主页
产品
Red Hat Data Grid
8.4
Data Grid Server 指南
4.3. Data Grid 服务器验证机制

4.3. Data Grid 服务器验证机制

数据网格服务器自动配置端点，并提供与您的安全域配置匹配的身份验证机制。例如，如果您添加了 Kerberos 安全域，Data Grid Server 为 Hot Rod 端点启用 GSSAPI 和 GS2-KRB5 验证机制。

重要

目前，您不能使用带有 DIGEST 或 SCRAM 身份验证机制的轻量级目录访问协议(LDAP)协议，因为这些机制需要访问特定的哈希密码。

热环端点

当配置包含对应的安全域时，Data Grid 服务器为 Hot Rod 端点启用以下 SASL 身份验证机制：

Expand

安全域	SASL 身份验证机制
属性域和 LDAP 域	SCRAM-, SCRAM-, `SCRAM-*`
令牌域	OAUTHBEARER
信任域	EXTERNAL
Kerberos 身份	GSSAPI, GS2-KRB5
SSL/TLS 身份	PLAIN

REST 端点

当配置包含对应的安全域时，Data Grid 服务器为 REST 端点启用以下 HTTP 身份验证机制：

Expand

安全域	HTTP 身份验证机制
属性域和 LDAP 域	DIGEST
令牌域	BEARER_TOKEN
信任域	CLIENT_CERT
Kerberos 身份	SPNEGO
SSL/TLS 身份	BASIC

4.3.1. SASL 验证机制
复制链接

数据网格服务器支持以下 SASL 身份验证机制及 Hot Rod 端点：

Expand

身份验证机制	Description	Security realm 类型	相关详情
`PLAIN`	以纯文本格式使用凭证。您应该只在加密连接中使用 `PLAIN` 身份验证。	属性域和 LDAP 域	与 `BASIC` HTTP 机制类似。
`DIGEST-*`	使用哈希算法和非ce 值。热环连接器支持 `DIGEST-MD` 5、`DIGEST-SHA -256`、`DIGEST-SHA-384`、DIGEST-SHA-384 和 `DIGEST-SHA-512` 哈希算法。	属性域和 LDAP 域	与 `Digest` HTTP 机制类似。
`SCRAM-*`	除了哈希算法和非值外，还使用 salt 值。热环连接器支持 `SCRAM-SHA`、`SCRAM-SHA-256`、`SCRAM-SHA-384` 和 `SCRAM-SHA-512` 哈希算法，按强度排列。	属性域和 LDAP 域	与 `Digest` HTTP 机制类似。
`GSSAPI`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在域配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还要指定一个 `ldap-realm` 以提供用户成员资格信息。	Kerberos realms	与 `SPNEGO` HTTP 机制类似。
`GS2-KRB5`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在域配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还要指定一个 `ldap-realm` 以提供用户成员资格信息。	Kerberos realms	与 `SPNEGO` HTTP 机制类似。
`EXTERNAL`	使用客户端证书。	信任存储域	与 `CLIENT_CERT` HTTP 机制类似。
`OAUTHBEARER`	使用 OAuth 令牌并且需要 `token-realm` 配置。	令牌域	与 `BEARER_TOKEN` HTTP 机制类似。

4.3.2. SASL 质量保护(QoP)
复制链接

如果 SASL 机制支持完整性和隐私保护(QoP)设置，您可以使用 qop 属性将它们添加到 Hot Rod 端点配置中。

Expand

QoP 设置	Description
`auth`	仅身份验证.
`auth-int`	具备完整性保护的身份验证。
`auth-conf`	通过完整性和隐私保护进行身份验证.

4.3.3. SASL 策略
复制链接

SASL 策略提供对 Hot Rod 验证机制的精细控制。

提示

Data Grid 缓存授权限制根据角色和权限对缓存的访问。配置缓存授权，然后设置 & lt;no-anonymous value=false /& gt; 以允许匿名登录并将访问逻辑委派给缓存授权。

Expand

策略	Description	默认值
`forward-secrecy`	仅使用支持会话间转发保密的 SASL 机制。这意味着，进入一个会话不会自动提供用于破坏未来会话的信息。	false
`pass-credentials`	仅使用需要客户端证书的 SASL 机制。	false
`no-plain-text`	请勿使用 SASL 机制，这些机制对于简单的纯被动攻击是不可避免的。	false
`no-active`	请勿使用 SASL 机制，这些机制容易激活、非字典、攻击。	false
`no-dictionary`	不要使用受被动字典攻击的 SASL 机制。	false
`no-anonymous`	不要使用接受匿名登录的 SASL 机制。	true

SASL 策略配置

在以下配置中，Hot Rod 端点使用 GSSAPI 机制进行身份验证，因为它是唯一符合所有 SASL 策略的机制：

XML

<server xmlns="urn:infinispan:server:14.0">
  <endpoints>
    <endpoint socket-binding="default"
              security-realm="default">
      <hotrod-connector>
        <authentication>
          <sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
                server-name="infinispan"
                qop="auth"
                policy="no-active no-plain-text"/>
        </authentication>
      </hotrod-connector>
      <rest-connector/>
    </endpoint>
  </endpoints>
</server>

<server xmlns="urn:infinispan:server:14.0">
  <endpoints>
    <endpoint socket-binding="default"
              security-realm="default">
      <hotrod-connector>
        <authentication>
          <sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
                server-name="infinispan"
                qop="auth"
                policy="no-active no-plain-text"/>
        </authentication>
      </hotrod-connector>
      <rest-connector/>
    </endpoint>
  </endpoints>
</server>

Copy to Clipboard

Toggle word wrap

JSON

{
  "server": {
    "endpoints" : {
      "endpoint" : {
        "socket-binding" : "default",
        "security-realm" : "default",
        "hotrod-connector" : {
          "authentication" : {
            "sasl" : {
              "server-name" : "infinispan",
              "mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
              "qop" : [ "auth" ],
              "policy" : [ "no-active","no-plain-text" ]
            }
          }
        },
        "rest-connector" : ""
      }
    }
  }
}

{
  "server": {
    "endpoints" : {
      "endpoint" : {
        "socket-binding" : "default",
        "security-realm" : "default",
        "hotrod-connector" : {
          "authentication" : {
            "sasl" : {
              "server-name" : "infinispan",
              "mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
              "qop" : [ "auth" ],
              "policy" : [ "no-active","no-plain-text" ]
            }
          }
        },
        "rest-connector" : ""
      }
    }
  }
}

Copy to Clipboard

Toggle word wrap

YAML

server:
  endpoints:
    endpoint:
      socketBinding: "default"
      securityRealm: "default"
      hotrodConnector:
        authentication:
          sasl:
            serverName: "infinispan"
            mechanisms:
              - "PLAIN"
              - "DIGEST-MD5"
              - "GSSAPI"
              - "EXTERNAL"
            qop:
              - "auth"
            policy:
              - "no-active"
              - "no-plain-text"
      restConnector: ~

server:
  endpoints:
    endpoint:
      socketBinding: "default"
      securityRealm: "default"
      hotrodConnector:
        authentication:
          sasl:
            serverName: "infinispan"
            mechanisms:
              - "PLAIN"
              - "DIGEST-MD5"
              - "GSSAPI"
              - "EXTERNAL"
            qop:
              - "auth"
            policy:
              - "no-active"
              - "no-plain-text"
      restConnector: ~

Copy to Clipboard

Toggle word wrap

4.3.4. HTTP 验证机制
复制链接

Data Grid Server 使用 REST 端点支持以下 HTTP 身份验证机制：

Expand

身份验证机制	Description	Security realm 类型	相关详情
`BASIC`	以纯文本格式使用凭证。您应该只使用带有加密连接的 `BASIC` 身份验证。	属性域和 LDAP 域	对应于 `基本` HTTP 身份验证方案，并类似于 `PLAIN` SASL 机制。
`摘要`	使用哈希算法和非ce 值。REST 连接器支持 `SHA-512`、`SHA-256` 和 `MD5` 哈希算法。	属性域和 LDAP 域	对应于 `Digest` HTTP 验证方案，它类似于 `DIGEST-*` SASL 机制。
`SPNEGO`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在域配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还要指定一个 `ldap-realm` 以提供用户成员资格信息。	Kerberos realms	对应于 `Negotiate` HTTP 身份验证方案，并类似于 `GSSAPI` 和 `GS2-KRB5` SASL 机制。
`BEARER_TOKEN`	使用 OAuth 令牌并且需要 `token-realm` 配置。	令牌域	对应于 `Bearer` HTTP 身份验证方案，并类似于 `OAUTHBEARER` SASL 机制。
`CLIENT_CERT`	使用客户端证书。	信任存储域	与 `EXTERNAL` SASL 机制类似。

返回顶部

4.3. Data Grid 服务器验证机制

4.3.1. SASL 验证机制
复制链接

4.3.2. SASL 质量保护(QoP)
复制链接

4.3.3. SASL 策略
复制链接

SASL 策略配置

4.3.4. HTTP 验证机制
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3. Data Grid 服务器验证机制

4.3.1. SASL 验证机制复制链接链接已复制到粘贴板!

4.3.2. SASL 质量保护(QoP)复制链接链接已复制到粘贴板!

4.3.3. SASL 策略复制链接链接已复制到粘贴板!

SASL 策略配置

4.3.4. HTTP 验证机制复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3.1. SASL 验证机制
复制链接

4.3.2. SASL 质量保护(QoP)
复制链接

4.3.3. SASL 策略
复制链接

4.3.4. HTTP 验证机制
复制链接