ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーサービス開発ガイド Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris の開発者向けセキュリティー機能 (概要)
Oracle Solaris の開発者向けセキュリティー機能の概要
3. PAM アプリケーションおよび PAM サービスの記述
8. Oracle Solaris 暗号化フレームワークの紹介
9. ユーザーレベルの暗号化アプリケーションとプロバイダの記述
ネットワークセキュリティーアーキテクチャーは、PAM、GSS-API、SASL、RSA Security Inc. PKCS#11 Cryptographic Token Interface (Cryptoki) といった業界標準のインタフェースに対応しています。 標準化されたプロトコルやインタフェースを使用することで、開発者は、セキュリティー技術が進歩しても変更する必要のないコンシューマとプロバイダを記述できます。
セキュリティーサービスを使用するアプリケーション、ライブラリ、またはカーネルモジュールは「コンシューマ」と呼ばれます。 コンシューマにセキュリティーサービスを提供するアプリケーションは、「プロバイダ」または「プラグイン」と呼ばれます。 暗号化処理を実装するソフトウェアは「機構」と呼ばれます。 機構は単なるアルゴリズムではなく、アルゴリズムの適用方法も含んだ概念です。 たとえば、ある機構は DES アルゴリズムを認証に適用します。 一方、別の機構は DES をデータ保護 (ブロック単位の暗号化) に適用します。
ネットワークセキュリティーアーキテクチャーを使えば、コンシューマ開発者が暗号化アルゴリズムを記述、保守、および最適化する必要がなくなります。 最適化された暗号化機構が、アーキテクチャーの一部として提供されます。
Oracle Solaris OS が提供する公開 Solaris セキュリティーインタフェースは、次のとおりです。
PAM – プラグイン可能な認証モジュール (Pluggable Authentication Module)。 PAM モジュールは主に、初期段階でシステムに対してユーザーを認証する際に使用されます。 ユーザーはログイン時に、GUI、コマンド行、またはその他の方法を使用できます。 PAM は、認証サービスのほかに、アカウント、セッション、およびパスワードを管理するためのサービスも提供します。 login、rlogin、telnet などのアプリケーションは、PAM サービスの一般的なコンシューマです。 PAM SPI は、Kerberos v5 などのセキュリティープロバイダからサービスを提供されます。 第 3 章PAM アプリケーションおよび PAM サービスの記述を参照してください。
GSS-API – 汎用セキュリティーサービスアプリケーションプログラムインタフェース (Generic Security Service Application Program Interface)。 GSS-API は、ピアとなるアプリケーション間のセキュリティー保護された通信を可能にします。 また、GSS-API は認証、整合性、機密性の各保護サービスも提供します。 GSS-API の Oracle Solaris 実装は、Kerberos v5、SPNEGO、および Diffie-Hellman 暗号化に対応しています。 GSS-API は主に、セキュリティー保護されたアプリケーションプロトコルを設計または実装する際に使用されます。 GSS-API は、SASL など、ほかの種類のプロトコルに対してサービスを提供できます。 GSS-API は、SASL 経由で LDAP にサービスを提供します。
一般に、GSS-API は、初期の資格確立後にネットワーク上で通信している 2 つのピアとなるアプリケーションによって使用されます。 特に GSS-API は、ログインアプリケーション、NFS、および ftp によって使用されます。
GSS-API の概要については、第 4 章GSS-API を使用するアプリケーションの記述を参照してください。 第 5 章GSS-API クライアント例と第 6 章GSS-API サーバー例では、2 つの一般的な GSS-API アプリケーションのソースコードについて説明します。 付録 A C ベース の GSS-API プログラム例では、GSS-API のソースコードの例を提供します。 付録 B GSS-API リファレンス では、GSS-API のリファレンス情報を提供します。 付録 C OID の指定 では、デフォルト以外の機構を指定する方法を説明します。
SASL – 簡易認証セキュリティー層 (Simple Authentication and Security Layer)。 SASL は主に、認証、機密性、データ整合性を必要とするプロトコルによって使用されます。 SASL は、セキュリティー機構の動的折衝を使用してセッションを保護する、比較的高レベルのネットワークベースアプリケーション向けに設計されています。 LDAP は著名な SASL コンシューマの 1 つです。 SASL は GSS-API に似ています。 SASL のほうが GSS-API よりもいくぶん高レベルです。 SASL は GSS-API サービスを使用します。 第 7 章SASL を使用するアプリケーションの記述を参照してください。