The RPCSEC_GSS API

RPCSEC_GSS セキュリティフレーバを使用すると、ONC RPC アプリケーションは、GSS-API の特徴を利用できます。RPCSEC_GSS は、次のように GSS-API 層の上に位置します。

図 8-1 GSS-API と RPCSEC_GSS セキュリティ層

RPCSEC_GSS のプログラミングインタフェースを使用すると、ONC RPC アプリケーションは次のことを指定できます。

機構

セキュリティパラダイム。セキュリティ機構が提供するデータ保護はその種類ごとに異なり、同様に、データ保護のレベルも 1 つまたは複数存在する。この場合は、GSS-API がサポートする任意のセキュリティ機構 (Kerberos V5、RSA 公開鍵など)

セキュリティサービス

プライバシまたは完全性のどちらか (あるいは、どちらでもない)。デフォルトは完全性。サービスは機構に依存しない

QOP

保護特性 (Quality of Protection)。プライバシまたは完全性のサービスを実装するときに使用される暗号化アルゴリズムのタイプを指定する。各セキュリティ機構は 1 つまたは複数の関連する QOP を持つことができる

アプリケーションは、RPCSEC_GSS が提供する関数を使用して、有効な QOP と機構のリストを取得できます (「さまざまな関数」を参照)。新しいまたは異なる機構や QOP を使用するたびにアプリケーションを変更する必要が生じないように、開発者は機構や QOP をアプリケーションでハードコーディングすることは避けてください。

従来「セキュリティフレーバ」と「認証フレーバ」の意味は同じでした。RPCSEC_GSS の導入とともに、「フレーバ」は現在少し意味が変わりました。フレーバに現在、認証とともに、(完全性またはプライバシの) サービスも含まれています。ただし、現在のところ、その対象は RPCSEC_GSS だけです。

他のフレーバと同様に、ONC RPC アプリケーションは RPCSEC_GSS を使用して、ピアとセキュリティコンテキストを確立し、データを交換し、コンテキストを破棄します。コンテキストが確立されると、アプリケーションは送信されるデータ単位ごとに QOP とサービスを変更できます。

RPCSEC_GSS についての詳細 (RPCSEC_GSS データタイプも含む) は、rpcsec_gss(3N) のマニュアルページを参照してください。