このチュートリアルでは、2つのサンプル・アプリケーションを使って、Java GSS-APIの使用方法を説明します。このAPIは、アプリケーション間のセキュアなメッセージ交換を可能にします。このチュートリアルで使用するサンプルのクライアント・アプリケーションおよびサーバー・アプリケーションは次の2つです。
注意:
このチュートリアルでは、Java GSS-APIを使用した、JAASプログラミングなしのセキュアなメッセージ交換チュートリアルと同じクライアントおよびサーバーのアプリケーションを使用します。そのチュートリアルでは、JAAS (Java認証・承認サービス)プログラミングは不要です。その代わり、基盤となるメカニズムによってクレデンシャルの取得方法が決定されます。
このチュートリアルでは、ポリシー・ファイルとより複雑なログイン構成ファイルを使用します。プログラムの実行にはセキュリティ・マネージャを使用するので、セキュリティ関連の操作は、必要なアクセス権が明示的に付与されていなければ許可されません。このチュートリアルは、JAAS承認によりユーザー中心のアクセス制御を追加する方法も示します。これは、実行中のコードのみでなく、コードを実行するユーザーに基づいて制御を適用します。
このJava GSS-APIチュートリアルは、JAAS認証の最初のステップです。前のチュートリアルでは、JAASを使用してユーザーの認証や承認を行う方法や、JAASに必要なポリシー・ファイルとログイン構成ファイル(使用する基盤となる認証技術を指定する)の内容およびサンプルを示しました。JAAS入門用のチュートリアルである「JAAS認証」および「JAAS承認」では、アプリケーションは、JAASメソッドを直接呼び出しました。「JAAS Loginユーティリティの使用」チュートリアルでは、アプリケーションをこの操作から開放するユーティリティ・プログラムの使用方法を示しました。このチュートリアルのクライアントおよびサーバー・アプリケーションでも同じユーティリティ・プログラムを使用しますので、あらかじめLoginユーティリティのチュートリアルの内容を確認してからこのチュートリアルに進むことをお薦めします。
この一連のチュートリアルでは、Kerberosを認証およびアプリケーションのセキュアな通信をサポートする基幹技術として使用しています。Kerberos要件を参照してください。
このチュートリアルで使用するアプリケーションの名前は、SampleClient
およびSampleServer
です。
それぞれ、このチュートリアルで提供するLoginユーティリティを実行して呼び出し、引数として、アプリケーションの名前(SampleClient
またはSampleServer
)と、続いてアプリケーションが必要とする引数をそれに渡します。Loginユーティリティは、JAAS LoginContextを使用して、Kerberosを使用するユーザーを認証します。最後に、Loginユーティリティはアプリケーション・クラス(ここではSampleClient
またはSampleServer
)のmain
メソッドを呼び出して、アプリケーションに引数を渡します。
次に、SampleClient
およびSampleServer
アプリケーションの実行方法のサマリーを示します。
SampleServer
、続いてSampleServer
プログラム用の引数を指定してLoginユーティリティを実行することにより、SampleServer
アプリケーションを実行します。Loginユーティリティにより、SampleServer
を実行するプリンシパルのパスワード入力が求められます。(「Kerberosユーザー名およびサービス・プリンシパル名」を参照)。認証完了後に、SampleServer
が実行されます。 SampleClient
、続いてSampleClient
プログラム用の引数を指定してLoginユーティリティを実行することにより、SampleClient
アプリケーションを実行します(通常別のマシンを使用)。Loginユーティリティにより、Kerberos名およびパスワードの入力が求められます。認証完了後に、SampleClient
が実行されます。次を実行します SampleServer
を表すKerberosプリンシパルの名前。(Kerberosユーザー名およびサービス・プリンシパル名を参照)、(2) SampleServer
を実行中のホスト(マシン)の名前、(3) SampleServer
がクライアント接続を待機するポート番号。SampleServer
へのソケット接続を試みます。SampleServer
により受け入れられます。両方のアプリケーションが、ソケット入力および出力ストリームからのDataInputStreamおよびDataOutputStreamを初期化して、将来のデータ交換に使用します。SampleClient
およびSampleServer
は、それぞれGSSContextをインスタンス化し、以後のセキュアなデータ交換を可能にする共有コンテキストを確立します。SampleClient
およびSampleServer
は、メッセージをセキュアに交換できます。SampleClient
およびSampleServer
は、メッセージ交換の完了後に、クリーンアップ操作を実行します。注意:
このチュートリアルで使用するコードの詳細は、Java GSS-APIを使用した、JAASプログラミングなしのセキュアなメッセージ交換チュートリアルのSampleClientおよびSampleServerコードの項を参照してください。
このチュートリアルでは、ベースとなる認証およびセキュアな通信技術としてKerberos V5が使用されているため、ユーザーまたはサービスが要求される場合、常にKerberosスタイルのプリンシパル名が使用されます(プリンシパルを参照)。
たとえば、SampleClient
を実行する場合、ユーザー名の指定が求められます。Kerberosスタイルのユーザー名は、Kerberos認証用だけに割り当てられたユーザー名です。ベース・ユーザー名(mjones
など)、「@
」およびレルムの順序で構成されます(例、mjones@KRBNT-OPERATIONS.EXAMPLE.COM
)。
通常、SampleServer
などのサーバー・プログラムは、「サービス」を提供し、特定の「サービス・プリンシパル」に代わって実行されるプログラムと見なされます。SampleServer
のサービス・プリンシパル名が必要とされるのは、次の場合です。
SampleServer
の実行時に、適切なサービス・プリンシパルとしてログインする必要があります。このチュートリアルのログイン構成ファイルは、実際にサービス・プリンシパル名を指定します(Krb5LoginModuleのオプションとして)。このため、JAAS認証(Loginユーティリティによって実行される)は、そのサービス・プリンシパルのパスワードの指定のみをユーザーに求めます。適切なパスワードを指定すると、認証に成功し、サービス・プリンシパル名からプリンシパルを含むサブジェクトが作成され、新しいアクセス制御コンテキストがサブジェクトに関連付けられます。その後に実行されるコード(SampleServer
コード)は、指定されたプリンシパルに代わって実行されたと見なされます。SampleClient
を実行する場合、引数の1つはサービス・プリンシパル名です。これは必須です。このため、SampleClient
は適切なサービスを使用してセキュリティ・コンテキストの確立を開始できます。このドキュメント全体を通して、および関連するログイン構成ファイルやポリシー・ファイルでは、service_principal@your_realm
は、環境内で使用される実際の名前で置換されるプレースホルダーとして使用されます。サービス・プリンシパル名として、任意の Kerberosプリンシパルを実際に使用できます。このため、このチュートリアルを実行してみる場合、クライアント・ユーザー名とサービス・プリンシパル名の両方に自分のユーザー名を使用できます。
通常、本番稼動環境では、システム管理者は、サーバーを特定のプリンシパルのみで実行し、特定の名前を割り当てて使用します。たいてい、割り当てるKerberos形式のサービス・プリンシパル名は、次のようになります。
service_name/machine_name@realm;
たとえば、KRBNT-OPERATIONS.EXAMPLE.COM
というレルム内の「raven」という名前のマシンでnfsサービスを実行する場合、サービス・プリンシパル名は次のようになります
nfs/raven@KRBNT-OPERATIONS.EXAMPLE.COM
ただし、このようなマルチコンポーネント名は必須ではありません。ユーザー・プリンシパル名のような、シングルコンポーネント名も使用できます。たとえば、インストールによって、レルム内のすべてのftpサーバーで同じftpサービス・プリンシパルftp@realm
を使用する場合と、ftpサーバーごとに異なるftpプリンシパルを使用する(たとえば、マシンhost1
、host2
のftpプリンシパルがそれぞれftp/host1@realm
、ftp/host2@realm
となる)場合があります。
ユーザーまたはサービス・プリンシパル名のレルムがデフォルト・レルムの場合は(Kerberos要件を参照)、Kerberosにログインする際、ユーザー名を求めるプロンプトが表示された時点で、レルムを指定しないことも可能です。このため、たとえばユーザー名がmjones@KRBNT-OPERATIONS.EXAMPLE.COM
で、SampleClient
を実行する場合、ユーザー名が要求されたら、レルムを省略して単にmjones
と指定できます。名前はKerberosプリンシパル名のコンテキストで解釈され、必要に応じてデフォルトのレルムが付けられます。
GSSManagerのcreateName
メソッドにより、プリンシパル名がGSSNameに変換される場合にも、レルムの指定を省略できます。たとえば、SampleClient
の実行時に、引数の1つにサーバー・サービス・プリンシパル名を指定します。この場合、SampleClient
が名前をcreateName
メソッドなどに渡し、このメソッドが必要に応じてデフォルトのレルムを追加するため、名前を指定する際にレルムを省略できます。
プリンシパル名をログイン構成ファイルおよびポリシー・ファイルで使用する場合は、常にレルムを含めて名前を指定することをお薦めします。理由は、これらのファイルのパーサーの動作が実装に依存しないため、プリンシパル名の使用前にデフォルトのレルムが追加される場合と、追加されない場合があるためです。名前にレルムが指定されていない場合、以降のアクションは失敗します。
JAASを使用する場合は常に、使用する認証テクノロジをログイン構成ファイルに指定する必要があります。(ログイン構成ファイルの詳細は、付録B: JAASログイン構成ファイルを参照してください。)ログイン構成ファイルに、クライアント側が使用するエントリとサーバー側が使用するエントリの2つが含まれる場合、SampleClient
とSampleServer
の両方で同じログイン構成ファイルを使用できます。
このチュートリアルで使用するログイン構成ファイルcsLogin.conf
を、次に示します。
SampleClient { com.sun.security.auth.module.Krb5LoginModule required; }; SampleServer { com.sun.security.auth.module.Krb5LoginModule required storeKey=true principal="service_principal@your_realm"; };
各エントリの名前は、2つのトップレベル・アプリケーションSampleClient
およびSampleServer
のクラス名にそれぞれ一致します。これは、アプリケーション用のJAAS操作を実行するLoginユーティリティに渡される名前でもあることに留意してください。Loginユーティリティがログイン構成ファイル内で検索するエントリ名は、渡されたエントリ名と同じになります。
両方のエントリでは、ユーザー認証の成功のため、OracleのKerberos V5ログイン・モジュールを使用する必要があることが指定されています。Krb5LoginModuleが成功するのは、指定されたエンティティでのKerberos KDCへのログインが成功した場合だけです。SampleClient
の場合、ユーザーは名前とパスワードの入力を求められます。SampleServer
の場合、ログイン構成ファイルに名前(指定されたプリンシパル、詳細は後述)が指定されているため、SampleServer
を実行するユーザーにはその名前で指定されたエンティティのパスワードの入力だけが求められます。認証が成功するには、正確なパスワードを指定する必要があります。
SampleServer
のエントリstoreKey=true
は、ログイン時に指定されたパスワードから秘密鍵を計算すること、およびログインにより作成されたサブジェクトのprivateクレデンシャルに秘密鍵を格納することを意味します。この鍵は、SampleClient
とSampleServer
との間でセキュリティ・コンテキストを確立する際、相互認証に利用されます。
Krb5LoginModuleにはprincipal
オプションがあり、指定されたプリンシパル(エンティティ/ユーザー)だけが特定のプログラムにログインすることを指定するために使用できます。ここでは、SampleClient
エントリにプリンシパルが指定されていない(必要に応じて指定可能)ため、ユーザーはユーザー名およびパスワードの入力を求められます。有効なユーザー名およびパスワードを保持するユーザーならだれでもSampleClient
を実行できます。一方、SampleServer
は特定のプリンシパルを示します。通常、システム管理者は、サーバーを特定のプリンシパルとしてのみ実行することを好むためです。この場合、SampleServer
を実行するユーザーは、プリンシパルのパスワードの入力を求められ、認証が成功するには、正しいパスワードを指定する必要があります。
service_principal@your_realm
を、SampleServer
を表すサービス・プリンシパルの名前で置き換える必要があります。(「Kerberosユーザー名およびサービス・プリンシパル名」を参照)。
サーバーに秘密鍵を含むキータブ・ファイルがある場合、次のJAASログイン・エントリを使用します。
SampleServer {
com.sun.security.auth.module.Krb5LoginModule required
principal="service_principal@your_realm"
storeKey=true useKeyTab=true keyTab=keytab.file.name
isInitiator=false;
};
キータブ・ファイルですでに鍵を指定しているため、パスワードは要求されません。キータブ・ファイルに複数のサービス・プリンシパルの鍵が含まれ、サーバーがこれらすべてのサービス・プリンシパルとして機能するように設計されている場合は、プリンシパル・エントリを次のように設定できます。
principal=*
Krb5LoginModuleに引渡し可能なすべてのオプションの詳細は、Krb5LoginModule Javadoc APIドキュメントを参照してください。
SampleClient
の実行時に使用されるポリシー・ファイルはclient.policy
、SampleServer
の実行時に使用されるポリシー・ファイルはserver.policy
です。各ファイルの内容を、以降で説明します。
Login.java
(Login
およびMyAction
)内のクラスでは、多数のアクセス権が必要です。Loginユーティリティの使用に関するJAAS Loginユーティリティの使用で推奨したように、Login.class
およびMyAction.class
ファイルを含むJARファイルLogin.jar
を作成し、ポリシー・ファイルclient.policy
でLogin.jar AllPermission
を付与します。
grant codebase "file:./Login.jar" { permission java.security.AllPermission; };
SampleClient
コードは、アクセス権の必要な2つのタイプの操作を実行します。次を実行します
SampleServer
アプリケーションを実行するホスト・マシンとのソケット接続を確立します。SampleServer
とのセキュリティ・コンテキストの確立を開始します。ソケット接続を開くのに必要なアクセス権を、次に示します。
permission java.net.SocketPermission "*", "connect";
"*"は、SampleServer
を実行するマシンのホスト名またはIPアドレスで置き換えることができます。
セキュリティ・コンテキストの確立を開始するために必要なアクセス権は、基盤となるメカニズムによって異なります。このチュートリアルでは、基盤となるメカニズムとしてKerberosを使用します。このため、アクセス権javax.security.auth.kerberos.ServicePermission
が2つ必要になります。ServicePermissionには、サービス・プリンシパル名およびアクション(またはアクションのリスト)が必要です。セキュリティ・コンテキストの確立を開始するには、アクション「initiate」を指定して2つのServicePermissionsが必要です。それらの名前は次を指定します。
SampleServer
を表すサービス・プリンシパル名。(「Kerberosユーザー名およびサービス・プリンシパル名」を参照)。このアクセス権を付与することにより、Kerberosを使ってサービスSampleServer
と対話できるようになります。SampleClient
を実行する、認証済の特定ユーザーにアクセス権を付与します。このために、SampleClient
のコード位置(SampleClient.jar
内)、およびユーザー名とユーザー(SampleClient
を実行するユーザー)のレルムを示すプリンシパル指示部の両方を指定します。(プリンシパル指示部を含むポリシー・ファイルgrant
文の詳細は、JAAS承認のプリンシパルベースのポリシー・ファイル文の作成方法を参照してください。)
grant
文の基本的な書式を、次に示します。
grant CodeBase "file:./SampleClient.jar", Principal javax.security.auth.kerberos.KerberosPrincipal "your_user_name@your_realm" { permission java.net.SocketPermission "*", "connect"; permission javax.security.auth.kerberos.ServicePermission "krbtgt/your_realm@your_realm", "initiate"; permission javax.security.auth.kerberos.ServicePermission "service_principal@your_realm", "initiate"; };
your_user_name@your_realm
には、使用するKerberosユーザー名、「@」およびレルムを指定する必要があります。たとえば、ユーザー名がmjones、レルムがKRBNT-OPERATIONS.EXAMPLE.COMの場合、mjones@KRBNT-OPERATIONS.EXAMPLE.COMを指定します。
また、service_principal@your_realm
を、krbtgt/your_realm@your_realm内のレルム、およびサーバーを表すサービス・プリンシパルの名前で置き換える必要があります(サーバーを表すサービス・プリンシパルの名前の詳細は、Kerberosユーザー名およびサービス・プリンシパル名を参照)。前者がkrbtgt/KRBNT-OPERATIONS.EXAMPLE.COM@KRBNT-OPERATIONS.EXAMPLE.COM、後者がsample/raven.example.com@KRBNT-OPERATIONS.EXAMPLE.COM、ユーザー名が前の段落で指定したのと同じである場合を考えます。この場合、grant
文は次のようになります
grant CodeBase "file:./SampleClient.jar", Principal javax.security.auth.kerberos.KerberosPrincipal "mjones@KRBNT-OPERATIONS.EXAMPLE.COM" { permission java.net.SocketPermission "*", "connect"; permission javax.security.auth.kerberos.ServicePermission "krbtgt/KRBNT-OPERATIONS.EXAMPLE.COM@KRBNT-OPERATIONS.EXAMPLE.COM", "initiate"; permission javax.security.auth.kerberos.ServicePermission "sample/raven.example.com@KRBNT-OPERATIONS.EXAMPLE.COM", "initiate"; };
サーバー・ポリシー・ファイル内のLoginクラス用grant
文は、クライアント・ポリシー・ファイル内のgrant文とまったく同じです(「Loginユーティリティ・クラスに必要なアクセス権」を参照)。
grant codebase "file:./Login.jar" { permission java.security.AllPermission; };
SampleServer
コードは、アクセス権の必要な2つのタイプの操作を実行します。次を実行します
ソケット接続の受け入れに必要なアクセス権を、次に示します。
permission java.net.SocketPermission "*", "accept";
"*"は、SampleClient
を実行するマシンのホスト名またはIPアドレスで置き換えることができます。
セキュリティ・コンテキストの確立を受け入れるのに必要なアクセス権を、次に示します。
permission javax.security.auth.kerberos.ServicePermission "service_principal@your_realm", "accept";
ここで、service_principal@your_realm
は、SampleServer
を表すサービス・プリンシパルのKerberos名です(Kerberosユーザー名およびサービス・プリンシパル名を参照)。
SampleServer
を実行する特定の認証済ユーザー(SampleServer
を表すと見なされるサービス・プリンシパル)にアクセス権を付与するため、SampleServer
のコード位置(SampleServer.jar
内)およびサービス・プリンシパルを表すプリンシパル指示部の両方を指定します。この名前が、sample/raven.example.com@KRBNT-OPERATIONS.EXAMPLE.COM
である場合を考えましょう。この場合、grant
文は次のようになります
grant CodeBase "file:./SampleServer.jar" Principal javax.security.auth.kerberos.KerberosPrincipal "sample/raven.example.com@KRBNT-OPERATIONS.EXAMPLE.COM" { permission java.net.SocketPermission "*", "accept"; permission javax.security.auth.kerberos.ServicePermission "sample/raven.example.com@KRBNT-OPERATIONS.EXAMPLE.COM", "accept"; };
SampleClient
およびSampleServer
プログラムを実行するには、次の操作を行います。
SampleServer
の実行準備では、次の操作を行います。
SampleServer
を実行するマシンからアクセス可能なディレクトリにコピーします。 Login.java
ソース・ファイル。SampleServer.java
ソース・ファイル。csLogin.conf
ログイン構成ファイル。server.policy
ポリシー・ファイル。csLogin.conf
のservice_principal@your_realm
を、SampleServer
を表すサービス・プリンシパルの名前で置き換えます(Kerberosユーザー名およびサービス・プリンシパル名を参照)。server.policy
のservice_principal@your_realm
を、SampleServer
を表すサービス・プリンシパルのKerberos名で置き換えてください。これは、ログイン構成ファイルで使用する名前と同じ名前です。Login.java
とSampleServer.java
をコンパイルします。 javac Login.java SampleServer.java
Login.java
には2つのクラスが含まれるため、Login.java
をコンパイルするとLogin.class
およびMyAction.class
が生成されます。
Login.class and MyAction.class
を含むLogin.jar
という名前のJARファイルを作成します。 jar -cvf Login.jar Login.class MyAction.class
SampleServer.class
を含むSampleServer.jar
という名前のJARファイルを作成します。 jar -cvf SampleServer.jar SampleServer.class
SampleClient
の実行準備では、次の操作を行います。
SampleClient
を実行するマシンからアクセス可能なディレクトリにコピーします。 Login.java
ソース・ファイル。SampleClient.java
ソース・ファイル。csLogin.conf
ログイン構成ファイル。client.policy
ポリシー・ファイル。client.policy
の各部を置き換えます。 your_user_name@your_realm
を、実際のユーザー名およびレルムで置き換えます。krbtgt/your_realm@your_realm
のyour_realm
を、実際のレルムで置き換えます。service_principal@your_realm
を、SampleServer
を表すサービス・プリンシパルのKerberos名で置き換えます(Kerberosユーザー名およびサービス・プリンシパル名を参照)。Login.java
とSampleClient.java
をコンパイルします。 javac Login.java SampleClient.java
Login.class and MyAction.class
を含むLogin.jar
という名前のJARファイルを作成します。 jar -cvf Login.jar Login.class MyAction.class
SampleClient.class
を含むSampleClient.jar
という名前のJARファイルを作成します。 jar -cvf SampleClient.jar SampleClient.class
SampleClient
を実行する前に、必ずSampleServer
を実行してください。SampleClient
はSampleServer
へのソケット接続を試みるため、SampleServer
が稼動していないとソケット接続が受け付けられず、失敗します。
SampleServer
を実行する場合、SampleServerを稼動する予定のマシンで実行してください。このマシン名(ホスト名)は、SampleClient
の引数として指定します。サービス・プリンシパル名は、ログイン構成ファイルやポリシー・ファイルなど、いくつかの場所に表示されます。
SampleServer
の実行用に準備したディレクトリに移動します。次を指定して、Login
クラスを実行します。
-classpath
節(Login.jar
およびSampleServer.jar
JARファイル内のクラスを検索するため)。-Djava.security.manager
。セキュリティ・マネージャのインストールを指定します。-Djava.security.krb5.realm=<your_realm>
(使用するKerberosレルム)。たとえば、レルムがKRBNT-OPERATIONS.EXAMPLE.COM
の場合、-Djava.security.krb5.realm=KRBNT-OPERATIONS.EXAMPLE.COM
のように指定します。-Djava.security.krb5.kdc=<your_kdc>
(使用するKerberos KDC)。たとえば、KDCがsamplekdc.example.com
の場合、-Djava.security.krb5.kdc=samplekdc.example.com
のように指定します。-Djava.security.policy=server.policy
。使用するポリシー・ファイルとしてserver.policy
を指定します。-Djava.security.auth.login.config=csLogin.conf
。使用するログイン構成ファイルとしてcsLogin.conf
を指定します。Loginの引数として、アプリケーションの名前(ここではSampleServer
)を渡します。次に、アプリケーションに必要なすべての引数を追加します。SampleServer
の場合、クライアント接続の待機に使用するポート番号を指定する単一の引数です。通常は使用しない大きなポート番号であれば、どの番号でも選択できます。(例、4444)。
次に、Windows、Solaris、LinuxおよびmacOSで使用するすべてのコマンドを示します。クラス・パス項目の区切りとして、Solaris、LinuxおよびmacOSではコロンを使用するのに対し、Windowsではセミコロンを使用する点のみが異なります。
注意:
重要: これらのコマンドの、<port_number>
を適切なポート番号に、<your_realm>
を使用するKerberosレルムに、<your_kdc>
を使用するKerberos KDCにそれぞれ置き換えてください。
次に、Windowsのコマンドを示します。
java -classpath Login.jar;SampleServer.jar -Djava.security.manager -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_kdc> -Djava.security.policy=server.policy -Djava.security.auth.login.config=csLogin.conf Login SampleServer <port_number>
次に、Solaris、LinuxおよびmacOSのコマンドを示します。
java -classpath Login.jar:SampleServer.jar -Djava.security.manager -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_kdc> -Djava.security.policy=server.policy -Djava.security.auth.login.config=csLogin.conf Login SampleServer <port_number>
コマンド全体を1行で入力してください。ここでは、読みやすくするために複数行に分けて表示してあります。システムに対しコマンドが長すぎる場合は、.batファイル(Windowsの場合)または.shファイル(Solaris、LinuxおよびmacOSの場合)に記述し、そのファイルを実行して、コマンドを実行する必要がある場合があります。
サービス・プリンシパルのKerberosパスワードの入力が求められます。ログイン構成ファイルで指定された基盤となるKerberos認証メカニズムにより、サービス・プリンシパルのKerberosへのログインが行われます。認証が成功すると、SampleServer
のコードがサービス・プリンシパルに代わって実行されます。このコードは、指定されたポート上でソケット接続を待機します。
ログイン時のトラブルシューティングについては、「トラブルシューティング」を参照してください。
SampleClient
を実行するため、SampleClient
の実行準備を行ったディレクトリに移動します。次に、次を指定して、Login
クラスを実行します。
-classpath
節(Login.jar
およびSampleClient.jar
JARファイル内のクラスを検索するため)。-Djava.security.manager
。セキュリティ・マネージャのインストールを指定します。-Djava.security.krb5.realm=<your_realm>
(使用するKerberosレルム)。-Djava.security.krb5.kdc=<your_kdc>
(使用するKerberos KDC)。-Djava.security.policy=client.policy
。使用するポリシー・ファイルとしてclient.policy
を指定します。-Djava.security.auth.login.config=csLogin.conf
。使用するログイン構成ファイルとしてcsLogin.conf
を指定します。Loginに、アプリケーションの名前(SampleClient
)、その後SampleClient
に必要な引数を渡します。SampleClient
の引数は、(1) SampleServer
を表すサービス・プリンシパルのKerberos名(Kerberosユーザー名およびサービス・プリンシパル名を参照)、(2) SampleServer
を実行するホスト(マシン)の名前、(3) SampleServer
がクライアント接続を待機するポート番号です。
次に、WindowsおよびSolaris、LinuxおよびmacOSで使用するすべてのコマンドを示します。
注意:
重要: これらのコマンドの、<service_principal>
、<host>
、<port_number>
、<your_realm>
および<your_kdc>
を、適切な値で置き換えてください(ポート番号は、SampleServer
の引数として渡したポート番号と同じにする必要があります)。値を引用符で囲む必要はありません。
次に、Windowsのコマンドを示します。
java -classpath Login.jar;SampleClient.jar -Djava.security.manager -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_kdc> -Djava.security.policy=client.policy -Djava.security.auth.login.config=csLogin.conf Login SampleClient <service_principal> <host> <port_number>
次に、Solaris、LinuxおよびmacOSのコマンドを示します。
java -classpath Login.jar:SampleClient.jar -Djava.security.manager -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_realm> -Djava.security.policy=client.policy -Djava.security.auth.login.config=csLogin.conf Login SampleClient <service_principal> <host> <port_number>
コマンド全体を1行で入力してください。ここでは、読みやすくするために複数行に分けて表示してあります。SampleServer
を実行するコマンドと同様、コマンド・ウィンドウに直接入力するにはコマンドが長すぎる場合、.batファイル(Microsoft Windowsの場合)または.shファイル(Solaris、LinuxおよびmacOSの場合)に記述して、そのファイルを実行します。
入力が求められたら、Kerberosユーザー名およびパスワードを入力します。ログイン構成ファイルで指定された基盤となるKerberos認証メカニズムにより、Kerberosへのログインが行われます。認証が成功すると、SampleClient
のコードがユーザーに代わって実行されます。このコードは、SampleServer
とのソケット接続を要求します。SampleServer
が接続を受け付けると、SampleClient
およびSampleServer
により、このチュートリアルで解説した方法で、共有コンテキストの確立およびメッセージの交換が行われます。
ログイン時のトラブルシューティングについては、「トラブルシューティング」を参照してください。