 방법에 대한 자세한 내용은 2.1.2절. “JAAS Cryostats 정의” 을 참조하십시오.

jaas:config 요소는 http://karaf.apache.org/xmlns/jaas/v1.0.0 네임스페이스에 정의되어 있습니다. JAAS 영역을 정의할 때 예 2.1. “JAAS 블루프린트 네임스페이스” 에 표시된 행을 포함해야 합니다.

xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"

jaas:config 요소의 구문은 예 2.2. “블루프린트 XML에서 JAAS Cryostat 정의” 에 표시됩니다.

<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
           xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0">

    <jaas:config name="JaasRealmName"
                 rank="IntegerRank">
        <jaas:module className="LoginModuleClassName"
                     flags="[required|requisite|sufficient|optional]">
            Property=Value
            ...
        </jaas:module>
        ...
        <!-- Can optionally define multiple modules -->
        ...
    </jaas:config>

</blueprint>

요소는 다음과 같이 사용됩니다.

Red Hat Fuse는 표준 Java 로그인 구성 파일과 동일한 속성을 사용하지만 Red Hat Fuse를 사용하려면 약간 다르게 지정해야 합니다. 표준 Java 로그인 구성 파일 방식과 비교하여 JAAS 영역을 정의하는 Red Hat Fuse 접근 방식은 예 2.3. “표준 JAAS 속성” 에 표시된 로그인 구성을 변환하는 방법을 고려하십시오. 이 방법은 Red Hat Fuse 속성 로그인 모듈 클래스인 PropertiesLogin Module 을 사용하여 PropertiesLogin 영역을 정의합니다.

PropertiesLogin {
    org.apache.activemq.jaas.PropertiesLoginModule required
        org.apache.activemq.jaas.properties.user="users.properties"
        org.apache.activemq.jaas.properties.group="groups.properties";
};

블루프린트 파일에서 jaas:config 요소를 사용하는 동등한 JAAS 영역 정의는 예 2.4. “블루프린트 JAAS 속성” 에 표시됩니다.

<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

  <jaas:config name="PropertiesLogin">
    <jaas:module flags="required"
      className="org.apache.activemq.jaas.PropertiesLoginModule">
        org.apache.activemq.jaas.properties.user=users.properties
        org.apache.activemq.jaas.properties.group=groups.properties
    </jaas:module>
  </jaas:config>

</blueprint>

Red Hat Fuse는 JAAS 인증 데이터를 X.500 서버에 저장할 수 있는 어댑터도 제공합니다. 예 2.5. “JAAS Cryostat 구성” ldap://localhost:10389 에 있는 LDAP 서버에 연결하는 Red Hat Fuse의 LDAPLogin Module 클래스를 사용할 LDAPLogin 영역을 정의합니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

  <jaas:config name="LDAPLogin" rank="200">
    <jaas:module flags="required"
      className="org.apache.karaf.jaas.modules.ldap.LDAPLoginModule">
        initialContextFactory=com.sun.jndi.ldap.LdapCtxFactory
        connection.username=uid=admin,ou=system
        connection.password=secret
        connection.protocol=
        connection.url = ldap://localhost:10389
        user.base.dn = ou=users,ou=system
        user.filter = (uid=%u)
        user.search.subtree = true
        role.base.dn = ou=users,ou=system
        role.filter = (uid=%u)
        role.name.attribute = ou
        role.search.subtree = true
        authentication = simple
    </jaas:module>
  </jaas:config>
</blueprint>

LDAP 로그인 모듈 사용에 대한 자세한 설명 및 예제는 2.1.7절. “JAAS LDAP 로그인 모듈” 에서 참조하십시오.

JAAS 속성 로그인 모듈은 사용자 이름/암호 자격 증명을 인증하고 인증된 사용자와 연결된 역할 목록을 반환합니다.

다음 클래스는 JAAS 속성 로그인 모듈을 구현합니다.

JAAS 속성 로그인 모듈은 다음 옵션을 지원합니다.

사용자 속성 파일은 properties 로그인 모듈에 대한 사용자 이름, 암호 및 역할 데이터를 저장하는 데 사용됩니다. 각 사용자는 사용자 속성 파일에서 한 줄로 표시됩니다. 여기서 한 줄의 형식은 다음과 같습니다.

Username=Password[,UserGroup|Role][,UserGroup|Role]...

사용자 그룹은 이 파일에서도 정의할 수 있습니다. 여기서 각 사용자 그룹은 다음 형식으로 한 줄로 표시됩니다.

_g_\:GroupName=Role1[,Role2]...

예를 들어 다음과 같이 user, bigcheese 및 guest, 사용자 그룹, admingroup 및 guestgroup 을 정의할 수 있습니다.

# Users
bigcheese=cheesepass,_g_:admingroup
guest=guestpass,_g_:guestgroup

# Groups
_g_\:admingroup=group,admin
_g_\:guestgroup=viewer

다음 블루프린트 구성은 속성 로그인 모듈을 사용하여 새 karaf 영역을 정의하는 방법을 보여줍니다. 여기서 기본 karaf 영역은 rank 속성을 200 으로 설정하여 재정의됩니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:cm="http://aries.apache.org/blueprint/xmlns/blueprint-cm/v1.1.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

  <type-converters>
    <bean class="org.apache.karaf.jaas.modules.properties.PropertiesConverter"/>
  </type-converters>

<!--Allow usage of System properties, especially the karaf.base property-->
  <ext:property-placeholder
       placeholder-prefix="$[" placeholder-suffix="]"/>

  <jaas:config name="karaf" rank="200">
    <jaas:module flags="required"
className="org.apache.karaf.jaas.modules.properties.PropertiesLoginModule">
        users= $[karaf.base]/etc/users.properties
    </jaas:module>
  </jaas:config>

  <!-- The Backing Engine Factory Service for the PropertiesLoginModule -->
  <service interface="org.apache.karaf.jaas.modules.BackingEngineFactory">
    <bean class="org.apache.karaf.jaas.modules.properties.PropertiesBackingEngineFactory"/>
  </service>

</blueprint>

jaas:* console 명령에서 사용자 데이터를 관리할 수 있도록 BackingEngineFactory 8080을 OSGi 서비스로 내보내야 합니다.

JAAS OSGi 구성 로그인 모듈은 OSGi Config Admin Service 를 활용하여 사용자 데이터를 저장합니다. 이 로그인 모듈은 JAAS 속성 로그인 모듈(예: 사용자 항목의 구문)과 매우 유사하지만 사용자 데이터를 검색하는 메커니즘은 OSGi Config Admin Service를 기반으로 합니다.

사용자 데이터는 해당 OSGi 구성 파일 etc/PersistentID.cfg 또는 OSGi Config Admin Service에서 지원하는 구성 방법을 사용하여 직접 편집할 수 있습니다. 그러나 jaas:* 콘솔 명령은 지원되지 않습니다.

JAAS OSGi 구성 로그인 모듈은 사용자 이름/암호 인증 정보를 인증하고 인증된 사용자와 연결된 역할 목록을 반환합니다.

다음 클래스는 JAAS OSGi config 로그인 모듈을 구현합니다.

JAAS OSGi 구성 로그인 모듈은 다음 옵션을 지원합니다.

구성 파일의 위치는 영구 ID의 구성이 다음 파일에 저장되는 일반 규칙을 따릅니다.

InstallDir/etc/PersistentID.cfg

PersistentID.cfg 구성 파일은 OSGi 구성 로그인 모듈에 대한 사용자 이름, 암호 및 역할 데이터를 저장하는 데 사용됩니다. 각 사용자는 구성 파일의 한 줄로 표시됩니다. 여기서 행은 다음과 같습니다.

Username=Password[,Role][,Role]...

다음 블루프린트 구성은 OSGi config 로그인 모듈을 사용하여 새 karaf 영역을 정의하는 방법을 보여줍니다. 여기서 기본 karaf 영역은 rank 속성을 200 으로 설정하여 재정의됩니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:cm="http://aries.apache.org/blueprint/xmlns/blueprint-cm/v1.1.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

  <jaas:config name="karaf" rank="200">
    <jaas:module flags="required"
className="org.apache.karaf.jaas.modules.osgi.OsgiConfigLoginModule">
        pid = org.jboss.example.osgiconfigloginmodule
    </jaas:module>
  </jaas:config>

</blueprint>

이 예에서 사용자 데이터는 InstallDir/etc/org.jboss.example.osgiconfigloginmodule.cfg 에 저장되며 jaas:* 콘솔 명령을 사용하여 구성을 편집할 수 없습니다.

JAAS 공개 키 로그인 모듈은 SSH 키 자격 증명을 인증합니다. 사용자가 로그인을 시도하면 SSH 프로토콜은 저장된 공개 키를 사용하여 사용자에게 챌린지를 수행합니다. 사용자는 챌린지에 응답하기 위해 해당 개인 키를 보유해야 합니다. 로그인에 성공하면 로그인 모듈에서 사용자와 연결된 역할 목록을 반환합니다.

다음 클래스는 JAAS 공개 키 로그인 모듈을 구현합니다.

JAAS 공개 키 로그인 모듈은 다음 옵션을 지원합니다.

keys.properties 파일은 공개 키 로그인 모듈에 대한 사용자 이름, 공개 키 및 역할 데이터를 저장하는 데 사용됩니다. 각 사용자는 키 속성 파일에서 한 줄로 표시됩니다. 여기서 한 줄의 양식은 다음과 같습니다.

Username=PublicKey[,UserGroup|Role][,UserGroup|Role]...

여기서 PublicKey 는 SSH 키 쌍의 공개 키 부분입니다(일반적으로 UNIX 시스템의 ~/.ssh/id_rsa.pub 의 사용자 홈 디렉터리에 있음).

예를 들어 admin 역할을 사용하여 사용자 jdoe 를 생성하려면 다음과 같은 항목을 생성합니다.

jdoe=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,admin

사용자 그룹은 이 파일에서도 정의할 수 있습니다. 여기서 각 사용자 그룹은 다음 형식으로 한 줄로 표시됩니다.

_g_\:GroupName=Role1[,Role2]...

다음 블루프린트 구성은 공개 키 로그인 모듈을 사용하여 새 karaf 영역을 정의하는 방법을 보여줍니다. 여기서 기본 karaf 영역은 rank 속성을 200 으로 설정하여 재정의됩니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:cm="http://aries.apache.org/blueprint/xmlns/blueprint-cm/v1.1.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

<!--Allow usage of System properties, especially the karaf.base property-->
  <ext:property-placeholder
       placeholder-prefix="$[" placeholder-suffix="]"/>

  <jaas:config name="karaf" rank="200">
    <jaas:module flags="required"
className="org.apache.karaf.jaas.modules.publickey.PublickeyLoginModule">
        users = $[karaf.base]/etc/keys.properties
    </jaas:module>
  </jaas:config>

</blueprint>

이 예에서 사용자 데이터는 InstallDir/etc/keys.properties 파일에 저장되며 jaas:* 콘솔 명령을 사용하여 구성을 편집할 수 없습니다.

JAAS JDBC 로그인 모듈을 사용하면 JDBC(Java Database Connectivity)를 사용하여 데이터베이스에 연결할 수 있는 데이터베이스 백엔드에 사용자 데이터를 저장할 수 있습니다. 따라서 JDBC를 지원하는 데이터베이스를 사용하여 사용자 데이터를 저장할 수 있습니다. 사용자 데이터를 관리하려면 네이티브 데이터베이스 클라이언트 도구 또는 jaas:* 콘솔 명령(지원 엔진에서 구성된 SQL 쿼리를 사용하여 관련 데이터베이스 업데이트를 수행하는 위치)을 사용할 수 있습니다.

인증 및 권한 부여 구성 요소를 모두 제공하는 각 로그인 모듈과 여러 로그인 모듈을 결합할 수 있습니다. 예를 들어 기본 PropertiesLoginModule 과 JDBCLoginModule 을 결합하여 시스템에 대한 액세스를 보장할 수 있습니다.

JAAS JDBC 로그인 모듈은 사용자 이름/암호 자격 증명을 인증하고 인증된 사용자와 관련된 역할 목록을 반환합니다.

다음 클래스는 JAAS JDBC 로그인 모듈을 구현합니다.

JAAS JDBC 로그인 모듈은 다음 옵션을 지원합니다.

JDBC 로그인 모듈을 설정하려면 다음 주요 단계를 수행합니다.

JDBC 로그인 모듈을 설정하려면 먼저 사용자 데이터를 저장하려면 백업 데이터베이스에 사용자 테이블 및 역할 테이블을 설정해야 합니다. 예를 들어 다음 SQL 명령은 적절한 사용자 테이블 및 역할 테이블을 만드는 방법을 보여줍니다.

CREATE TABLE users (
  username VARCHAR(255) NOT NULL,
  password VARCHAR(255) NOT NULL,
  PRIMARY KEY (username)
);
CREATE TABLE roles (
  username VARCHAR(255) NOT NULL,
  role VARCHAR(255) NOT NULL,
  PRIMARY KEY (username,role)
);

users 테이블은 사용자 이름/암호 데이터를 저장하고 roles 테이블은 사용자 이름을 하나 이상의 역할과 연결합니다.

JDBC 로그인 모듈에서 JDBC 데이터 소스를 사용하려면 데이터 소스 인스턴스를 생성하고 데이터 소스를 OSGi 서비스로 내보내는 것이 좋습니다. 그런 다음 JDBC 로그인 모듈은 내보낸 OSGi 서비스를 참조하여 데이터 소스에 액세스할 수 있습니다. 예를 들어 MySQL 데이터 소스 인스턴스를 생성하고 블루프린트 파일에서 다음과 같은 코드를 사용하여 OSGi 서비스(Java x.sql.DataSource 유형)로 노출할 수 있습니다.

<blueprint xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0">
  <bean id="mysqlDatasource"
        class="com.mysql.jdbc.jdbc2.optional.MysqlDataSource">
    <property name="serverName" value="localhost"></property>
    <property name="databaseName" value="DBName"></property>
    <property name="port" value="3306"></property>
    <property name="user" value="DBUser"></property>
    <property name="password" value="DBPassword"></property>
  </bean>

  <service id="mysqlDS" interface="javax.sql.DataSource"
        ref="mysqlDatasource">
    <service-properties>
        <entry key="osgi.jndi.service.name" value="jdbc/karafdb"/>
    </service-properties>
  </service>
</blueprint>

위의 블루프린트 구성은 Karaf 컨테이너에 OSGi 번들로 패키지하고 설치해야 합니다.

데이터 소스를 인스턴스화하고 OSGi 서비스로 내보낸 후 JDBC 로그인 모듈을 구성할 준비가 된 것입니다. 특히 JDBC 로그인 모듈의 데이터 소스 옵션은 다음 구문을 사용하여 데이터 소스의 OSGi 서비스를 참조할 수 있습니다.

osgi:javax.sql.DataSource/(osgi.jndi.service.name=jdbc/karafdb)

여기서 javax.sql.DataSource 는 내보낸 OSGi 서비스의 인터페이스 유형이며 필터 (osgi.jndi.service.name=jdbc/karafdb). 여기서 osgi.jndi.service.name 서비스 속성에 값이 jdbc/karafdb 인 특정 javax.sql.DataSource 인스턴스를 선택합니다.

예를 들어 다음 블루프린트 구성을 사용하여 샘플 MySQL 데이터 소스를 참조하는 JDBC 로그인 모듈로 karaf 영역을 재정의할 수 있습니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:cm="http://aries.apache.org/blueprint/xmlns/blueprint-cm/v1.1.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

<!--Allow usage of System properties, especially the karaf.base property-->
  <ext:property-placeholder
       placeholder-prefix="$[" placeholder-suffix="]"/>

  <jaas:config name="karaf" rank="200">
    <jaas:module flags="required"
      className="org.apache.karaf.jaas.modules.jdbc.JDBCLoginModule">
        datasource = osgi:javax.sql.DataSource/(osgi.jndi.service.name=jdbc/karafdb)
        query.password = SELECT password FROM users WHERE username=?
        query.role = SELECT role FROM roles WHERE username=?
        insert.user = INSERT INTO users VALUES(?,?)
        insert.role = INSERT INTO roles VALUES(?,?)
        delete.user = DELETE FROM users WHERE username=?
        delete.role = DELETE FROM roles WHERE username=? AND role=?
        delete.roles = DELETE FROM roles WHERE username=?
    </jaas:module>
  </jaas:config>

  <!-- The Backing Engine Factory Service for the JDBCLoginModule -->
  <service interface="org.apache.karaf.jaas.modules.BackingEngineFactory">
    <bean class="org.apache.karaf.jaas.modules.jdbc.JDBCBackingEngineFactory"/>
  </service>

</blueprint>

JDBCLoginModule을 생성하는 것 외에도 이전 블루프린트 구성은 JDBCBackingEngineFactory 인스턴스를 인스턴스화하고 내보냅니다. 이를 통해 jaas:* 콘솔 명령을 사용하여 사용자 데이터를 관리할 수 있습니다.

JAAS LDAP 로그인 모듈을 사용하면 사용자 데이터를 LDAP 데이터베이스에 저장할 수 있습니다. 저장된 사용자 데이터를 관리하려면 표준 LDAP 클라이언트 툴을 사용합니다. jaas:* 콘솔 명령은 지원되지 않습니다.

Red Hat Fuse에서 LDAP를 사용하는 방법에 대한 자세한 내용은 LDAP 인증 튜토리얼을 참조하십시오.

JAAS LDAP 로그인 모듈은 사용자 이름/암호 자격 증명을 인증하고 인증된 사용자와 연결된 역할 목록을 반환합니다.

다음 클래스는 JAAS LDAP 로그인 모듈을 구현합니다.

JAAS LDAP 로그인 모듈은 다음 옵션을 지원합니다.

다음 블루프린트 구성은 LDAP 로그인 모듈을 사용하여 새 karaf 영역을 정의하는 방법을 보여줍니다. 여기서 기본 karaf 영역은 rank 속성을 200 으로 설정하여 재정의되고 LDAP 로그인 모듈은 Apache Directory 서버에 연결됩니다.

<?xml version="1.0" encoding="UTF-8"?>
<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0"
  xmlns:jaas="http://karaf.apache.org/xmlns/jaas/v1.0.0"
  xmlns:cm="http://aries.apache.org/blueprint/xmlns/blueprint-cm/v1.1.0"
  xmlns:ext="http://aries.apache.org/blueprint/xmlns/blueprint-ext/v1.0.0">

  <jaas:config name="karaf" rank="100">

    <jaas:module className="org.apache.karaf.jaas.modules.ldap.LDAPLoginModule" flags="sufficient">
      debug=true

      <!-- LDAP Configuration -->
      initialContextFactory=com.sun.jndi.ldap.LdapCtxFactory
<!--  multiple LDAP servers can be specified as a space separated list of URLs -->
      connection.url=ldap://10.0.0.153:2389 ldap://10.10.178.20:389

<!--  authentication=none -->
      authentication=simple
      connection.username=cn=Directory Manager
      connection.password=directory

      <!-- User Info -->
      user.base.dn=dc=redhat,dc=com
      user.filter=(&amp;(objectClass=InetOrgPerson)(uid=%u))
      user.search.subtree=true

      <!-- Role/Group Info-->
      role.base.dn=dc=redhat,dc=com
      role.name.attribute=cn
<!--
      The 'dc=redhat,dc=com' used in the role.filter
      below is the user.base.dn.
-->
<!--      role.filter=(uniquemember=%dn,dc=redhat,dc=com) -->
      role.filter=(&amp;(objectClass=GroupOfUniqueNames)(UniqueMember=%fqdn))
      role.search.subtree=true

<!-- role mappings - a ';' separated list -->
      role.mapping=JBossAdmin=admin;JBossMonitor=viewer

<!-- LDAP context properties -->
      context.com.sun.jndi.ldap.connect.timeout=5000
      context.com.sun.jndi.ldap.read.timeout=5000

<!-- LDAP connection pooling -->
<!-- http://docs.oracle.com/javase/jndi/tutorial/ldap/connect/pool.html -->
<!-- http://docs.oracle.com/javase/jndi/tutorial/ldap/connect/config.html -->
     context.com.sun.jndi.ldap.connect.pool=true

<!-- How are LDAP referrals handled?

     Can be `follow`, `ignore` or `throw`.  Configuring `follow` may not work on all LDAP servers, `ignore` will
     silently ignore all referrals, while `throw` will throw a partial results exception if there is a referral.
-->
     context.java.naming.referral=ignore

<!-- SSL configuration -->
     ssl=false
     ssl.protocol=SSL
<!-- matches the keystore/truststore configured below -->
     ssl.truststore=ks
     ssl.algorithm=PKIX
<!-- The User and Role caches can be disabled - 6.3.0 179 and later -->
     disableCache=true
    </jaas:module>
  </jaas:config>

  <!-- Location of the SSL truststore/keystore
  <jaas:keystore name="ks" path="file:///${karaf.home}/etc/ldap.truststore" keystorePassword="XXXXXX" />
-->
</blueprint>

LDAP 로그인 모듈에서 필터 옵션을 설정하는 것과 관련하여 디렉터리 서버 간의 가장 중요한 차이점이 있습니다. 정확한 설정은 궁극적으로 DIT 조직에 의존하지만 다음 표에서는 다른 디렉터리 서버에 필요한 일반적인 역할 필터 설정에 대한 아이디어를 제공합니다.

user.filter=(&(objectClass=InetOrgPerson)(uid=%u))
role.filter=(uniquemember=%fqdn)

user.filter=(&(objectCategory=person)(samAccountName=%u))
role.filter=(uniquemember=%fqdn)

user.filter=(uid=%u)
role.filter=(member=uid=%u)

user.filter=(uid=%u)
role.filter=(member:=uid=%u)

기본적으로 표준 Karaf Log4j 구성 파일(etc/org.ops4j.pax.logging.cfg)은 AuditRollingFile 이라는 이름으로 감사 로깅 appender를 정의합니다.

샘플 구성 파일의 다음 발췌 내용은 ${karaf.data}/security/audit.log 에서 감사 로그 파일에 쓰는 appender의 속성을 보여줍니다.

# Audit file appender
log4j2.appender.audit.type = RollingRandomAccessFile
log4j2.appender.audit.name = AuditRollingFile
log4j2.appender.audit.fileName = ${karaf.data}/security/audit.log
log4j2.appender.audit.filePattern = ${karaf.data}/security/audit.log.%i
log4j2.appender.audit.append = true
log4j2.appender.audit.layout.type = PatternLayout
log4j2.appender.audit.layout.pattern = ${log4j2.pattern}
log4j2.appender.audit.policies.type = Policies
log4j2.appender.audit.policies.size.type = SizeBasedTriggeringPolicy
log4j2.appender.audit.policies.size.size = 8MB

appender를 사용하려면 appender가 로그 파일에 게시할 정보를 제공하는 로거를 구성해야 합니다.

기본적으로 Karaf Log4j 구성 파일 etc/org.ops4j.pax.logging.cfg 는 org.apache.karaf.jaas.modules.audit 라는 이름으로 감사 로거를 설정합니다. 샘플 구성 파일에서 발췌한 다음에서 기본 로거는 인증 이벤트에 대한 정보를 AuditRollingFile 이라는 이름으로 appender에 제공하도록 구성됩니다.

log4j2.logger.audit.name = org.apache.karaf.jaas.modules.audit
log4j2.logger.audit.level = INFO
log4j2.logger.audit.additivity = false
log4j2.logger.audit.appenderRef.AuditRollingFile.ref = AuditRollingFile

etc/org.ops 4j.pax.logging.cfg 의 감사 파일 appender 섹션에 있는 log4j2.audit.ref의 log4j2.appender.audit.name 값과 log4j2.appenderRef.ref의 값이 일치해야 합니다.

선택적으로 다음 로그인 모듈 속성을 설정하여 JAAS 로그인 모듈에 대한 암호 암호화를 활성화할 수 있습니다. 이를 위해 InstallDir/etc/org.apache.karaf.jaas.cfg 파일을 편집하거나 “Jasypt 암호화를 사용하는 로그인 모듈의 예” 에 설명된 대로 자체 블루프린트 파일을 배포합니다.

Fuse에서 제공하는 두 가지 암호화 서비스가 있습니다.

자체 암호화 서비스를 생성할 수도 있습니다. 이렇게 하려면 다음을 수행해야 합니다.

다음 목록은 사용자 정의 암호화 서비스를 OSGI 컨테이너에 노출하는 방법을 보여줍니다.

<blueprint xmlns="http://www.osgi.org/xmlns/blueprint/v1.0.0">

    <service interface="org.apache.karaf.jaas.modules.EncryptionService">
        <service-properties>
            <entry key="name" value="jasypt" />
        </service-properties>
        <bean class="org.apache.karaf.jaas.jasypt.impl.JasyptEncryptionService"/>
    </service>
    ...
</blueprint>

기본 암호화 서비스는 기본적으로 Karaf 컨테이너에 설치되고 encryption.name 속성을 값, basic 로 설정하여 참조할 수 있습니다. 기본 암호화 서비스에서 메시지 다이제스트 알고리즘은 SUN 보안 공급자(Oracle JDK의 기본 보안 공급자)에서 제공합니다.

Jasypt 암호화 서비스는 일반적으로 Karaf에 기본적으로 설치됩니다. 필요한 경우 다음과 같이 jasypt-encryption 기능을 설치하여 명시적으로 설치할 수 있습니다.

JBossA-MQ:karaf@root> features:install jasypt-encryption

이 명령은 필수 Jasypt 번들을 설치하고 Jasypt 암호화를 OSGi 서비스로 내보내 JAAS 로그인 모듈에서 사용할 수 있도록 합니다.

Jasypt 암호화에 대한 자세한 내용은 Jasypt 설명서 를 참조하십시오.

기본적으로 암호는 etc/users.properties 파일에 명확한 형식으로 저장됩니다. jasypt-encryption 기능을 설치하고 etc/org.apache.karaf.jaas.cfg 구성 파일을 수정하여 암호화를 활성화할 수 있습니다.