当初、Java認証・承認サービス(Java Authentication and Authorization Service: JAAS)は、Java 2 SDK, Standard Edition (J2SDK), v 1.3のオプション・パッケージでした。現在、JAASはJ2SDK 1.4に統合されています。
JAASは、次の2つの目的で使用できます。
このセクションでは、認証コンポーネントの基本的なチュートリアルを提供します。承認コンポーネントについては、「JAAS承認」チュートリアルで説明します。
JAAS認証は、プラガブルな方式で実行されます。つまり、Javaアプリケーションは、基盤となる認証技術から独立して機能します。新規または更新された技術を、アプリケーション自体を変更せずに、プラグインとして使用可能です。使用する特定の認証技術の実装は実行時に決定されます。その内容は、ログイン構成ファイルに指定します。このチュートリアルでは、認証テクノロジとしてKerberosを使用します。(「Kerberos要件」を参照してください)。
このチュートリアルは、次のセクションで構成されます。
チュートリアルのコードを最初に実行してみる場合は、「コードの実行」を先に読んでから、その他のセクションに戻り、コードの記述および構成ファイルの詳細について学習してください。
認証チュートリアル・コードは、単一のソース・ファイルJaasAcn.javaに含まれています。このファイルのmain
メソッドは、認証の実行後に、認証が成功したかどうかをレポートします。
ユーザーの認証用コードは、非常に簡潔です。次の2つのステップで構成されています。
最初に基本的なコードが、続いて、import文およびエラー処理を含むJaasAcn.java
ソース・ファイルの完全なコードが表示されます。
ユーザーの認証には、まずjavax.security.auth.login.LoginContext
が必要です。次に、LoginContextをインスタンス化する基本的な方法を示します。
import javax.security.auth.login.*; . . . LoginContext lc = new LoginContext(<config file entry name>, <CallbackHandler to be used for user interaction>);次に、このチュートリアル・コードによるインスタンス化の実行方法を具体的に示します。
import javax.security.auth.login.*; import com.sun.security.auth.callback.TextCallbackHandler; . . . LoginContext lc = new LoginContext("JaasSample", new TextCallbackHandler());
引数について、次に説明します。
これは、LoginContextが、ここに説明されているJAASログイン構成ファイル内でこのアプリケーションのエントリ検索に使用する名前です。このようなエントリは、基盤となる適切な認証テクノロジを実装するクラスを指定します。クラスは、javax.security.auth.spi
パッケージ内のLoginModuleインタフェースを実装する必要があります。
サンプル・コードでは、Kerberos認証を行うcom.sun.security.auth.module
パッケージのKrb5LoginModule
を使用します。
このチュートリアルで使用するログイン構成ファイル(jaas.conf)のエントリは、「JaasSample」という名前です。LoginContextコンストラクタの最初の引数には、この名前を指定してください。
ログイン・モジュールがユーザーと通信する必要がある場合(たとえばユーザー名やパスワードの入力を求める場合)、それは直接には行われません。これは、ユーザーとの様々な通信方法が存在するためであり、ログイン・モジュールが様々なタイプのユーザーとの通信から独立させておくことが望ましいです。ログイン・モジュールは、CallbackHandlerを呼び出してユーザーとの通信を実行し、要求された情報(ユーザー名、パスワードなど)を取得します。(CallbackHandlerは、javax.security.auth.callback
パッケージ内のインタフェースです。)
使用する特定のCallbackHandlerのインスタンスを、LoginContextコンストラクタの2番目の引数として指定します。LoginContextは、このインスタンスを基盤となるLoginModule (ここではKrb5LoginModule)に転送します。通常、アプリケーションは、固有のCallbackHandler実装を提供します。単純なCallbackHandlerであるTextCallbackHandlerは、com.sun.security.auth.callback
パッケージに提供されており、コマンド行に情報を出力し、入力を読み取ります。
login
メソッドの呼び出しこれでLoginContext lc
を保持できたので、login
メソッドを呼び出して認証処理を実行します。
lc.login();
LoginContextは、新しい空のjavax.security.auth.Subject
オブジェクト(認証されるユーザーまたはサービスを表す)をインスタンス化します。LoginContextは、構成済みLoginModule (この例ではKrb5LoginModule)を構築し、この新しいサブジェクトおよびTextCallbackHandlerを使って初期化します。
LoginContextのlogin
メソッドは、Krb5LoginModule内のメソッドを呼び出して、ログインおよび認証を実行します。Krb5LoginModuleは、TextCallbackHandlerを利用して、ユーザー名およびパスワードを取得します。次に、Krb5LoginModuleは、この情報を使用してKerberos KDCからユーザー・クレデンシャルを取得します。詳細は、Kerberosのドキュメントを参照してください。
認証に成功した場合、Krb5LoginModuleは、(1)ユーザーを表すKerberosプリンシパルと(2)ユーザーのクレデンシャル(TGT)をサブジェクトに追加します。これらの用語の詳細は、「サブジェクト、プリンシパル、認証、およびクレデンシャル」を参照してください。
そのあと、呼出し側アプリケーションは、LoginContextのgetSubject
メソッドを呼び出し(このステップは、このチュートリアルではオプション)、認証されたサブジェクトを取得します。
JaasAcn.java
コードここまでで、ユーザーの認証に必要な基本コードを見てきました。ここで、すべてを統合して、関連するimport文およびエラー処理を含む完全なクラスをJaasAcn.java内に作成できます。
import javax.security.auth.*; import javax.security.auth.callback.*; import javax.security.auth.login.*; import com.sun.security.auth.callback.TextCallbackHandler; /** * This JaasAcn application attempts to authenticate a user * and reports whether or not the authentication was successful. */ public class JaasAcn { public static void main(String[] args) { // Obtain a LoginContext, needed for authentication. Tell // it to use the LoginModule implementation specified by // the entry named "JaasSample" in the JAAS login // configuration file and to also use the specified // CallbackHandler. LoginContext lc = null; try { lc = new LoginContext("JaasSample", new TextCallbackHandler()); } catch (LoginException le) { System.err.println("Cannot create LoginContext. " + le.getMessage()); System.exit(-1); } catch (SecurityException se) { System.err.println("Cannot create LoginContext. " + se.getMessage()); System.exit(-1); } try { // attempt authentication lc.login(); } catch (LoginException le) { System.err.println("Authentication failed: " System.err.println(" " + le.getMessage()); System.exit(-1); } System.out.println("Authentication succeeded!"); } }
JAAS認証はプラガブルな形式で実行されるため、アプリケーションは、基盤となる認証技術から独立した状態を維持できます。システム管理者は、各アプリケーションで使用する認証技術(ログイン・モジュール)を決定し、ログイン構成内に構成します。構成情報のソース(ファイルやデータベース)は、現在のjavax.security.auth.login.Configuration実装によって異なります。Sun MicrosystemsのデフォルトのConfiguration
実装は、com.sun.security.auth.login.ConfigFile.htmlで説明するように、構成ファイルから構成情報を読み取ります。
ログイン構成ファイルとその内容、および使用するログイン構成ファイルの指定方法については、「JAASログイン構成ファイル」を参照してください。
すでに説明したように、このチュートリアルで使用するログイン構成ファイルjaas.confには、次のエントリのみが含まれます。
JaasSample { com.sun.security.auth.module.Krb5LoginModule required; };
このエントリは「JaasSample」という名前で、チュートリアル・アプリケーションJaasAcn
がこのエントリを参照するときに使用する名前です。このエントリは、ユーザー認証を実行するために使用するログイン・モジュールがcom.sun.security.auth.module
パッケージ内のKrb5LoginModuleであること、および認証が成功したと見なされるためにはこのKrb5LoginModuleが「成功する」必要があることを示します。Krb5LoginModuleが成功するのは、ユーザーが入力した名前およびパスワードを使用して、Kerberos KDCへのログインに成功した場合だけです。
Krb5LoginModuleに引渡し可能なすべてのオプションの詳細は、Krb5LoginModuleドキュメントを参照してください。
JAAS認証チュートリアル・コードを実行するには、次の操作を行う必要があります。
JaasAcn.java
をコンパイルします。
javac JaasAcn.java
JaasAcn
アプリケーションを実行します
-Djava.security.krb5.realm=<your_realm>
(使用するKerberosレルム)。たとえば、レルムが「KRBNT-OPERATIONS.EXAMPLE.COM」の場合、-Djava.security.krb5.realm=KRBNT-OPERATIONS.EXAMPLE.COM
のように指定します。-Djava.security.krb5.kdc=<your_kdc>
(使用するKerberos KDC)。たとえば、KDCが「samplekdc.example.com」の場合、-Djava.security.krb5.kdc=samplekdc.example.com
のように指定します。-Djava.security.auth.login.config=jaas.conf
。使用するログイン構成ファイルとしてjaas.conf
を指定します。次に、完全なコマンドを示します。<your_realm>
をKerberosレルムと、<your_kdc>
をKerberos KDCと置き換えてください。
java -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_kdc> -Djava.security.auth.login.config=jaas.conf JaasAcn
コマンド全体は、1行で入力してください。ここでは、読みやすくするために複数行に分けて表示してあります。
Kerberosユーザー名とパスワードの入力が求められます。ログイン構成ファイルで指定された、基盤となるKerberos認証メカニズムにより、Kerberosへのログインが行われます。ログインが成功すると、次のメッセージが表示されます。
Authentication succeeded!ログインが失敗した場合(パスワードのスペル・ミスなどにより)、次のメッセージが表示されます。
Authentication failed:このあとに、失敗の原因が示されます。たとえば、ユーザー名のスペルが間違っている場合、次のようなメッセージが表示されます(読みやすくするため、書式を一部変更してあります)。
Authentication failed: Kerberos Authentication Failed: javax.security.auth.login.LoginException: KrbException: Client not found in Kerberos database
ログイン時のトラブルシューティングについては、「トラブルシューティング」を参照してください。
問題を修正したら、プログラムを再度実行します。
セキュリティ・マネージャがインストールされた環境でJavaプログラムを実行する場合、有効なセキュリティ・ポリシーによりアクセス権が明示的に付与されているのでないかぎり、リソースへのアクセスやセキュリティ関連操作の実行は許可されません。J2SE v 1.2以降と互換性のあるJavaプラットフォームでは、アクセス権の付与をポリシー・ファイル内のエントリに指定する必要があります。
大半のブラウザはセキュリティ・マネージャをインストールするため、一般にアプレットは、セキュリティ・マネージャの監視下で実行されます。一方、アプリケーションでは、アプリケーションの実行時にセキュリティ・マネージャは自動的にインストールされないため、そのようなことはありません。このため、JaasAcn
などのアプリケーションでは、デフォルトでリソースへのフル・アクセスが可能です。
セキュリティ・マネージャを使用してアプリケーションを実行するには、コマンド行に-Djava.security.manager
引数を含めてインタプリタを呼び出すだけです。
ポリシー・ファイルは指定せずに、セキュリティ・マネージャを使用してJaasAcn
を呼び出そうすると(必要なアクセス権またはAllPermission
を付与するデフォルト・ポリシー設定をほかの場所で保持しないかぎり)、次のメッセージが表示されます。
% java -Djava.security.manager \ -Djava.security.krb5.realm=<your_realm> \ -Djava.security.krb5.kdc=<your_kdc> \ -Djava.security.auth.login.config=jaas.conf JaasAcn Exception in thread "main" java.security.AccessControlException: access denied ( javax.security.auth.AuthPermission createLoginContext.JaasSample)
LoginContextの作成に必要なアクセス権をコードに付与するポリシー・ファイルが作成および使用されていないため、上に示すようにAccessControlExceptionが表示されます。
セキュリティ・マネージャをインストールした環境でJaasAcn
アプリケーションを実行するために必要なすべてのステップを、次に示します。「コードの実行」で説明した手順を実行済みの場合は、最初の2つのステップを省略できます。
JaasAcn.java
をコンパイルします。
javac JaasAcn.java
JaasAcn.class
を含むJARファイルを作成します。
jar -cvf JaasAcn.jar JaasAcn.class
このコマンドにより、JARファイルJaasAcn.jar
が作成され、その内部にJaasAcn.class
が格納されます。
LoginContextのインスタンス化を実行するコードに必要なアクセス権は、「createLoginContext.<entry name>」をターゲットとするjavax.security.auth.AuthPermission
です。ここで、<entry name>は、アプリケーションがLoginContextのインスタンス化で参照する、ログイン構成ファイルのエントリ名です。コード内に示されているように、JaasAcn
アプリケーションがLoginContextのインスタンス化で使用する名前は、「JaasSample」です。
LoginContext lc = new LoginContext("JaasSample", new TextCallbackHandler());このため、次のアクセス権を
JaasAcn.jar
に付与する必要があります。
permission javax.security.auth.AuthPermission "createLoginContext.JaasSample";ポリシー・ファイルjaasacn.policyを、
JaasAcn.java
などの格納先ディレクトリにコピーします。これは、次のgrant
文を含むテキスト・ファイルで、JaasAcn.jar
(現在のディレクトリ内)に必要なアクセス権を付与します。
grant codebase "file:./JaasAcn.jar" { permission javax.security.auth.AuthPermission "createLoginContext.JaasSample"; };
注: ポリシー・ファイルおよびその内部のエントリ構造については、「デフォルトのPolicyの実装とポリシー・ファイルの構文」を参照してください。アクセス権の詳細は、ここを参照してください。
JaasAcn
アプリケーションを実行します
-classpath
節(JaasAcn.jar
JARファイル内のクラスを検索するため)。-Djava.security.manager
。セキュリティ・マネージャのインストールを指定します。-Djava.security.krb5.realm=<your_realm>
(使用するKerberosレルム)。たとえば、レルムが「KRBNT-OPERATIONS.EXAMPLE.COM」の場合、-Djava.security.krb5.realm=KRBNT-OPERATIONS.EXAMPLE.COM
のように指定します。-Djava.security.krb5.kdc=<your_kdc>
(使用するKerberos KDC)。たとえば、KDCが「samplekdc.example.com」の場合、-Djava.security.krb5.kdc=samplekdc.example.com
のように指定します。-Djava.security.policy=jaasacn.policy
。使用するポリシー・ファイルとしてjaasacn.policy
を指定します。-Djava.security.auth.login.config=jaas.conf
。使用するログイン構成ファイルとしてjaas.conf
を指定します。次に、完全なコマンドを示します。<your_realm>
をKerberosレルムと、<your_kdc>
をKerberos KDCと置き換えてください。
java -classpath JaasAcn.jar -Djava.security.manager -Djava.security.krb5.realm=<your_realm> -Djava.security.krb5.kdc=<your_kdc> -Djava.security.policy=jaasacn.policy -Djava.security.auth.login.config=jaas.conf JaasAcn
コマンド全体は、1行で入力してください。ここでは、読みやすくするために複数行に分けて表示してあります。システムでコマンドが長すぎる場合は、.batファイル(Windowsの場合)または.shファイル(Solaris、LinuxおよびMac OS Xの場合)にそれを入れる必要がある場合があります。このファイルを実行することで、コマンドを実行できます。
指定されたポリシー・ファイルには、必要なアクセス権をコードに付与するエントリが含まれるため、JaasAcn
に対しLoginContextのインスタンス化が許可され、実行が継続されます。Kerberosユーザー名とパスワードの入力が求められます。ログイン構成ファイルで指定された、基盤となるKerberos認証メカニズムにより、Kerberosへのログインが行われます。ログインが成功すると「Authentication succeeded!」というメッセージが表示され、失敗すると「Authentication failed:」の後に失敗の理由が続くメッセージが表示されます。
ログイン時のトラブルシューティングについては、「トラブルシューティング」を参照してください。