Kerberos 5 GSS-APIメカニズム
この項では、Kerberos 5用Java Generic Security Services (Java GSS)に関するセキュリティ機能について説明します。
GSS-APIメカニズムは、Official Internet Protocol Standardsプロセスのもとに、RFC 1964で定義され、RFC 4121で補足されています。RFC 1964およびRFC 4121を参照してください。
この項では、Official Internet Protocol StandardsプロセスのKerberos V5メカニズムの汎用オブジェクト識別子(OID)、暗号化タイプ、Java GSSでサポートされるkrb5.conf設定についても説明します。
Kerberos V5メカニズムのOID
RFC 1964セクション1によると、Kerberos 5のJava Generic Security Services (Java GSS)のOIDは1.2.840.113554.1.2と定義されます。
Java GSS/Kerberosでサポートされる暗号化タイプ
次の表に、推奨される暗号化タイプの順序を示します:
| 名前 | 別名 | etype番号 |
|---|---|---|
| aes256-cts-hmac-sha1-96 | aes256-cts | 18 |
| aes128-cts-hmac-sha1-96 | aes128-cts | 17 |
| arcfour-hmac-md5 | arcfour-hmac | 23 |
| des3-cbc-sha1 | des3-hmac-sha1、des3-cbc-sha1- kd、des3-cbc-hmac-sha1- kd | 16 |
| des-cbc-md5 | なし | 3 |
| des-cbc-crc | なし | 1 |
des-cbc-crcおよびdec-cbc-md5はJDK 8ではデフォルトで無効にされています。
ユーザーは様々な目的で、krb5.confの[libdefaults]セクションで暗号化の使用を制限できます。
AES暗号化タイプ(AES128およびAES256)およびRC4-HMAC暗号化タイプの詳細は、Java SE 6用Java Generic Security Services APIおよびKerberos Enhancementsを参照してください。
DESおよびトリプルDES暗号化タイプの詳細は、Java SE 5.0用Java Generic Security Services APIおよびKerberos EnhancementsとトリプルDES暗号化のサポートを参照してください。
サポートされるkrb5.conf設定
次のパラメータがサポートされています。
[libdefaults]
default_realm
allow_weak_crypto
dns_lookup_kdc
dns_lookup_realm
dns_fallback
default_checksum
safe_checksum_type
ap_req_checksum_type
default_keytab_name
default_tkt_enctypes
permitted_enctypes
default_tgs_enctypes
no_addresses
noaddresses
renewable
proxiable
forwardable
kdc_default_options
clockskew
kdc_timeout
udp_preference_limit
[realms]
REALM.NAME = {
kdc =
}
[capaths]
A = {
I = .
B = I
}
[domain_realm]
domain=REALM
次はkrb5.confファイルパラメータのデフォルトです。
no_addresses = true noaddresses = true dns_fallback = true dns_lookup_kdc = true dns_lookup_realm = true allow_weak_crypto = false kdc_timeout = 30000 max_retries = 3 udp_preference_limit = -1 clockskew = 300 renewable = false proxiable = false forwardable = false