• Oracle Technology Network
• ソフトウェアダウンロード
• ドキュメント

検索

第 V 部: SPNEGO Java GSS メカニズム (Java SE 6.0) を使用したセキュアな認証

課題 8: SPNEGO と Java Generic Security Services (GSS) API の使用

この課題の目標:

現在、Java GSS で使用可能なセキュリティーメカニズムは「Kerberos」のみです。この課題の目標は、SPNEGO などのほかの Java GSS メカニズムを使用してセキュアに関連付けを行う方法について学習することです。この機能は、Java SE 6 以降で使用できます。

SPNEGO とは

Java GSS は、複数のセキュリティーメカニズムをサポートするフレームワークです。GSS-API の下でセキュリティーメカニズムとネゴシエーションを行う方法が必要となります。これは、SPNEGO を介して使用できます。

SPNEGO は、IETF の RFC 4178 で標準化されている Simple and Protected GSS-API Negotiation メカニズムです。これは、ベースとなるセキュリティーメカニズムとのネゴシエーションを行う場合に使用する擬似セキュリティーメカニズムです。SPNEGO を使用すると、クライアントとサーバーに柔軟性が付与され、共通の GSS セキュリティーメカニズムとセキュアにネゴシエーションを行うことができます。

Microsoft は SPNEGO を多用しています。SPNEGO は、HTTP を介して Microsoft サーバーと相互運用したり、Negotiate プロトコルを介して HTTP ベースのクロスプラットフォーム認証をサポートしたりする場合に使用されます。

Java GSS で SPNEGO を使用する場合に行う必要がある設定

現在、Kerberos とともに Java GSS を使用する場合は、Kerberos OID を指定して Kerberos を使用します。

Oid krb5Oid = new Oid("1.2.840.113554.1.2.2");

SPNEGO を使用するには、次のように SPNEGO OID を指定するだけで済みます。

Oid spnegoOid = new Oid("1.3.6.1.5.5.2");

そのあと、GSSCredential、GSSContext などを作成する際に SPNEGO OID を使用します。

実行手順:

1. 次のコードを参照してください。これは src/GssSpNegoClient.java にあります

GssSpNegoClient.java のコードリスト。

1. static class GssSpnegoClientAction implements PrivilegedExceptionAction {
2. ...
3.   public Object run() throws Exception {
4.     // Create socket to server
5.     Socket socket = new Socket(hostName, port);
6.     DataInputStream inStream = new DataInputStream(socket.getInputStream());
7.     DataOutputStream outStream = new DataOutputStream(socket.getOutputStream());
8. 
   
9.     // Get service's principal name
10.     GSSManager manager = GSSManager.getInstance();
11.     Oid spnegoOid = new Oid("1.3.6.1.5.5.2");
12.     GSSName serverName = manager.createName(serverPrinc, GSSName.NT_HOSTBASED_SERVICE, spnegoOid);
13. 
    
14.     // Get the context for authentication
15.     GSSContext context = manager.createContext(serverName, spnegoOid, null,
16.        GSSContext.DEFAULT_LIFETIME);
17.     context.requestMutualAuth(true); // Request mutual authentication
18.     context.requestConf(true); // Request confidentiality
19. 
    
20.     // Do the context establishment loop
21.     byte[] token = new byte[0];
22.     while (!context.isEstablished()) {
23.       token = context.initSecContext(token, 0, token.length);
24.       outStream.writeInt(token.length);
25.       outStream.write(token);
26.       outStream.flush();
27. 
    
28.       // Check if we're done
29.       if (!context.isEstablished()) {
30.         token = new byte[inStream.readInt()];
31.         inStream.readFully(token);
32.       }
33.     }
34. 
    
35.     // Context established!
36. 
    
37.     // Create MessageProp for use with unwrap (true means request confidentiality)
38.     MessageProp prop = new MessageProp(0, true);
39. 
    
40.     // Create encrypted message and send to server
41.     byte[] reply = ...;
42.     token = context.wrap(reply, 0, reply.length, prop);
43. 
    
44.     outStream.writeInt(token.length);
45.     outStream.write(token);
46.     outStream.flush();
47. 
    
48.     // Read token from server
49.     token = new byte[inStream.readInt()];
50.     inStream.readFully(token);
51. 
    
52.     // Unwrap (decrypt) token sent by server
53.     byte[] input = context.unwrap(token, 0, token.length, prop);
54.     ...
55.     context.dispose();
56.     socket.close();
57.     return null;
58.   }
59. }

2. サンプルコードをコンパイルします。
   

   % javac GssSpNegoClient.java
   
   

3. 次のコードを参照してください。これは src/GssSpNegoServer.java にあります

GssSpNegoServer.java のコードリスト。

1. static class GssSpNegoServerAction implements PrivilegedExceptionAction {
2. ...
3.   public Object run() throws Exception {
4.     // Create server socket for accepting connections
5.     ServerSocket ss = new ServerSocket(localPort);
6. 
   
7.     // Get own Kerberos credentials for accepting connection
8.     GSSManager manager = GSSManager.getInstance();
9.     Oid spnegoOid = new Oid("1.3.6.1.5.5.2");
10.     GSSCredential serverCreds = manager.createCredential(null,
11.       GSSCredential.DEFAULT_LIFETIME, spnegoOid, GSSCredential.ACCEPT_ONLY);
12. 
    
13.     while (true) {
14.       Socket socket = ss.accept();
15.       DataInputStream inStream = new DataInputStream(socket.getInputStream());
16.       DataOutputStream outStream = new DataOutputStream(socket.getOutputStream());
17. 
    
18.       GSSContext context = manager.createContext((GSSCredential)serverCreds);
19. 
    
20.       // Do the context establishment loop
21.       byte[] token = null;
22.       while (!context.isEstablished()) {
23.         // Read token
24.         token = new byte[inStream.readInt()];
25.         inStream.readFully(token);
26. 
    
27.         // Process token
28.         token = context.acceptSecContext(token, 0, token.length);
29. 
    
30.         // Send a token to the peer if one was generated by acceptSecContext
31.         outStream.writeInt(token.length);
32.         outStream.write(token);
33.         outStream.flush();
34.       }
35. 
    
36.       // Context established!
37. 
    
38.       // Create MessageProp for use with unwrap (will be set upon return from unwrap)
39.       MessageProp prop = new MessageProp(0, false);
40. 
    
41.       // Read token from client
42.       token = new byte[inStream.readInt()];
43.       inStream.readFully(token);
44.       // Unwrap (decrypt) token sent by client
45.       byte[] input = context.unwrap(token, 0, token.length, prop);
46.       ...
47.       // Create new token and send to client
48.       byte[] reply = ...;
49.       token = context.wrap(reply, 0, reply.length, prop);
50. 
    
51.       outStream.writeInt(token.length);
52.       outStream.write(token);
53.       outStream.flush();
54.       context.dispose();
55.       socket.close();
56.     }
57.   }
58. }

4. サンプルコードをコンパイルします。

   % javac GssSpNegoServer.java
   

5. 新規のウィンドウを起動してサーバーを起動します。

   
   % xterm &
   % java -Djava.security.auth.login.config=jaas-krb5.conf GssSpNegoServer
   

6. クライアントアプリケーションを実行します。GssClient は、次の 2 つのパラメータを取ります。サービス名、およびそのサービスが実行されているサーバーの名前です。たとえば、サービスがマシン j1hol-001 上で実行されている host の場合は、次のように入力します。パスワードの入力を求められた場合は、changeit を入力します。

   
   % java -Djava.security.auth.login.config=jaas-krb5.conf \
   GssSpNegoClient host j1hol-001
   

GssSpNegoServer の例を実行した場合の出力。

1. Authenticated principal: [host/j1hol-001@J1LABS.EXAMPLE.COM]
2. Waiting for incoming connections...
3. Got connection from client /129.145.128.102
4. SPNEGO Negotiated Mechanism = 1.2.840.113554.1.2.2 Kerberos V5
   
5. Context Established!
6. Client principal is test@J1LABS.EXAMPLE.COM
7. Server principal is host/j1hol-001@J1LABS.EXAMPLE.COM
8. Mutual authentication took place!
9. Received data "Hello There!" of length 12
10. Confidentiality applied: true
11. Sending: Hello There! Thu May 06 12:11:15 PDT 2005

GssSpNegoClient の例を実行した場合の出力。

1. Kerberos password for test: changeit
2. Authenticated principal: [test@J1LABS.EXAMPLE.COM]
3. Connected to address j1hol-001/129.145.128.102
4. SPNEGO Negotiated Mechanism = 1.2.840.113554.1.2.2 Kerberos V5
5. Context Established!
6. Client principal is test@J1LABS.EXAMPLE.COM
7. Server principal is host@j1hol-001
8. Mutual authentication took place!
9. Sending message: Hello There!
10. Will read token of size 93
11. Received message: Hello There! Thu May 06 12:11:15 PDT 2005

サマリー:

この課題では、Kerberos などのベースとなるセキュリティーメカニズムとネゴシエーションを行い、ベースとなる認証システムとして Kerberos を使用してセキュアに通信を行うために SPNEGO とともに Java GSS API を使用するクライアント/サーバーアプリケーションを記述する方法について学習しました。

注: Microsoft は特定のバリエーションの SPNEGO プロトコルを実装しています。このため、Microsoft と相互運用を行うために、新しいシステムプロパティー「sun.security.spnego.msinterop」を使用して MS モードを追加しました。このプロパティーは、デフォルトで「true」になっています。無効にするには、このプロパティーを明示的に「false」に設定する必要があります。SPNEGO デバッグを有効にするには、システムプロパティー「sun.security.spnego.debug=true」を設定します。