|
Java GSS |
セキュリティの目次 |
JavaTM GSS for Java TM 2 SDK, Standard Edition, v 1.4.2 には、以下の新機能があります。
- 構成可能な Kerberos 設定
Kerberos Key Distribution Center (KDC) の名前とレルム設定は、Kerberos 構成ファイルによって指定されるか、システムプロパティjava.security.krb5.kdcおよびjava.security.krb5.realmを介して指定されます。前のリリースでは、Kerberos 構成値への変更は、アプリケーションが再起動された場合にのみ有効になりました。Java プラットフォームの 1.4.2 リリースでは、JAAS 構成ファイルの
Krb5LoginModuleへのエントリに、新しい boolean 型オプションrefreshKrb5Configを指定できます。このオプションがtrueに設定されている場合は、Krb5LoginModuleのloginメソッドが呼び出される前に、構成値が再表示されます。- スレーブ Kerberos Key Distribution Center のサポート
Kerberos ではスレーブ KDC を使用できるので、マスター KDC が対応できない場合は、スレーブ KDC がユーザの要求に応答します。J2SE の初期リリースにおける Sun の Kerberos 実装では、マスター KDC にのみ要求を出していました。そのため、Kerberos 構成ファイルで指定されたデフォルト KDC タイムアウト以内に、またはタイムアウトが指定されていない場合は 30 秒以内に応答がなければ、通信を終了するしかありませんでした。今回の 1.4.2 リリースにおける Sun の Kerberos 実装では、指定されていればスレーブ KDC に再要求します。スレーブ KDC は、Kerberos 構成ファイルで指定するか、システムプロパティ
java.security.krb5.kdcのコロン (:) で区切られた KDC リストを介して指定することができます。- Kerberos Key Distribution Center トランスポート用の TCP をサポート
Sun の Kerberos 実装では、RFC 1510 に従って Kerberos バージョン 5 を実装し、チケット要求に UDP トランスポートを使用します。新しいインターネットドラフトではこの RFC が更新されています。UDP に加えて TCP をトランスポートとしてサポートするには、追加された機能の 1 つが必要です。これにより KDC は、Kerberos チケットが UDP パケットサイズの制限値を超えた場合に、要求を TCP で再送するように指示するエラーコードを返します。現行の 1.4.2 リリースでの Sun の Kerberos 実装では、TCP の自動フォールバックをサポートするようになりました。したがって、UDP を使用する Kerberos チケット要求が失敗して KDC からエラーコード
KRB_ERR_RESPONSE_TOO_BIGが返されると、TCP が自動的にデフォルトトランスポートとなります。RFC 1510 を更新する現在のドラフトは、以下のアドレスからオンラインで入手できます。http://www.ietf.org/internet-drafts/draft-ietf-krb-wg-kerberos-clarifications-04.txt.
- 被認証者の非公開資格の Kerberos サービスチケット
Kerberos サービスチケットは、被認証者の非公開資格に保管されます。この変更によってアプリケーション開発者は、サービスチケットにアクセスすることにより、JGSS の外部でチケットを利用できます (たとえば、ネイティブアプリケーションや独自の使用など)。さらに、同じサービスに対してアプリケーションが再びセキュリティコンテキストを確立しようとする場合、サービスチケットを再利用できるようになりました。サービスチケットは、再利用できるように有効にしてください。これまでは、Kerberos V5 で Java Generic Security Services (JGSS) を使用する際に
useSubjectCredsOnlyプロパティが true に設定されている場合は、Ticket Granting Ticket (TGT) が被認証者から取得され、GSS セキュリティコンテキストを確立するための使用されていました。また、取得されたサービスチケットは、被認証者に保管されませんでした。useSubjectCredsOnlyが true であれば、サービスチケットも被認証者に保管されるようになりました。クライアントアプリケーションが被認証者の非公開資格を検索しても、前のリリースでは TGT のみが検出されました。現行のリリースでは、取得したサービスチケットがすべて検出されます。
この変更に関するバグ報告については、4688866 を参照してください。
|
Copyright © 1995-2003 Sun Microsystems, Inc.All Rights Reserved. コメントの送付先: java-security@sun.com。これは購読リストではありません。 |
Java ソフトウェア |