機械翻訳について

Kerberos 5 GSS-APIメカニズム

(セキュリティの目次に戻る)

この項では、Kerberos 5用Java Generic Security Services (Java GSS)に関するセキュリティ機能について説明します。

GSS-APIメカニズムは、Official Internet Protocol Standardsプロセスのもとに、RFC 1964で定義され、RFC 4121で補足されています。 RFC 1964およびRFC 4121を参照してください。

この項では、Official Internet Protocol StandardsプロセスのKerberos V5メカニズムの汎用オブジェクト識別子(OID)、暗号化タイプ、Java GSSでサポートされるkrb5.conf設定についても説明します。

Kerberos V5メカニズムのOID

RFC 1964セクション1によると、Kerberos 5のJava Generic Security Services (Java GSS)のOIDは1.2.840.113554.1.2と定義されます。

Java GSS/Kerberosでサポートされる暗号化タイプ

次の表に、推奨される暗号化タイプの順序を示します:

Java SE でサポートされる暗号化タイプ
名前 別名 etype番号
aes256-cts-hmac-sha1-96 aes256-cts 18
aes128-cts-hmac-sha1-96 aes128-cts 17
arcfour-hmac-md5 arcfour-hmac 23
des3-cbc-sha1 des3-hmac-sha1、des3-cbc-sha1- kd、des3-cbc-hmac-sha1- kd 16
des-cbc-md5 なし 3
des-cbc-crc なし 1

des-cbc-crcおよびdec-cbc-md5はJDK 8ではデフォルトで無効にされています。

ユーザーは様々な目的で、krb5.conf[libdefaults]セクションで暗号化の使用を制限できます。

AES暗号化タイプ(AES128およびAES256)およびRC4-HMAC暗号化タイプの詳細は、Java SE 6用Java Generic Security Services APIおよびKerberos Enhancementsを参照してください。

DESおよびトリプルDES暗号化タイプの詳細は、Java SE 5.0用Java Generic Security Services APIおよびKerberos EnhancementsトリプルDES暗号化のサポートを参照してください。

サポートされるkrb5.conf設定

次のパラメータがサポートされています。

[libdefaults]
default_realm
allow_weak_crypto
 
dns_lookup_kdc
dns_lookup_realm
dns_fallback
 
default_checksum
safe_checksum_type
ap_req_checksum_type
default_keytab_name
 
default_tkt_enctypes
permitted_enctypes
default_tgs_enctypes
 
no_addresses
noaddresses
 
renewable
proxiable
forwardable
 
kdc_default_options
clockskew
 
kdc_timeout
udp_preference_limit
 
[realms]
  REALM.NAME = {
    kdc =
  }
 
[capaths]
  A = {
    I = .
    B = I
  }
 
[domain_realm]
  domain=REALM

次に、krb5.confファイル・パラメータのデフォルトを示します。

no_addresses = true
noaddresses = true
dns_fallback = true
dns_lookup_kdc = true
dns_lookup_realm = true
allow_weak_crypto = false 
kdc_timeout = 30000
max_retries = 3
udp_preference_limit = -1
clockskew = 300
renewable = false
proxiable = false
forwardable = false

krb5.confファイルが見つからない場合、またはkrb5.confファイルに設定が存在しない場合は、これらのデフォルト値が使用されます。 たとえば、dns_lookup_kdcのデフォルト値がtrueであるため、KDCの詳細をフェッチするためにDNSルックアップが実行されます。

Copyright © 1993, 2025, Oracle and/or its affiliates. All rights reserved.