1. セキュリティ開発者ガイド
  2. Java Generic Security Services (Java GSS-API)
  3. JAASおよびJava GSS-APIチュートリアルの紹介
  4. JAAS認証

JAAS認証

この基本チュートリアルでは、ユーザーの認証にJAASを使用する方法を示します。現在Javaコードを実行しているユーザーを確実かつ安全に特定できます。

JAAS認証は、プラガブルな方式で実行されます。つまり、Javaアプリケーションは、基盤となる認証技術から独立して機能します。新規または更新された技術を、アプリケーション自体を変更せずに、プラグインとして使用可能です。使用する特定の認証技術の実装は実行時に決定されます。その内容は、ログイン構成ファイルに指定します。このチュートリアルでは、認証テクノロジとしてKerberosを使用します。(「Kerberos要件」を参照。)

このチュートリアルは、次のセクションで構成されます。

  1. 認証チュートリアル・コード
  2. ログイン構成
  3. コードの実行

チュートリアルのコードを最初に実行してみる場合は、「コードの実行」を先に読んでから、その他のセクションに戻り、コードの記述および構成ファイルの詳細について学習してください。

認証チュートリアル・コード

認証チュートリアル・コードは、単一のソース・ファイルJaasAcn.javaに含まれています。このファイルのmainメソッドは、認証の実行後に、認証が成功したかどうかをレポートします。

ユーザーの認証用コードは、非常に簡潔です。次の2つのステップで構成されています。

  1. LoginContextのインスタンス化
  2. LoginContextのloginメソッドの呼び出し

LoginContextのインスタンス化

ユーザーの認証には、まずjavax.security.auth.login.LoginContextが必要です。次に、LoginContextをインスタンス化する基本的な方法を示します。 

import javax.security.auth.login.*;
. . .
LoginContext lc = 
    new LoginContext(<config file entry name>,
           <CallbackHandler to be used for user interaction>);

次に、このチュートリアル・コードによるインスタンス化の実行方法を具体的に示します。 

import javax.security.auth.login.*;
import com.sun.security.auth.callback.TextCallbackHandler;
. . .
LoginContext lc = 
    new LoginContext("JaasSample", 
          new TextCallbackHandler());

引数について、次に説明します。

  1. JAASログイン構成ファイルのエントリ名

    これは、LoginContextが、ログイン構成に説明されているJAASログイン構成ファイル内でこのアプリケーションのエントリ検索に使用する名前です。このようなエントリは、基盤となる適切な認証テクノロジを実装するクラスを指定します。クラスは、javax.security.auth.spiパッケージ内のLoginModuleインタフェースを実装する必要があります。

    サンプル・コードでは、Kerberos認証を行うcom.sun.security.auth.moduleパッケージのKrb5LoginModuleを使用します。

    このチュートリアルで使用するログイン構成ファイル(jaas.confを参照)のエントリは、「JaasSample」という名前です。LoginContextコンストラクタの最初の引数には、この名前を指定してください。

  2. CallbackHandlerのインスタンス。

    LoginModuleがユーザーと通信する必要がある場合(たとえばユーザー名やパスワードの入力を求める場合)、それは直接には行われません。これは、ユーザーとの様々な通信方法が存在するためであり、LoginModulesが様々なタイプのユーザーとの通信から独立させておくことが望ましいです。LoginModuleは、CallbackHandlerを呼び出してユーザーとの通信を実行し、要求された情報(ユーザー名、パスワードなど)を取得します。(CallbackHandlerは、javax.security.auth.callbackパッケージ内のインタフェースです。)

    使用する特定のCallbackHandlerのインスタンスを、LoginContextコンストラクタの2番目の引数として指定します。LoginContextは、このインスタンスを基盤となるLoginModule (ここではKrb5LoginModule)に転送します。通常、アプリケーションは、固有のCallbackHandler実装を提供します。単純なCallbackHandlerであるTextCallbackHandlerは、com.sun.security.auth.callbackパッケージに提供されており、コマンド行に情報を出力し、入力を読み取ります。

LoginContextのloginメソッドの呼び出し

これでLoginContext lcを保持できたので、loginメソッドを呼び出して認証処理を実行します。 

lc.login();

LoginContextは、新しい空のjavax.security.auth.Subjectオブジェクト(認証されるユーザーまたはサービスを表す)をインスタンス化します(サブジェクトを参照)。LoginContextは、構成済のLoginModule (この例ではKrb5LoginModule)を構築し、この新しいサブジェクトおよびTextCallbackHandlerを使用して初期化します。

LoginContextloginメソッドは、Krb5LoginModule内のメソッドを呼び出して、ログインおよび認証を実行します。Krb5LoginModuleは、TextCallbackHandlerを利用して、ユーザー名およびパスワードを取得します。次に、Krb5LoginModuleは、この情報を使用してKerberos KDCからユーザー・クレデンシャルを取得します。詳細は、Kerberosのドキュメントを参照してください。

認証に成功した場合、Krb5LoginModuleは、(1)ユーザーを表すKerberosプリンシパルと(2)ユーザーのクレデンシャル(TGT)をサブジェクトに追加します。

その後、呼出し側アプリケーションは、LoginContextgetSubjectメソッドを呼び出し(このステップは、このチュートリアルではオプション)、認証されたサブジェクトを取得します。

ログイン構成

JAAS認証はプラガブルな形式で実行されるため、アプリケーションは、基盤となる認証技術から独立した状態を維持できます。システム管理者は、各アプリケーションで使用する認証技術(LoginModules)を決定し、ログイン構成内に構成します。構成情報のソース(ファイルやデータベース)は、現在のjavax.security.auth.login.Configuration実装によって異なります。OracleのデフォルトのConfiguration実装は、com.sun.security.auth.login.ConfigFileで説明するように、構成ファイルから構成情報を読み取ります。

ログイン構成ファイルとその内容、および使用するログイン構成ファイルの指定方法の詳細は、付録B: JAASログイン構成ファイルを参照してください。

このチュートリアルのログイン構成ファイル

すでに説明したように、このチュートリアルで使用するログイン構成ファイルjass.confには、次のエントリのみが含まれます 

JaasSample {
  com.sun.security.auth.module.Krb5LoginModule required;
};

このエントリはJaasSampleという名前で、チュートリアル・アプリケーションJaasAcn,がこのエントリを参照するときに使用する名前です。このエントリは、ユーザー認証を実行するために使用するLoginModulecom.sun.security.auth.moduleパッケージ内のKrb5LoginModuleであること、および認証が成功したと見なされるためにはこのKrb5LoginModuleが「成功する」必要があることを示します。Krb5LoginModuleが成功するのは、ユーザーが入力した名前およびパスワードを使用して、Kerberos KDCへのログインに成功した場合だけです。

Krb5LoginModuleに渡すことができるすべてのオプションの詳細は、Krb5LoginModule Javadoc APIドキュメントを参照してください。

コードの実行

JAAS認証チュートリアル・コードを実行するには、次の操作を行う必要があります。

  1. アプリケーションのソース・ファイルJaasAcn.javaおよびログイン構成ファイルjaas.confをディレクトリ内に配置します。
  2. JaasAcn.javaを次のようにコンパイルします。 
    
javac JaasAcn.java
  3. 次を指定して、JaasAcnアプリケーションを実行します

    • -Djava.security.krb5.realm=<your_realm> (使用するKerberosレルム)。

      たとえば、レルムがKRBNT-OPERATIONS.EXAMPLE.COMの場合、-Djava.security.krb5.realm=KRBNT-OPERATIONS.EXAMPLE.COMのように指定します。

    • -Djava.security.krb5.kdc=<your_kdc> (使用するKerberos KDC)。

      たとえば、KDCがsamplekdc.example.comの場合、-Djava.security.krb5.kdc=samplekdc.example.comのように指定します。

    • -Djava.security.auth.login.config=jaas.conf。使用するログイン構成ファイルとしてjaas.confを指定します。

完全なコマンドは次のとおりです:

ノート:

<your_realm>をKerberosレルムと、<your_kdc>をKerberos KDCと置き換えてください。


java -Djava.security.krb5.realm=<your_realm> 
 -Djava.security.krb5.kdc=<your_kdc> 
 -Djava.security.auth.login.config=jaas.conf JaasAcn

コマンド全体は、1行で入力してください。ここでは、読みやすくするために複数行に分けて表示してあります。

Kerberosユーザー名とパスワードの入力が求められます。ログイン構成ファイルで指定された、基盤となるKerberos認証メカニズムにより、Kerberosへのログインが行われます。ログインが成功すると、次のメッセージが表示されます。

Authentication succeeded!

ログインが失敗した場合(パスワードのスペル・ミスなどにより)、次のメッセージが表示されます。 

Authentication failed:

このあとに、失敗の原因が示されます。たとえば、ユーザー名のスペルが間違っている場合、次のようなメッセージが表示されます(読みやすくするため、書式を一部変更してあります)。 

Authentication failed:
  Kerberos Authentication Failed:
    javax.security.auth.login.LoginException: 
      KrbException: Client not found in Kerberos database

ログイン時のトラブルシューティングは、ログインのトラブルシューティングを参照してください。

問題を修正したら、プログラムを再度実行します。