主页
产品
Red Hat Data Grid
8.5
Data Grid 服务器指南
4.3. Data Grid 服务器身份验证机制

4.3. Data Grid 服务器身份验证机制

Data Grid 服务器使用与您的安全域配置匹配的验证机制自动配置端点。例如，如果您添加 Kerberos 安全域，则 Data Grid 服务器为 Hot Rod 端点启用 GSSAPI 和 GS2-KRB5 身份验证机制。

重要

目前，您不能将轻量级目录访问协议(LDAP)协议与 DIGEST 或 SCRAM 身份验证机制一起使用，因为这些机制需要访问特定的散列密码。

热 Rod 端点

当您的配置包含对应的安全域时，Data Grid 服务器为 Hot Rod 端点启用以下 SASL 身份验证机制：

Expand

安全域	SASL 身份验证机制
属性域和 LDAP 域	`SCRAM`，`摘要`
令牌域	`OAUTHBEARER`
信任域	`EXTERNAL`
Kerberos 身份	`GSSAPI`, `GS2-KRB5`
SSL/TLS 身份	`PLAIN`

REST 端点

当您的配置包含对应的安全域时，Data Grid 服务器为 REST 端点启用以下 HTTP 身份验证机制：

Expand

安全域	HTTP 身份验证机制
属性域和 LDAP 域	`摘要`
令牌域	`BEARER_TOKEN`
信任域	`CLIENT_CERT`
Kerberos 身份	`SPNEGO`
SSL/TLS 身份	`BASIC`

memcached 端点

当您的配置包含对应的安全域时，Data Grid 服务器为 Memcached 二进制协议端点启用以下 SASL 身份验证机制：

Expand

安全域	SASL 身份验证机制
属性域和 LDAP 域	`SCRAM`，`摘要`
令牌域	`OAUTHBEARER`
信任域	`EXTERNAL`
Kerberos 身份	`GSSAPI, GS2-KRB5`
SSL/TLS 身份	`PLAIN`

Data Grid 服务器仅在 Memcached 文本协议端点上启用身份验证，只有支持基于密码的身份验证的安全域：

Expand

安全域	Memcached 文本身份验证
属性域和 LDAP 域	是
令牌域	否
信任域	否
Kerberos 身份	否
SSL/TLS 身份	否

RESP 端点

Data Grid 服务器仅在支持基于密码的身份验证的安全域中启用 RESP 端点身份验证：

Expand

安全域	RESP 身份验证
属性域和 LDAP 域	是
令牌域	否
信任域	否
Kerberos 身份	否
SSL/TLS 身份	否

4.3.1. SASL 身份验证机制
复制链接

Data Grid 服务器支持使用 Hot Rod 和 Memcached 二进制协议端点的以下 SASL 验证机制：

Expand

身份验证机制	描述	安全域类型	相关详情
`PLAIN`	以纯文本格式使用凭据。您应该只在加密连接中使用 `PLAIN` 身份验证。	属性域和 LDAP 域	与 `BASIC` HTTP 机制类似。
`DIGESTJPEG`	使用哈希算法和非ce 值。热 Rod 连接器支持 `DIGEST-MD` 5、`DIGEST-SHA` -256、`DIGEST-SHA-256`、`DIGEST-SHA-384` 和 `DIGEST-SHA-512` 哈希算法，以强度顺序。	属性域和 LDAP 域	与 `Digest` HTTP 机制类似。
`SCRAM-*`	除了哈希算法和非ce 值外，还使用 salt 值。热 Rod 连接器支持 `SCRAM-SHA`、`SCRAM-SHA-256`、`SCRAM-SHA-384` 和 `SCRAM-SHA-512` 哈希算法（按强度排序）。	属性域和 LDAP 域	与 `Digest` HTTP 机制类似。
`GSSAPI`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在 realm 配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还指定一个 `ldap-realm` 来提供用户成员资格信息。	Kerberos realm	与 `SPNEGO` HTTP 机制类似。
`GS2-KRB5`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在 realm 配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还指定一个 `ldap-realm` 来提供用户成员资格信息。	Kerberos realm	与 `SPNEGO` HTTP 机制类似。
`EXTERNAL`	使用客户端证书。	信任存储域	与 `CLIENT_CERT` HTTP 机制类似。
`OAUTHBEARER`	使用 OAuth 令牌并需要一个 `token-realm` 配置。	令牌域	与EARER `_TOKEN` HTTP 机制类似。

4.3.2. SASL 质量保护(QoP)
复制链接

如果 SASL 机制支持完整性和隐私保护(QoP)设置，您可以使用 qop 属性将它们添加到 Hot Rod 和 Memcached 端点配置中。

Expand

QoP 设置	描述
`auth`	仅进行身份验证。
`auth-int`	使用完整性保护进行身份验证。
`auth-conf`	通过完整性和隐私保护进行身份验证。

4.3.3. SASL 策略
复制链接

SASL 策略提供对 Hot Rod 和 Memcached 身份验证机制的精细控制。

提示

Data Grid 缓存授权根据角色和权限限制对缓存的访问。配置缓存授权，然后设置 &lt ;no-anonymous value=false /& gt; 以允许匿名登录，并将访问逻辑委派给缓存授权。

Expand

policy	描述	默认值
`forward-secrecy`	仅使用支持会话间转发保密的 SASL 机制。这意味着，破坏一个会话不会自动提供破坏未来会话的信息。	false
`pass-credentials`	仅使用需要客户端凭证的 SASL 机制。	false
`no-plain-text`	不要使用容易受到简单普通被动攻击的 SASL 机制。	false
`no-active`	不要使用容易被活跃、非字典攻击的 SASL 机制。	false
`no-dictionary`	不要使用容易受到被动字典攻击的 SASL 机制。	false
`no-anonymous`	不要使用接受匿名登录的 SASL 机制。	true

SASL 策略配置

在以下配置中，Hot Rod 端点使用 GSSAPI 机制进行身份验证，因为它是唯一符合所有 SASL 策略的机制：

XML

<server xmlns="urn:infinispan:server:15.0">
  <endpoints>
    <endpoint socket-binding="default"
              security-realm="default">
      <hotrod-connector>
        <authentication>
          <sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
                server-name="infinispan"
                qop="auth"
                policy="no-active no-plain-text"/>
        </authentication>
      </hotrod-connector>
      <rest-connector/>
    </endpoint>
  </endpoints>
</server>

<server xmlns="urn:infinispan:server:15.0">
  <endpoints>
    <endpoint socket-binding="default"
              security-realm="default">
      <hotrod-connector>
        <authentication>
          <sasl mechanisms="PLAIN DIGEST-MD5 GSSAPI EXTERNAL"
                server-name="infinispan"
                qop="auth"
                policy="no-active no-plain-text"/>
        </authentication>
      </hotrod-connector>
      <rest-connector/>
    </endpoint>
  </endpoints>
</server>

Copy to Clipboard

Toggle word wrap

JSON

{
  "server": {
    "endpoints" : {
      "endpoint" : {
        "socket-binding" : "default",
        "security-realm" : "default",
        "hotrod-connector" : {
          "authentication" : {
            "sasl" : {
              "server-name" : "infinispan",
              "mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
              "qop" : [ "auth" ],
              "policy" : [ "no-active","no-plain-text" ]
            }
          }
        },
        "rest-connector" : ""
      }
    }
  }
}

{
  "server": {
    "endpoints" : {
      "endpoint" : {
        "socket-binding" : "default",
        "security-realm" : "default",
        "hotrod-connector" : {
          "authentication" : {
            "sasl" : {
              "server-name" : "infinispan",
              "mechanisms" : [ "PLAIN","DIGEST-MD5","GSSAPI","EXTERNAL" ],
              "qop" : [ "auth" ],
              "policy" : [ "no-active","no-plain-text" ]
            }
          }
        },
        "rest-connector" : ""
      }
    }
  }
}

Copy to Clipboard

Toggle word wrap

YAML

server:
  endpoints:
    endpoint:
      socketBinding: "default"
      securityRealm: "default"
      hotrodConnector:
        authentication:
          sasl:
            serverName: "infinispan"
            mechanisms:
              - "PLAIN"
              - "DIGEST-MD5"
              - "GSSAPI"
              - "EXTERNAL"
            qop:
              - "auth"
            policy:
              - "no-active"
              - "no-plain-text"
      restConnector: ~

server:
  endpoints:
    endpoint:
      socketBinding: "default"
      securityRealm: "default"
      hotrodConnector:
        authentication:
          sasl:
            serverName: "infinispan"
            mechanisms:
              - "PLAIN"
              - "DIGEST-MD5"
              - "GSSAPI"
              - "EXTERNAL"
            qop:
              - "auth"
            policy:
              - "no-active"
              - "no-plain-text"
      restConnector: ~

Copy to Clipboard

Toggle word wrap

4.3.4. HTTP 身份验证机制
复制链接

Data Grid 服务器支持带有 REST 端点的以下 HTTP 身份验证机制：

Expand

身份验证机制	描述	安全域类型	相关详情
`BASIC`	以纯文本格式使用凭据。您应该只使用带有加密连接的 `BASIC` 身份验证。	属性域和 LDAP 域	对应于 `基本` HTTP 验证方案，类似于 `PLAIN` SASL 机制。
`摘要`	使用哈希算法和非ce 值。REST 连接器支持 `SHA-512`、`SHA-256` 和 `MD5` 哈希算法。	属性域和 LDAP 域	对应于 `Digest` HTTP 验证方案，类似于 `DIGESTGPU` SASL 机制。
`SPNEGO`	使用 Kerberos 票据并需要一个 Kerberos 域控制器。您必须在 realm 配置中添加对应的 `kerberos` 服务器身份。在大多数情况下，您还指定一个 `ldap-realm` 来提供用户成员资格信息。	Kerberos realm	对应于 `Negotiate` HTTP 验证方案，类似于 `GSSAPI` 和 `GS2-KRB5` SASL 机制。
`BEARER_TOKEN`	使用 OAuth 令牌并需要一个 `token-realm` 配置。	令牌域	对应于 `Bearer` HTTP 身份验证方案，类似于 `OAUTHBEARER` SASL 机制。
`CLIENT_CERT`	使用客户端证书。	信任存储域	与 `EXTERNAL` SASL 机制类似。

返回顶部

4.3. Data Grid 服务器身份验证机制

4.3.1. SASL 身份验证机制
复制链接

4.3.2. SASL 质量保护(QoP)
复制链接

4.3.3. SASL 策略
复制链接

SASL 策略配置

4.3.4. HTTP 身份验证机制
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3. Data Grid 服务器身份验证机制

4.3.1. SASL 身份验证机制复制链接链接已复制到粘贴板!

4.3.2. SASL 质量保护(QoP)复制链接链接已复制到粘贴板!

4.3.3. SASL 策略复制链接链接已复制到粘贴板!

SASL 策略配置

4.3.4. HTTP 身份验证机制复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3.1. SASL 身份验证机制
复制链接

4.3.2. SASL 质量保护(QoP)
复制链接

4.3.3. SASL 策略
复制链接

4.3.4. HTTP 身份验证机制
复制链接