この課題の目標は、Java Authentication and Authorization (JAAS) API を使用して認証を行う方法について学習することです。
JAAS は、Java プラットフォーム用の標準のプラグイン可能認証フレームワーク (PAM) を提供しています。アプリケーションは、JAAS API を使用して「認証」を行います。認証とは、このアプリケーションを使用しているユーザーのアイデンティティーを確認し、そのユーザーのアイデンティティー情報を「被認証者」と呼ばれるコンテナに収集するプロセスのことです。次に、そのアプリケーションは、JAAS API とともにこの被認証者のアイデンティティー情報を使用して「認証」判断を行い、認証されたユーザーが保護されているリソースにアクセスしたり、制限されているアクションを実行可能かどうかを判断します。この課題では、JAAS 認証について説明します。JAAS 承認については説明しません。
Subject.doAs は、MyAction に定義されているコードを認証されたユーザーとして実行します (行 14 から 15)。このことは、次の 2 つの目的のために行われます。最初に、サービスを認証するためにアイデンティティー情報を必要とする MyAction 内のコードは、被認証者からその情報を取得します。この課題では、このことについて説明します。次に、MyAction が保護されているリソースまたは操作にアクセスする場合、現在の被認証者のアイデンティティー情報を使用して、対応するアクセス制御が決定されます。この 2 番目の点は、この課題では説明しません。
Jaas.java
のコードリスト
|
%JAVA_HOME%/bin
がパスに含まれていて、%JAVA_HOME%
変数によってポイントされている JDK が Java SE 6 をポイントしていることを確認します。% cd auth/src % javac Jaas.javaいくつかの設定を行ったあと、後続の課題でこのコードを実行します。これでこの課題は終了です。
この課題では、JAAS API の主なクラスである LoginContext
および Subject
が使用されています。LoginContext
を使用してユーザーを認証し、Subject
にそのユーザーのアイデンティティー情報を収集する方法について学習しました。次に、Subject
を使用して認証されたユーザーとしてアクションを実行する方法についても学習しました。
この課題の目標は、認証用に Kerberos を使用するために JAAS アプリケーションを構成する方法について学習することです。
Kerberos は、RFC 4120 に定義されている、信頼できる第三者の認証を行うためのインターネット標準プロトコルです。 Kerberos は、Solaris、Windows XP、Linux など、最近のほとんどのコンピューティングプラットフォームで使用できます。
Kerberos アーキテクチャーでは、Key Distribution Center (KDC) と呼ばれる信頼できる認証サービスが軸となります。Kerberos 環境内のユーザーおよびサービスは「主体」と呼ばれます。各主体は、KDC を使用してパスワードなどの秘密を共有します。主体は、共有の秘密を知っていることを KDC に対して証明することによって、Kerberos に対する認証を行います。認証が正常に行われると、KDC は主体に「Ticket-Granting-Ticket」(TGT) を発行します。主体は、その後、ディレクトリサービスやファイルサービスなどのネットワーク上のサービスへの認証を行う場合 (つまり、サービスの「クライアント」として動作する場合)、TGT を KDC に渡して「サービスチケット」を取得し、サービスとの通信を行います。サービスチケットは、クライアントとサービスの主体のアイデンティティーを示すだけでなく、その後安全な通信を確立するためにクライアントとサービスが使用できるセッションキーも含みます。サービスに対して認証を行うために、クライアントはサービスチケットをサービスに送信します。サービスは、そのチケットを受信した後、KDC と共有する秘密を使用してそのチケットを復号化します。
このアーキテクチャーでは、主体は KDC に対して直接 (1 回だけ) 認証を行います。主体は、サービスチケットを使用してほかのすべてのサービスに対して間接的に認証を行います。KDC では、サービスチケットによって主体のアイデンティティーが保証されます。明示的な認証を 1 回だけ行って、主体が複数の安全なサービスにアクセスできる機能のことを、「シングルサインオン」と呼びます。
この課題の JAAS の内容:
JAAS では、クライアント主体の場合、「Kerberos にログインする」とは、TGT を取得して、クライアントがアクセスするサービスへの認証に使用できるように Subject
にその TGT を配置することを意味します。サービス主体の場合、「Kerberos にログインする」とは、着信するクライアント認証要求を復号化するときにサービスが必要とする秘密鍵を取得することを意味します。
この課題のリソース:
実行手順:
src/jaas-krb5.conf
にあります。このファイルには、「クライアント」および「サーバー」の 2 つのエントリがあります。「クライアント」エントリは、LoginContext
は com.sun.security.auth.module.Krb5LoginModule
を使用する必要があることを示しています。「サーバー」エントリは、LoginContext は同じログインモジュールを使用し、主体 host/machineName
に対して sample.keytab
ファイルのキーを使用する必要があることを示しています。
jaas-krb5.conf
のコードリスト
|
jaas-krb5.conf
の「クライアント」エントリを使用して JAAS サンプルを実行したときの出力
|
jaas-krb5.conf
の「サーバー」エントリを使用して JAAS サンプルを実行したときの出力
|
まとめ:
この課題では、ユーザー名とパスワードを対話式に入力するクライアント主体、およびキータブファイルからキーを取得するサービス主体として、Kerberos ログインモジュールを使用するために JAAS アプリケーションを構成する方法について学習しました。