| Java Platform, Standard Editionセキュリティ開発者ガイド リリース10 E94999-01 |
|
 前 |
 次へ |
この項では、Kerberos 5用Java Generic Security Services (Java GSS)に関するセキュリティ機能について説明し、一覧表示します。Kerberos V5メカニズムのオブジェクト識別子(OID)、暗号化タイプ、およびJava GSSでサポートされるkrb5.conf設定についても説明します。
Generic Security Services Application Program Interface (GSS-API)メカニズムはRFC-1964によって定義され、インターネット標準プロセスの下に、RFC4121で補足されています。
Kerberos V5メカニズムのOID
RFC 1964のセクション1に従い、Kerberos5のJava Generic Security Services (Java GSS)のOIDは1.2.840.113554.1.2.2と定義されます。Javaセキュリティ標準アルゴリズム名のGSSAPIメカニズムも参照してください。
Java GSS/Kerberosでサポートされる暗号化タイプ
次の表に、Java GSS/Kerberosでサポートされる暗号化タイプの優先順位を示します。
表7-1 Java GSS/Kerberosでサポートされる暗号化タイプ
| 名前 | etype番号 |
|---|---|
| aes256-cts | 18 |
| aes128-cts | 17 |
| rc4-hmac | 23 |
| des3-cbc-sha1 | 16 |
| des-cbc-md5 | 3 |
| des-cbc-crc | 1 |
注意:
AES-256暗号化タイプはデフォルトで有効になっています。DESベースの暗号化タイプ(des-cbc-crc、dec-cbc-md5など)は、デフォルトで無効になっています。ユーザーは様々な目的で、krb5.confの[libdefaults]セクションで暗号化の使用を制限できます。
サポートされるkrb5.conf設定
次のパラメータがサポートされています。
include FILENAME
includedir DIRNAME
[libdefaults]
default_realm
allow_weak_crypto
dns_lookup_kdc
dns_lookup_realm
dns_fallback
default_checksum
safe_checksum_type
ap_req_checksum_type
default_keytab_name
default_tkt_enctypes
permitted_enctypes
default_tgs_enctypes
no_addresses
noaddresses
renewable
proxiable
forwardable
kdc_default_options
clockskew
kdc_timeout
udp_preference_limit
max_retries
renew_lifetime
ticket_lifetime
[realms]
REALM.NAME = {
kdc
kdc_timeout
udp_preference_limit
max_retries
}
[capaths]
A = {
I = .
B = I
}
[domain_realm]
domain=REALM
次はkrb5.confファイルパラメータのデフォルトです。
no_addresses = true noaddresses = true dns_lookup_kdc = true dns_lookup_realm = false allow_weak_crypto = false kdc_timeout = 30s max_retries = 3 udp_preference_limit = 1465 clockskew = 300 renewable = false proxiable = false forwardable = false
